网络边界---安全防护思想的演进
网络边界
---
安全防护思想的演进
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
Jack zhai
一、
网络边界上需要什么
人们为了解决资源的共享而建立了网络,然而全世界的计算机真的联成了网络,安全却成了问题,因为在网络上,你不清楚对方在哪里,泄密、***、病毒…越来越多的不安全因素让网络管理者难以安宁,所以把有安全需求的网络与不安全的网络分开,是没有办法的选择,分离形成了网络的“孤岛”,没有了连接,安全问题自然消失了。然而因噎废食不是个办法,没有连接,业务也无法互通,网络孤岛的资源在重复建设、浪费严重,并且随着信息化的深入,跑在各个网络上业务之间的信息共享需求日益强烈,比如:政府的内网与外网,需要面对公众服务;银行的数据网与互联网,需要支持网上交易;企业的办公与生产网,老总们的办公桌上不能总是两个终端吧;民航、铁路与交通部的信息网与互联网,网上预定与实时信息查询是便利出现的必然……
把不同安全级别的网络相连接,就产生了网络边界。防止来自网络外界的***就要在网络边界上建立可靠的安全防御措施。下面我们来看看网络边界上的安全问题都有哪些:
与非安全网络的互联面临的安全问题与网络内部的安全是不同的,主要的原因是***人是不可控的,***是不可溯源的,也没有办法去“封杀”,一般来说网络边界上的安全问题主要有下面几个方面:
1、
信息泄密:网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两种方式:
²
***者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密
²
合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密
2、
***者的***:互联网是世界级的大众网络,网络上有各种势力与团体。***就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种***是主动的、有目的、甚至是有组织的行为。
3、
网络病毒:与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的***行为。
4、
******:***的发展是一种新型的***行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。
来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。
由于有这些安全隐患的存在,在网络边界上,最容易受到的***方式有下面几种:
1、
******:***的过程是隐秘的,造成的后果是窃取数据与系统破坏。***的***也属于***的一种,只是***的方式采用的病毒传播,达到的效果与***一样。
2、
病毒***:病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,病毒的***方式就象“水”的***一样,看似漫无目的,实则无孔不入。
3、
网络***:网络***是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS***,虽然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种公开的***,***的目的一般是造成你服务的中断。
二、
边界防护的安全理念
我们把网络可以看作一个独立的对象,通过自身的属性,维持内部业务的运转。他的安全威胁来自内部与边界两个方面:内部是指网络的合法用户在使用网络资源的时候,发生的不合规的行为、误操作、恶意破坏等行为,也包括系统自身的健康,如软、硬件的稳定性带来的系统中断。边界是指网络与外界互通引起的安全问题,有***、病毒与***。
如何防护边界呢?对于公开的***,只有防护一条路,比如对付DDOS的***;但对于***的行为,其关键是对***的识别,识别出来后阻断它是容易的,但怎样区分正常的业务申请与***者的行为呢,是边界防护的重点与难点。
我们把网络与社会的安全管理做一个对比:要守住一座城,保护人民财产的安全,首先建立城墙,把城内与外界分割开来,阻断其与外界的所有联系,然后再修建几座城门,作为进出的检查关卡,监控进出的所有人员与车辆,是安全的第一种方法;为了防止***者的偷袭,再在外部挖出一条护城河,让敌人的行动暴露在宽阔的、可看见的空间里,为了通行,在河上架起吊桥,把路的使用主动权把握在自己的手中,控制通路的关闭时间是安全的第二种方法。对于已经悄悄混进城的“危险分子”,要在城内建立有效的安全监控体系,比如人人都有身份证、大街小巷的摄像监控网络、街道的安全联防组织,每个公民都是一名安全巡视员,顺便说一下:户籍制度、罪罚、联作等方式从老祖宗商鞅就开始在秦国使用了。只要***者稍有异样行为,就会被立即揪住,这是安全的第三种方法…
作为网络边界的安全建设,也采用同样的思路:控制***者的必然通道,设置不同层面的安全关卡,建立容易控制的“贸易”缓冲区,在区域内架设安全监控体系,对于进入网络的每个人进行跟踪,审计其行为……
三、
边界防护技术
从网络的诞生,就产生了网络的互联,Cisco公司就是靠此而兴起的。从没有什么安全功能的早期路由器,到防火墙的出现,网络边界一直在重复着***者与防护者的博弈,这么多年来,“道高一尺,魔高一丈”,好象防护技术总跟在***技术的后边,不停地打补丁。其实边界的防护技术也在博弈中逐渐成熟:
1、防火墙技术
网络隔离最初的形式是网段的隔离,因为不同的网段之间的通讯是通过路由器连通的,要限制某些网段之间不互通,或有条件地互通,就出现了访问控制技术,也就出现了防火墙,防火墙是不同网络互联时最初的安全网关。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
