1、什么时网络边界
网络边界(Network Broder)是指内部安全网络与外部非安全网络的分界线。这个边界时为了防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。
边界防护的安全理念,边界防护技术,数据交换网络技术,高密集网络的对外互联等。
2、技术简介
随着网络的发展,于是全世界的计算机联结了网络,于是就出现了网络安全问题。为了保证网络、业务之间的连接,还需要保证网络连接过程中的安全问题,于是便引入了边界防护技术、数据交换网络技术等。
3、安全理念问题
高度需要保证的安全的网络之间的连接如:政府的内网与外网,需要面对公众服务;银行的数据网与互联网,需要支持网络交易;企业的办公与生产网,总理与生成网之间的终端信息隔离;民航、铁路与交通部的信息网与互联网,网上预定与实时信息查询的便利实时的保证;这些网络安全的保证就使得网络边界的出现,网络边界就是针对不同网络环境所设置的安全防御措施。
4、安全防御类型
把不同安全级别的网络相连接,就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立安全可靠的防御措施。网络边界上的安全问题主要是有:
非安全网络互联带来的安全问题与网络内部的安全问题截然不同,主要的原因是攻击者不可控,攻击时不可溯源的,也没有办法去“封杀”,一般的边界上的安全问题主要有:
① 信息泄密
网络上的资源时可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。信息泄露的方式主要有:
- 攻击者(非授权人员)进入了网络之后,获取到了信息,这是熊网络内部的泄密。
- 合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密
② 入侵者攻击
互联网是世界级的大众网络,网络上有各种势力与团队,入侵就是有人通过互联网进入你的网络(或者其他渠道),篡改数据或者实施破坏行为,造成网络业务上的瘫痪,这种攻击是主动的,有目的的,甚至是有组织的行为。
③ 网络病毒
与非安全网络的业务互联,难免在通讯中带来病毒,如果病毒开始攻击你的网络,业务将会受到很大的冲击,病毒的传播与发作一般就有着不确定的随机特性。这是“无对手”、“无意识”的攻击行为。
④ 网络攻击
网络攻击是针对网络边设备或系统服务器的,主要的目的就是中断网络与外界的连接,比如DOS攻击,即使不会破坏到网络内部的数据,但是阻塞了应用的带宽,算是一种公开的攻击,攻击的目的一般就是造成服务的中断,影响用户的使用。
⑤ 木马入侵
木马的发展是一种新型的攻击行为,他在传播时像病毒一样自由扩散,没有主动的迹象,但是进入我们的网络之后,便会主动与它的“主”进行联络,从而让主来控制我们的机器,这样既可以盗窃我们的网络信息,也可以利用我们的系统资源为他工作,典型的就是“僵尸网络”。
来自于网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,这也就是我们的行为审计与合规性审计,由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式为:黑客入侵和病毒入侵。
- 黑客入侵:入侵的过程是隐秘的,造成的后果就是窃取数据与系统破坏。木马的入侵也属于黑客中的一种,只是入侵的方式采用的是病毒传播,达到的效果与黑客一样。
- 病毒入侵:病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就像“走私”团伙,一旦进入网络内部,就会成为可怕的“瘟疫”,病毒入侵方式就像“水”的渗透一样,看似漫无目的,实则无孔不入。
5、安全概念
网络可以看做是一个独立的对象,通过自身的属性,维持内部服务器的运转。
网络会面对来自内部与边界两个方面的安全问题:
内部问题指的是网络的合法用户在使用网络资源的时候,发生的不合规行为、误操作、恶意破坏等行为,也会有系统自身的健康,如软、硬件的稳定性带来的系统中断。
边界问题是指网络与外界互通引起的安全问题,有入侵、病毒与攻击。
(1)边界防护措施
对于公开的攻击,只有防护一条路,就比如对付DDOS的攻击;而对于入侵的行为问题,它的关键是对入侵的识别,识别出来之后进行阻断,但是边界防护的重点与难点就是:如何正确区分正常的业务申请与入侵者的行为。
比如:要守住一座城池,保护人民财产的安全。
方法一:可以通过建立一座城墙,将城内与外界分割开,阻断其与外界的所有联系,然后再修建几座城门,作为进出的检查关卡,监控进出的所有人员与车辆。
方法二:为了防止入侵者的偷袭,再在外部挖出一条护城河,让敌人的行动暴露在宽阔的、可以看见的空间里面,为了通行,在河上架起一座吊桥,把路的使用主动权把握在自己手中,把控通路的关闭时间。
