Board logo

标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论) [打印本页]
作者: 林一    时间: 2005-10-24 15:24     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

[这个贴子最后由黑色叶子在 2005/10/24 05:01pm 第 4 次编辑]

   随着互联网应用的飞速发展,网络安全越来越受到各级用户的普遍关注,有效利用现有的安全技术和安全产品来保障系统与网络正常运行成了人们比较关注的问题。运用防火墙则是保障网络运维的一个重要手段。目前很多用户使用的防火墙是设置在不同网络间的部件,它只在网络边界设置一个屏障,把整个网络分为可信任的内部网与不可信的公共网来进行隔离防护,这远远不能保障网络的正常运维。
    对于网络安全,其实是指网络的安全防护与管理,因为只有基本管理措施到位的前提下,才能谈得上网络的安全问题。基于一般网络的构成情况,网络安全与管理需要有两个层面的工作要做:其一是内网与外网的衔接部分的安全防护与管理;其二是内部网络的安全防护和管理。现在大家主要关注的是第一部分安全防护和管理问题,这部分主要是防御来自外部(互联网等)的攻击和入侵,以及管理(或控制)来自内部使用人员访问外部网络的行为。由于这种安全与管理措施是在两个网的衔接部分实施的,管理的只是访问外部网络的行为,内部之间的访问行为根本无法到达边界上的防护设备,因此,用于网络边界上的安全防护和管理系统其防护方面比较强大,而管理方面较弱,这就是传统防火墙的功能,虽然防火墙的功能越来越大,但其管理功能基本也只能针对对外部访问行为的控制管理。
    由于安全和管理已经远远不只是对边界的防御和行为管理,网络内部同样需要这种防护和管理措施,而且这种要求越来越强烈,业内有人称20%的安全管理问题来自外部,80%的安全管理问题来自内部,这种说法已经流行了很长一段时间,但并没有引起人们的重视,其原因是大家主要担心的还是来自外部的破坏行为,对内部的担心较少,另外,没有受到人们重视的主要原因也可能是没有适合的解决方案或解决此类问题需要付出更大的代价。随着防范外部破坏行为的能力增强,内部安全和管理的问题就越来越突出。由于内部网络的规模越来越大,应用越来越多,业务对网络的依赖性越来越大,因此,解决内网的安全和管理问题,是整个网络安全下一步工作的主要内容。
    从技术角度讲,解决内网安全和管理的主要问题是核心安全防护和管理设备的性能问题。由于内部网络的带宽很大(100M-1000M),业务数据量也很大,因此,不能采用传统的安全防护和管理系统去解决内网的安全和管理问题,只能采用处理能力和效率更高的解决方案,符合这种高性能要求的解决方案只能采用全硬件化(ASIC技术)的解决方案。这种纯硬件的解决方案,可以完全透明、线速地应用在内网中,在开启全部安全防护和管理措施的情况下,对现有应用也不产生任何影响(包括运行效率),是能够真正适合内网应用环境的解决方案。
    从应用角度讲,边界防护和管理与内网防护和管理也不一样。边界防护是防御外部的攻击和入侵,而内网防护是防御内部攻击的泛滥;边界防护采取的是简单的隔离(外网、内网和DMZ区)和严格的防护措施,而内网防护采取的是复杂的隔离(按网络、链路、业务、用户等)和较严格的防护措施。边界访问行为管理只管理经由边界的使用行为,而内网访问行为管理是管理所有网络内部的使用行为;边界访问行为管理是通过过滤数据内容,进行访问业务的管理和访问目的的管理,而内网访问行为的管理是通过网络接入认证和授权(AAA),以及访问控制、网络资源管理和监控等综合手段进行的。
