混合性威胁:
用多种方法和技术来传播和实施的攻击或威胁,因而必须有多种方法来保护和压制这种攻击或威胁。如: CodeRed. CodeRed II. CodeBlue. Nimda.
正如上面所提到的,必须通过修补操作系统漏洞来彻底消除利用漏洞传播的蠕虫影响。众所周知,Microsoft有专门的Update站点来发布最新的漏洞补丁,我们所需要做的,是下载补丁,安装并重新启动。但是在大型企业中实际实施却没有这么简单,修补不同操作系统的大量客户端,如Win98/Me/2000/XP/2003等,将是一件让人痛苦的工作,不仅部署时间长,还要花费大量的人力和时间,影响到企业的应用和业务的正常运转。尤其是在网络环境复杂的企业中,包含多个域多个工作组,或没有域的早期环境。如何在蠕虫和黑客还没有渗透到网络之前修补这些漏洞,如何将部署这些补丁对企业的运行影响减小到最低呢?我们的回答是,选择一套高效安全的桌面管理软件,来进行完善的企业IT管理: LANDesk Management Suite,即LANDesk管理套件,桌面管理市场的开创者和领导者。LANDesk专注于提供桌面管理市场的产品与服务,公司原属于Intel公司的软件部,拥有强大的管理团队与专业背景,全面支持混合平台环境。包括Windows平台,MAC平台,Linux平台,Unix平台,Solaris平台。可以在有域或无域环境中部署,尤其是操作系统补丁的检测收集与自动修补,通过LANDesk的目标多址广播(可大量减轻网络主干压力)、对等下载(即使用流行的BT下载原理)、动态带宽调整等技术优势,迅速的修补企业内部网络中的系统漏洞,不需要人工参与,不需要管理员去核对操作系统版本与状态,在无人职守或者非法中断的情况下会在下次自动完成部署任务,断点续传。因为篇幅的原因,LANDesk的更多优势,如IT资产管理,软件授权监视,系统安全服务状态,禁止外设(USB,1394,无线,CD-ROM)OS操作系统迁移,软件分发,软件许可监控等功能,请通过 www.Landesk.com.cn 获得更详尽的信息。
真正的安全:整体集成安全解决方案 + 同时更新 = 真正的安全
通过在内部网络中的每台工作站上部署防病毒,防火墙,入侵检测,补丁管理与系统监控,我们可以集中收集内部网络中的威胁,分析面对的风险,灵活适当的调整安全管理策略。但这仅仅是不够的,还有另外一个重要的部分,就是从网络结构上的接入层,汇聚层和核心交换层设备上做好访问控制与流量管理。
其次是网络结构的安全性,管理人员都知道,通过部署多层交换机,实现多个VLAN和快速收敛的路由,是保证网络结构的可靠性与强壮性的最佳方法。在划分了多个逻辑网络和建立符合应用的ACL的同时,我们更希望能收集和归纳出整个网络的更多安全信息,包括流量的管理,QoS,入侵行为和用户访问信息。仅通过网络设备提供的日志,SNMP管理是远远不够的,现今的方法是通过部署IDS/IPS来实现。在核心的节点部署IDS/IPS探点,采集和汇总数据包的完整信息,提供给管理人员分析是正确的方法。当然了,这也要求管理人员的技术水平达到一定的高度,并且会耗费一部分时间用于分析日志。入侵检测系统能与其他的网络设备联动,减少误报,共同响应与阻断威胁,将是未来的发展趋势和重点。
网络的核心区域包括核心交换机,核心路由器等重要设备,它们负担整个网络的核心数据的转发,并且连接着DMZ区的各个关键应用,如OA系统,ERP系统,CRM系统,对内或对外的Web服务器,数据库服务器等。从安全的角度来说,这个区域是最关键的,也是风险最集中的区域。我们遇到的矛盾是,既要不影响DMZ区应用的可用性和友好性,又要保证其访问的安全性与审核。很多情况下我们不但要在网络的边界部署防火墙,也要在这个区域部署为保护DMZ等类似的关键区域的防火墙。
存在的矛盾:如果部署安全策略,在提高安全性的同时,势必会影响其可用性。这个矛盾是不可调和的。
与边界防火墙不同的是,关键区域的防火墙主要是面对内部用户,保护重要服务和资源的访问控制与完善安全日志的收集。边界防火墙不仅仅要防御来自外部的各种威胁,比如扫描,渗透,入侵,拒绝服务攻击等攻击,也要提供诸如NAT服务,出站控制,远程VPN用户和移动用户访问的授权等。我们可以将各种防御的职能根据网络的结构和提供的应用来分派到两类防火墙上来。即内部防火墙重点保护DMZ区域,提供深层次的检测与告警。因为一旦涉及到数据包深入检测,将会大大影响设备的性能。而这是对边界防火墙要求高性能数据过滤和转发,不成为出口瓶颈所不能容忍的。管理人员应该先充分了解网络的特点与用途,结合设备与现有的网络环境灵活部署,才能达到较高可用性与安全性的平衡。
如今的防火墙的功能越来越强大,这里我们选择业界一流的防火墙CheckPoint的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。
简单来说,状态检测技术工作在OSI参考模型的Data Link与Network层之间,数据包在操作系统内核中,在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表,Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。对状态和上下文信息的收集使得CheckPoint防火墙不仅能跟踪TCP会话,也能智能处理无连接协议,如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前,必须有内部网络的某一台客户端发出了请求,而且如果没有受到响应,端口也不会处于开放的状态。状态检测对流量的控制效率是很高的,同时对于防火墙的负载和网络数据流增加的延迟也是非常小。可以保证整个防火墙快速,有效的控制数据的进出和做出控制决策。
在Web环境中,威胁来自于多个方面,从端点到传输到边界,最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。传统的防火墙的功能对于Web的保护相当有限,比如,无法深入检测HTTP的内容,不能理解 Web 应用的上下文,性能低下,无法提前部署与防御等等。CheckPoint的Web Intelligence,有一种名为Malicious Code Protector(可疑代码防护器)来提供对应用层的保护。比如,Web会话是否符合RFC的标准不能包含二进制数据;协议使用是否为预期或典型的;应用是否引入了有害的数据或命令;应用是否执行了未授权的操作或引入了有害的可执行代码等。如何去判断上述的一些威胁呢?MCP使用了通过分拆及分析嵌入在网络传输中的可执行代码,模拟行来判断攻击,将可执行代码放置到一个虚拟的仿真服务器中运行,检测是否对虚拟系统造成威胁,最终来决定是否定义为攻击行为。该技术最大的优势是可以非常精确的阻止已知和未知攻击,并且误报率相当低。
通过多种技术的协同防护,可以保证在网络边界对访问进行控制,但是,随着VPN网络和远程移动办公用户的接入增多,网络边界的概念在如今已经非常模糊了。很明显的,网络的边界已经拓展到实际用户的桌面端。所以还是回到了我们文章一开始谈到的,网络安全是需要综合的部署和完善的策略来做保证的。企业的网络安全是一项综合性很强的工作,并且持续的时间将随着整个拓扑和应用的周期而扩展。企业内部安全的很多部分本文都没有提到,如服务器的加固,无线安全,反垃圾邮件系统,风险评估,安全检测等,因为篇幅的关系,希望下次有机会继续与各位探讨和学习,谢谢。
网络教育课程开发研究
中文搜索引擎技术揭密:网络蜘蛛