透视下一代安全网.docVIP

透视下一代安全网 　　摘 要： 随着时代的进步，网络已经成为人们工作、生活中不可或缺的一部分。但在这其中随之而来的则是网络安全的威胁问题也日益增大，为了真正解决这些应用时代的安全问题，以七层防护为核心的下一代安全网关应运而生。 中国论文网 /4/view-7023660.htm 　　关键词：传统安全网关及其安全漏洞 下一代安全网关NGSG 　　中图分类号：TP393 文献标识码：A 文章编号：1003-9082（2015）04-0003-02 　　据中国互联网络信息中心发布的第34次《中国互联网络发展状况统计报告》显示，截至2013年12月，中国网民规模达6.32亿，互联网普及率为46.9%。对于国内的各企业事业单位来说，网络建设更是方兴未艾。网民数量的持续增多，网络的带宽快速增大，为网络应用创造了良好的环境。继传统网页浏览、Email之后，网络视频会议、VPN企业私网、WEB 2.0、电子商务等各种应用也随之兴起，网络已经成为人们工作、生活中不可或缺的一部分。可以说，我们已经从“网络连通时代”进入到了“网络应用时代”。 　　伴随着网络应用的曾多，网络的规模进一步扩张，人们对网络依赖性也大大增强。随之而来的是，网络安全的威胁也日益增大，各种蠕虫、病毒、网络入侵、DDoS、泄密事件层出不穷，不断有造成百万、千万，甚至数以亿计的损失。 　　在这些威胁中，与“网络连通时代”最大的不同就在于，以应用为目标或载体的威胁日益增多。据国家互联网应急中心统计，在TCP各种应用统计中，流量排名前四位的是网页浏览、P2P下载、电子邮件和网上聊天工具。在防火墙等传统安全网关已经普及的情况下，TCP/IP的四层攻击已经受到越来越多的限制。因此，未来的攻击目标和层面正在逐渐转移到七层的应用上。这就给网络安全提出了一个新的严重挑战――如何在四层防护的基础上，完成对新型应用攻击的防护，从而能够保障“网络应用时代”的网络用户免受威胁之苦。 　　一、传统安全网关以及应用危胁 　　安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。 　　它是指设置在不同网络或网络安全域之间的一系列部件组合的统称。它可通过监测、限制、更改跨越安全网关的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，并通过检测阻断威胁，采用对网络数据加密等手段来实现网络和信息的安全。 　　在防火墙等传统安全网关大量普及的今天，网络安全问题还在日益扩大，这一方面是因为我国网络总量本身就在快速增大；另一方面，也说明传统安全网关不能有效制止这些新的安全问题，特别是无法有效解决应用层安全问题。 　　当前企业或者政府机关中的网络应用安全问题主要集中在以下几个方面： 　　1.非工作应用自身的危害。例如P2P视频或者下载占据大量带宽，从而影响正常业务带宽，而游戏和访问非法网站虽然不会造成流量问题，但也会造成员工工作效率的降低。 　　2.应用成为威胁的通道。一般四层安全网关采用封闭端口的方式限制非法应用，通常会打开80（Http）、110（pop3）等端口，确保网页浏览和邮件通讯等应用通行，很多蠕虫和攻击则专门借助这些端口，以应用的形式进入内部网络，从而形成攻击。另一方面，员工利用聊天工具、EMAIL等方式对外发送机密文件和数据，也使得应用成为对外泄密的通道。 　　3.应用成为攻击的目标。一些应用服务，例如WEB网站、邮件服务器、数据库是企事业单位业务的重要载体，但是很多攻击，例如DDoS的CC、蠕虫病毒等，完全针对上述应用进行攻击，一旦造成拒绝服务或者信息泄露，都将成为企事业单位的一场安全灾难。 　　在网络中，传统安全网关的主要功能是基于三层包过滤和四层状态监测等防护技术，无法对应用进行有效的监控、管理和防护。因此，各种各样的应用逐渐成为了网络安全难以监控的非管理区，如下图： 　　这一方面是因为创新应用的种类繁多、灵活多变，包括Smart Tunnel等各种技术可以随意改变应用的端口，各种攻击伪装技术可以仿冒Http、IM等各种应用软件，使得传统以静态端口或者特征为检测机制的安全网关对此毫无办法。 　　另一方面，对应用层的检测需要消耗安全网关的大量计算能力，没有好的硬件构架和软件算法，应用级防护将导致安全网关转发性能严重不足，从而丧失了其实用价值。 　　二、什么是下一代安全网关 　　下一代安全网关――Next Generation Security Gateway（NGSG），是在传统安全网关四层静态防护基础上发展起来的新一代安全网关。 　　为了真正解决这些应用时代的安全问题，以七层防护为核心的下一代安全网关应运而生。从链路层到应用层的全面检测，它利用了多种检测技术来满足，确保应用级的安全防护；其次在解决复杂检测防护技