順應潮流:網絡安全產品技術發展趨勢二

2019-11-04 23:46:18

字體：大中小

來源：轉載

供稿：網友

　　新一代NP技術
　　
　　用CPU、ASIC還是NP，一直是大家不斷爭論的一個問題，其實這個問題非常簡單。在能達到同樣性能的情況下，優選CPU，其次是NP，然后是ASIC。目前很多廠商使用CPU+特定業務ASIC來實現高速處理，這是比較常見的方式。在性能不能解決的情況下，選擇NP是必然的做法。但不管是IBM，還是Intel的NP，一個主要問題是開發成本太高，微碼的開發難度和進度都不是普通公司能夠短期搞定的，而帶來的維護成本和對客戶的響應速度都是很大的問題。這兩年推出的新一代網絡業務NP，通過直接集成多個通用CPU在一個處理器中，既可以保證高性能，又能借助軟件的靈活性處理高層業務數據。新一代NP直接支持C語言和標準協議棧，性能高達10G，是期望中的業務網關處理芯片。使用新一代NP技術的防火墻將會獲得性能和功能上兩全的保障。
　　
　　防火墻深包檢測
　　
　　防火墻最初的功能就是進行訪問控制、狀態檢測，以及地址轉換功能。通過對報文網絡層信息的檢測，來實現在網絡層上對報文的控制。比如，哪些用戶可以訪問哪些地址(訪問控制)，哪些流量可以從外網進入內網(狀態檢測)，如何隱藏內部網絡的地址(地址轉換)。隨著網絡應用的發展，高層協議得到越來越多的應用，互聯網也從多種協議并駕齊驅發展成少數應用協議成為主流。而針對這些協議，用戶需要進行控制。比如，需要控制用戶不能訪問非法網址，帶有惡意信息的報文不能進入內網。而這些功能，僅僅依靠傳統防火墻技術實現的對網絡層信息進行檢查和判定，是不能實現的，需要檢查報文中的更深層次的內容，于是發展出了深度檢測技術。深度檢測可以檢測報文中的內容信息，從而實現URL過濾、FTP命令過濾、網頁中ActiveX控件過濾等功能，達到控制應用內容的目的。集成深包檢測的防火墻將會越來越多。通過深包檢測對內容進行控制，而不僅僅是對網絡層信息進行控制，使防火墻對智能攻擊有了主動防護能力。
　　
　　應用狀態檢測
　　
　　安全領域中長期依靠、發揮最大作用的無非是狀態防火墻，通過協議狀態檢測技術實現數據訪問單向流動，從而有效的保護內部網絡不受攻擊。而對服務器，采取暴露端口的形式。隨著應用的增多和對安全性要求的提高，對這種開放端口的服務器同樣需要保護，在網絡層狀態檢查的基礎上需要擴展到應用層的狀態檢查，從而對暴露在網絡中的服務器進行保護。這種趨勢會產生一系列的應用層安全網關，比如Web安全網關、語音安全網關等專用協議網關。當然，其網絡位置不必是整個網絡的出口，只要在保護資源的通路上即可。目前的專有過濾網關就是這一趨勢的一個表現。這種技術在具體產品形態上表現為:防垃圾郵件網關——針對目前網絡垃圾郵件泛濫的產品;應用防火墻——專門保護應用層安全的防火墻，其中的代表是Web應用防火墻。
　　
　　安全技術融合
　　
　　傳統的網絡層安全技術，如NAT、狀態防火墻、VPN將不再作為專有設備，網絡中路由器、交換機性能的提升和硬件構架的換代將直接提供網絡層的安全功能，傳統意義上的防火墻功能可以集成在路由器中。而另一方面，隨著協議和接口的統一，防火墻也可以取代路由器或者交換機的位置。安全廠商或許會變化成網絡設備廠商，網絡設備廠商也能變為安全廠商，而由于積累的不同，網絡設備廠商具有更大的優勢。比如，現在的交換機成本和以前的Hub一樣，但是拋棄了原來的交換芯片，使用新的硬件，不但提供交換，而且提供安全和業務特性，將來會直接把安全延伸到整個內部網絡，徹底解決目前的內網安全問題。那么，傳統的安全廠商如何發展?1、把自己融合進網絡設備廠商。2、向安全的新領域—業務安全(而不是網絡安全)進軍。3、組建安全聯盟，形成一個大的安全體系，自己成為其中一個基石。
　　
　　VPN功能集成
　　
　　從廠商的角度來說，希望一個環境中既使用VPN設備，又使用防火墻。但是，由于VPN設備對數據的隧道封裝會導致防火墻設備上對VPN數據檢測出現失準的現象，而同時維護兩套配置策略也是沒有必要的。為了減少重復處理，降低維護工作，提高防火墻的防護范圍，直接在防火墻上集成VPN功能是非常有效的方法。如ipSec VPN、SSL VPN、L2TP VPN直接通過防火墻來支持，應用效果提高，而且降低了用戶的投入成本。
　　
　　防火墻技術在新的挑戰下會繼續向前發展，提供越來越多的智能和主動防御功能。防火墻中各個功能的協調工作，以及和網絡中其他硬件、軟件組件的配合聯動，才能達到真正意義上的智能安全和主動防御。而這些，都需要安全廠商不斷的創新。
　　
　　反間諜軟件:摸索中前行
　　
　　與其他網絡安全產品相比，反間諜軟件可謂后起之秀，但它卻是今年最刺眼的產品之一。
　　