防火墙的安全设计原理来自于包过滤与应用代理技术,两边是连接不同网络的接口,中间是访问控制列表ACL,数据流要经过ACL的过滤才能通过。ACL有些象海关的身份证检查,检查的是你是哪个国家的人,但你是间谍还是游客就无法区分了,因为ACL控制的是网络的三层与四层,对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术,可以隐藏内网设备的IP地址,给内部网络蒙上面纱,成为外部“看不到”的灰盒子,给***增加了一定的难度。但是***技术可以让内网的机器主动与外界建立联系,从而“穿透”了NAT的“防护”,很多P2P应用也采用这种方式“攻破”了防火墙。
防火墙的作用就是建起了网络的“城门”,把住了进入网络的必经通道,所以在网络的边界安全设计中,防火墙成为不可缺的一部分。
防火墙的缺点是:不能对应用层识别,面对隐藏在应用中的病毒、***都好无办法。所以作为安全级别差异较大的网络互联,防火墙的安全性就远远不够了。
2、多重安全网关技术
既然一道防火墙不能解决各个层面的安全防护,就多上几道安全网关,如用于应用层***的IPS、用于对付病毒的AV、用于对付DDOS***的…此时UTM设备就诞生了,设计在一起是UTM,分开就是各种不同类型的安全网关。
多重安全网关就是在城门上多设几个关卡,有了职能的分工,有验证件的、有检查行李的、有查毒品的、有查间谍的…
多重安全网关的安全性显然比防火墙要好些,起码对各种常见的***与病毒都可以抵御。但是大多的多重安全网关都是通过特征识别来确认***的,这种方式速度快,不会带来明显的网络延迟,但也有它本身的固有缺陷,首先,应用特征的更新一般较快,目前最长也以周计算,所以网关要及时地“特征库升级”;其次,很多***的***利用“正常”的通讯,分散迂回进入,没有明显的特征,安全网关对于这类***能力很有限;最后,安全网关再多,也只是若干个检查站,一旦“混入”,进入到大门内部,网关就没有作用了。这也安全专家们对多重安全网关“信任不足”的原因吧。
3、网闸技术
网闸的安全思路来自于“不同时连接”。不同时连接两个网络,通过一个中间缓冲区来“摆渡”业务数据,业务实现了互通,“不连接”原则上***的可能性就小多了。
网闸只是单纯地摆渡数据,近似于人工的“U盘摆渡”方式。网闸的安全性来自于它摆渡的是“纯数据”还是“灰数据”,通过的内容清晰可见,“水至清则无鱼”,***与病毒没有了藏身之地,网络就相对安全了。也就是说,城门只让一种人通过,比如送菜的,间谍可混入的概率就大大降低了。但是,网闸作为网络的互联边界,必然要支持各种业务的连通,也就是某些通讯协议的通过,所以网闸上大多开通了协议的代理服务,就象城墙上开了一些特殊的通道,网闸的安全性就打了折扣,在对这些通道的安全检查方面,网闸比多重安全网关的检查功效不见得高明。
网闸的思想是先堵上,根据“城内”的需要再开一些小门,防火墙是先打开大门,对不希望的人再逐个禁止,两个思路刚好相反。在***的识别技术上差不多,所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。
后来网闸设计中出现了存储通道技术、单向通道技术等等,但都不能保证数据的“单纯性”,检查技术由于没有新的突破,所以网闸的安全性受到了专家们的质疑。
但是网闸给我们带来了两点启示:1、建立业务互通的缓冲区,既然连接有不安全的可能,单独开辟一块地区,缩小不安全的范围也是好办法。2、协议代理,其实防火墙也采用了代理的思想,不让来人进入到成内,你要什么服务我安排自己的人给你提供服务,网络访问的最终目的是业务的申请,我替你完成了,不也达到目的了吗?***在网络的大门外边,不进来,威胁就小多啦。
4、数据交换网技术
从防火墙到网闸,都是采用的关卡方式,“检查”的技术各有不同,但对***的最新***技术都不太好用,也没有监控的手段,对付“人”的***行为来说,只有人才是最好的对手。
数据交换网技术是基于缓冲区隔离的思想,把城门处修建了一个“数据交易市场”,形成两个缓冲区的隔离,同时引进银行系统对数据完整性保护的Clark-Wilson模型,在防止内部网络数据泄密的同时,保证数据的完整性,即没有授权的人不能修改数据,防止授权用户错误的修改,以及内外数据的一致性。
数据交换网技术给出了边界防护的一种新思路,用网络的方式实现数据交换,也是一种用“土地换安全”的策略。在两个网络间建立一个缓冲地,让“贸易往来”处于可控的范围之内。数据交换网技术比其他边界安全技术有显著的优势:
1、综合了使用多重安全网关与网闸,采用多层次的安全“关卡”。
2、有了缓冲空间,可以增加安全监控与审计,用专家来对付***的***,边界处于可控制的范围内,任何蛛丝马迹、风吹草动都逃不过监控者的眼睛。
3、业务的代理保证数据的完整性,业务代理也让外来的访问者止步于网络的交换区,所有的需求由服务人员提供,就象是来访的人只能在固定的接待区洽谈业务,不能进入到内部的办公区。
数据交换网技术针对的是大数据互通的网络互联,一般来说适合于下面的场合:
1、频繁业务互通的要求:要互通的业务数据量大,或有一定的实时性要求,人工方式肯定不够用,网关方式的保护性又显不足,比如银行的银联系统、海关的报关系统、社保的管理系统、公安的出入境管理系统、大型企业的内部网络(运行ERP)与Internet之间、公众图书馆系统等等。这些系统的突出特点都是其数据中心的重要性是不言而喻,但又与广大百姓与企业息息相关,业务要求提供互联网的访问,在安全性与业务适应性的要求下,业务互联需要用完整的安全技术来保障,选择数据交换网方式是适合的。
2、高密级网络的对外互联。高密级网络一般涉及国家机密,信息不能泄密是第一要素,也就是绝对不允许非授权人员的***。然而出于对公众信息的需求,或对大众网络与信息的监管,必须与非安全网络互联,若是监管之类的业务,业务流量也很大,并且实时性要求也高,在网络互联上选择数据交换网技术是适合的。
四、
总结
“魔高道高,道高魔高”。网络边界是两者长期博弈的“战场”,然而安全技术在“不断打补丁”的同时,也逐渐在向“主动防御、立体防护”的思想上迈进,边界防护的技术也在逐渐成熟,数据交换网技术就已经不再只是一个防护网关,而是一种边界安全网络,综合性的安全防护思路。也许安全的话题是永恒的,但未来的网络边界一定是越来越安全的,网络的优势就在于连通……