|
現(xiàn)代企業(yè)對(duì)網(wǎng)絡(luò)依賴主要來自于運(yùn)行在網(wǎng)絡(luò)上的各種應(yīng)用���,同樣的��,網(wǎng)絡(luò)的范圍也覆蓋到整個(gè)企業(yè)的運(yùn)營區(qū)域。我們將分析一個(gè)典型的企業(yè)網(wǎng)絡(luò)����,從結(jié)構(gòu)�,應(yīng)用,管理����,以及安全這幾個(gè)層次來探討一下對(duì)企業(yè)來說�����,如何去實(shí)現(xiàn)真正的網(wǎng)絡(luò)安全�。
在開始之前,我們首先必須面對(duì)一個(gè)事實(shí)���,絕對(duì)的安全是沒有的�����。我們所能做的��,是減少企業(yè)所面臨的安全風(fēng)險(xiǎn)��,延長安全的穩(wěn)定周期�,縮短消除威脅的反映時(shí)間。網(wǎng)管與安全人員需要解決的是來自內(nèi)部和外部的混合威脅���,是蓄意或無意的攻擊和破壞��,是需要提高整體安全防范意識(shí)與科學(xué)的協(xié)調(diào)和管理������?陀^的去分析現(xiàn)今的企業(yè)網(wǎng)絡(luò)�����,我們不難發(fā)現(xiàn)����,在經(jīng)歷了普及終端和網(wǎng)絡(luò)互聯(lián)的時(shí)代后,我們面對(duì)的問題還有很多�,如客戶端的非法操作,對(duì)網(wǎng)絡(luò)的不合法的訪問與利用�;網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)缺陷與混雜的部署環(huán)境;網(wǎng)絡(luò)邊界與關(guān)鍵應(yīng)用的區(qū)域缺乏必要的防御措施和審記系統(tǒng)等等���。下面我們來逐一分析��,并提供相應(yīng)的產(chǎn)品解決方案與安全建議��。
首先是網(wǎng)絡(luò)內(nèi)部�����,即面向企業(yè)內(nèi)部員工的工作站����,我們不能保證用戶每一次操作都是正確與安全的,絕大情況下��,他們僅知道如何去使用面前的計(jì)算機(jī)來完成屬于自己的本職工作���。而對(duì)于其他,比如病毒��,木馬�����,間諜程序����,惡意腳本���,往往通過內(nèi)部網(wǎng)絡(luò)中某一臺(tái)工作站的誤操作而進(jìn)入到網(wǎng)絡(luò)并且迅速的蔓延。如訪問非法網(wǎng)站���,下載或運(yùn)行不可信程序��,使用移動(dòng)設(shè)備復(fù)制帶有病毒的文件等看似平常的操作��。由于如今流行的操作系統(tǒng)存在大量的漏洞與缺陷����,并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮���,網(wǎng)絡(luò)的迅速發(fā)展����,也給這類威脅提供高速繁殖的媒介��。特別是企業(yè)內(nèi)部擁有高速的網(wǎng)絡(luò)環(huán)境�����,給各種威脅的擴(kuò)散與轉(zhuǎn)移提供了可能。現(xiàn)在人們都通過安裝防病毒軟件來防御病毒的威脅�����,但是面對(duì)蠕蟲和木馬程序�,后門程序等,防病毒并不能起到很顯著的效果���,例如蠕蟲病毒�����,一般都是利用操作系統(tǒng)中存在的缺陷和漏洞來攻擊與傳播的��,即使安裝了防病毒軟件���,也沒有修補(bǔ)操作系統(tǒng)本身的漏洞���,安全威脅從根本上沒有被消除�。