網路邊界
出自 MBA智库百科(https://wiki.mbalib.com/)
網路邊界(Network Border)
目錄 |
網路邊界是指內部安全網路與外部非安全網路的分界線。
由於網路中的泄密、攻擊、病毒等侵害行為主要是透過網路邊界實現,網路邊界實際上就是網路安全的第一道防線。網路攻擊入侵者通過互聯網與內網的邊界進入內部網路,篡改存儲的數據,實施破壞,或者通過某種技術手段降低網路性能,造成網路的癱瘓。
把不同安全級別的網路相連接,就產生了網路邊界。防止來自網路外界的入侵就要在網路邊界上建立可靠的安全防禦措施。下麵我們來看看網路邊界上的安全問題都有哪些: 非安全網路互聯帶來的安全問題與網路內部的安全問題是截然不同的,主要的原因是攻擊者不可控,攻擊是不可溯源的,也沒有辦法去“封殺”,一般來說網路邊界上的安全問題主要有下麵幾個方面:
網路上的資源是可以共用的,但沒有授權的人得到了他不該得到的資源,信息就泄露了。一般信息泄密有兩種方式:攻擊者(非授權人員)進入了網路,獲取了信息,這是從網路內部的泄密,合法使用者在進行正常業務往來時,信息被外人獲得,這是從網路外部的泄密
- 入侵者的攻擊
互聯網是世界級的大眾網路,網路上有各種勢力與團體。入侵就是有人通過互聯網進入你的網路(或其他渠道),篡改數據,或實施破壞行為,造成你網路業務的癱瘓,這種攻擊是主動的、有目的、甚至是有組織的行為。
- 網路病毒
與非安全網路的業務互聯,難免在通訊中帶來病毒,一旦在你的網路中發作,業務將受到巨大衝擊,病毒的傳播與發作一般有不確定的隨機特性。這是“無對手”、“無意識”的攻擊行為。
- 木馬入侵
木馬的發展是一種新型的攻擊行為,他在傳播時象病毒一樣自由擴散,沒有主動的跡象,但進入你的網路後,便主動與他的“主子”聯絡,從而讓主子來控制你的機器,既可以盜用你的網路信息,也可以利用你的系統資源為他工作,比較典型的就是“僵屍網路”。 來自網路外部的安全問題,重點是防護與監控。來自網路內部的安全,人員是可控的,可以通過認證、授權、審計的方式追蹤用戶的行為軌跡,也就是我們說的行為審計與合軌性審計。由於有這些安全隱患的存在,在網路邊界上,最容易受到的攻擊方式有下麵幾種:
- 黑客入侵
入侵的過程是隱秘的,造成的後果是竊取數據與系統破壞。木馬的入侵也屬於黑客的一種,只是入侵的方式採用的病毒傳播,達到的效果與黑客一樣。
- 病毒入侵
病毒就是網路的蛀蟲與垃圾,大量的自我繁殖,侵占系統與網路資源,導致系統性能下降。病毒對網關沒有影響,就象“走私”團夥,一旦進入網路內部,便成為可怕的“瘟疫”,病毒的入侵方式就象“水”的滲透一樣,看似漫無目的,實則無孔不入。
網路攻擊是針對網路邊界設備或系統伺服器的,主要的目的是中斷網路與外界的連接,比如DOS攻擊,雖然不破壞網路內部的數據,但阻塞了應用的帶寬,可以說是一種公開的攻擊,攻擊的目的一般是造成你服務的中斷。
網路邊界的方法[1]
保護網路邊界主要有如下幾種傳統的設備。
1.防火牆
網路早期是通過網段進行隔離的,不同網段之間的通信通過路由器連接,要限制某些網段之間不互通,或有條件的互通,就出現了訪問控制技術,也就出現了防火牆,防火牆是早期不同網路互聯時的安全網關。
防火牆的安全設計原理來自於包過濾與應用代理技術,兩邊是連接不同網路的介面,中間是訪問控制列表ACL,數據流要經過ACL的過濾才能通過。ACL有些像海關的身份證檢查,檢查的是你是哪個國家的人,但你是間諜還是游客就無法區分了,因為ACL控制的是網路OSI參考模型的3~4層,對於應用層是無法識別的。後來的防火牆增加了NAT/PAT技術,可以隱藏內網設備的IP地址,給內部網路蒙上面紗,成為外部"看不到"的灰盒子,給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯繫,從而"穿透"了NAT的"防護",很多P2P應用也是採用這種方式"攻破"防火牆的。
防火牆的作用就是建起了網路的"城門",把住了進入網路的必經通道,所以在網路的邊界安全設計中,防火牆成為不可或缺的一部分。
防火牆的缺點是:不能對應用層識別,面對隱藏在應用中的病毒、木馬是毫無辦法的,所以作為安全級別差異較大的網路互聯,防火牆的安全性就遠遠不夠了。
2.VPN網關
外部用戶訪問內部主機或伺服器的時候,為了保證用戶身份的合法、確保網路的安全,一般在網路邊界部署VPN(虛擬網)網關,主要作用就是利用公用網路(主要是互聯網)把多個網路節點或私有網路連接起來。
