扫一扫
关注微信公众号

安全从整体购买:2005安全产品购买指南(1)
2006-01-22   

有必要再次强调,网络的安全程度符合木桶原理,木桶盛水的多少壬能多的安全功能的想法。

这类产品和上面的问题类似,就是其IPS或防病毒功能全面启用后的性能问题。漏报和误报问题在这类产品中并不突出,毕竟,它们中的很多产品并不会把业已发现的所有病毒和攻击都添加到特征库中,它们更倾向于提供给用户目前常见的攻击防护,当然这部分也已经很庞大了。
网络厂商提出安全网络概念。在安全理念发生比较大变化的同时,不能忽视其中可能存在的问题。
网络设备厂商通过客户端软件、交换机和安全认证策略服务器对网络中每一个信息点进行控制,可以敦促每个用户及时为软件打补丁弥补漏洞,进行主动防御。它们提供抗DoS攻击的交换机,引入了IDS和IPS以及防火墙,从网络层到应用层进行全面防护。
在这类方案中,有几处值得关注。一个是客户端软件,该软件需要提供很强的对各种软件的识别能力。此外,针对多种不同的操作系统平台都应该进行控制。目前,多数这样的方案只能提供Windows客户端软件。另一个是整体方案中的安全产品的能力问题。毕竟,网络中IPS和防火墙还要履行它们一如既往的职责。而且,IDS等设备的能力直接影响着对客户端的策略控制结果。因此,在强调整体的同时,必须意识到具体的工作还是需要个体来实施,实施的效果一部分壬能安全的网络,选购尽可能优秀的产品或产品组合。
安全产品你来选
用户在购买安全产品时,必需考虑到目前的安全威胁模型。即:攻击向应用大举进范;攻击更多地发生在企业网络内部; 信任模型的变化,仅仅通过用户名/密码认证的客户端往往有意无意地充当着网络的攻击源。
因此,最好本着全面部署的思路去购买安全产品。包括客户端准入及内网安全、边界安全等方面。安全层次涉及网络层、传输层到应用层。并且,通过客户端准入策略的部署,尽可能地消除每一台上网主机的安全隐患,实现主动防御。
内网安全
应该说,目前有几个因素提升了内网的安全性。
边界产品向内网延伸,体现在目前的防火墙产品上。
从端口密度来看,现在的防火墙已经摆脱了传统的Internal、DMZ和External三端口模式,提供近10个或更多的端口,用户可以将更多的内网子网用防火墙隔离开。而且,从防护的层次来看,有些防火墙也已经能够对Windows网络共享等应用进行安全过滤,这类特性的加入很大程度上是为内网的安全所考虑的。
专用内网安全产品的出现。
这种产品与传统防火墙单纯增加端口数目有很大的不同。它在应用层防御上增添了很多内容,比如针对HTTP蠕虫的防御。部署方式也比较灵活,可以将其放在核心交换机与工作组交换机之间。这样,就可提供对每个物理网段间的访问控制,而且包括针对应用层的深度防御,这是三层交换机所不能的。当然,在内网的骨干链路上添加了这样的设备,它应该在处理延迟上和交换机处于同样的级别,不能因为安全性的提高而使用户的千兆网络的性能发生明显变化。
另外,为保护内网重点网段或主机,还可以采用IPS。实际上,专用内网安全产品与IPS的防御功能有很多相似之处。
客户端准入系统采取的是主动防御的理念。
那些没有进行软件升级或病毒库更新的主机将受限通过网络资源。准入系统可以提醒用户并自动实现客户端主机的软件升级或病毒库更新,然后客户端主机才能完全接入网络。当用户进行端口扫描时,IDS会检测到该行为并联合策略服务器,指挥交换机做出反应,触发访问控制条目。监测异常行为并隔离的工作方式客观上大大提高了内网的安全性。
当然,这类系统应该是开放的,网络设备供应商和防病毒与IDS厂商技术很好的融合会使用户更从容地购买。
边界安全
边界安全产品是企业内网与Internet之间的安全屏障。它的代表是防火墙,带有防火墙功能的安全网关自然也位列其中,IPS则是边界安全的新生力量。
