- UID
- 1
- 主题
管理员
- CN币
- 币
- 威望
- 值
- 报料奖
- 元
- 贡献
- 值
- 回复
- 帖
- 日志
- 好友
- 帖子
- 主题
- 听众
- 收听
- 性别
- 保密
|
<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div><p><span style="font-size: small"> 网络安全是多领域的综合业务,近10年来在规模和范围方面都获得了极大的发展。对网络及内容潜在的威胁来自各类不同的领域,因此增加了解决这一问题的难度。 </span></p>
<p><span style="font-size: small"> 在因特网产生之前,对卫星网络及内容实时入侵的安全防护相对容易。然而,基于卫星网络的WWW互联打开了潘多拉的盒子。</span></p>
<p><span style="font-size: small"> ●安全政策</span></p>
<p><span style="font-size: small"> 多年来,卫星网络是独立的,一般不与外部世界相互连接。卫星网络因其独特性而获得了安全性,目前这一状况不再如此。</span></p>
<p><span style="font-size: small"> 为数不多的网络工程师能够应用不同的工具来提高其网络的安全性,然而除了选择工具,有效的安全策略开始于对网络的真实评估和对安全政策的开发。除非人们十分拥护,否则安全政策是不会起作用的。</span></p>
<p><span style="font-size: small"> 网络中的每个设备至少应该在荧屏上建有日志,这些日志要求有用户名和接入设备的口令。要考虑到设备的风险,这些风险仅只需通过加入某些终端便能得到处理。如果人们从不改变工厂默认设备,那么用户名和口令保护的作用有限。一旦某个硬件的默认配置被黑客发现,那它们就会出现在黑客们的荧屏上。</span></p>
<p><span style="font-size: small"> ●防火墙</span></p>
<p><span style="font-size: small"> 下面的这些网络安全工具可以单独应用,但它们在同时使用时会最有效,从而充分发挥了它们的单方面的效能。</span></p>
<p><span style="font-size: small"> 防火墙仍是防护网络进攻的第一道防线,这一技术经过Cisco、Juniper和Check Point等供应商过去15年的研发,已有了很大的进步。防火墙历来配置在可信任的边界上,或者是专用和公用网络的交界处,然而,随着802.11无线网络的广泛应用,可信任边界的数量猛增,因此可能受到攻击地方的数量也在猛增。</span></p>
<p><span style="font-size: small"> 最开始,防火墙通过打开和关闭端口来控制流量,这一方式由互联网工程任务组(IETF)设计用来协调特殊的应用。端口80将用于控制网页浏览,端口25将控制SMTP流量,端口23将控制远程登陆流量,如此等等。一时间,每个人都遵守这些规则,但是应用开发商希望他们的软件能够被更广泛的用户应用。一些端口,例如端口80和端口443几乎总是开放的,应用开发商便利用这种方式进出防火墙。应用技术的发展已经到了大多数人能够发现一种方式来进入基于端口的防火墙的地步。端口阻止的价值随着时间的消逝而不断降低。</span></p>
<p><span style="font-size: small"> 静态应用使用的是单个端口(80、25、23等),能够被简单的分组过滤器控制。动态应用(例如FTP)将从一个端口出去并从另一个端口进来,要求更复杂的控制,因此状态检测出现了。现代应用完全忽略了端口,因此一些销售商附加了更多的过滤器,从而增加了处理延时(见《Via Satellite》2009年9期的“卫星网络的延时最小化处理”)。现实情况是,现代应用的企业控制要求更复杂一些的处理方式。</span></p>
<p><span style="font-size: small"> 为了满足这一需求,Palo Alto网络公司将应用ID(App-ID)集成进它的防火墙中。该公司有能力将870种不同的应用进行分类。App-ID允许整个网络具备更细致的细分决定的能力。例如一个组织的营销部门可以允许运行WebEx,但其它部门则不能。对应用确认的能力也非常强大,但是Skype等某些应用使用的是特殊的加密形式,并在端口间跳动,从而造成应用申请的拒绝。然而,Skype的这一特点还能通过启发式的分析进行确认,这样Palo Alto网络公司的防火墙便可以阻止Skype的流量。</span></p>
