人們為了解決資源的共享而建立了網絡,然而全世界的計算機真的聯成了網絡,安全卻成了問題。因為在網絡上,你不清楚對方在哪里,泄密、攻擊、病毒等等,越來越多的不安全因素讓網絡管理者難以安寧,所以把有安全需求的網絡與不安全的網絡分開,是沒有辦法的選擇。分離形成了網絡的“孤島”,沒有了連接,安全問題自然消失了。 然而因噎廢食不是個辦法,沒有連接,業務也無法互通,網絡孤島的資源在重復建設、浪費嚴重,并且隨著信息化的深入,在各種網絡上信息共享需求日益強烈。
比如:政府的內網與外網,需要面對公眾服務;銀行的數據網與互聯網,需要支持網上交易;企業的辦公與生產網,老總們的辦公桌上不能總是兩個終端吧;民航、鐵路與交通部的信息網與互聯網,網上預定與實時信息查詢是便利出現的必然。本著有需求就有供應,因此,網絡邊界誕生了。
網絡邊界就是針對不同網絡環境所設置的安全防御措施。
把不同安全級別的網絡相連接,就產生了網絡邊界。防止來自網絡外界的入侵就要在網絡邊界上建立可靠的安全防御措施。下面我們來看看網絡邊界上的安全問題都有哪些:
非安全網絡互聯帶來的安全問題與網絡內部的安全問題是截然不同的,主要的原因是攻擊者不可控,攻擊是不可溯源的,也沒有辦法去“封殺”,一般來說網絡邊界上的安全問題主要有下面幾個方面:
1、信息泄密
網絡上的資源是可以共享的,但沒有授權的人得到了他不該得到的資源,信息就泄露了。一般信息泄密有兩種方式:
◆攻擊者(非授權人員)進入了網絡,獲取了信息,這是從網絡內部的泄密
◆合法使用者在進行正常業務往來時,信息被外人獲得,這是從網絡外部的泄密
2、入侵渠道
互聯網是世界級的大眾網絡,網絡上有各種勢力與團體。入侵就是有人通過互聯網進入你的網絡(或其他渠道),篡改數據,或實施破壞行為,造成你網絡業務的癱瘓,這種攻擊是主動的、有目的、甚至是有組織的行為。
3、網絡病毒
與非安全網絡的業務互聯,難免在通訊中帶來病毒,一旦在你的網絡中發作,業務將受到巨大沖擊,病毒的傳播與發作一般有不確定的隨機特性。這是“無對手”、“無意識”的攻擊行為。
4、木馬入侵
木馬的發展是一種新型的攻擊行為,他在傳播時像病毒一樣自由擴散,沒有主動的跡象,但進入你的網絡后,便主動與他的“主子”聯絡,從而讓主子來控制你的機器,既可以盜用你的網絡信息,也可以利用你的系統資源為他工作,比較典型的就是“僵尸網絡”。
來自網絡外部的安全問題,重點是防護與監控。來自網絡內部的安全,人員是可控的,可以通過認證、授權、審計的方式追蹤用戶的行為軌跡,也就是我們說的行為審計與合軌性審計。
1、黑客入侵
入侵的過程是隱秘的,造成的后果是竊取數據與系統破壞。木馬的入侵也屬于黑客的一種,只是入侵的方式采用的病毒傳播,達到的效果與黑客一樣。
2、病毒入侵
病毒就是網絡的蛀蟲與垃圾,大量的自我繁殖,侵占系統與網絡資源,導致系統性能下降。病毒對網關沒有影響,就象“走私”團伙,一旦進入網絡內部,便成為可怕的“瘟疫”,病毒的入侵方式就象“水”的滲透一樣,看似漫無目的,實則無孔不入。
3、網絡攻擊
網絡攻擊是針對網絡邊界設備或系統服務器的,主要的目的是中斷網絡與外界的連接,比如DOS攻擊,雖然不破壞網絡內部的數據,但阻塞了應用的帶寬,可以說是一種公開的攻擊,攻擊的目的一般是造成你服務的中斷。
對于公開的攻擊,只有防護一條路,比如對付DDOS的攻擊;但對于入侵的行為,其關鍵是對入侵的識別,識別出來后阻斷它是容易的,但怎樣區分正常的業務申請與入侵者的行為呢,是邊界防護的重點與難點。
我們把網絡與社會的安全管理做一個對比:
要守住一座城,保護人民財產的安全,首先建立城墻,把城內與外界分割開來,阻斷其與外界的所有聯系,然后再修建幾座城門,作為進出的檢查關卡,監控進出的所有人員與車輛,是安全的第一種方法;
為了防止入侵者的偷襲,再在外部挖出一條護城河,讓敵人的行動暴露在寬闊的、可看見的空間里,為了通行,在河上架起吊橋,把路的使用主動權把握在自己的手中,控制通路的關閉時間是安全的第二種方法;
對于已經悄悄混進城的“危險分子”,要在城內建立有效的安全監控體系,比如人人都有身份證、大街小巷的攝像監控網絡、街道的安全聯防組織,每個公民都是一名安全巡視員,順便說一下:戶籍制度、罪罰、聯作等方式從老祖宗商鞅就開始在秦國使用了。只要入侵者稍有異樣行為,就會被立即揪住,這是安全的第三種方法。
作為網絡邊界的安全建設,也采用同樣的思路:控制入侵者的必然通道,設置不同層面的安全關卡,建立容易控制的“貿易”緩沖區,在區域內架設安全監控體系,對于進入網絡的每個人進行跟蹤,審計其行為等等。
從網絡的誕生,就產生了網絡的互聯,Cisco公司就是靠此而興起的。從沒有什么安全功能的早期路由器,到防火墻的出現,網絡邊界一直在重復著攻擊者與防護者的博弈,這么多年來,“道高一尺,魔高一丈”,好象防護技術總跟在攻擊技術的后邊,不停地打補丁。其實邊界的防護技術也在博弈中逐漸成熟:
網絡隔離最初的形式是網段的隔離,因為不同的網段之間的通訊是通過路由器連通的,要限制某些網段之間不互通,或有條件地互通,就出現了訪問控制技術,也就出現了防火墻,防火墻是不同網絡互聯時最初的安全網關。
防火墻的安全設計原理來自于包過濾與應用代理技術,兩邊是連接不同網絡的接口,中間是訪問控制列表ACL,數據流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查,檢查的是你是哪個國家的人,但你是間諜還是游客就無法區分了,因為ACL控制的是網絡的三層與四層,對于應用層是無法識別的。后來的防火墻增加了NAT/PAT技術,可以隱藏內網設備的IP地址,給內部網絡蒙上面紗,成為外部“看不到”的灰盒子,給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯系,從而“穿透”了NAT的“防護”,很多P2P應用也采用這種方式“攻破”了防火墻。
防火墻的作用就是建起了網絡的“城門”,把住了進入網絡的必經通道,所以在網絡的邊界安全設計中,防火墻成為不可缺少的一部分。
防火墻的缺點是:不能對應用層識別,面對隱藏在應用中的病毒、木馬都毫無辦法。所以作為安全級別差異較大的網絡互聯,防火墻的安全性就遠遠不夠了。