虽然有数据表明,网络攻击行为中的70%是发生在内网。但这不意味着边界安全的重要性要逊色于内网安全。正是由于人们以往更重视边界安全而拦截了大部分的来自外网的攻击。随着Internet的普及,人们的网络技能提高了,安全的威胁也就更大。即使企业可以通过主动防御来提高内网的抗攻击能力,为了减小遭受攻击的可能性,企业网也仍需要一个非常强大的网关产品,过滤掉大部分非法流量,对应用层安全进行检察,并能随时加入特征过滤掉新的攻击。
防火墙
架构:有的用户在选购防火墙时把产品的架构因素放在首位,即选用X86、ASIC、NP架构或是它们的某种组合。应该说,产品的架构决定了该产品的潜力,但并不代表该产品的能力。X86平台的防火墙不是低性能的代名词, ASIC +NP架构也不代表着防火墙有强大的性能和丰富的功能。好的产品是厂商在硬件平台的基础上进行卓越的开发才形成的。用户要明白自己买的是产品未来的能力还是现在的能力或者是兼顾。
性能:针对防火墙的性能,一直都有个误区。即把穿越防火墙的64字节UDP报文的吞吐量当作最重要的性能指标。这项数据对用户到底有多少指导意义呢?试想,用户哪里有纯粹的64字节的UDP流量?现实一些,看看防火墙在添加了一两百条过滤规则、添加了NAT后的Web性能怎样,混合不同包长和协议后的延迟怎样,在实施DoS攻击情况下,防火墙启动攻击防御,看看此时穿越防火墙的VoIP的服务质量怎么样,这些恐怕更有实际意义。
安全性:早在两三年前,状态检测防火墙就可以做到基于IP地址和端口的访问控制,可以识别某些动态协议。目前的安全威胁的形势逼迫防火墙必须作出改进,最为突出的一点就是应用层安全。
也许有人会说应用层安全是IPS应该做的,防火墙的安全功能主要是在访问控制。但目前的事实是,有的防火墙已经在应用层过滤方面迈出了一大步。试想,如果用户的资金有限而无力购买IPS+传统防火墙的组合,那这种实现了诸多IPS功能的防火墙将更容易得到用户的青睐。而且,这些防火墙可以由用户加入某种攻击或安全隐患的特征,无需等到软件升级就可实现对某种应用的控制。比如全球每天都在诞生新的P2P软件,而且很多软件使用80或443端口。通过加入它的应用层特征而非TCP或UDP端口号就可对其进行控制。
动态协议:支持那些使用动态端口的协议也是防火墙要面对的问题。最为典型的是VoIP应用。打算部署VoIP的用户需要清楚自己将使用哪种VoIP设备,是基于H.323、SIP或是其他协议,有些防火墙只支持H.323而不支持SIP。有的防火墙不仅能够支持多种VoIP协议并支持各种拓扑,而且还能对针对H.323的攻击进行防御。
虚拟防火墙:作为新加入的一项防火墙功能,虚拟防火墙给用户提供了更多的灵活度,不同的用户可以享用不同的策略,就好像一台防火墙被分成了若干独立的防火墙一样。对于主机托管环境,每个用户面前都可以呈现出一台虚拟防火墙。现在,越来越多的防火墙支持此项功能。
VPN:随着大家广泛接受用VPN组网,有的防火墙已经把它作为基本组件,并保证良好的兼容性。有的防火墙还能实现VPN内部的流量管理。VPN网关和认证管理等系统的结合部分体现着企业的外延安全性,不光是出差的内部员工,那些企业的合作伙伴也常常通过VPN访问企业的网络资源。
当人们还在争论哪些是防火墙该做的工作,哪些产品不叫防火墙的时候,用户应该擦亮自己的眼睛,产品的名称并不重要,也许随着防火墙在应用层的深入和逐渐渗透到内网,防火墙已经逐渐脱离最初的形态,它也该改名了。目前的安全威胁模型决定了你在网络边界应该实现哪些安全防御,结合自己的资金投入,选择适当的产品或组合。

共2页: 1 [2] 下一页

热词搜索:

上一篇:McAfee IntruShield 2600入侵防护系统测试报告
下一篇:提升主动入侵防护IPS不是概念炒作

分享到: 收藏