網路邊界—安全防護思想的演進

餘二五發表於2017-11-07
一、             網路邊界上需要什麼
人們為了解決資源的共享而建立了網路,然而全世界的計算機真的聯成了網路,安全卻成了問題,因為在網路上,你不清楚對方在哪裡,洩密、攻擊、病毒越來越多的不安全因素讓網路管理者難以安寧,所以把有安全需求的網路與不安全的網路分開,是沒有辦法的選擇,分離形成了網路的“孤島”,沒有了連線,安全問題自然消失了。然而因噎廢食不是個辦法,沒有連線,業務也無法互通,網路孤島的資源在重複建設、浪費嚴重,並且隨著資訊化的深入,跑在各個網路上業務之間的資訊共享需求日益強烈,比如:政府的內網與外網,需要面對公眾服務;銀行的資料網與網際網路,需要支援網上交易;企業的辦公與生產網,老總們的辦公桌上不能總是兩個終端吧;民航、鐵路與交通部的資訊網與網際網路,網上預定與實時資訊查詢是便利出現的必然……
把不同安全級別的網路相連線,就產生了網路邊界。防止來自網路外界的入侵就要在網路邊界上建立可靠的安全防禦措施。下面我們來看看網路邊界上的安全問題都有哪些:
與非安全網路的互聯面臨的安全問題與網路內部的安全是不同的,主要的原因是攻擊人是不可控的,攻擊是不可溯源的,也沒有辦法去“封殺”,一般來說網路邊界上的安全問題主要有下面幾個方面:
1、  資訊洩密:網路上的資源是可以共享的,但沒有授權的人得到了他不該得到的資源,資訊就洩露了。一般資訊洩密有兩種方式:
²        攻擊者(非授權人員)進入了網路,獲取了資訊,這是從網路內部的洩密
²        合法使用者在進行正常業務往來時,資訊被外人獲得,這是從網路外部的洩密
2、  入侵者的攻擊:網際網路是世界級的大眾網路,網路上有各種勢力與團體。入侵就是有人通過網際網路進入你的網路(或其他渠道),篡改資料,或實施破壞行為,造成你網路業務的癱瘓,這種攻擊是主動的、有目的、甚至是有組織的行為。
3、  網路病毒:與非安全網路的業務互聯,難免在通訊中帶來病毒,一旦在你的網路中發作,業務將受到巨大沖擊,病毒的傳播與發作一般有不確定的隨機特性。這是“無對手”、“無意識”的攻擊行為。
4、  木馬入侵:木馬的發展是一種新型的攻擊行為,他在傳播時象病毒一樣自由擴散,沒有主動的跡象,但進入你的網路後,便主動與他的“主子”聯絡,從而讓主子來控制你的機器,既可以盜用你的網路資訊,也可以利用你的系統資源為他工作,比較典型的就是“殭屍網路”。
來自網路外部的安全問題,重點是防護與監控。來自網路內部的安全,人員是可控的,可以通過認證、授權、審計的方式追蹤使用者的行為軌跡,也就是我們說的行為審計與合軌性審計。
由於有這些安全隱患的存在,在網路邊界上,最容易受到的攻擊方式有下面幾種:
1、               黑客入侵:入侵的過程是隱祕的,造成的後果是竊取資料與系統破壞。木馬的入侵也屬於黑客的一種,只是入侵的方式採用的病毒傳播,達到的效果與黑客一樣。
2、               病毒入侵:病毒就是網路的蛀蟲與垃圾,大量的自我繁殖,侵佔系統與網路資源,導致系統效能下降。病毒對閘道器沒有影響,就象“走私”團伙,一旦進入網路內部,便成為可怕的“瘟疫”,病毒的入侵方式就象“水”的滲透一樣,看似漫無目的,實則無孔不入。
3、               網路攻擊:網路攻擊是針對網路邊界裝置或系統伺服器的,主要的目的是中斷網路與外界的連線,比如DOS攻擊,雖然不破壞網路內部的資料,但阻塞了應用的頻寬,可以說是一種公開的攻擊,攻擊的目的一般是造成你服務的中斷。
 
