[原创]防火墙,如何更好加强内网安全与管理(欢迎讨论)
[这个贴子最后由黑色叶子在 2005/10/24 05:01pm 第 4 次编辑]
随着互联网应用的飞速发展,网络安全越来越受到各级用户的普遍关注,有效利用现有的安全技术和安全产品来保障系统与网络正常运行成了人们比较关注的问题。运用防火墙则是保障网络运维的一个重要手段。目前很多用户使用的防火墙是设置在不同网络间的部件,它只在网络边界设置一个屏障,把整个网络分为可信任的内部网与不可信的公共网来进行隔离防护,这远远不能保障网络的正常运维。
对于网络安全,其实是指网络的安全防护与管理,因为只有基本管理措施到位的前提下,才能谈得上网络的安全问题。基于一般网络的构成情况,网络安全与管理需要有两个层面的工作要做:其一是内网与外网的衔接部分的安全防护与管理;其二是内部网络的安全防护和管理。现在大家主要关注的是第一部分安全防护和管理问题,这部分主要是防御来自外部(互联网等)的攻击和入侵,以及管理(或控制)来自内部使用人员访问外部网络的行为。由于这种安全与管理措施是在两个网的衔接部分实施的,管理的只是访问外部网络的行为,内部之间的访问行为根本无法到达边界上的防护设备,因此,用于网络边界上的安全防护和管理系统其防护方面比较强大,而管理方面较弱,这就是传统防火墙的功能,虽然防火墙的功能越来越大,但其管理功能基本也只能针对对外部访问行为的控制管理。
由于安全和管理已经远远不只是对边界的防御和行为管理,网络内部同样需要这种防护和管理措施,而且这种要求越来越强烈,业内有人称20%的安全管理问题来自外部,80%的安全管理问题来自内部,这种说法已经流行了很长一段时间,但并没有引起人们的重视,其原因是大家主要担心的还是来自外部的破坏行为,对内部的担心较少,另外,没有受到人们重视的主要原因也可能是没有适合的解决方案或解决此类问题需要付出更大的代价。随着防范外部破坏行为的能力增强,内部安全和管理的问题就越来越突出。由于内部网络的规模越来越大,应用越来越多,业务对网络的依赖性越来越大,因此,解决内网的安全和管理问题,是整个网络安全下一步工作的主要内容。
从技术角度讲,解决内网安全和管理的主要问题是核心安全防护和管理设备的性能问题。由于内部网络的带宽很大(100M-1000M),业务数据量也很大,因此,不能采用传统的安全防护和管理系统去解决内网的安全和管理问题,只能采用处理能力和效率更高的解决方案,符合这种高性能要求的解决方案只能采用全硬件化(ASIC技术)的解决方案。这种纯硬件的解决方案,可以完全透明、线速地应用在内网中,在开启全部安全防护和管理措施的情况下,对现有应用也不产生任何影响(包括运行效率),是能够真正适合内网应用环境的解决方案。
从应用角度讲,边界防护和管理与内网防护和管理也不一样。边界防护是防御外部的攻击和入侵,而内网防护是防御内部攻击的泛滥;边界防护采取的是简单的隔离(外网、内网和DMZ区)和严格的防护措施,而内网防护采取的是复杂的隔离(按网络、链路、业务、用户等)和较严格的防护措施。边界访问行为管理只管理经由边界的使用行为,而内网访问行为管理是管理所有网络内部的使用行为;边界访问行为管理是通过过滤数据内容,进行访问业务的管理和访问目的的管理,而内网访问行为的管理是通过网络接入认证和授权(AAA),以及访问控制、网络资源管理和监控等综合手段进行的。
从发展趋势看,网络技术与安全技术的结合是内网安全产品的发展趋势,这也正符合上述技术和应用的分析。网络技术已经实现了纯硬件化的进化过程,网络技术和安全技术的结合最终也将走向纯硬件化,并且形成多功能于一体的(ALL-IN-ONE)产品形态,这是高性能和管理便利要求的产物。
金邦安讯的SG系列产品是解决内网安全和管理的技术领先产品,它可以应用于网络的接入层、汇聚层,以及网络的边界(兼顾)。不仅具备强大的安全防护功能,同时也具备强大的安全管理功能,它利用高效的硬件技术,将众多网络、安全、管理功能合为一体(ALL-IN-ONE),成为特别适合内网安全和管理的解决方案。
防火墙—由于采用了ASIC技术,SG系列产品提供了真正的线速级的状态检测型防火墙功能,包括访问控制、地址转换、内容过滤、静态路由等。
VPN—基于IPSec标准,支持多种协议和加密算法,VPN隧道数可达到40K。
入侵防御—SG系列产品自身具有安全防护及隔离功能,通过速率限制、侦测、安全过滤等方式,以及设立自身保护机制(特殊报文保护机制、超负荷保护机制等),保护网络和自身系统不受外来的攻击和破坏。另外,系统也可实施网络隔离控制,进一步改善网络的安全性。同时,依据各监测和监控的要求和实际监测的数据,按不同等级触发告警机制,通知相关人员进行系统恢复和问题审核,对安全设置进行调整。
内容过滤—支持各种网络协议和各种应用协议(如:HTTP、FTP、邮件、P2P、IM等)的协议解析,并实现基于内容的策略过滤控制。
用户管理—通过本地或第三方用户认证和授权系统,对用户使用网络的合法性进行身份认证,支持多种认证方式,并通过授权用户的角色决定其访问网络的权限。通过监控流量,可以实现对用户的实时监控及访问网络服务监控,另外,还可根据策略、端口、方向进行流量监控。流量日志保留了完整的通信全过程信息(起止时间、维持时间、源地址和端口、目的地址和端口、登录的网站/服务器等),可以实现完整的网络运行审计和分析,为监管、计费和网络管理决策提供依据。
隔离和访问控制—通过对用户、设备(MAC)、地址(IP)、接入端口(物理端口和VLAN)、服务的控制管理,实现基于网络和业务的隔离和访问控制,为网络中的各种业务提供可定制化的安全管理措施。
带宽管理—通过分配网络带宽、网络服务质量、资源使用优先级等措施,可以保证一些重要用户拥有一定的网络资源使用优先权和质量保证,以保障核心业务的稳定运行。
终端安全准入控制—可以通过与终端系统的互动,实现终端系统的安全检测和控制,限制不符合管理和安全要求(如:未安装杀毒和漏洞扫描系统等)的终端系统接入网路。
审计和分析--通过对访问服务器的流量监控,可以实现对核心业务系统(如:核心数据库服务器、财务系统服务器、邮件服务器等)的监控和使用行为审计和分析。
高可靠性—主机备份:支持多种实时自动检测技术,实时维护和备份用户数据,在异常情况下可自动执行主、备切换,保证系统可靠性。链路备份:SG系统具有强大的链路侦测和备份功能,支持多个上联链路/ISP连接方式,支持多种接入策略。同时对各个链路进行实时的链路侦测和分析,一旦发现链路故障,立即进行实时的链路切换备份,保证数据通信业务的流畅和稳定。
网络处理—提供2~3层交换能力,支持透明模式、路由模式、NAT模式和混合模式,可适应各种网络拓扑结构下的应用 |
