企業網路及應用層安全防護技術精要(PartIII)

企業網路及應用層由於網路的開發性、網路協議等自身設計的薄弱和脆弱性以及由於經濟利益驅動而導致的黑客技術的攻擊性和目標性的不斷增強等原因，經受著來自網路和應用等多層次、多方面的網路威脅和攻擊。可以說，企業網路資訊保安能否得以保障，在絕大程度上取決於這個層次的安全防護技術的部署，本文將從企業網路及應用層面臨的網路威脅出發，闡述該層所必需的一些安全防護技術。為各位的企業資訊保安管理提供可靠的依據。 

 

原文請見我的專題：http://netsecurity.51cto.com/art/201101/242803.htm 

 

8、防火牆技術

防火牆的一端連線企事業單位內部的區域網，而另一端則連線著網際網路。所有的內、外部網路之間的通訊都要經過防火牆。只有符合安全策略的資料流才能通過防火牆。這是防火牆的工作原理特性。防火牆之所以能保護企業內部網路，就是依據這樣的工作原理或者說是防護機制進行的。它可以由管理員自由設定企業內部網路的安全策略，使允許的通訊不受影響，而不允許的通訊全部被拒絕於內部網路之外。

隨著新的網路攻擊的出現，防火牆技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火牆體系結構和防火牆系統管理三方面來體現。

◆防火牆包過濾技術

◆使用者身份驗證防火牆：一些防火牆廠商把在AAA系統上運用的使用者認證及其服務擴充套件到防火牆中，使其擁有可以支援基於使用者角色的安全策略功能。該功能在無線網路應用中非常必要。具有使用者身份驗證的防火牆通常是採用應用級閘道器技術的，包過濾技術的防火牆不具有。使用者身份驗證功能越強，它的安全級別越高，但它給網路通訊帶來的負面影響也越大，因為使用者身份驗證需要時間，特別是加密型的使用者身份驗證。

◆多級過濾技術：所謂多級過濾技術，是指防火牆採用多級過濾措施，並輔以鑑別手段。在分組過濾（網路層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規則，過濾掉所有禁止出或/和入的協議和有害資料包如nuke包、聖誕樹包等；在應用閘道器（應用層）一級，能利用FTP、SMTP等各種閘道器，控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火牆技術的不足而產生的一種綜合型過濾技術，可以彌補以上各種單獨過濾技術的不足。這種過濾技術在分層上非常清楚，每種過濾技術對應於不同的網路層，從這個概念出發，又有很多內容可以擴充套件，為將來的防火牆技術發展打下基礎。

◆病毒防火牆：使防火牆具有病毒防護功能。現在通常被稱之為病毒防火牆，當然目前主要還是在個人防火牆中體現，因其為純軟體形式，更容易實現。這種防火牆技術可以有效地防止病毒在網路中的傳播，比等待攻擊的發生更加積極。擁有病毒防護功能的防火牆可以大大減少企業的損失。

◆防火牆的體系結構

隨著網路應用的增加，對網路頻寬提出了更高的要求。這意味著防火牆要能夠以非常高的速率處理資料。另外，在以後幾年裡，多媒體應用將會越來越普遍，要求資料穿過防火牆所帶來的延遲要足夠小。為了滿足這種需要，一些防火牆製造商開發了基於ASIC（特殊應用積體電路，Application Specific Integrated Circuit）的防火牆和基於網路處理器的防火牆。從執行速度的角度看來，基於網路處理器的防火牆也是基於軟體的解決方案，需要在很大程度上依賴於軟體的效能；但是由於這類防火牆中有一些專門用於處理資料層面任務的引擎，從而減輕了CPU的負擔，該類防火牆的效能要比傳統防火牆的效能好許多。

 

與基於ASIC的純硬體防火牆相比，基於網路處理器的防火牆具有軟體色彩，因而更加具有靈活性。基於ASIC的防火牆使用專門的硬體處理網路資料流，比起前兩種型別的防火牆具有更好的效能。但是純硬體的ASIC防火牆缺乏可程式設計性，這就使得其缺乏靈活性，從而跟不上防火牆功能的快速發展。理想的解決方案是增加ASIC晶片的可程式設計性，使其與軟體更好地配合。這樣的防火牆就可以同時滿足來自靈活性和執行效能的要求。

