网络边界(Network Border)
目录 |
网络边界是指内部安全网络与外部非安全网络的分界线。
由于网络中的泄密、攻击、病毒等侵害行为主要是透过网络边界实现,网络边界实际上就是网络安全的第一道防线。网络攻击入侵者通过互联网与内网的边界进入内部网络,篡改存储的数据,实施破坏,或者通过某种技术手段降低网络性能,造成网络的瘫痪。
把不同安全级别的网络相连接,就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。下面我们来看看网络边界上的安全问题都有哪些: 非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的,主要的原因是攻击者不可控,攻击是不可溯源的,也没有办法去“封杀”,一般来说网络边界上的安全问题主要有下面几个方面:
网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两种方式:攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密,合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密
互联网是世界级的大众网络,网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。
与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。
木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。 来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种:
入侵的过程是隐秘的,造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种,只是入侵的方式采用的病毒传播,达到的效果与黑客一样。
病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,病毒的入侵方式就象“水”的渗透一样,看似漫无目的,实则无孔不入。
网络攻击是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种公开的攻击,攻击的目的一般是造成你服务的中断。
保护网络边界主要有如下几种传统的设备。
1.防火墙
网络早期是通过网段进行隔离的,不同网段之间的通信通过路由器连接,要限制某些网段之间不互通,或有条件的互通,就出现了访问控制技术,也就出现了防火墙,防火墙是早期不同网络互联时的安全网关。
防火墙的安全设计原理来自于包过滤与应用代理技术,两边是连接不同网络的接口,中间是访问控制列表ACL,数据流要经过ACL的过滤才能通过。ACL有些像海关的身份证检查,检查的是你是哪个国家的人,但你是间谍还是游客就无法区分了,因为ACL控制的是网络OSI参考模型的3~4层,对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术,可以隐藏内网设备的IP地址,给内部网络蒙上面纱,成为外部"看不到"的灰盒子,给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系,从而"穿透"了NAT的"防护",很多P2P应用也是采用这种方式"攻破"防火墙的。
防火墙的作用就是建起了网络的"城门",把住了进入网络的必经通道,所以在网络的边界安全设计中,防火墙成为不可或缺的一部分。
防火墙的缺点是:不能对应用层识别,面对隐藏在应用中的病毒、木马是毫无办法的,所以作为安全级别差异较大的网络互联,防火墙的安全性就远远不够了。
2.VPN网关
外部用户访问内部主机或服务器的时候,为了保证用户身份的合法、确保网络的安全,一般在网络边界部署VPN(虚拟网)网关,主要作用就是利用公用网络(主要是互联网)把多个网络节点或私有网络连接起来。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
典型的VPN网关产品集成了包过滤防火墙和应用代理防火墙的功能。企业级VPN产品是从防火墙产品发展而来的,防火墙的功能特性已经成为它的基本功能集的一部分。如果VPN和防火墙分别是独立的产品,则VPN与防火墙的协同工作会遇到很多难以解决的问题;有可能不同厂家的防火墙和VPN不能协同工作,防火墙的安全策略无法制定(这是由于VPN把IP数据包加密封装的缘故)或者带来性能的损失,如防火墙无法使用NAT功能等。而如果采用功能整合的产品,则上述问题就不存在或能很容易解决。
3.防DoS攻击网关
拒绝服务攻击(DoS,DenialofService)是一种对网络上的计算机进行攻击的一种方式。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。常见的拒绝服务攻击有SYNFlood、空连接攻击、UDPFlood、ICMP Flood等。
SYN Cookie是应用非常广泛的一种防御SYNFlood攻击的技术,在攻击流量比较小的情况下,SYNCookie技术可以有效地防御SYNFlood攻击;从路由器上限制流向单一目标主机的连接数或者分配给单一目标主机的带宽也是一种常用的防御手段。另外,由于一些攻击工具在攻击之前往往对攻击目标进行DNS解析,然后对解析之后的IP进行攻击。因此如果对于被攻击的服务器分配一个新IP,在DNS进行重新指向之后,攻击工具往往还会向原来的IP发送攻击,这样,被攻击的服务器就可以躲开攻击。这种方法被称为"退让策略"。
由于防DoS攻击需要比较多的系统资源,一般使用单独的硬件平台实现,与防火墙一起串联部署在网络边界。如果与防火墙共用平台,只能防范流量很小的DoS/DDoS攻击,实用性较差。
4.入侵防御网关
入侵防御网关以在线方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是一种安全防御工具,以解决用户面临网络边界入侵威胁,进一步优化网络边界安全。
5.防病毒网关
随着病毒与黑客程序相结合、蠕虫病毒更加泛滥,网络成为病毒传播的重要渠道,而网络边界也成为阻止病毒传播的重要位置;所以,防病毒网关应运而生,成为斩断病毒传播途径最为有效的手段之一。
防病毒网关技术包括两个部分,一部分是如何对进出网关的数据进行查杀;另一部分是对要查杀的数据进行检测与清除。综观国外的防病毒网关产品,至今其对数据的病毒检测还是以特征码匹配技术为主,其扫描技术及病毒库与其服务器版防病毒产品是一致的。因此,如何对进出网关的数据进行查杀,是网关防病毒技术的关键。由于目前国内外防病毒技术还无法对数据包进行病毒检测,所以在网关处只能采取将数据包还原成文件的方式进行病毒处理,最终对数据进行扫描仍是通过病毒扫描引擎实现的。
防病毒网关着眼于在网络边界就把病毒拒之门外,可以迅速提高企业网防杀病毒的效率,并可大大简化企业防病毒的操作难度,降低企业防病毒的投入成本。
6.反垃圾邮件网关
电子邮件系统是信息交互的最主要沟通工具,互联网上的垃圾邮件问题也越来越严重,垃圾邮件的数量目前以每年10倍的速度向上翻。而且往往会因为邮箱内垃圾邮件数量过多而无法看出哪些是正常邮件,大大浪费了员工的工作时间;另外,巨量的垃圾邮件也严重浪费了公司的系统和网络带宽的资源。
反垃圾邮件网关部署在网络边界,可以正确区分邮件的发送请求以及攻击请求,进而将邮件攻击拒绝,以保障电子邮件系统的稳定运行;此外,在保障邮件正常通信的情况下对垃圾邮件以及病毒邮件进行有效识别并采取隔离措施隔离,可减少邮件系统资源以及网络带宽资源的浪费,进而提高公司员工的工作效率;最后,还不必为电子邮件系统出现故障时找不到问题而耗费时间,部署后的电子邮件系统将可以在不需要管理员进行任何干涉的情况下稳定运行,大大节省了电子邮件系统的管理成本。
7.网闸
安全性要求高的单位一般建设两个网络:内网用于内部高安全性业务;外网用于连接Internet或其他安全性较低的网络,两者是物理隔离的。既要使用内网数据也要使用外网数据的业务时,用户必须人工复制数据。实际应用中,用户希望这个过程自动化,解决"既要保证网络断开、又要进行信息交换"的矛盾。
网闸可用来解决这一难题。网闸提供基于网络隔离的安全保障,支持Web浏览、安全邮件、数据库、批量数据传输和安全文件交换、满足特定应用环境中的信息交换要求,提供高速度、高稳定性的数据交换能力,可以方便地集成到现有的网络和应用环境中。