二、             邊界防護的安全理念
我們把網路可以看作一個獨立的物件,通過自身的屬性,維持內部業務的運轉。他的安全威脅來自內部與邊界兩個方面:內部是指網路的合法使用者在使用網路資源的時候,發生的不合規的行為、誤操作、惡意破壞等行為,也包括系統自身的健康,如軟、硬體的穩定性帶來的系統中斷。邊界是指網路與外界互通引起的安全問題,有入侵、病毒與攻擊。
如何防護邊界呢?對於公開的攻擊,只有防護一條路,比如對付DDOS的攻擊;但對於入侵的行為,其關鍵是對入侵的識別,識別出來後阻斷它是容易的,但怎樣區分正常的業務申請與入侵者的行為呢,是邊界防護的重點與難點。
我們把網路與社會的安全管理做一個對比:要守住一座城,保護人民財產的安全,首先建立城牆,把城內與外界分割開來,阻斷其與外界的所有聯絡,然後再修建幾座城門,作為進出的檢查關卡,監控進出的所有人員與車輛,是安全的第一種方法;為了防止入侵者的偷襲,再在外部挖出一條護城河,讓敵人的行動暴露在寬闊的、可看見的空間裡,為了通行,在河上架起吊橋,把路的使用主動權把握在自己的手中,控制通路的關閉時間是安全的第二種方法。對於已經悄悄混進城的“危險分子”,要在城內建立有效的安全監控體系,比如人人都有身份證、大街小巷的攝像監控網路、街道的安全聯防組織,每個公民都是一名安全巡視員,順便說一下:戶籍制度、罪罰、聯作等方式從老祖宗商鞅就開始在秦國使用了。只要入侵者稍有異樣行為,就會被立即揪住,這是安全的第三種方法
作為網路邊界的安全建設,也採用同樣的思路:控制入侵者的必然通道,設定不同層面的安全關卡,建立容易控制的“貿易”緩衝區,在區域內架設安全監控體系,對於進入網路的每個人進行跟蹤,審計其行為……
 
三、             邊界防護技術
從網路的誕生,就產生了網路的互聯,Cisco公司就是靠此而興起的。從沒有什麼安全功能的早期路由器,到防火牆的出現,網路邊界一直在重複著攻擊者與防護者的博弈,這麼多年來,“道高一尺,魔高一丈”,好象防護技術總跟在攻擊技術的後邊,不停地打補丁。其實邊界的防護技術也在博弈中逐漸成熟:
 
1、防火牆技術
網路隔離最初的形式是網段的隔離,因為不同的網段之間的通訊是通過路由器連通的,要限制某些網段之間不互通,或有條件地互通,就出現了訪問控制技術,也就出現了防火牆,防火牆是不同網路互聯時最初的安全閘道器。
防火牆的安全設計原理來自於包過濾與應用代理技術,兩邊是連線不同網路的介面,中間是訪問控制列表ACL,資料流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查,檢查的是你是哪個國家的人,但你是間諜還是遊客就無法區分了,因為ACL控制的是網路的三層與四層,對於應用層是無法識別的。後來的防火牆增加了NAT/PAT技術,可以隱藏內網裝置的IP地址,給內部網路蒙上面紗,成為外部“看不到”的灰盒子,給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯絡,從而“穿透”了NAT的“防護”,很多P2P應用也採用這種方式“攻破”了防火牆。
防火牆的作用就是建起了網路的“城門”,把住了進入網路的必經通道,所以在網路的邊界安全設計中,防火牆成為不可缺的一部分。
防火牆的缺點是:不能對應用層識別,面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網路互聯,防火牆的安全性就遠遠不夠了。
 
2、多重安全閘道器技術
既然一道防火牆不能解決各個層面的安全防護,就多上幾道安全閘道器,如用於應用層入侵的IPS、用於對付病毒的AV、用於對付DDOS攻擊的此時UTM裝置就誕生了,設計在一起是UTM,分開就是各種不同型別的安全閘道器。
多重安全閘道器就是在城門上多設幾個關卡,有了職能的分工,有驗證件的、有檢查行李的、有查毒品的、有查間諜的
多重安全閘道器的安全性顯然比防火牆要好些,起碼對各種常見的入侵與病毒都可以抵禦。但是大多的多重安全閘道器都是通過特徵識別來確認入侵的,這種方式速度快,不會帶來明顯的網路延遲,但也有它本身的固有缺陷,首先,應用特徵的更新一般較快,目前最長也以周計算,所以閘道器要及時地“特徵庫升級”;其次,很多黑客的攻擊利用“正常”的通訊,分散迂迴進入,沒有明顯的特徵,安全閘道器對於這類攻擊能力很有限;最後,安全閘道器再多,也只是若干個檢查站,一旦“混入”,進入到大門內部,閘道器就沒有作用了。這也安全專家們對多重安全閘道器“信任不足”的原因吧。
 
