《网络边界》由会员分享,可在线阅读,更多相关《网络边界(4页珍藏版)》请在金锄头文库上搜索。
1、一、网络边界1.网络边界基本概念网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,因此边界安全的有效部署对整网安全意义重大。网络边界通常理解就是企业网络与其他网络的分界线。事实上,我们应该把具有不同安全级别的网络之间的分界线都可以定义为网络边界。2.划分边界的依据防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。安全区域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。同一安全域的系统共享相同的安全策略,安全域划分的目的是把一个大规模复杂系
2、统的安全问题,化解为更小区域的安全保护问题,是实现大规模复杂信息系统安全等级保护的有效方法。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。归纳起来划分网络边界主要有三步:1) 确定安全资产2) 定义安全策略和安全级别3) 划分不同的安全区域通常一个企业网络可划分为:互联网连接区、广域网连接区、外联数据区、数据中心区、内网办公区、网络管理区等。3.边界安全防护机制和措施在GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求中提到:根据对信息系统运行安全的不同要求
3、,信息系统边界安全防护采用的安全机制和措施分为:1) 基本安全防护:采用常规的边界防护机制,如基本的登录/连接控制等,实现基本的信息系统边界安全防护;2) 较严格安全防护:采用较严格的安全防护机制,如较严格的登录/连接控制,普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。3) 严格安全防护:根据当前信息安全对抗技术的发展,采用严格的安全防护机制,如严格的登录/连接机制, 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。4) 特别安全防护:采用当前最先进的边界防护技术,必要时可以采用物理隔离安全机制,实现特别安全要求的边界安全防护。二、防火墙技术网络隔离
4、最初的形式是网段的隔离,因为不同的网段之间的通讯是通过路由器连通的,要限制某些网段之间不互通,或有条件地互通,就出现了访问控制技术,也就出现了防火墙,防火墙是不同网络互联时最初的安全网关。图1 防火墙防火墙的安全设计原理来自于包过滤与应用代理技术,两边是连接不同网络的接口,中间是访问控制列表ACL,数据流要经过ACL的过滤才能通过。因为ACL控制的是网络的三层与四层,对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术,可以隐藏内网设备的IP地址,给内部网络蒙上面纱,成为外部“看不到”的灰盒子,给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系,从而“穿透”NAT的
5、“防护”, P2P应用也采用这种方式“攻破”了防火墙。防火墙的作用就是建起了网络的“城门”,把住了进入网络的必经通道,所以在网络的边界安全设计中,防火墙成为不可缺的一部分。防火墙的缺点是:不能对应用层识别,面对隐藏在应用中的病毒、木马都毫无办法。所以作为安全级别差异较大的网络互联,防火墙的安全性就远远不够了。三、多重安全网关技术随着时间的演进,信息安全威胁开始逐步呈现出网络化和复杂化的态势。无论是从数量还是从形式方面,从前的安全威胁和恶意行为与现在采用的技术和方法不可同日而语。安全厂商忙于升级产品的检测数据库,系统厂商忙于修补产品漏洞,而用户也需要检查自己的主机中到底还有多少破绽暴露在攻击者的
6、面前。那么,既然一道防火墙不能解决各个层面的安全防护,就多上几道安全网关,如用于应用层入侵的IPS、用于对付病毒的防病毒产品、用于对付DDoS攻击的专用防火墙技术此时UTM(Unified Threat Management)安全网关设备就诞生了。设计在一起是UTM,分开就是各种不同类型的安全网关。多重安全网关的安全性显然比防火墙要好些,对各种常见的入侵与病毒都可以抵御。但是大多的多重安全网关都是通过特征识别来确认入侵的,这种方式速度快,不会带来明显的网络延迟,但也有它本身的固有缺陷,首先,应用特征的更新一般较快,目前最长也以周计算,所以网关要及时地“特征库升级”;其次,很多黑客的攻击利用“正
7、常”的通讯,分散迂回进入,没有明显的特征,安全网关对于这类攻击能力很有限;最后,安全网关再多,也只是若干个检查站,一旦“混入”,进入到大门内部,网关就没有作用了。四、网闸技术网闸的安全思路来自于“不同时连接”。不同时连接两个网络,通过一个中间缓冲区来“摆渡”业务数据,业务实现了互通,“不连接”原则上入侵的可能性就小多了。网闸只是单纯地摆渡数据,近似于人工的“U盘摆渡”方式。网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”,通过的内容清晰可见,“水至清则无鱼”,入侵与病毒没有了藏身之地,网络就相对安全了。但是,网闸作为网络的互联边界,必然要支持各种业务的连通,也就是某些通讯协议的通过,所以网
8、闸上大多开通了协议的代理服务,就象城墙上开了一些特殊的通道,网闸的安全性就打了折扣,在对这些通道的安全检查方面,网闸比多重安全网关的检查功效不见得高明。网闸的思想是先堵上,根据“城内”的需要再开一些小门,防火墙是先打开大门,对不希望的人再逐个禁止,两个思路刚好相反。在入侵的识别技术上差不多,所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。图2 网闸后来网闸设计中出现了存储通道技术、单向通道技术等等,但都不能保证数据的“单纯性”。 五、数据交换网技术从防火墙到网闸,都是采用的关卡方式,“检查”的技术各有不同,但对黑客的最新攻击技术都不太好用,也没有监控的手段,对付“人”的攻击行为来
9、说,只有人才是最好的对手。数据交换网技术是基于缓冲区隔离的思想,把城门处修建了一个“数据交易市场”,形成两个缓冲区的隔离。在防止内部网络数据泄密的同时,保证数据的完整性,即没有授权的人不能修改数据,防止授权用户错误的修改,以及内外数据的一致性。图3 数据交换网数据交换网技术给出了边界防护的一种新思路,用网络的方式实现数据交换。在两个网络间建立一个缓冲地,让“数据往来”处于可控的范围之内。数据交换网技术比其他边界安全技术有显著的优势:1) 综合了使用多重安全网关与网闸,采用多层次的安全“关卡”。2) 有了缓冲空间,可以增加安全监控与审计,用专家来对付黑客的入侵,边界处于可控制的范围内,任何蛛丝马
10、迹、风吹草动都逃不过监控者的眼睛。3) 业务的代理保证数据的完整性,业务代理也让外来的访问者止步于网络的交换区,所有的需求由服务人员提供,就象是来访的人只能在固定的接待区洽谈业务,不能进入到内部的办公区。数据交换网技术针对的是大数据互通的网络互联,一般来说适合于下面的场合:1) 频繁业务互通的要求 要互通的业务数据量大,或有一定的实时性要求,人工方式肯定不够用,网关方式的保护性又显不足,比如银行的银联系统、海关的报关系统、社保的管理系统、公安的出入境管理系统、大型企业的内部网络(运行ERP)与Internet之间、公众图书馆系统等等。这些系统的突出特点都是其数据中心的重要性是不言而喻,但又与广大百姓与企业息息相关,业务要求提供互联网的访问,在安全性与业务适应性的要求下,业务互联需要用完整的安全技术来保障,选择数据交换网方式是适合的。2) 高密级网络的对外互联 高密级网络一般涉及国家机密,信息不能泄密是第一要素,也就是绝对不允许非授权人员的入侵。然而出于对公众信息的需求,或对大众网络与信息的监管,必须与非安全网络互联,若是监管之类的业务,业务流量也很大,并且实时性要求也高,在网络互联上选择数据交换网技术是适合的。