針對不同的用戶要求,VPN有三種解決方案:遠程訪問虛擬網(AccessVPN)、企業內部虛擬網(IntranetVPN)和企業擴展虛擬網(ExtranetVPN),這三種類型的VPN分別與傳統的遠程訪問網路、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet(外部擴展)相對應。
典型的VPN網關產品集成了包過濾防火牆和應用代理防火牆的功能。企業級VPN產品是從防火牆產品發展而來的,防火牆的功能特性已經成為它的基本功能集的一部分。如果VPN和防火牆分別是獨立的產品,則VPN與防火牆的協同工作會遇到很多難以解決的問題;有可能不同廠家的防火牆和VPN不能協同工作,防火牆的安全策略無法制定(這是由於VPN把IP數據包加密封裝的緣故)或者帶來性能的損失,如防火牆無法使用NAT功能等。而如果採用功能整合的產品,則上述問題就不存在或能很容易解決。
3.防DoS攻擊網關
拒絕服務攻擊(DoS,DenialofService)是一種對網路上的電腦進行攻擊的一種方式。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。常見的拒絕服務攻擊有SYNFlood、空連接攻擊、UDPFlood、ICMP Flood等。
SYN Cookie是應用非常廣泛的一種防禦SYNFlood攻擊的技術,在攻擊流量比較小的情況下,SYNCookie技術可以有效地防禦SYNFlood攻擊;從路由器上限制流向單一目標主機的連接數或者分配給單一目標主機的帶寬也是一種常用的防禦手段。另外,由於一些攻擊工具在攻擊之前往往對攻擊目標進行DNS解析,然後對解析之後的IP進行攻擊。因此如果對於被攻擊的伺服器分配一個新IP,在DNS進行重新指向之後,攻擊工具往往還會向原來的IP發送攻擊,這樣,被攻擊的伺服器就可以躲開攻擊。這種方法被稱為"退讓策略"。
由於防DoS攻擊需要比較多的系統資源,一般使用單獨的硬體平臺實現,與防火牆一起串聯部署在網路邊界。如果與防火牆共用平臺,只能防範流量很小的DoS/DDoS攻擊,實用性較差。
4.入侵防禦網關
入侵防禦網關以線上方式部署,實時分析鏈路上的傳輸數據,對隱藏在其中的攻擊行為進行阻斷,專註的是深層防禦、精確阻斷,這意味著入侵防禦系統是一種安全防禦工具,以解決用戶面臨網路邊界入侵威脅,進一步優化網路邊界安全。
5.防病毒網關
隨著病毒與黑客程式相結合、蠕蟲病毒更加泛濫,網路成為病毒傳播的重要渠道,而網路邊界也成為阻止病毒傳播的重要位置;所以,防病毒網關應運而生,成為斬斷病毒傳播途徑最為有效的手段之一。
防病毒網關技術包括兩個部分,一部分是如何對進出網關的數據進行查殺;另一部分是對要查殺的數據進行檢測與清除。綜觀國外的防病毒網關產品,至今其對數據的病毒檢測還是以特征碼匹配技術為主,其掃描技術及病毒庫與其伺服器版防病毒產品是一致的。因此,如何對進出網關的數據進行查殺,是網關防病毒技術的關鍵。由於目前國內外防病毒技術還無法對數據包進行病毒檢測,所以在網關處只能採取將數據包還原成文件的方式進行病毒處理,最終對數據進行掃描仍是通過病毒掃描引擎實現的。
防病毒網關著眼於在網路邊界就把病毒拒之門外,可以迅速提高企業網防殺病毒的效率,並可大大簡化企業防病毒的操作難度,降低企業防病毒的投入成本。
6.反垃圾郵件網關
電子郵件系統是信息交互的最主要溝通工具,互聯網上的垃圾郵件問題也越來越嚴重,垃圾郵件的數量目前以每年10倍的速度向上翻。而且往往會因為郵箱內垃圾郵件數量過多而無法看出哪些是正常郵件,大大浪費了員工的工作時間;另外,巨量的垃圾郵件也嚴重浪費了公司的系統和網路帶寬的資源。
反垃圾郵件網關部署在網路邊界,可以正確區分郵件的發送請求以及攻擊請求,進而將郵件攻擊拒絕,以保障電子郵件系統的穩定運行;此外,在保障郵件正常通信的情況下對垃圾郵件以及病毒郵件進行有效識別並採取隔離措施隔離,可減少郵件系統資源以及網路帶寬資源的浪費,進而提高公司員工的工作效率;最後,還不必為電子郵件系統出現故障時找不到問題而耗費時間,部署後的電子郵件系統將可以在不需要管理員進行任何干涉的情況下穩定運行,大大節省了電子郵件系統的管理成本。
7.網閘
安全性要求高的單位一般建設兩個網路:內網用於內部高安全性業務;外網用於連接Internet或其他安全性較低的網路,兩者是物理隔離的。既要使用內網數據也要使用外網數據的業務時,用戶必須人工複製數據。實際應用中,用戶希望這個過程自動化,解決"既要保證網路斷開、又要進行信息交換"的矛盾。
網閘可用來解決這一難題。網閘提供基於網路隔離的安全保障,支持Web瀏覽、安全郵件、資料庫、批量數據傳輸和安全文件交換、滿足特定應用環境中的信息交換要求,提供高速度、高穩定性的數據交換能力,可以方便地集成到現有的網路和應用環境中。
這解釋比百度百科.強多了