<p><span style="font-size: small"> ●AAA(鉴权、授权、计费)</span></p>
<p><span style="font-size: small"> 由于网络规模的扩大,对它们的照看和维护变得非常地复杂。为了有助于完成好这一任务,AAA系统包括有3个完全不同的安全功能:鉴权、授权、计费。鉴权确认你是谁;授权确认你能被允许对网络做什么、计费记录了你做过什么。终端接入控制器的接入控制系统(TACACS)及远程认证拔号业务(Radius)都是占有巨大市场份额的安全协议。轻型目录访问协议(LDAP)是一种由IETF指定的应用协议,该协议还可针对信息技术设施提供层次控制。</span></p>
<p><span style="font-size: small"> 因为网络在规模和复杂性方面的增长,AAA系统对于网络安全来说,变得必不可少了。</span></p>
<p><span style="font-size: small"> ●入侵防护系统</span></p>
<p><span style="font-size: small"> 对一次入侵的阻止是一种对计算机系统或网络进行主导的尝试,同时使其他人不能对其进行应用。这些进攻的基本作用之一是进攻者发出打开端口的要求,然后在对方做出反应前等上一段时间,比如说10秒。攻击者对其攻击的系统大量灌入要求,这些要求试图隔离对正常流量进行响应的要求,而被进攻的计算机系统必须假定具备以下条件:在对所有明显要求做出反应并保留资源方面,计算机提出要求缓慢;被进攻的计算机不能明确地区分合法要求与非法要求;对业务进攻的阻止必须保证带宽和计算能力。由于大多数卫星网络的带宽只能微调,任何带宽的补充都对网络性能产生严重的影响。</span></p>
<p><span style="font-size: small"> 网络入侵检测系统(NIDS)着眼于进来的分组包,筛选出看上去可疑的行为用于检测,当人们的网格遭受进攻时,检测系统依靠人工来评估数据,因此很费时, 时间是珍贵的。入侵防护系统(IPS)自动决定处理过程,交替应用NIDS的方法,因此改善了对攻击的响应。 TippingPoint五年前在这一领域中拨得头筹,现在仍是市场的领先者。应用TippingPoint的IPS,所有进来的分组包都要过滤并评测威胁。该系统实时形成的协议决定,能够评估事件序列,评估可疑行为的数据模式。一旦辨认出来,系统能够向人们通报可疑行为或者直接采取行动。</span></p>
<p><span style="font-size: small"> 大量网络管理面临的挑战是要确保在对流量的准确扫描、分析和路由选择的条件下,不影响网络的性能。大多数销售商因为会导致性能的降低(处理延时)后果,只能打开有限的过滤器。TippingPoint在他们的过滤器的精确性方面,提高了一个层次。为了保证网络的平滑运行,TippingPoint优化了它的检查引擎,因此它可以打开更多的过滤器而不降低性能。除此之外,该公司推荐DV实验室团队的过滤器,它认为这些过滤器将证明会给其用户最大的保护,而不影响网络性能。</span></p>
<p><span style="font-size: small"> 人们需要记住的是,更多的过滤器将放缓总处理速度。TippingPoint采取的方法是提高过滤器的精确程度,而不是去关注过滤器巨大的数量。与较少数量的过滤器综合在一起,TippingPoint特有的高速数据引擎实现了处理时延的最小化。</span></p>
<p><span style="font-size: small"> ●安全远程管理</span></p>
<p><span style="font-size: small"> 基于IP的计算和通信设备已经综合进了管理接口,因此他们能够接入或控制LAN或WAN。使用SNMP(简单网络管理协议)来管理一个基于IP的网络所面临的挑战是,人们必须依靠网络来管理网络。如果网络出现故障,从本质上说,人们已经看不到或听不到任何信息,也就没有办法与远程地区的技术设施交流信息。</span></p> |
|