<sup id="ktuxm"></sup><sup id="ktuxm"><menu id="ktuxm"><form id="ktuxm"></form></menu></sup>

            <div id="ktuxm"><ol id="ktuxm"></ol></div>

              致力于行業領跑者

              不只有產品,更注重于服務。

              您現在所在的位置: 首頁 > 解決方案 > 安全建設 > 邊界防護
                      我們把網絡可以看作一個獨立的對象,通過自身的屬性,維持內部業務的運轉。他的安全威脅來自內部與邊界兩個方面:內部是指網絡的合法用戶在使用網絡資源的時候,發生的不合規的行為、誤操作、惡意破壞等行為,也包括系統自身的健康,如軟、硬件的穩定性帶來的系統中斷。邊界是指網絡與外界互通引起的安全問題,有入侵、病毒與攻擊。
                     如何防護邊界呢?對于公開的攻擊,只有防護一條路,比如對付DDOS的攻擊;但對于入侵的行為,其關鍵是對入侵的識別,識別出來后阻斷它是容易的,但怎樣區分正常的業務申請與入侵者的行為呢,是邊界防護的重點與難點。
               
                      我們把網絡與社會的安全管理做一個對比:要守住一座城,保護人民財產的安全,首先建立城墻,把城內與外界分割開來,阻斷其與外界的所有聯系,然后再修建幾座城門,作為進出的檢查關卡,監控進出的所有人員與車輛,是安全的第一種方法;為了防止入侵者的偷襲,再在外部挖出一條護城河,讓敵人的行動暴露在寬闊的、可看見的空間里,為了通行,在河上架起吊橋,把路的使用主動權把握在自己的手中,控制通路的關閉時間是安全的第二種方法。對于已經悄悄混進城的“危險分子”,要在城內建立有效的安全監控體系,比如人人都有身份證、大街小巷的攝像監控網絡、街道的安全聯防組織,每個公民都是一名安全巡視員,順便說一下:戶籍制度、罪罰、聯作等方式從老祖宗商鞅就開始在秦國使用了。只要入侵者稍有異樣行為,就會被立即揪住,這是安全的第三種方法。
                      作為網絡邊界的安全建設,也采用同樣的思路:控制入侵者的必然通道,設置不同層面的安全關卡,建立容易控制的“貿易”緩沖區,在區域內架設安全監控體系,對于進入網絡的每個人進行跟蹤,審計其行為等等。
               
              邊界防護技術
               
                      從網絡的誕生,就產生了網絡的互聯,Cisco公司就是靠此而興起的。從沒有什么安全功能的早期路由器,到防火墻的出現,網絡邊界一直在重復著攻擊者與防護者的博弈,這么多年來,“道高一尺,魔高一丈”,好象防護技術總跟在攻擊技術的后邊,不停地打補丁。其實邊界的防護技術也在博弈中逐漸成熟:
               
              防火墻技術
               
                      網絡隔離最初的形式是網段的隔離,因為不同的網段之間的通訊是通過路由器連通的,要限制某些網段之間不互通,或有條件地互通,就出現了訪問控制技術,也就出現了防火墻,防火墻是不同網絡互聯時最初的安全網關。
                      防火墻的安全設計原理來自于包過濾與應用代理技術,兩邊是連接不同網絡的接口,中間是訪問控制列表ACL,數據流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查,檢查的是你是哪個國家的人,但你是間諜還是游客就無法區分了,因為ACL控制的是網絡的三層與四層,對于應用層是無法識別的。后來的防火墻增加了NAT/PAT技術,可以隱藏內網設備的IP地址,給內部網絡蒙上面紗,成為外部“看不到”的灰盒子,給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯系,從而“穿透”了NAT的“防護”,很多P2P應用也采用這種方式“攻破”了防火墻。
                      防火墻的作用就是建起了網絡的“城門”,把住了進入網絡的必經通道,所以在網絡的邊界安全設計中,防火墻成為不可缺的一部分。
                      防火墻的缺點是:不能對應用層識別,面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網絡互聯,防火墻的安全性就遠遠不夠了。
               
              多重安全網關技術
               
                      既然一道防火墻不能解決各個層面的安全防護,就多上幾道安全網關,如用于應用層入侵的IPS、用于對付病毒的AV、用于對付DDOS攻擊的…此時UTM設備就誕生了,設計在一起是UTM,分開就是各種不同類型的安全網關。
               
                      多重安全網關就是在城門上多設幾個關卡,有了職能的分工,有驗證件的、有檢查行李的、有查毒品的、有查間諜的……
                      多重安全網關的安全性顯然比防火墻要好些,起碼對各種常見的入侵與病毒都可以抵御。但是大多的多重安全網關都是通過特征識別來確認入侵的,這種方式速度快,不會帶來明顯的網絡延遲,但也有它本身的固有缺陷,首先,應用特征的更新一般較快,目前最長也以周計算,所以網關要及時地“特征庫升級”;其次,很多黑客的攻擊利用“正常”的通訊,分散迂回進入,沒有明顯的特征,安全網關對于這類攻擊能力很有限;最后,安全網關再多,也只是若干個檢查站,一旦“混入”,進入到大門內部,網關就沒有作用了。這也安全專家們對多重安全網關“信任不足”的原因吧。
               
