纳金网

标题: 应用安全网络安全应用趋势 [打印本页]

作者: 晃晃 时间: 2011-8-25 09:07
标题: 应用安全网络安全应用趋势
由于网络具备开放共享的本质特征，这就决定了其不可避免地会直接面临各种安全威胁。1986年，美国Digital公司在Internet上安装了全球第一个商用防火墙系统，防火墙的概念从此诞生了，并在过去的二十多年中，逐步形成了包含防火墙/VPN、IDS、IPS、防病毒等数十种网络安全产品，以及ISO27000、BS7799、等级保护等安全管理标准和方法。同时，市场需求的急剧上升也快速催生了大大小小数百家网络安全厂商。但是，受

制于企业信息成熟度和安全技术积累的不足，目前大多数企业的安全防护手段仍然比较单一，主要是在出现问题的薄弱环节或有可能出现问题的关键节点部署防护设备，且防火墙在其中占据了绝大的比重。
但从上世纪末开始，随着信息技术的飞速发展，企业网络边界逐渐“消失”，单纯的关键节点安全防护已无法独立完成内外网的全面安全防护任务；视频点播、视频会议、P2P等应用的盛行，造成网络流量急剧增大，基于X86架构低性能安全设备已无法部署于日益增多的千兆级及以上网络环境； Internet流量变得异常复杂，应用和系统脆弱性漏洞成指数型增长，针对漏洞攻击的目的性越来越强、攻击时间越来越短，任何一个漏洞被利用和攻击，都可能对其承载业务造成灾难性的影响，单点防护技术已显得过于简单和被动，根本无法应对形形色色的零日攻击、蠕虫/木马、SQL注入、网页篡改、DDoS等2－7层威胁实时防护要求......
网络和安全建设相分离的传统防护方式，具有部署简单的优点，但也同时具有防护被动、性能衰减大、管理割裂等缺点，无论是从技术上和还是管理上，都无法确保信息在目前新的安全形势下的保密性、完整性和可用性。对于如何做到网络的有效安全防护，坚持“面向安全的网络设计”，将网络与安全相互融合、相互协作、相互集成，是目前最有效的方法。不同的企业对网络安全的视角不尽相同，一般会从所保护对象的重要性和依赖性角度来制订适用于自身的安全目标，如ISP关注DDoS、政府关注网页篡改、金融关注SQL注入等等。安全目标的不同，决定了企业在对网络安全进行规划、设计、实施与维护的过程中，需要根据场景和应用制定统一的安全策略，设计合理的技术框架与管理框架，最终形成有效的信息安全管理体系，来彻底提升网络的安全属性。只有如此，才能将安全贯穿到网络及应用的每一个元素中，才能根据业务需求构建性能无衰减的高性能安全网络，也才能从根本上解决网络和安全的统一管理问题，将整网分散的各种产品形态捏成一个强有力的拳头。
安全与网络融合的理念正逐步为市场所接受，这为专业安全市场带来了深刻的变化。近年来，Cisco、Juniper纷纷收购安全厂商，网络厂商已成为主流的网络与安全解决方案供应商。根据中国公安部的最新统计，国内的防火墙市场目前仅剩下102个厂家和161种产品。也就是说从2005年以来，三分之二的防火墙品牌已经消失，而生存下来的防火墙产品也开始支持诸如OSPF等网络特性。这充分说明安全与网络融合乃大势所趋，已经为市场所广泛接受。
网络安全理论和标准体系的快速发展，一方面得益于国家对信息安全的逐步重视，另一方面也和各厂商不断跟进最新安全技术、不断推出满足企业实际需求的产品密切相关。企业在扩充自身安全体系时，受制于资金和人力的限制，都希望选择性价比最高的安全产品。但市场上安全产品类型琳琅满目，不同厂商所提供的产品功能也是五花八门，并出现各种技术及理念之争，这些都导致企业经常出现所选产品与实际需求不符、扩展性差、重复投资等问题的直接原因。如何把握未来网络安全产品的应用趋势并选择合适的安全产品，是企业在实施阶段的需要解决的最核心问题。
以下就挑选目前争论最激烈的UTM与防火墙、IDS与IPS进行对比和分析：
1、UTM与防火墙。
防火墙一直以安全区域隔离和访问控制为主要功能，注重稳定和高性能，而UTM（United Threat Management，统一威胁管理）一直以多功能、低性能的统一安全网关形象出现在大众视野。近几年来，UTM和防火墙之争一直是业界关注的焦点，并主要存在两种说法：
1) UTM功能远超防火墙，未来必然将替代防火墙；
2) UTM无法实际应用，必然将会被淘汰。
孰是孰非难以定论，我们不妨从技术和应用角度做以分析。