并且隨著蠕蟲的不斷攻擊���,防病毒系統(tǒng)將會(huì)調(diào)用大量的系統(tǒng)資源來修復(fù)和防御蠕蟲攻擊后修改的系統(tǒng)文件�����,頻繁的對(duì)文件系統(tǒng)進(jìn)行掃描與恢復(fù)����。這樣也無形的增加了系統(tǒng)的不穩(wěn)定性,影響了系統(tǒng)的可用性��,最關(guān)鍵的是�,蠕蟲攻擊在仍然在網(wǎng)絡(luò)中傳播,給交換機(jī)���,路由器帶來持續(xù)的壓力和威脅�����。另外���,客戶端感染威脅的途徑是多種多樣的,比如Internet Explorer瀏覽器漏洞����,可以利用VBS惡意腳本,BMP圖片木馬�,ActiveX控件后門程序等,通過各類嵌入攻擊代碼的網(wǎng)頁,在瀏覽者毫不知情的情況下�,后臺(tái)進(jìn)駐到操作系統(tǒng)中,修改注冊表和系統(tǒng)設(shè)置���,種植后門程序�,收集用戶信息和資料�����。這一切都會(huì)給工作站造成無法估量的安全風(fēng)險(xiǎn)�。一旦工作站遭到攻擊與控制,就很可能威脅到整個(gè)內(nèi)部網(wǎng)絡(luò)和核心區(qū)域��,所以我們說�����,保護(hù)好工作站的安全����,是企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要部分。
通過上面簡單的分析和舉例����,工作站的安全工作主要包含如下幾個(gè)方面:桌面防病毒,桌面防火墻����,系統(tǒng)補(bǔ)丁管理,系統(tǒng)授權(quán)與審核�����,軟件使用許可監(jiān)控和網(wǎng)絡(luò)訪問控制�。從如今市場上流行的解決桌面安全的產(chǎn)品中,從保護(hù)用戶系統(tǒng)的穩(wěn)定性與可用性以及綜合安全的角度��,我們選擇Symantec公司的Symantec Client Security 2.0 作為桌面防病毒和防火墻的集成安全解決方案����。該產(chǎn)品最大的優(yōu)勢是不存在互操作性問題,SCS 2.0將防病毒���,防火墻與桌面入侵檢測完美結(jié)合����,提供如今防御混合性威脅最佳組合��。采用來自不同廠商的多種單點(diǎn)產(chǎn)品使得全面防護(hù)變?yōu)橐豁?xiàng)極為復(fù)雜甚至根本不可能的任務(wù)�����,因?yàn)榭鐝S商的互操作性問題往往會(huì)存在漏洞,從而使威脅乘虛而入危及安全性��。此外�,當(dāng)病毒發(fā)作時(shí),必須針對(duì)各種不同的技術(shù)�����,對(duì)每個(gè)廠商提供的修復(fù)方案進(jìn)行測試和驗(yàn)證��。這樣就降低了對(duì)攻擊的反應(yīng)速度��,并潛在地增加了成本��。如果您要了解更有關(guān)于SCS方面的資料�����,可以訪問http://enterprisesecurity.symantec.com 網(wǎng)站���,獲得更多信息和技術(shù)支持�。
混合性威脅:
用多種方法和技術(shù)來傳播和實(shí)施的攻擊或威脅����,因而必須有多種方法來保護(hù)和壓制這種攻擊或威脅。如: CodeRed. CodeRed II. CodeBlue. Nimda.