　　對付間諜軟件，第一個任務就是要有一個清楚的標準來定義它，并以此作為準繩進行判定和查殺。但難點恰巧是這個標準很難定義。通常情況下我們可以這樣定義:任何在計算機用戶不知不覺的情況下，秘密搜集使用者的相關信息，并將其發給幕后操縱者的軟件都可以稱之為間諜軟件，但是，很多合法的廣告軟件實現的也是類似的功能，這使得界定起來非常困難。
　　
　　有的人認為，可以通過傳送信息的最終結果是否帶有惡意來進行判定，但實際上，是否具有“惡意”，人類能夠通過智力和直覺來判定，但要沒有意識的計算機軟件來進行區分，卻難以實現。
　　
　　由于缺乏統一的標準，不同的廠家都有不同的方式，像賽門鐵克所采取的“風險影響模型”，就是綜合多種行為因素，包括能否讓用戶自由選擇刪除等，來判定是不是間諜軟件。
　　
　　反間諜軟件和防病毒類似，都需要一種可靠的解決方案和專門的研究及響應機制，來跟蹤新的間諜軟件風險，并及時提供隨威脅變化而變化的升級版本。雖然惡意軟件與傳統病毒存在區別，但是防范它們的目標是相同的，即保護客戶電腦不受有害軟件的侵擾。
　　
　　由于防病毒廠商能夠迅速探測到全球爆發的威脅，在第一時間內發布計算機防護和恢復的安全更新，并且能夠集中治理已部署解決方案，因此面對不斷增長的間諜軟件風險，防病毒廠商在提供長期全面解決方案方面擁有無可比擬的優勢。
　　
　　一款好的反間諜軟件工具，要給用戶提供實時的保護。不僅應該能夠檢測盡可能多的間諜軟件，毫無殘留地消除“間諜”在系統每一個角落中留下的殘渣余孽，避免死灰復燃，還應該安裝和部署簡便，可以方便地升級間諜軟件特征表。好的反間諜工具應該提供迅捷明了的狀態顯示報告，可以讓用戶及時了解間諜軟件給公司造成多大的損害，最大的風險和威脅在哪里。當然，在企業中，一個方便治理的中心控制臺也是必不可少的。反間諜軟件可見的發展趨勢和防病毒軟件類似，也是依靠行為識別技術實現主動防御。
　　
　　目前，“從什么位置阻擋間諜軟件是最有效的”這個問題還有爭論。有的廠商認為應當從桌面阻止，因為移動技術在企業內的大量應用，使得越來越多的計算設備脫離了由網關所劃定的安全疆域，假如用戶在網關的保護之外感染了間諜軟件，然后又再次接入網絡，這臺機器本身就成了協助“間諜”潛入的跳板。所以，先要保證每一個“內部成員”的可靠性。
　　
　　而另外一部分廠商則認為，桌面工具始終是被動防線，“更好的”間諜軟件總會突破這道防線。因此，應該在網關處采取防護措施。
　　
　　當然，假如資金足夠，企業應該采取多層次的防護措施來阻止間諜軟件，這樣才能收到理想的效果。
　　
　　IDS:強調可用性
　　
　　“IDS會被IPS取代”、 “IDS要和防火墻聯動”……這兩年來，市場上關于IDS的技術觀點層出不窮。但是，這些概念更多地是在炒作。
　　
　　長期以來，IDS的“漏報”和“誤報”問題一直困擾著用戶。加強攻擊檢測是減少“漏報”和“誤報”現象的首要手段。過去，攻擊檢測是IDS的全部。而今天，它只是IDS的一個重要方面。IDS要實現全面關注網絡健康，還應該能夠做到幫助用戶對檢測內容進行深層次的分析，主動防御，最終提交給用戶一份有意義的報告。
　　
　　在某些IDS產品中已經新增加了內容恢復和應用審計功能，能針對常用的多種應用協議，比如HTTP、FTP、SMTP、POP3、Telnet、NNTP、IMAP、DNS、Rlogin、MSN等進行內容恢復，能完全真實地記錄通信的全部過程與內容，并將其進行回放。此功能對于了解攻擊者的攻擊過程、監控內部網絡中的用戶是否濫用網絡資源、發現未知的攻擊具有重要和積極的作用。例如，在恢復HTTP的通信內容時，可恢復出其中的文本與圖形等信息;而應用內容的審計則可發現內部的攻擊，了解哪些人員查看了不該查看的內容。
　　
　　此外，實時監測網絡流量并及時發現攻擊行為，亦是IDS的一項基本特征。現在的IDS產品增加了對網絡實時監控和診斷功能，尤其是增加了掃描器，能對全網絡進行主動掃描，實時發現網絡中的異常，并給出具體的檢測報告。
　　
　　這種在審計和監控等多項功能上得到加強的IDS已經超越了傳統意義上的IDS，是適用于用戶需求、保護用戶網絡健康的新型IDS。
　　
　　IPS:御敵于網外
　　
　　入侵防護系統(IPS)的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊。真正的入侵防護解決方案，可使企業不必進行分析即可采取措施保護系統。同時，它可防止攻擊對操作系統、應用程序和數據造成損壞。一個理想的入侵防護解決方案應該包括以下8大特點:
　　
　　1. 主動、實時預防攻擊。IPS解決方案應該提供對攻擊的實時預防和分析。它應該在任何未授權活動開始前找出攻擊，并防止它進入重要的服務器資源。
　　
　　2. 補丁等待保護。補丁治理是一個復雜的過程。在補丁被開發和安裝之間，黑客會對服務器和重要數據造成破壞，入侵防護解決方案需要為系統治理員提供補丁等待期內的保護和足夠的

上一篇：高性價比推薦——小型網吧組網產品（圖）

下一篇：高端計算機千兆網卡產品選購指南(組圖)