ITPub博客

首页 > IT基础架构 > 网络安全 > 网络安全产品发展趋势述评 ZT

网络安全产品发展趋势述评 ZT

原创 网络安全 作者:coolwinds 时间:2005-03-05 22:17:20 0 删除 编辑
 网络安全产品发展趋势述评
作者:王令朝 来源:中国电信网
[@more@] 随着网络应用的变化,网络安全产品的防护功能将朝着单层向多层、被动向主动、边界向核心的方向发展。

  信息化进程的迅猛发展使人们的工作和生活越来越多地依赖于网络。然而,日益猖獗的网络病毒、垃圾邮件和黑客入侵等破坏行为也给网络安全造成极大的威胁,它不仅使企业因网络安全问题蒙受巨大经济损失,而且严重的网络安全事件甚至会扰乱全社会的公共秩序和经济活动。为此,各式各样的网络安全产品也应运而生。

  堵漏式防护产品

  目前威胁计算机网络安全的重要原因之一是计算机系统存在着许多漏洞,很容易遭受病毒及黑客的攻击。例如,当今很多装有Windows 2000/XP/2003操作系统的计算机没有“打过补丁”,使得病毒及黑客“想干什么就干什么”,给网络安全带来十分严重的威胁。可以说到目前为止,还没有什么特别有效的手段能够降低利用系统漏洞传播病毒造成的危害。指望及时“打补丁”来预防病毒及黑客的攻击在短时间内还难以实现,其原因,一是每款补丁程序都必须经过严格测试,尤其要充分考虑与应用软件的兼容性,不能影响正常业务的开展;二是网络管理员不一定具备补丁的处理能力;三是企业不一定具有强烈的网络安全意识和完善的人员配置;四是系统漏洞从公布到被利用的间隔时间日趋缩短,防不胜防。为此,堵漏式防护产品成为网络安全产品制造厂商今后开发的重点。

  Trend Micro公司推出的针对系统漏洞的网络防毒墙NVW不仅在策略上可以告诉用户存在漏洞问题的严重性,更能帮助用户把未知的漏洞找出来。它的功能是对未安装防病毒产品、未更新病毒码和未安装重要系统补丁的用户进行检测和隔离,协助用户采取准确、快速的安全措施,如防治Internet蠕虫类的网络病毒,在病毒疫情爆发时能够隔离高危环节和清除病毒。此外,它还能进行主动侦测、预防围堵和善后清理,降低用户受病毒侵害的风险和管理成本。又如,McAfee公司推出一种漏洞扫描工具ThreatScan,该产品可以为用户轻松地发现系统中存在的安全漏洞,有目的地采取相应行动使用户避免遭受病毒的侵害,而另一种AVERT AutoImmune产品也可以为用户提供透过探视方式探查尚未被发现的病毒,并自创解毒方法等等。

  分层式防护产品

  目前计算机系统大多是基于客户/服务器模式和Internet/Intranet网络计算机模式的分布式应用,在这样的应用环境中多层次安全措施是十分有必要的。对所有与互联网连接的用户来说,他们要做的第一件事就是安装防火墙,但传统的防火墙包过滤技术往往只检查网络的第三层和第四层,而目前70%以上的恶意攻击都是针对应用层的,因此,多层次防护的分层式防护产品也是网络安全产品厂商今后为用户提供的主要产品之一。

  Cisco公司研发的分层式一体化网络安全产品是一个包括路由器、防火墙和交换机在内的三个层次的集成化安全防御体系。其中,第一层安全防护由具有防火墙功能的路由器来实现,它能提供Internet/外联网等公共信息网的广域连接,可以防止外部用户对系统内各服务器进行操作造成的破坏;第二层安全防护由PIX防火墙来实现,它将企业内网和公网完全分隔开,PIX防火墙是内部各网络系统对外的惟一出入口,实现从网络层到应用层的安全保护,防止非法访问;第三层安全防护则由局域网交换机实现,内置的IDS和防火墙模块,可对复杂的内部网进行有效的安全监控,并通过MAC地址过滤功能防止内部攻击。又如,Microsoft公司的ISA Server 2004防火墙产品具有应用层深度多层防护功能,它不仅能够检查IP头和TCP头信息,还能够检查应用层的内容是否符合ISA Server的定义内容(恶意代码、病毒或任何不想要的内容),以确定数据包能否进入系统,而且还能对用户访问的数据流强制要求加密,以便获得更强的安全性能。