              網閘技術
               
                      網閘的安全思路來自于“不同時連接”。不同時連接兩個網絡,通過一個中間緩沖區來“擺渡”業務數據,業務實現了互通,“不連接”原則上入侵的可能性就小多了。
                      網閘只是單純地擺渡數據,近似于人工的“U盤擺渡”方式。網閘的安全性來自于它擺渡的是“純數據”還是“灰數據”,通過的內容清晰可見,“水至清則無魚”,入侵與病毒沒有了藏身之地,網絡就相對安全了。也就是說,城門只讓一種人通過,比如送菜的,間諜可混入的概率就大大降低了。但是,網閘作為網絡的互聯邊界,必然要支持各種業務的連通,也就是某些通訊協議的通過,所以網閘上大多開通了協議的代理服務,就象城墻上開了一些特殊的通道,網閘的安全性就打了折扣,在對這些通道的安全檢查方面,網閘比多重安全網關的檢查功效不見得高明。
              網閘的思想是先堵上,根據“城內”的需要再開一些小門,防火墻是先打開大門,對不希望的人再逐個禁止,兩個思路剛好相反。在入侵的識別技術上差不多,所以采用多重網關增加對應用層的識別與防護對兩者都是很好的補充。
                      后來網閘設計中出現了存儲通道技術、單向通道技術等等,但都不能保證數據的“單純性”,檢查技術由于沒有新的突破,所以網閘的安全性受到了專家們的質疑。
               
                      但是網閘給我們帶來了兩點啟示
               
                      1、建立業務互通的緩沖區,既然連接有不安全的可能,單獨開辟一塊地區,縮小不安全的范圍也是好辦法。
                      2、協議代理,其實防火墻也有應用代理是思想,不讓來人進入到城內,你要什么服務我安排自己的人給你提供服務,網絡訪問的最終目的是業務的申請,我替你完成了,不也達到目的了嗎?黑客在網絡的大門外邊,不進來,威脅就小多啦。
               
              數據交換網技術
               
                      從防火墻到網閘,都是采用的關卡方式,“檢查”的技術各有不同,但對黑客的最新攻擊技術都不太好用,也沒有監控的手段,對付“人”的攻擊行為來說,只有人才是最好的對手。
              數據交換網技術是基于緩沖區隔離的思想,把城門處修建了一個“數據交易市場”,形成兩個緩沖區的隔離,同時引進銀行系統對數據完整性保護的Clark-Wilson模型,在防止內部網絡數據泄密的同時,保證數據的完整性,即沒有授權的人不能修改數據,防止授權用戶錯誤的修改,以及內外數據的一致性。
                      數據交換網技術給出了邊界防護的一種新思路,用網絡的方式實現數據交換,也是一種用“土地換安全”的策略。在兩個網絡間建立一個緩沖地,讓“貿易往來”處于可控的范圍之內。數據交          換網技術比其他邊界安全技術有顯著的優勢:
                     1、綜合了使用多重安全網關與網閘,采用多層次的安全“關卡”。
                     2、有了緩沖空間,可以增加安全監控與審計,用專家來對付黑客的入侵,邊界處于可控制的范圍內,任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。
                     3、業務的代理保證數據的完整性,業務代理也讓外來的訪問者止步于網絡的交換區,所有的需求由服務人員提供,就象是來訪的人只能在固定的接待區洽談業務,不能進入到內部的辦公區。
                      數據交換網技術針對的是大數據互通的網絡互聯,一般來說適合于下面的場合:
              頻繁業務互通的要求
                      要互通的業務數據量大,或有一定的實時性要求,人工方式肯定不夠用,網關方式的保護性又顯不足,比如銀行的銀聯系統、海關的報關系統、社保的管理系統、公安的出入境管理系統、大型企業的內部網絡(運行ERP)與Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其數據中心的重要性是不言而喻,但又與廣大百姓與企業息息相關,業務要求提供互聯網的訪問,在安全性與業務適應性的要求下,業務互聯需要用完整的安全技術來保障,選擇數據交換網方式是適合的。 
                      高密級網絡的對外互聯一般涉及國家機密,信息不能泄密是第一要素,也就是絕對不允許非授權人員的入侵。然而出于對公眾信息的需求,或對大眾網絡與信息的監管,必須與非安全網絡互聯,若是監管之類的業務,業務流量也很大,并且實時性要求也高,在網絡互聯上選擇數據交換網技術是適合的。
              “魔高道高,道高魔高”。網絡邊界是兩者長期博弈的“戰場”,然而安全技術在“不斷打補丁”的同時,也逐漸在向“主動防御、立體防護”的思想上邁進,邊界防護的技術也在逐漸成熟,數據交換網技術就已經不再只是一個防護網關,而是一種邊界安全網絡,綜合性的安全防護思路。也許安全的話題是永恒的,但未來的網絡邊界一定是越來越安全的,網絡的優勢就在于連通。

              聯系我們

              電話:0411-86725599/84175777

              傳真:0411-86725599-8008

              Email:[email protected]

              地址: 大連市沙河口區黃河路858號中小微企業服務中心3層

              青海快三走势图今天

                    <sup id="ktuxm"></sup><sup id="ktuxm"><menu id="ktuxm"><form id="ktuxm"></form></menu></sup>

                        <div id="ktuxm"><ol id="ktuxm"></ol></div>

                                <sup id="ktuxm"></sup><sup id="ktuxm"><menu id="ktuxm"><form id="ktuxm"></form></menu></sup>

                                    <div id="ktuxm"><ol id="ktuxm"></ol></div>