|
[周报全文]以变制快—网络安全产品技术发展趋势 查看评论 2005年08月30日 16:03分 作者: 来源:$page.getbromedia()
摘要:以防火墙、防病毒软件和ids为首的安全产品中,越来越多地体现出了主动防御的特性,从而给用户带来了越来越多的信心。
相关白皮书:
ids:强调可用性 “ids会被ips取代”、 “ids要和防火墙联动”……这两年来,市场上关于ids的技术观点层出不穷。但是,这些概念更多地是在炒作。 长期以来,ids的“漏报”和“误报”问题一直困扰着用户。加强攻击检测是减少“漏报”和“误报”现象的首要手段。过去,攻击检测是ids的全部。而今天,它只是ids的一个重要方面。ids要实现全面关注网络健康,还应该能够做到帮助用户对检测内容进行深层次的分析,主动防御,最终提交给用户一份有意义的报告。 在某些ids产品中已经新增加了内容恢复和应用审计功能,能针对常用的多种应用协议,比如http、ftp、smtp、pop3、telnet、nntp、imap、dns、rlogin、msn等进行内容恢复,能完全真实地记录通信的全部过程与内容,并将其进行回放。此功能对于了解攻击者的攻击过程、监控内部网络中的用户是否滥用网络资源、发现未知的攻击具有重要和积极的作用。例如,在恢复http的通信内容时,可恢复出其中的文本与图形等信息;而应用内容的审计则可发现内部的攻击,了解哪些人员查看了不该查看的内容。 此外,实时监测网络流量并及时发现攻击行为,亦是ids的一项基本特征。现在的ids产品增加了对网络实时监控和诊断功能,尤其是增加了扫描器,能对全网络进行主动扫描,实时发现网络中的异常,并给出详细的检测报告。 这种在审计和监控等多项功能上得到加强的ids已经超越了传统意义上的ids,是适用于用户需求、保护用户网络健康的新型ids。 ips:御敌于网外 入侵防护系统(ips)的检测功能类似于ids,但ips检测到攻击后会采取行动阻止攻击。真正的入侵防护解决方案,可使企业不必进行分析即可采取措施保护系统。同时,它可防止攻击对操作系统、应用程序和数据造成损坏。一个理想的入侵防护解决方案应该包括以下8大特点: 1. 主动、实时预防攻击。ips解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击,并防止它进入重要的服务器资源。 2. 补丁等待保护。补丁管理是一个复杂的过程。在补丁被开发和安装之间,黑客会对服务器和重要数据造成破坏,入侵防护解决方案需要为系统管理员提供补丁等待期内的保护和足够的时间,以测试并安装补丁。 3. 保护每个重要的服务器。服务器中有最敏感的企业数据,是大多数黑客攻击的主要目标。所以,拥有专门为保护服务器定制的入侵防护解决方案十分重要。 4. 签名和行为规则。检测入侵最有效的方法是采取混合方式,即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知攻击保护,而同时将误报率保持在最低,从而无须做出任何损失性让步。 5. 深层防护。强大的安全都是基于深度防御的概念,可进行深层防护。 6. 可管理性。理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和代理程序利用,从而降低安装并维护大型安全产品的成本。 7. 可扩展性。企业级入侵防护解决方案必须可升级,以满足企业不断发展的需求,而同时保持高水平的安全。可扩展性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理,以满足大型分散式企业的需求。 8. 经验证的防护技术。企业要确认所选择的ips解决方案是否采用了业界先进的新技术,是否经过充分测试、使用,并在受到持续不断地维护,这一点很重要。 ssl vpn:越走越宽的安全大道 在vpn领域,ssl vpn无疑是个新贵。总体来看,ssl vpn还没有达到厂商们期望的大规模应用,然而种种迹象表明,ssl vpn的前景看好。 一份最近的研究表明,近90%的企业利用vpn进行的内部网和外部网的连接都只是用来进行internet访问和电子邮件通信,而这些应用都利用了一种更加简单的vpn技术——ssl vpn。基于ssl协议的vpn远程访问方案的确更加容易配置和管理,由于不需要客户端软件,网络配置成本比起目前主流的ipsec vpn要低很多,所以许多企业已经开始利用基于ssl加密协议的远程访问技术来实现vpn通信了。 ssl vpn的优势包括: ◆由于客户端与ssl vpn网关之间实现高强度的加密信息传输,因此虽然信息传输是通过公网进行的,但是其安全性是可以得到保证的。第三方即使可以得到传输数据,但是却无法得到隐藏在其中的明文信息; ◆ssl vpn的访问要经过认证和授权,充分保证用户身份的合法性。如果请求连接的用户没有合法身份,则ssl vpn将拒绝其连接请求,从而限制了非法用户对内网的访问; ◆ssl vpn方案实施起来非常简单,只需要在企业的数据中心部署ssl vpn网关即可,无需在各分支机构部署硬件或软件设备。ssl vpn方案是无客户端的vpn方案,客户端只需要具备标准的浏览器即可。ssl vpn的管理工作属于集中管理和集中维护模式,可以极大地降低管理和维护成本。 在去年的时候,ssl vpn的性能曾经遭到过质疑。在《网络世界》评测实验室组织的2005年度ssl vpn网关公开比较评测中,我们发现,性能已不是问题,ssl vpn完全可以满足用户在远程安全连接方面的需求。据我们了解,即便是最高端的用户,也很少会分配高达100mbps的带宽给ssl vpn应用,再加上internet网速受多方面影响,因此,从实际吞吐量角度看,100mbps是实际应用环境的极限。而且vpn设备可以提供数据压缩能力,即数据经过压缩后向外网发送,这可使用户更加有效地利用昂贵的带宽资源。 utm:性能功能两手抓 统一威胁管理(utm)是将企业防火墙、入侵检测和防御以及防病毒结合于一体的设备。idc极为看好utm设备,并认为utm市场到2008年时,将占有整个信息安全市场的半壁江山,达到57.6%。 由于集成了多个功能,因此utm的性能提升是一个发展方向,这取决于硬件技术的发展。除了性能之外,utm的功能也在不断的升级,以实现更主动的防御。比如sonicwall的产品中就新加入了反间谍软件,能够封堵最新的聊天软件skype、bt、emule等等。还有fortinet的实时扫描技术在其产品中的应用,使网络防毒墙这一产品形态真正靠近了用户需求。它集成状态防火墙功能,并对报文进行流还原、深度检查,从而在报文转发过程中对网络数据进行病毒扫描,实现病毒实时扫描的产品,解决了用户对各个终端不能有效监控的问题,至少对病毒的来源之一——网络进行了有效的封堵,能解决用户的实际问题。 utm要想被用户广泛接受和认可,还有一个重要的工作要做,那就是提高utm的稳定性和防范的有效性。因为各安全功能在同一个系统中工作,各功能之间需要保证完全的协调和稳定。另外,utm设备需要加强逻辑关系分析,提升关联性。 (责任编辑:admin) |
