《边界接入技术》由会员分享,可在线阅读,更多相关《边界接入技术(3页珍藏版)》请在金锄头文库上搜索。
1、边界接入技术的发展伴随着网络的诞生就有网络边界的概念,边界安全问题也是始终存在的,而且日益显示其 重要性。道高一尺魔高一丈,随着网络安全威胁的增多,边界接入的安全技术也是日益丰 富。边界是一个网络安全域与外部的分界线,它并不是一个空间概念逻辑上的没有宽度的 界面。更准确地讲,边界是实现一个网络安全域与外部网络连接的经过安全加固的区域, 起到对安全域内部系统和设备的防护作用。边界一般是由多种系统构成的纵深网络安全防 御体系。边界接入技术是一个随着网络技术和应用发展不断演化领域。传统的边界接入技术主 要是指面向互联网的边界安全体系,主要包括以下部件:1)边界路由器2)状态防火墙3)入侵检测4)入侵
2、防御5)VPN路由器在网络中承担路由转发的功能,它们讲流量引导进入网络、流出网络或者在网 络中传输,由于边界路由器具有丰富的网络接口,一般置于in ternet出口或广域网出口, 是流量进入和流出之前我们可以控制的第一道防线。防火墙设备通过一组规则决定哪些流 量可以通过而哪些流量不能通过防火墙。防火墙可以对边界路由器不能监控的流量进行更 加深人地分析和过滤,并能够按照管理者所确定的策略来阻塞或者允许流量经过。入侵检测系统(IDS)是用于检测和报警穿过防火墙的恶意事件,一般分为主机型HIDS 和网络型NIDS。入侵防御系统(IPS)目标是通过检测网络异常流量,自动对各类攻击性威胁进行实时 阻断,
3、提供主动防御的作用。VPN技术是通过公共IP网络建立私有数据传输通道,将远程的分支办公室、商业伙 伴、移动办公人员等连接起来,减轻远程访问费用负担,节省电话费用开支,并且提供安 全的端到端数据通讯。其缺点是,如果端点安全不能保证,则攻击可以从有漏洞的端点通 过VPN通道直接进入网络内部。近年来,信息安全领域对人的因素愈发重视,在国内上网行为管理技术和产品也引起 人们注意。上网行为管理技术是通过检测网络流量,针对互联网用户实现网页访问过滤、网络应 用控制、带宽流量管理以及用户行为审计等,从控制人的行为降低安全风险。边界接入技术的另一个分支是网络隔离技术。我国2000年1月1日起实施的计算 机信息
4、系统国际联网保密管理规定第二章第六条规定,涉及国家秘密的计算机信息系统, 不得直接或间接地与国际互联网或其他公共信息网络连接,必须实行物理隔离。网闸隔离技术是最近几年兴起的高安全要求网络边界接入技术,主要是从军用和政府 电子政务应用领域发展起来。网闸隔离技术的源头是GAP技术,其理念与前面所述不同, 它是在网络被隔离的前提下实现安全可控的信息传输。我国公安部在2006年初发布网闸产 品检测规范。公安部检测规范中的网闸定义是:位于两个不同安全域之间,通过协议转换的手段, 以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息可以通过。网闸一般均采用双主机加安全传输通道的2+1架构,物理传输
5、通道只在传输时存在。 信息传输时,信息先在信息源所在的安全域一端传输至中间缓存区,同时物理隔断中间缓 存区与信息目的所在的安全域的连接;随后接通中间缓存区与信息目的所在安全域的传输 信道,将信息传输至信息目的所在的安全域,同时在信道上物理断开信息源所在安全域与 中间缓存区的连接。以上边界接入技术均是从控制网络链路和流量控制的角度来降低安全风险。但是在安 全的平台上,应用的安全却不应定能够保证,因为这些模型均是从限制恶意和异常流量的 角度和控制风险。这时如果要提高对应用的边界接入安全控制,必须有新的安全模型,也 是边界接入的最新方向。这就是基于服务器计算的虚拟应用模型。基于服务器计算的虚拟应用模型,其原理是采用虚拟化技术,分离应用的计算和表示 逻辑,所有计算和业务实体数据均在服务器端,用户在终端计算机以虚拟的方式进行应用 交互,终端计算机和服务器之间只有加密的键盘、鼠标和荧屏变化图像信息传递,实现终 端计算机应用客户端零维护、应用系统实体数据不流到客户端的全新安全模式。沟通科技 Ja neos安全接入堡垒平台是该类边界安全接入模型的首创者。F图是一个典型的边界接入纵深防御体系:
