论文部分内容阅读
摘要:简要分析企业内部网络所面临的主要问题,阐述安全管理人员针对不同威胁的主要技术应对措施。进一步介绍各种技术措施的现状,并分析未来可能的发展趋势。
关键词:内网;网络安全;防火墙;入侵防护系统;网络准入控制;网络行为分析
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2011)0220059-01
0、前言
目前,信息化的大潮已席卷各行各业,于此同时,安全问题也日益明显。在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
1、内网安全考虑的主要问题
1.1终端安全策略部署
终端安全是内网安全的核心问题,终端安全策略的部署也就是内网安全的最主要部分。但是受限于终端用户安全应用水平,如何确保网络中的终端安全状态符合企业安全策略,却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端,是一项费时费力的工作,往往造成企业安全策略与终端安全实施之间存在巨大的差距。
1.2内网访问控制部署
传统上,在内网是通过划分VLAN,配合ACL进行访问控制,这虽然可以在一定程度上实现内网访问控制,却难以做到比较精细的安全控制,同时也可能会影响到VLAN间用户的访问,从而影响网络的使用效率。对于部分交换机,ACL数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。
1.3网络自身安全保障
目前在内网安全事件中,出现从攻击主机转为攻击网络资源的趋势,而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。
2、内网网络安全的解决之道
内网安全解决方案考虑到内网安全的方方面面,内网安全的主要问题都有针对性的技术,这些技术相互关联、相互配合,形成完善的内网安全解决方案。
2.1采用入侵防护系统(lntrusionPreventionSystem)
对于组织而言,传统的网络划分往往是由网络管理部进行的。组织的安全管理员需要网络划分进行审阅。网络划分的依据除了根据地理位置、部门之外,也应考虑其包含信息资产安全等级,安全管理员关注网络划分的目的在于更容易实现按安全等级进行保护。应尽可能避免安全等级相差较大的信息资产划分在同一网络中。对于来自不同的网络的通信应在其边界处设置检查点,过滤其中可能的安全威胁,包括未授权的网络访问和潜在的攻击。
采用入侵防护系统,入侵防护系统作为入侵检测系统的升级技术,在近年广泛用于组织内部网络的边界防护。主要技术优势包括:强大的数据包深入检查功能,可以检测各种应用层协议中夹带的攻击(不局限于Web等);配置容易,用户可基于默认的策略进行设置,自动阻断攻击;透明接入网络,无需更改网络拓扑;带有失效打开功能。如果设备失效会自动旁路,不致影响网络的可用性。
2.2以防火墙为核心的内网访问控制
为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的防火墙模块,通过防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。
端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。
2.3网络准入控制(Network Access Control)
网络准入控制技术可以实现确保接入网络的客户端安全状况符合要求。通过在桌面机上安装客户端软件,组织可以避免未达安全要求的客户端接入内部网络,造成潜在的安全风险。这一技术的主要优点包括:可基于客户端的身份控制准入;可基于客户端的安全状况控制准入;方便实现公司的安全策略。
2.4网络行为分析(NetworkBehaviorAnalysis)
网络行为分析是一种基于“流(flow)”的分析技术,通过对于Netflow信息的采集,可以呈现出组织网络中的各种流量信息。网络行为分析技术的主要优点有:通过对流信息的理解和整理,可以显示网络的流量异常;通过建立网络访问模型,可以显示网络滥用;显示网络协议百分比等信息,帮助分析网络带宽使用情况;可显示文件、URL等应用层信息;离线部署。
网络行为分析技术多用于规模较大的组织,它可为网络管理员和安全管理员提供有积极价值的流量信息。它的主要限制在于需要网络设备(路由器和交换机等)支持流信息的导出,并非所有的网络设备都支持这一功能。
3、结束语
内网网络安全的产品之间都将需要协同工作,防火墙和网络入侵防护系统这两种产品都承担着网间检查点的重任,未来的趋势必然是整合为单一的产品。最重要的功能将是检测和阻断攻击,以及应用层协议的细颗粒控制。网络行为分析和网络入侵防护两者相似而并不相同,前者看到的是Netflow,后者检查的是数据包。前者用于宏观分析,后者用于微观分析。但是两者却又相得益彰,互为补充。
网络准入控制和网络入侵防护系统的整合也非常必要。某种意义上,前者保障的是安全的系统准入,后者保障的是安全的數据包准入,二者的结合方可保证在系统层面和网络层面的安全。对于较小规模的组织,可以选择二合一的产品。对于较大规模的组织,选择单独的产品,最好可通过统一管理平台查看相关信息。
参考文献:
[1]张兵,内部网信息安全挑战与应对措施[J],通信世界,2007(13)9210
[2]孙娜,非法外联监测技术的研究与实现[D],北京:北京邮电大学,2006
[3]韩冬,网络安全信息检测与管理[D],北京:北京交通大学,2008
关键词:内网;网络安全;防火墙;入侵防护系统;网络准入控制;网络行为分析
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2011)0220059-01
0、前言
目前,信息化的大潮已席卷各行各业,于此同时,安全问题也日益明显。在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
1、内网安全考虑的主要问题
1.1终端安全策略部署
终端安全是内网安全的核心问题,终端安全策略的部署也就是内网安全的最主要部分。但是受限于终端用户安全应用水平,如何确保网络中的终端安全状态符合企业安全策略,却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端,是一项费时费力的工作,往往造成企业安全策略与终端安全实施之间存在巨大的差距。
1.2内网访问控制部署
传统上,在内网是通过划分VLAN,配合ACL进行访问控制,这虽然可以在一定程度上实现内网访问控制,却难以做到比较精细的安全控制,同时也可能会影响到VLAN间用户的访问,从而影响网络的使用效率。对于部分交换机,ACL数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。
1.3网络自身安全保障
目前在内网安全事件中,出现从攻击主机转为攻击网络资源的趋势,而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。
2、内网网络安全的解决之道
内网安全解决方案考虑到内网安全的方方面面,内网安全的主要问题都有针对性的技术,这些技术相互关联、相互配合,形成完善的内网安全解决方案。
2.1采用入侵防护系统(lntrusionPreventionSystem)
对于组织而言,传统的网络划分往往是由网络管理部进行的。组织的安全管理员需要网络划分进行审阅。网络划分的依据除了根据地理位置、部门之外,也应考虑其包含信息资产安全等级,安全管理员关注网络划分的目的在于更容易实现按安全等级进行保护。应尽可能避免安全等级相差较大的信息资产划分在同一网络中。对于来自不同的网络的通信应在其边界处设置检查点,过滤其中可能的安全威胁,包括未授权的网络访问和潜在的攻击。
采用入侵防护系统,入侵防护系统作为入侵检测系统的升级技术,在近年广泛用于组织内部网络的边界防护。主要技术优势包括:强大的数据包深入检查功能,可以检测各种应用层协议中夹带的攻击(不局限于Web等);配置容易,用户可基于默认的策略进行设置,自动阻断攻击;透明接入网络,无需更改网络拓扑;带有失效打开功能。如果设备失效会自动旁路,不致影响网络的可用性。
2.2以防火墙为核心的内网访问控制
为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的防火墙模块,通过防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。
端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。
2.3网络准入控制(Network Access Control)
网络准入控制技术可以实现确保接入网络的客户端安全状况符合要求。通过在桌面机上安装客户端软件,组织可以避免未达安全要求的客户端接入内部网络,造成潜在的安全风险。这一技术的主要优点包括:可基于客户端的身份控制准入;可基于客户端的安全状况控制准入;方便实现公司的安全策略。
2.4网络行为分析(NetworkBehaviorAnalysis)
网络行为分析是一种基于“流(flow)”的分析技术,通过对于Netflow信息的采集,可以呈现出组织网络中的各种流量信息。网络行为分析技术的主要优点有:通过对流信息的理解和整理,可以显示网络的流量异常;通过建立网络访问模型,可以显示网络滥用;显示网络协议百分比等信息,帮助分析网络带宽使用情况;可显示文件、URL等应用层信息;离线部署。
网络行为分析技术多用于规模较大的组织,它可为网络管理员和安全管理员提供有积极价值的流量信息。它的主要限制在于需要网络设备(路由器和交换机等)支持流信息的导出,并非所有的网络设备都支持这一功能。
3、结束语
内网网络安全的产品之间都将需要协同工作,防火墙和网络入侵防护系统这两种产品都承担着网间检查点的重任,未来的趋势必然是整合为单一的产品。最重要的功能将是检测和阻断攻击,以及应用层协议的细颗粒控制。网络行为分析和网络入侵防护两者相似而并不相同,前者看到的是Netflow,后者检查的是数据包。前者用于宏观分析,后者用于微观分析。但是两者却又相得益彰,互为补充。
网络准入控制和网络入侵防护系统的整合也非常必要。某种意义上,前者保障的是安全的系统准入,后者保障的是安全的數据包准入,二者的结合方可保证在系统层面和网络层面的安全。对于较小规模的组织,可以选择二合一的产品。对于较大规模的组织,选择单独的产品,最好可通过统一管理平台查看相关信息。
参考文献:
[1]张兵,内部网信息安全挑战与应对措施[J],通信世界,2007(13)9210
[2]孙娜,非法外联监测技术的研究与实现[D],北京:北京邮电大学,2006
[3]韩冬,网络安全信息检测与管理[D],北京:北京交通大学,2008