方法三:对于已经悄悄混进城的“恐怖分子”,需要在城内建立安全有效的安全监控体系,就比如人人都使用自己专属的身份证、大街小巷的摄像监控网络、街道的安全联防组织,每个公民都是一名安全巡视员。只要监控到入侵者有任何异样行为,就会被立即抓住。
对于网络安全边界的安全建设,就是通过三种方式:
① 控制入侵者的进入通道
② 设置不同层面的安全关卡,建立一些容易控制的交易往来缓冲区。
③ 在进入通道之后的内部区域内建立安全监控体系,对于进入网络的每个人进行信息跟踪、安全审计等。
6、网络边界防护的方法
(1)防火墙技术
网络隔离是最初的是进行网段的隔离,因为不同的网段之间的通讯时通过路由器连接的,如果要限制某些网段之间不互通,或需要某种条件的通信,就有了访问控制技术,也就出现了防火墙,防火墙时最早的不同网络互联时的安全网关。
① 防火墙的安装设计原理:
是来自于包过滤与应用代理技术,两边都是连接不同网络的接口,中间时访问控制列表ACL,数据流要经过ACL的过滤才能通过,ACL类似于海关对身份证的检查,检查合格才能正常通行,
ACL控制的是网络的三层与四层,对于应用层是无法识别的。后来防火墙增加了NAT/PAT技术,可以给内部网络蒙上面纱,成为外部“看不到”灰盒子,给入侵增加了一定的难度,但是木马技术可以让内网的机器主动与外界建立联系,从而“穿透”NAT的“防护”,很多P2P应用也采用了这种方式“攻破”了防火墙。
② 防火墙的作用:
就是建起了网络的“城门”,把住了进入网络的必经通道,所以在网络的边界防护安全设计中,防火墙成为了不可缺少的一部分。
③ 防火墙的缺点:不能对应用层识别,面对隐藏在应用中的病毒、木马都没有办法。所以作为安全级别差异较大的网络互联,防火墙的安全性就远远不够的。
(2)网闸技术
网闸的安全思路来自于“不同时连接”。不同时连接两个网络,通过一个中间缓冲区来“摆渡”业务数据,业务实现了互联,“不连接”原则上入侵的可能性就小了很多。
网闸只是单纯地摆渡数据,近似于人工的“U盘摆渡”的方式。网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”,通过的内容是清晰可见的,这样入侵与病毒就没有了藏身之处,网络相对来说就是安全的。网闸是作为网络的互联边界,必须要支持各种业务的连通,让某些通信协议通过,所以网闸上面会需要开通协议的代理服务。
防火墙是先打开大门,对不符合要求或者规范的禁止通行;网闸是先堵上大门,根据城内的需要然后再开一些小门。网闸设计中的存储通道技术、单向通道技术等。
(3)数据交换网技术
从防火墙到网闸,采用的都是光卡的方式,而数据交换的是基于缓冲区隔离的思想,将城门处搭建一个“数据交易市场”,形成两个缓冲区的隔离,在防止内部网络数据泄密的同时,保证数据的完整性,就是指没有授权的人不能修改数据,防止授权用户错误的修改,以及内外数据的一致性。
数据交换使用网络的方式实现数据交换。在两个网络间建立一个缓冲地,让“贸易往来”处于可控的范围之内。
数据交换网技术的优势在于:
- ① 它综合使用了多重安全网关与网闸,采用多层次的安全“关卡”。
- ② 通过缓冲空间可以增加安全监控与审计,用专家来对付黑客的入侵,边界处于可控制的范围内。
- ③ 业务的代理保证数据的完整性。业务代理也让外来的访问者止步于网络的交换区,所有的需求由服务人员提供。就如同来访人员只能在接待区交谈业务,不能进入内部办公厅。
(4)VPN网关
外部访问内部主机或服务器的时候,为了保证用户身份的合法、确保网络的安全,一般在网络边界部署VPN(虚拟网)网关,主要作用就是利用公用网络(主要是互联网)把多个网络节点或私有网络连接起来。
对于不同的用户要求,VPN有三种解决方案:远程访问虚拟网(AccessVPN)、企业内部虚拟网(InteranetVPN)和企业扩展虚拟网(ExtranetVPN)。典型的VPN网关产品集成了包过滤防火墙和应用代理防火墙的功能。
(5)防Dos攻击网关
拒绝服务攻击是一种对网络上的计算机进行攻击的一种方式。Dos的攻击方式有很多种,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使得合法用户无法得到服务的响应。常见的拒绝服务攻击有SYNFlood、空连接攻击、UDPFlood、ICMP Flood等。
(6)入侵防御网关
入侵防御网关以在线方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是一种安全防御工具,以解决用户面临网络边界入侵威胁,进一步优化网络边界安全。
(7)防病毒网关
防病毒网关技术包括两个部分:一部分是对进出网关的数据进行查杀;另一部分是对要查杀的数据进行检测与清除。就是在网络边界就将病毒拒之门外,可以迅速提高企业网防杀病毒的效率。
(8)反垃圾邮件网关
反垃圾邮件网关是部署在网络边界,可以正确区分邮件的发送请求以及攻击请求,进而将邮件攻击拒绝,以保障电子邮件系统的稳定运,可以减少邮件系统资源以及网络带宽资源的浪费。
