近年来,随着网络技术的快速发展以及业务系统信息化、网络化进程的加速,网络系统已经发展成了业务系统运行的基础支持平台。如何保障网络系统安全、可靠的运行,以便能更好地为业务系统提供支持和服务,已经是我们必须要考虑和解决的重点问题。除了网络设备本身的坚固性、冗余性要考虑以外,应用一定的安全技术来辅助和提高网络系统的可靠性和抗攻击能力也是需要我们重视的。下面,我们将就一些网络安全技术的概念及选型建议做一个简单的探讨和分析。
在使用所有安全技术之前,我们首先要做的,是将现有的业务系统进行仔细的考察和分析。根据这些系统对安全的不同要求从安全层次上进行逻辑域的划分,并针对每个逻辑域的安全需要进行不同的策略配置和实现。对逻辑域之间互联互通时需要采用的安全技术、安全策略进行综合、统一的考量。
一. 网络隔离技术
1.DMZ+防火墙+VPN技术
DMZ即英文“demilitarized zone”的缩写,是防火墙等网络安全领域中的一个专门术语。指位于互联网和企业内部网络之间的一个特殊区域。DMZ一般放置提供公开信息服务的Web服务器,允许来自互联网的一般用户的访问。其作用是把需要严加防范的企业内部网络和Web等公用服务器分割开来,保证内部网络的安全性。DMZ一般是一个单独的局部网,通过路由器或防火墙将内部网络和外部网络相联。通过VPN技术来确认用户的合法身份以及为用户访问隔离区数据提供安全传输通道。
![]() |
2.网闸技术
物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。近年来,随着我国信息化建设步伐的加快,在很多地方,公众网、内网、专网之间交换信息已成为基本要求。如何在保证内网和专网资源安全的前提下,实现从公众网到内网、专网的网络畅通、资源共享、方便快捷是网络系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。
而网闸就是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。一般用于保密度、安全性要求较高的系统需要从外部获取数据或者为外部提供数据的时候使用。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、攻击和破坏,以实现真正的安全。
二. 防火墙+路由策略技术
防火墙主要用于局域网和外部之间以及不同系统之间的安全策略控制,而路由器的ACL控制策略主要用于系统内部不用用户层以及系统间只需要简单策略控制的情况。形成这种使用情况的原因主要如下:
(1)两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等并不关心,所关心的只是能否将不同网段的数据包进行路由从而进行通讯。而防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间和方向等不是防火墙关心的重点,重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
(2)根本目的不同
路由器的根本目的是保持网络和数据的"通"。
防火墙根本的的目的是保证任何非允许的数据包"不通"。
(3)核心技术的不同
路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,防火墙是基于状态包过滤的应用级信息流过滤。
(4)安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率也较高。
防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
(5)对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,故在其进行包过滤时,运算量大,对路由器的CPU和内存的消耗很多。而由于路由器本身的硬件成本就比较高,其高性能配置的硬件成本更加无法承受。
防火墙的硬件配置较高,其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
(6)审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的回应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器。针对这两种存储,防火墙都有较强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患。防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,对分析网络运行情况,排除网络故障提供了方便。
因此,综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
三. IDS、IPS技术
IDS 是通过旁路检测流经网络设备的流量并查找可能的恶意的通信。如果检测到一种攻击,它将提醒管理员根据维护流程采取相应的行动。而IPS在检测到攻击后,可根据预先设定的策略对恶意通信进行阻止。这两种技术都是用来判断经过系统的数据包是否遭受到了攻击。从方便性和可维护性来说,IPS功能上要比IDS强大一些,策略设置完成以后,基本上不需要人工干预。但是使用IPS?技术需要面对很多挑战,其中主要有三点:
1.单点故障。
IPS必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。如果IDS出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
2.性能瓶颈。
即使IPS设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率。IPS必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的IPS嵌入设备无法支持这种响应速度。绝大多数高端?IPS产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效
发表评论