◆防火牆的系統管理

總體說來，防火牆的系統管理有如下幾種發展趨勢：

◆集中式管理：集中式管理可以降低管理成本，並保證在大型網路中安全策略的一致性。快速響應和快速防禦也要求採用集中式管理系統。

◆強大的審計功能和自動日誌分析功能：這兩點的應用可以更早地發現潛在的威脅並預防攻擊的發生。日誌功能還可讓管理員有效地發現系統中存的安全漏洞，及時地調整安全策略等。不過具有這種功能的防火牆通常是比較高階的，早期的靜態包過濾防火牆是不具有的。

◆網路安全產品的系統化：隨著網路安全技術的發展，現在有一種體系結構的提法，叫做”建立以防火牆為核心的網路安全體系”。因為實踐表明，僅使用現有的防火牆技術難以滿足當前網路安全需求。通過建立一個以防火牆為核心的安全體系，就可以為內部網路系統部署多道安全防線，各種安全技術各司其職，從各方面防禦外來入侵。

9、入侵檢測技術

Intrusion Detection System（入侵檢測系統）顧名思義，便是對入侵行為的發覺，其通過對計算機網路或計算機系統中的若干關鍵點收集資訊並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。通常說來，其具有如下幾個功能：

◆監控、分析使用者和系統的活動。

◆核查系統配置和漏洞。

◆評估關鍵系統和資料檔案的完整性。

◆識別攻擊的活動模式並向網管人員報警。

◆對異常活動的統計分析。

作業系統審計跟蹤管理，識別違反政策的使用者活動。

按照技術以及功能來劃分，入侵檢測系統可以分為如下幾類：

◆基於主機的入侵檢測系統：其輸入資料來源於系統的審計日誌，一般只能檢測該主機上發生的入侵。

◆基於網路的入侵檢測系統：其輸入資料來源於網路的資訊流，能夠檢測該網段上發生的網路入侵。

◆採用上述兩種資料來源的分散式入侵檢測系統：能夠同時分析來自主機系統審計日誌和網路資料流的入侵檢測系統，一般為分散式結構，由多個部件組成。

 

10、統一威脅管理技術

UTM是與企業防火牆、入侵檢測和防禦以及防病毒等結合為一體的裝置，將成為未來的應用趨勢。IDC同時預測，UTM市場到2008年將佔整個資訊保安市場的半壁江山，達到57.6%。UTM的一個特點是可以只用到該產品的某一個專門用途，比如用於閘道器防病毒或是用於內部的入侵檢測，也可以全面應用所有功能。當UTM作為一種單點產品來應用時，企業能獲得統一管理的優勢，並且也能在不增加新裝置的情況下開啟自身需要的任何功能。UTM產品為網路安全使用者提供了一種更加靈活也更易於管理的選擇。使用者可以在一個更加統一的架構上建立自己的安全基礎設施，而以往困擾使用者的安全產品聯動性等問題也能夠得到很大的緩解。相對於提供單一的專有功能的安全裝置，UTM在一個通用的平臺上提供多種安全功能。一個典型的UTM產品整合了防病毒、防火牆、入侵檢測等很多常用的安全功能，而使用者既可以選擇具備全面功能的UTM裝置，也可以根據自己的需要選擇某幾個方面的功能。更加可貴的是，使用者可以隨時在這個平臺上增加或調整安全功能。

UTM技術可以進行改良的資訊包檢查，識別應用層資訊，命令入侵檢測和阻斷，蠕蟲病毒防護以及高階的資料包驗證機制。這些特性和技術使得IT管理人員可以很容易地控制如Instant Message資訊傳輸，BT多執行緒動態應用下載，Skype等新型軟體的應用，並且阻斷來自內部的資料攻擊以及垃圾資料流的泛濫。同時，裝置可以支援動態的行為特徵庫更新，更具備7層的資料包檢測能力。完全克服了目前市場上深度包檢測的技術弱點。特別針對分包攻擊的內容效果明顯。但UTM技術必須要有強大的硬體平臺支撐，否則，難以適應當前的網路效能要求。

UTM的應用優勢在於：

◆降低安全管理複雜度

◆整合的維護平臺

◆單一服務體系結構

◆集中的安全日誌管理

◆組合式的安全保護

◆應用的靈活性

◆良好的可擴充套件性

◆進一步降低成本

UTM裝置可以減少與安全功能相關的採集，安裝，管理支出，確保企業網路的連續性，和可用性，為目前流行的安全威脅提供有效的防禦。

 

本文轉自samsunglinuxl51CTO部落格，原文連結：http://blog.51cto.com/patterson/482125 ，如需轉載請自行聯絡原作者