正如上面所提到的����,必須通過修補(bǔ)操作系統(tǒng)漏洞來徹底消除利用漏洞傳播的蠕蟲影響。眾所周知����,Microsoft有專門的Update站點(diǎn)來發(fā)布最新的漏洞補(bǔ)丁,我們所需要做的�����,是下載補(bǔ)丁���,安裝并重新啟動(dòng)�����。但是在大型企業(yè)中實(shí)際實(shí)施卻沒有這么簡單���,修補(bǔ)不同操作系統(tǒng)的大量客戶端,如Win98/Me/2000/XP/2003等�����,將是一件讓人痛苦的工作,不僅部署時(shí)間長���,還要花費(fèi)大量的人力和時(shí)間����,影響到企業(yè)的應(yīng)用和業(yè)務(wù)的正常運(yùn)轉(zhuǎn)����。尤其是在網(wǎng)絡(luò)環(huán)境復(fù)雜的企業(yè)中,包含多個(gè)域多個(gè)工作組���,或沒有域的早期環(huán)境�。如何在蠕蟲和黑客還沒有滲透到網(wǎng)絡(luò)之前修補(bǔ)這些漏洞����,如何將部署這些補(bǔ)丁對(duì)企業(yè)的運(yùn)行影響減小到最低呢?我們的回答是�,選擇一套高效安全的桌面管理軟件,來進(jìn)行完善的企業(yè)IT管理: LANDesk Management Suite�����,即LANDesk管理套件,桌面管理市場的開創(chuàng)者和領(lǐng)導(dǎo)者����。LANDesk專注于提供桌面管理市場的產(chǎn)品與服務(wù)����,公司原屬于Intel公司的軟件部,擁有強(qiáng)大的管理團(tuán)隊(duì)與專業(yè)背景��,全面支持混合平臺(tái)環(huán)境��。包括Windows平臺(tái),MAC平臺(tái),Linux平臺(tái),Unix平臺(tái)�����,Solaris平臺(tái)�������?梢栽谟杏蚧驘o域環(huán)境中部署����,尤其是操作系統(tǒng)補(bǔ)丁的檢測收集與自動(dòng)修補(bǔ)���,通過LANDesk的目標(biāo)多址廣播(可大量減輕網(wǎng)絡(luò)主干壓力)、對(duì)等下載(即使用流行的BT下載原理)�����、動(dòng)態(tài)帶寬調(diào)整等技術(shù)優(yōu)勢���,迅速的修補(bǔ)企業(yè)內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)漏洞�����,不需要人工參與����,不需要管理員去核對(duì)操作系統(tǒng)版本與狀態(tài)��,在無人職守或者非法中斷的情況下會(huì)在下次自動(dòng)完成部署任務(wù)����,斷點(diǎn)續(xù)傳。因?yàn)槠脑�,LANDesk的更多優(yōu)勢,如IT資產(chǎn)管理,軟件授權(quán)監(jiān)視���,系統(tǒng)安全服務(wù)狀態(tài)�,禁止外設(shè)(USB��,1394���,無線��,CD-ROM)OS操作系統(tǒng)遷移,軟件分發(fā)�,軟件許可監(jiān)控等功能,請通過 www.Landesk.com.cn 獲得更詳盡的信息���。
真正的安全:整體集成安全解決方案 + 同時(shí)更新 = 真正的安全
通過在內(nèi)部網(wǎng)絡(luò)中的每臺(tái)工作站上部署防病毒��,防火墻��,入侵檢測����,補(bǔ)丁管理與系統(tǒng)監(jiān)控���,我們可以集中收集內(nèi)部網(wǎng)絡(luò)中的威脅���,分析面對(duì)的風(fēng)險(xiǎn)����,靈活適當(dāng)?shù)恼{(diào)整安全管理策略�。但這僅僅是不夠的,還有另外一個(gè)重要的部分�����,就是從網(wǎng)絡(luò)結(jié)構(gòu)上的接入層�,匯聚層和核心交換層設(shè)備上做好訪問控制與流量管理。