3、網閘技術
網閘的安全思路來自於“不同時連線”。不同時連線兩個網路,通過一箇中間緩衝區來“擺渡”業務資料,業務實現了互通,“不連線”原則上入侵的可能性就小多了。
網閘只是單純地擺渡資料,近似於人工的“U盤擺渡”方式。網閘的安全性來自於它擺渡的是“純資料”還是“灰資料”,通過的內容清晰可見,“水至清則無魚”,入侵與病毒沒有了藏身之地,網路就相對安全了。也就是說,城門只讓一種人通過,比如送菜的,間諜可混入的概率就大大降低了。但是,網閘作為網路的互聯邊界,必然要支援各種業務的連通,也就是某些通訊協議的通過,所以網閘上大多開通了協議的代理服務,就象城牆上開了一些特殊的通道,網閘的安全性就打了折扣,在對這些通道的安全檢查方面,網閘比多重安全閘道器的檢查功效不見得高明。
網閘的思想是先堵上,根據“城內”的需要再開一些小門,防火牆是先開啟大門,對不希望的人再逐個禁止,兩個思路剛好相反。在入侵的識別技術上差不多,所以採用多重閘道器增加對應用層的識別與防護對兩者都是很好的補充。
後來網閘設計中出現了儲存通道技術、單向通道技術等等,但都不能保證資料的“單純性”,檢查技術由於沒有新的突破,所以網閘的安全性受到了專家們的質疑。
但是網閘給我們帶來了兩點啟示:1、建立業務互通的緩衝區,既然連線有不安全的可能,單獨開闢一塊地區,縮小不安全的範圍也是好辦法。2、協議代理,其實防火牆也採用了代理的思想,不讓來人進入到成內,你要什麼服務我安排自己的人給你提供服務,網路訪問的最終目的是業務的申請,我替你完成了,不也達到目的了嗎?黑客在網路的大門外邊,不進來,威脅就小多啦。
 
4、資料交換網技術
從防火牆到網閘,都是採用的關卡方式,“檢查”的技術各有不同,但對黑客的最新攻擊技術都不太好用,也沒有監控的手段,對付“人”的攻擊行為來說,只有人才是最好的對手。
資料交換網技術是基於緩衝區隔離的思想,把城門處修建了一個“資料交易市場”,形成兩個緩衝區的隔離,同時引進銀行系統對資料完整性保護的Clark-Wilson模型,在防止內部網路資料洩密的同時,保證資料的完整性,即沒有授權的人不能修改資料,防止授權使用者錯誤的修改,以及內外資料的一致性。
資料交換網技術給出了邊界防護的一種新思路,用網路的方式實現資料交換,也是一種用“土地換安全”的策略。在兩個網路間建立一個緩衝地,讓“貿易往來”處於可控的範圍之內。資料交換網技術比其他邊界安全技術有顯著的優勢:
1、綜合了使用多重安全閘道器與網閘,採用多層次的安全“關卡”。
2、有了緩衝空間,可以增加安全監控與審計,用專家來對付黑客的入侵,邊界處於可控制的範圍內,任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。
3、業務的代理保證資料的完整性,業務代理也讓外來的訪問者止步於網路的交換區,所有的需求由服務人員提供,就象是來訪的人只能在固定的接待區洽談業務,不能進入到內部的辦公區。
資料交換網技術針對的是大資料互通的網路互聯,一般來說適合於下面的場合:
1、頻繁業務互通的要求:要互通的業務資料量大,或有一定的實時性要求,人工方式肯定不夠用,閘道器方式的保護性又顯不足,比如銀行的銀聯絡統、海關的報關係統、社保的管理系統、公安的出入境管理系統、大型企業的內部網路(執行ERP)Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其資料中心的重要性是不言而喻,但又與廣大百姓與企業息息相關,業務要求提供網際網路的訪問,在安全性與業務適應性的要求下,業務互聯需要用完整的安全技術來保障,選擇資料交換網方式是適合的。
2、高密級網路的對外互聯。高密級網路一般涉及國家機密,資訊不能洩密是第一要素,也就是絕對不允許非授權人員的入侵。然而出於對公眾資訊的需求,或對大眾網路與資訊的監管,必須與非安全網路互聯,若是監管之類的業務,業務流量也很大,並且實時性要求也高,在網路互聯上選擇資料交換網技術是適合的。
 
四、             總結
“魔高道高,道高魔高”。網路邊界是兩者長期博弈的“戰場”,然而安全技術在“不斷打補丁”的同時,也逐漸在向“主動防禦、立體防護”的思想上邁進,邊界防護的技術也在逐漸成熟,資料交換網技術就已經不再只是一個防護閘道器,而是一種邊界安全網路,綜合性的安全防護思路。也許安全的話題是永恆的,但未來的網路邊界一定是越來越安全的,網路的優勢就在於連通……
本文轉自 zhaisj 51CTO部落格,原文連結:http://blog.51cto.com/zhaisj/55741,如需轉載請自行聯絡原作者


相關文章