    从发展趋势看,网络技术与安全技术的结合是内网安全产品的发展趋势,这也正符合上述技术和应用的分析。网络技术已经实现了纯硬件化的进化过程,网络技术和安全技术的结合最终也将走向纯硬件化,并且形成多功能于一体的(ALL-IN-ONE)产品形态,这是高性能和管理便利要求的产物。
    金邦安讯的SG系列产品是解决内网安全和管理的技术领先产品,它可以应用于网络的接入层、汇聚层,以及网络的边界(兼顾)。不仅具备强大的安全防护功能,同时也具备强大的安全管理功能,它利用高效的硬件技术,将众多网络、安全、管理功能合为一体(ALL-IN-ONE),成为特别适合内网安全和管理的解决方案。
    防火墙—由于采用了ASIC技术,SG系列产品提供了真正的线速级的状态检测型防火墙功能,包括访问控制、地址转换、内容过滤、静态路由等。
    VPN—基于IPSec标准,支持多种协议和加密算法,VPN隧道数可达到40K。
    入侵防御—SG系列产品自身具有安全防护及隔离功能,通过速率限制、侦测、安全过滤等方式,以及设立自身保护机制(特殊报文保护机制、超负荷保护机制等),保护网络和自身系统不受外来的攻击和破坏。另外,系统也可实施网络隔离控制,进一步改善网络的安全性。同时,依据各监测和监控的要求和实际监测的数据,按不同等级触发告警机制,通知相关人员进行系统恢复和问题审核,对安全设置进行调整。
    内容过滤—支持各种网络协议和各种应用协议(如:HTTP、FTP、邮件、P2P、IM等)的协议解析,并实现基于内容的策略过滤控制。
    用户管理—通过本地或第三方用户认证和授权系统,对用户使用网络的合法性进行身份认证,支持多种认证方式,并通过授权用户的角色决定其访问网络的权限。通过监控流量,可以实现对用户的实时监控及访问网络服务监控,另外,还可根据策略、端口、方向进行流量监控。流量日志保留了完整的通信全过程信息(起止时间、维持时间、源地址和端口、目的地址和端口、登录的网站/服务器等),可以实现完整的网络运行审计和分析,为监管、计费和网络管理决策提供依据。
    隔离和访问控制—通过对用户、设备(MAC)、地址(IP)、接入端口(物理端口和VLAN)、服务的控制管理,实现基于网络和业务的隔离和访问控制,为网络中的各种业务提供可定制化的安全管理措施。
    带宽管理—通过分配网络带宽、网络服务质量、资源使用优先级等措施,可以保证一些重要用户拥有一定的网络资源使用优先权和质量保证,以保障核心业务的稳定运行。
     终端安全准入控制—可以通过与终端系统的互动,实现终端系统的安全检测和控制,限制不符合管理和安全要求(如:未安装杀毒和漏洞扫描系统等)的终端系统接入网路。
     审计和分析--通过对访问服务器的流量监控,可以实现对核心业务系统(如:核心数据库服务器、财务系统服务器、邮件服务器等)的监控和使用行为审计和分析。
     高可靠性—主机备份:支持多种实时自动检测技术,实时维护和备份用户数据,在异常情况下可自动执行主、备切换,保证系统可靠性。链路备份:SG系统具有强大的链路侦测和备份功能,支持多个上联链路/ISP连接方式,支持多种接入策略。同时对各个链路进行实时的链路侦测和分析,一旦发现链路故障,立即进行实时的链路切换备份,保证数据通信业务的流畅和稳定。
    网络处理—提供2~3层交换能力,支持透明模式、路由模式、NAT模式和混合模式,可适应各种网络拓扑结构下的应用
作者: woshihaike    时间: 2005-10-24 16:56     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