其次是網(wǎng)絡(luò)結(jié)構(gòu)的安全性����,管理人員都知道,通過部署多層交換機(jī)���,實(shí)現(xiàn)多個(gè)VLAN和快速收斂的路由�����,是保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性與強(qiáng)壯性的最佳方法��。在劃分了多個(gè)邏輯網(wǎng)絡(luò)和建立符合應(yīng)用的ACL的同時(shí)���,我們更希望能收集和歸納出整個(gè)網(wǎng)絡(luò)的更多安全信息�,包括流量的管理�����,QoS�����,入侵行為和用戶訪問信息�����。僅通過網(wǎng)絡(luò)設(shè)備提供的日志����,SNMP管理是遠(yuǎn)遠(yuǎn)不夠的��,現(xiàn)今的方法是通過部署IDS/IPS來實(shí)現(xiàn)����。在核心的節(jié)點(diǎn)部署IDS/IPS探點(diǎn),采集和匯總數(shù)據(jù)包的完整信息,提供給管理人員分析是正確的方法����。當(dāng)然了,這也要求管理人員的技術(shù)水平達(dá)到一定的高度���,并且會(huì)耗費(fèi)一部分時(shí)間用于分析日志����。入侵檢測系統(tǒng)能與其他的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)����,減少誤報(bào),共同響應(yīng)與阻斷威脅���,將是未來的發(fā)展趨勢和重點(diǎn)�。
網(wǎng)絡(luò)的核心區(qū)域包括核心交換機(jī)�����,核心路由器等重要設(shè)備�����,它們負(fù)擔(dān)整個(gè)網(wǎng)絡(luò)的核心數(shù)據(jù)的轉(zhuǎn)發(fā),并且連接著DMZ區(qū)的各個(gè)關(guān)鍵應(yīng)用�,如OA系統(tǒng),ERP系統(tǒng)���,CRM系統(tǒng)�����,對(duì)內(nèi)或?qū)ν獾腤eb服務(wù)器�����,數(shù)據(jù)庫服務(wù)器等����。從安全的角度來說���,這個(gè)區(qū)域是最關(guān)鍵的,也是風(fēng)險(xiǎn)最集中的區(qū)域���。我們遇到的矛盾是���,既要不影響DMZ區(qū)應(yīng)用的可用性和友好性���,又要保證其訪問的安全性與審核。很多情況下我們不但要在網(wǎng)絡(luò)的邊界部署防火墻�,也要在這個(gè)區(qū)域部署為保護(hù)DMZ等類似的關(guān)鍵區(qū)域的防火墻。
存在的矛盾:如果部署安全策略����,在提高安全性的同時(shí),勢必會(huì)影響其可用性��。這個(gè)矛盾是不可調(diào)和的�����。
與邊界防火墻不同的是�,關(guān)鍵區(qū)域的防火墻主要是面對(duì)內(nèi)部用戶,保護(hù)重要服務(wù)和資源的訪問控制與完善安全日志的收集�。邊界防火墻不僅僅要防御來自外部的各種威脅,比如掃描����,滲透,入侵����,拒絕服務(wù)攻擊等攻擊��,也要提供諸如NAT服務(wù)���,出站控制,遠(yuǎn)程VPN用戶和移動(dòng)用戶訪問的授權(quán)等���。我們可以將各種防御的職能根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)和提供的應(yīng)用來分派到兩類防火墻上來����。即內(nèi)部防火墻重點(diǎn)保護(hù)DMZ區(qū)域��,提供深層次的檢測與告警����。因?yàn)橐坏┥婕暗綌?shù)據(jù)包深入檢測,將會(huì)大大影響設(shè)備的性能�����。而這是對(duì)邊界防火墻要求高性能數(shù)據(jù)過濾和轉(zhuǎn)發(fā)�,不成為出口瓶頸所不能容忍的。管理人員應(yīng)該先充分了解網(wǎng)絡(luò)的特點(diǎn)與用途�����,結(jié)合設(shè)備與現(xiàn)有的網(wǎng)絡(luò)環(huán)境靈活部署�����,才能達(dá)到較高可用性與安全性的平衡�����。
如今的防火墻的功能越來越強(qiáng)大�����,這里我們選擇業(yè)界一流的防火墻CheckPoint的Stateful Inspection(狀態(tài)檢測技術(shù)) 和Web Intelligence (Web智能技術(shù))來簡單介紹下對(duì)于防火墻的智能防御與Web安全保護(hù)����。