从技术上看，防火墙工作在七层网络协议的第三层，采用状态检测技术检查和转发TCP/IP包，从而实现安全区域的隔离和访问控制，技术较为成熟，可应用于各种复杂网络环境，目前也有了万兆甚至超万兆性能的防火墙。但防火墙一般采用X86或NP架构，防病毒、入侵检测与防护等七层功能很难得到扩展，业界一般通过扩展硬件加速板卡的方式进行四～七层功能的扩展。这种通过硬件扩展实现的方式不但灵活性低，成本也高。UTM的核心功能与专业的防火墙基本一致，但它是基于多核硬件平台和层次化防火墙策略，可通过软件增强防病毒、入侵检测与防护等扩展功能。这种通过软件实现的方式具有灵活性高、成本较低的优势，因此UTM可以认为是深度检测防火墙的典型代表。
从应用场景来看，UTM与防火墙相辅相成、不可或缺。在实际应用中，一般可分为园区网、数据中心和广域网三种情况，它们所面临的威胁来源、种类、防护重点都各不相同：园区网侧重关注访问控制和防病毒，数据中心侧重关注DDoS攻击防护，广域网侧重关注互联通道的加密、链路负载均衡、防病毒、流量控制等。园区网和数据中心的流量比较集中，对数据转发和处理性能要求较高，对安全防护的需求也比较明确，适合于防火墙的部署；而广域网相对分散，安全设备部署数量多、可扩展要求高、性能要求相对较低，适合于UTM部署。因此，UTM与防火墙并没有谁替换谁的问题，只是适用的场景不同，这几年的并行发展也证明了两者在应用中相辅相成、不可或缺。
2、IDS与IPS。
这是一个不少用户会遇到的普遍问题：防范恶意攻击、降低安全风险应该用入侵检测系统IDS还是入侵防御系统IPS？IDS与IPS是一对联系紧密的安全技术，相互之间既有相同点也存在竞争。IDS以旁路侦听模式部署，主要实现网络攻击的检测和分析，由于IDS无法对攻击进行阻断，因此可将其视为查找和评估风险的设备，是风险事件记录的主体；IPS的出现，主要是为了解决IDS旁路侦听模式的弊端，一般以在线模式部署对攻击实时阻断，可将其视为阻断风险的设备。
近几年来，IPS的发展非常迅速，从技术上看，IPS和IDS互相配合；但从产品形态上看，IPS开始融合IDS，并有逐步取代IDS之势。目前，一些主流IDS厂商开始推出IPS，并逐步减少IDS的研发投入：一是近几年来随着IPS检测精确度、处理性能的大幅提高，大量金融、运营商、电力等高端应用行业开始接受IPS，并有序地进行IPS的规模部署；另一方面，IPS开始支持“IPS”、“IDS”或“IPS+IDS”混合三种部署模式，灵活的混合部署模式，大大提高了其场景适应性，满足各种环境下的应用需求。
从上述UTM/防火墙、IDS/IPS的对比分析不难看出，虽然由于应用的多样性、个性化催生出安全产品/技术的多样性、个性化，但网络安全防护产品/技术从被动、单一、低性能向主动、智能、高性能发展的总体趋势不会改变。
安全网络的建设是一个系统性工程，不是靠部署某一两款产品就能解决的，它需要覆盖终端、网络、应用、系统、数据、管理等多个方面。同时，由于企业业务及其IT架构的动态变化，也决定了网络安全建设不是一促而蹴的，而是一个由规划、实施、检查和提高阶梯式上升的循环过程。网络安全建设看似困难，但无论其设计方法多么复杂、产品形态多么丰富、技术发展多么迅速，企业只要清楚自身面临的安全风险并明确相应的安全目标，并坚持以“保证业务的持续可用”为安全建设原则，就可以避开各种干扰，完成最佳的网络安全建设。

作者: Asen 时间: 2011-9-6 09:19

作者: C.R.CAN 时间: 2012-1-6 19:48
无聊时可以刷屏幕灌水也可以试试帖子的标题究竟可以写多长

作者: C.R.CAN 时间: 2012-2-12 23:30
路过……

作者: C.R.CAN 时间: 2012-2-14 23:25
先垫一块，再说鸟

作者: 菜刀吻电线 时间: 2012-4-29 23:25
提醒猪猪，千万不能让你看见

作者: 菜刀吻电线 时间: 2012-10-27 23:29
其实楼主所说的这些，俺支很少用！

作者: 奇 时间: 2012-12-9 23:20
凡系斑竹滴话要听；凡系朋友滴帖要顶

作者: tc 时间: 2013-2-9 23:37
都闪开，介个帖子，偶来顶

欢迎光临纳金网 (http://go.narkii.com/club/)