一、网络边界.docVIP

一、网络边界 1.网络边界基本概念 网络边界是一个网络的重要组成部分，负责对网络流量进行最初及最后的过滤，对一些公共服务器区进行保护，因此边界安全的有效部署对整网安全意义重大。网络边界通常理解就是企业网络与其他网络的分界线。事实上，我们应该把不同安全级别的网络网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。同一安全域的系统共享相同的安全策略，安全域划分的目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全等级保护的有效方法。 3.边界安全防护机制和措施 在GB/T 20271-2006 《信息安全技术 信息系统通用安全技术要求》中提到：根据对信息系统运行安全的不同要求，信息系统边界安全防护采用的安全机制和措施分为： 基本安全防护：采用常规的边界防护机制，如基本的登录/连接控制等，实现基本的信息系统边界安全防护； 较严格安全防护：采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 严格安全防护：根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的登录/连接机制， 高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等。 特别安全防护：采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特别安全要求的边界安全防护。 二、防火墙技术网络隔离最初的形式是网段的隔离，因为不同的网段之间的通讯是通过路由器连通的，要限制某些网段之间不互通，或有条件地互通，就出现了访问控制技术，也就出现了防火墙，防火墙是不同网络互联时最初的安全网关。防火墙防火墙的安全设计原理来自于包过滤与应用代理技术，两边是连接不同网络的接口，中间是访问控制列表ACL，数据流要经过ACL的过滤才能通过。因为ACL控制的是网络的三层与四层，对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术，可以隐藏内网设备的IP地址，给内部网络蒙上面纱，成为外部看不到的灰盒子，给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系，从而穿透NAT的防护， P2P应用也采用这种方式攻破了防火墙。 防火墙的作用就是建起了网络的城门，把住了进入网络的必经通道，所以在网络的边界安全设计中，防火墙成为不可缺的一部分。 防火墙的缺点是：不能对应用层识别，面对隐藏在应用中的病毒、木马都无办法。所以作为安全级别差异较大的网络互联，防火墙的安全性就远远不够了。 多重安全网关技术随着时间的演进，信息安全威胁开始逐步呈现出网络化和复杂化的态势。无论是从数量还是从形式方面，从前的安全威胁和恶意行为与现不可同日而语。安全厂商升级产品的检测数据库，系统厂商修补产品漏洞，而用户检查自己到底还有多少破绽暴露在攻击者的面前。既然一道防火墙不能解决各个层面的安全防护，就多上几道安全网关，如用于应用层入侵的IPS、用于对付病毒的、用于对付DDS攻击的此时UTMUnified Threat Management）安全网关设备就诞生了设计在一起是UTM，分开就是各种不同类型的安全网关。 多重安全网关的安全性显然比防火墙要好些，对各种常见的入侵与病毒都可以抵御。但是大多的多重安全网关都是通过特征识别来确认入侵的，这种方式速度快，不会带来明显的网络延迟，但也有它本身的固有缺陷，首先，应用特征的更新一般较快，目前最长也以周计算，所以网关要及时地特征库升级；其次，很多黑客的攻击利用正常的通讯，分散迂回进入，没有明显的特征，安全网关对于这类攻击能力很有限；最后，安全网关再多，也只是若干个检查站，一旦混入，进入到大门内部，网关就没有作用了。 网闸技术网闸的安全思路来自于不同时连接。不同时连接两个网络，通过一个中间缓冲区来摆渡业务数据，业务实现了互通，不连接原则上入侵的可能性就小多了。 网闸只是单纯地摆渡数据，近似于人工的U盘摆渡方式。网闸的安全性来自于它摆渡的是纯数据还是灰数据，通过的内容清晰可见，水至清则无鱼，入侵与病毒没有了藏身之地，网络就相对安全了。但是，网闸作为网络的互联边界，必然要支持各种业务的连通，也就是某些通讯协议的通过，所以网闸上大多开通了协议的代理服务，就象城墙上开了一些特殊的通道，网闸的安全性就打了折扣，在对这些通道的安全检查方面，网闸比多重安全网关的检查功效不见得高明。 网闸的思想是先堵上，根据城内的需要再开一些小门，防火墙是先打开大门，对不希望的人再逐个禁止，两个思路刚好相反。在入侵的识别技术上差不多，所以采用多重网关增加对应用层的识别与防护对两者都是很好的补充。网闸后来网闸设计中出现了存储通道技术、单向通道技术等等，但都不能保证数据的单纯性。 数据交