簡單來說,狀態(tài)檢測技術(shù)工作在OSI參考模型的Data Link與Network層之間�,數(shù)據(jù)包在操作系統(tǒng)內(nèi)核中,在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層時(shí)間被檢查�����。防火墻會(huì)生成一個(gè)會(huì)話的狀態(tài)表�����,Inspect Engine檢測引擎依照RFC標(biāo)準(zhǔn)維護(hù)和檢查數(shù)據(jù)包的上下文關(guān)系。該技術(shù)是CheckPoint發(fā)明的專利技術(shù)���。對(duì)狀態(tài)和上下文信息的收集使得CheckPoint防火墻不僅能跟蹤TCP會(huì)話����,也能智能處理無連接協(xié)議����,如UDP或RPC。這樣就保證了在任何來自服務(wù)器的數(shù)據(jù)被接受前����,必須有內(nèi)部網(wǎng)絡(luò)的某一臺(tái)客戶端發(fā)出了請求,而且如果沒有受到響應(yīng)�����,端口也不會(huì)處于開放的狀態(tài)��。狀態(tài)檢測對(duì)流量的控制效率是很高的��,同時(shí)對(duì)于防火墻的負(fù)載和網(wǎng)絡(luò)數(shù)據(jù)流增加的延遲也是非常小�����。可以保證整個(gè)防火墻快速�����,有效的控制數(shù)據(jù)的進(jìn)出和做出控制決策�。
在Web環(huán)境中�����,威脅來自于多個(gè)方面���,從端點(diǎn)到傳輸?shù)竭吔�����,最后到達(dá)Web服務(wù)器和后臺(tái)數(shù)據(jù)庫���。這一系列的數(shù)據(jù)交換將會(huì)引發(fā)大量的安全問題。傳統(tǒng)的防火墻的功能對(duì)于Web的保護(hù)相當(dāng)有限��,比如�����,無法深入檢測HTTP的內(nèi)容,不能理解 Web 應(yīng)用的上下文�����,性能低下�����,無法提前部署與防御等等�����。CheckPoint的Web Intelligence�����,有一種名為Malicious Code Protector(可疑代碼防護(hù)器)來提供對(duì)應(yīng)用層的保護(hù)�。比如,Web會(huì)話是否符合RFC的標(biāo)準(zhǔn)不能包含二進(jìn)制數(shù)據(jù)��;協(xié)議使用是否為預(yù)期或典型的��;應(yīng)用是否引入了有害的數(shù)據(jù)或命令����;應(yīng)用是否執(zhí)行了未授權(quán)的操作或引入了有害的可執(zhí)行代碼等��。如何去判斷上述的一些威脅呢���?MCP使用了通過分拆及分析嵌入在網(wǎng)絡(luò)傳輸中的可執(zhí)行代碼,模擬行來判斷攻擊�,將可執(zhí)行代碼放置到一個(gè)虛擬的仿真服務(wù)器中運(yùn)行��,檢測是否對(duì)虛擬系統(tǒng)造成威脅�����,最終來決定是否定義為攻擊行為���。該技術(shù)最大的優(yōu)勢是可以非常精確的阻止已知和未知攻擊���,并且誤報(bào)率相當(dāng)?shù)汀?/P>
通過多種技術(shù)的協(xié)同防護(hù),可以保證在網(wǎng)絡(luò)邊界對(duì)訪問進(jìn)行控制����,但是,隨著VPN網(wǎng)絡(luò)和遠(yuǎn)程移動(dòng)辦公用戶的接入增多����,網(wǎng)絡(luò)邊界的概念在如今已經(jīng)非常模糊了����。很明顯的��,網(wǎng)絡(luò)的邊界已經(jīng)拓展到實(shí)際用戶的桌面端�。所以還是回到了我們文章一開始談到的,網(wǎng)絡(luò)安全是需要綜合的部署和完善的策略來做保證的����。企業(yè)的網(wǎng)絡(luò)安全是一項(xiàng)綜合性很強(qiáng)的工作,并且持續(xù)的時(shí)間將隨著整個(gè)拓?fù)浜蛻?yīng)用的周期而擴(kuò)展��。企業(yè)內(nèi)部安全的很多部分本文都沒有提到��,如服務(wù)器的加固�����,無線安全��,反垃圾郵件系統(tǒng)���,風(fēng)險(xiǎn)評(píng)估�,安全檢測等,因?yàn)槠年P(guān)系�����,希望下次有機(jī)會(huì)繼續(xù)與各位探討和學(xué)習(xí)���,謝謝��。
出處:藍(lán)色理想
責(zé)任編輯:moby
上一頁 防火墻技術(shù)與網(wǎng)絡(luò)安全 [1] 下一頁
◎進(jìn)入論壇計(jì)算機(jī)技術(shù)版塊參加討論
|
第 1 頁 
第 2 頁 防火墻技術(shù)與網(wǎng)絡(luò)安全 [2]