  主动式防护产品

  传统的入侵检测系统已走过20个春秋,为了适应迅速增长的网络流量,IDS产品也已经进入了千兆时代。然而,从技术角度来看,这种被动式的监测系统不仅在识别大规模的组合式或分布式的入侵攻击方面尚不具备足够的解决能力,而且常发生误报、漏报问题,更何况其报警后并不能采取有效阻断措施的致命缺陷也使得IDS必然将退出历史舞台。

  一种被称为入侵防御系统的产品将逐渐替代IDS。这是一种主动式防护产品,拦截功能与分析功能处于同一层次,能够敏锐地捕捉入侵,并在危害发生之前将其切断。不仅如此,IPS也不存在IDS诸如计算机开销大、维护工作量大、检测失效等缺陷,它的精准检测功能和易于管理的特点更受用户欢迎。例如,IPS的多重检测技术(Multi-Method Detection)可以提高检测精度,它组合了多种不同检测方法来共同识别网络层和应用层中的不同攻击,且不影响系统性能。又如,IPS产品具有带内操作模式的保护功能,能对付潜逃技术,提供真正有效的入侵防护。再如,IPS产品通常采用集中式基于规则的管理,这不仅可使网络管理员具有更高的可控制性,而且还能向用户提供在其不知情的状态下各种被添加的恶意信息,等等。

  自御式防护产品

  在当前网络安全威胁愈演愈烈的情况下,开发网络和网络安全产品应该考虑让网络对病毒及黑客攻击具有自我防御能力,就像人体对疾病具有免疫力一样。只有当网络和网络安全产品拥有这种“天生”免疫能力时,网络安全才能在更大程度上得到保障。同时,自御式防护产品的诞生也能够解决诸如由垃圾邮件、网络欺骗等引发的网络安全事件。反垃圾邮件、身份认证等诸多网络安全技术和措施,也是今后自御式防护产品需要解决的一个重要课题。

  自防御网络就是一种拥有免疫功能的自御式防护产品,它可以为用户提供新型的系统级网络安全防御。SDN防御病毒攻击的过程如下当一种Slammer病毒爆发时,安装在用户主机中的安全代理软件Security Agent会立即阻止Slammer病毒的攻击;第3分钟时SDN网络中的异常探测技术确认有异常流量;第6分钟时在验证异常流量的同时发出警告;第10分钟时封闭相应的内部和外部端口;第30分钟时完成对企业内部网络的漏洞扫描,确认易被攻击的系统,并采取相应措施,确保网络系统不受病毒感染。

  Cisco公司开发自防御网络经过了3个历程,第一代SDN是一种企业网路由器,第二代SDN是一种具有独立管理软件的增强型路由器,第三代SDN是集路由器、交换机、终端、防火墙、虚拟专用网和入侵检测系统等产品于一体的集成化自防御网络体系。该产品通过安全连接系统、威胁防御系统以及信任身份管理系统3大功能来实现整个网络安全,它不仅全面地集中了各种安全技术,而且通过与McAfee、Symantec、Trend Micro等反病毒软件厂商合作,将防御能力扩展到服务器、PC机和其他终端设备上。

  在网络安全威胁愈演愈烈的情况下,开发的网络安全产品应该让网络对病毒及黑客攻击具有自我防御能力,就像人体对疾病具有免疫力一样。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/83980/viewspace-791778/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2012-10-23

  • 博文量
    253
  • 访问量
    947522