我对防火墙很信任
因为那规则是我亲手设置的
我只想说,防火墙 先关再开---先全关闭,用什么服务再开什么服务.
作者: 林一    时间: 2005-10-25 10:37     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

下面引用由woshihaike2005/10/24 04:56pm 发表的内容:
防火墙 先关再开---先全关闭,用什么服务再开什么服务.
对于边界防火墙可以这样说或这样使用,这种管理模式可以用于边界管理,但对于内网则不能采用这种管理方式,不能让所有的业务都先停下来吧,内网管理还要结合其他管理方式,如隔离、访问控制、AAA(用户认证和授权)等,这些措施对于边界管理效能是有限的.边界的管理是面向限制型的,而内网的管理是面向控制型的,金邦安讯的SG就是着重于解决内网安全和管理问题的措施和手段,即不影响现有的任何应用或业务,然后再逐渐将管理措施加上去
作者: 坏的刚刚好    时间: 2005-10-25 12:24     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

确实传统防火墙的包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的丢弃。
作者: oblivion    时间: 2005-10-25 16:42     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

用基于中间层驱动的内核级包过滤,这样不用组包,速度快,效率高,只要是网卡上传的数据报都可以截获。只要修改protocol.c文件中的PtReceive和PtReceivePacket就可以,但是他可移植性低。
作者: 枯藤    时间: 2005-10-25 18:06     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

下面引用由woshihaike2005/10/24 04:56pm 发表的内容:
我对防火墙很信任
因为那规则是我亲手设置的
我只想说,防火墙 先关再开---先全关闭,用什么服务再开什么服务.
我也弄过防火墙,但只懂的一点,我想说的是哪怕是只有两台机器,只要形成网络,那就不存在安全,,,,,,,安全只是相对的,所以我什么也部相信1
作者: 风三    时间: 2005-10-26 09:06     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

世界上的事都只能说是相对,不是绝对。没有不透风的墙哦
作者: 坏的刚刚好    时间: 2005-10-26 19:39     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

只要可以应用现有防火墙标准,就使用他们;
只有当现有标准不够时才制定新的防火墙规则;
只要新标准可用并能提高等价功能,就要准备使用新防火墙规则。
作者: 枯藤    时间: 2005-10-26 22:23     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

我不是说什么不好,我的意思是说没有什么相信不相信的,有防火墙也不是一定安全的,当然有防火墙总比把一台主机放在网上好啊!
安全只能说是比没有防火墙或是说比哪一款防火墙更好。
作者: 黑色叶子    时间: 2005-10-28 04:36     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

大家都在忽略一件事情,
现在的企业很多用防火墙并不是防黑客
而是在VLAN,VPN,地址转换上的应用
一个好的防火墙如果真用来防黑客是最好能和IDS联动的
作者: 林一    时间: 2005-10-28 14:44     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

下面引用由黑色叶子2005/10/28 04:36am 发表的内容:
大家都在忽略一件事情,
现在的企业很多用防火墙并不是防黑客
而是在VLAN,VPN,地址转换上的应用
一个好的防火墙如果真用来防黑客是最好能和IDS联动的
我们目前的SG智能网络安全管理系统不是单纯的防火墙,而是用于内网安全与管理的一个整合型产品,因此,作为边界防火墙,只是一种兼顾,更多的是用于内部的安全管理.我们的防火墙也把防火墙与IDS结合在一起了
作者: 林一    时间: 2005-10-28 15:11     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

下面引用由坏的刚刚好2005/10/25 12:24pm 发表的内容:
确实传统防火墙的包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的丢弃。
在防护方面,我们也是采用这种方法,但我们的策略配置要灵活得多,可以自己依据可管理的对象构成各种随意组合的配置,能够按照管理从粗到细的层面,实现各种管理要求,对于一些不正常使用网络的行为,如:攻击、入侵行为,我们采用模式匹配的方式和预设阀值的方式来控制,对于不符合策略允许的报文,我们也是采用丢弃的方式
作者: 林一    时间: 2005-10-28 15:19     标题: [原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)

下面引用由oblivion2005/10/25 04:42pm 发表的内容:
用基于中间层驱动的内核级包过滤,这样不用组包,速度快,效率高,只要是网卡上传的数据报都可以截获。只要修改protocol.c文件中的PtReceive和PtReceivePacket就可以,但是他可移植性低。
我们是ASIC技术的硬件防火墙,处理方式不一样.



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2