论文部分内容阅读
网络安全也遵循“木桶效应”:一个木桶能装多少水完全取决于围成这个桶的最短一块木板。正如华为宣布正式进入网络安全市场时定义的“1SAFE”安全架构所阐述的那样,网络安全是构建于时间、空间、网络层次上的系统工程。为了全而保障网络,安全产品大致向两个方向发展:一是用分立的专业组件构成完整的防御系统,一是把所有的功能都做进一个大而全的盒子。要想达到系统性的立体防御效果,要求分立组件的系统中的所有产品“联动”,当各个组件是由不同厂商来提供时,在实现上存在一定的困难。从这个角度来讲,拆分功能的产品对企业用户来说,远不及把安全功能整合在一起的产品更具吸引力。
目前被广泛使用的安全技术有防火墙、防病毒和入侵检测系统、VPN技术。它们各有其优点,但也有各自的局限。这是因为各种安全手段大都是针对某种或几种安全问题设计或实施的。而各种安全攻击都是针对网络的不同层进行的。如传统的防火墙、入侵检测系统是针对网络层攻击而设计的,VPN技术主要是针对链路层的窃听、重放、流量分析等攻击而设计的。最常见的对网络体系的分层模型有两种,其一是国际标准化组织(ISO)的OSI开放系统互连参考模型(openSystem lnterconnection ReferenceModel),另一种是基于丁CP/IP协议的TCP/IP参考模型。从这两种模型的比较可以看出来,应用层都是整个网络体系结构中的最顶层,也是整个网络架构中,协议最多,技术最为复杂的一层。
美国知名的Gartner咨询公司的研究副总裁Rlchard Stiennon认为:“由于新的蠕虫病毒、恶意代码和网络攻击现在都针对特定的应用漏洞,加上很多应用和协议都穿越防火墙.所以防火墙必须要提供一个更广泛的入侵防护能力,同时还要具备先进的管理性能。”
常用的安全防御技术里,状态监测防火墙的主要功能为根据预先定义的规则,检查单个包的地址、协议、端口等信息,来控制包的通过或丢弃,其优点在于简浩、高效、费刑较低并对用户透明,但它无法理解应用服务,因此缺乏对应用层的攻击进行全面有效的捡删;代理防火墙,能够理解应用层上的协议,能做更复杂一些的访问控制,但支持的协议有限,只能防止部分应用层攻_击;防病毒程序只是针刘已矢II的攻击而进行检测;传统的入侵检测系统(1DS)只扮演嗅探器(Sniffer)角色,不能在攻击入侵前进行拦截。
今天的网络面临的很多致命攻击是由蠕虫和特洛伊木马等病毒引起的,与阻止网络层的攻击相比,阻止应用层攻击更加困难,主要因为防御体系在采取措施之前,不但要检查封包的地址、协议、端口等信息,还必须审视封包里的所有数掘。这就要求新技术必须具备以下能力:
能够精确解读应用信息的息图。列一个安全系统的最根本挑战是,它必须知道客户端和服务器应用想要做的事情。因此,甚至在系统做出决定前,就必须理解每一个应用,并且及时把握这个应用或协议的任何更新,以确保它能继续掌握其意图。这就要求将应用层信息从流量里提取出来。对信息的精确解读需要通过流量重建(Traffic Reconstruction)和消除含糊性(Ambiguity Elimination)两个步骤来达到。
在应用信息被精确解读后,运川针埘性应用分析,以判断流量里是否含有攻击。这种分析可以通过两种方法来进行,即协议相合性(P r o t 0 c o IConformance)和攻击模式匹配(AttackPatterns Matching)。协议相台性就是基于协议表对数据进行分析,如果数据表现不正常,就根据对危害的分级,判定它是否为攻击。攻击模式匹配运用状态签名技术能有效区分合法流量和真正的攻击,而不是泛泛的表面的判断,因此更精确,减低误报。
有效处理流量、高可用性和易管理性。由于应用层安全比网络层安全需要更复杂和更深层的处理过程,所以好的系统必须能够优化分析和减少对效能的影响。如果系统发生故障,中断了刚络流量,那么它的价值就会大大削弱。所以系统必须提供高可用性的部署,以提高安仝的可靠性。另外,整个安全系统要易于管理,应该能提供精确控制,决定何时、何地以及如何在整个网络里部署应用层安全保护。
前不久,NetScreen公司发布了整合VPN、防病毒和入侵检测的防火墙,这款被定义为“深层监测防火墙(Deep ln—spectlon Firewall)”的产品,和其他类型的防火墙相比,更加注重对应用层的保护,能深层次地监侧HTTP、SMTP、IMAP、POP、FTP和DNS等协议。深层监测防火墙能非常有效地行使访问控制和封包检测功能,同时能深层次地分析应用信息,以决定接受或拒绝流量。它能提供对250种以上的应用层攻击和协议异常的保护,这些攻击主要针对互联网业务,如Web、emaII和文件交换等。
另一家著名安全厂商Crleek Polnt公司宣布}伴山的应用程序智能技术(A p p I l c a t i 0 nIntelligence),该技术也致力于解决基于应用的攻击问题;其他厂尚如思科、Fortinet等公司都在安全产品中引入了智能的慨念。
深层监测也好,应用程序智能也好,都是针对应用层的攻击而设计的。这透露出安全厂商对应用层防护的极大关往,或者说已经到了不得不直接而对的境地。
在网络技术发展的过程中,攻击和病毒也在“进化”。那些对应用层以下的攻击,已经渐渐不成为大的威胁,而针列应用层的攻击和病毒,因为应用层的技术复杂性,无法用一种或几利已知的或固有的规则来解决处理.因而越来越显示出对我们的网络、信息安全的致命性威胁。一场在网络之巅一一应用层的决战已经在攻击和防御之间激烈地展开,而且这场决战必将一直持续下去。同样,这场决战也发生在安全厂商之间,因为存新的安全需求下,谁占掘了刘应用层的防御和控制权,谁就占据了安全市场的有利地应,应用层的决战,必将重新定义互联网安全市场前景。
目前被广泛使用的安全技术有防火墙、防病毒和入侵检测系统、VPN技术。它们各有其优点,但也有各自的局限。这是因为各种安全手段大都是针对某种或几种安全问题设计或实施的。而各种安全攻击都是针对网络的不同层进行的。如传统的防火墙、入侵检测系统是针对网络层攻击而设计的,VPN技术主要是针对链路层的窃听、重放、流量分析等攻击而设计的。最常见的对网络体系的分层模型有两种,其一是国际标准化组织(ISO)的OSI开放系统互连参考模型(openSystem lnterconnection ReferenceModel),另一种是基于丁CP/IP协议的TCP/IP参考模型。从这两种模型的比较可以看出来,应用层都是整个网络体系结构中的最顶层,也是整个网络架构中,协议最多,技术最为复杂的一层。
美国知名的Gartner咨询公司的研究副总裁Rlchard Stiennon认为:“由于新的蠕虫病毒、恶意代码和网络攻击现在都针对特定的应用漏洞,加上很多应用和协议都穿越防火墙.所以防火墙必须要提供一个更广泛的入侵防护能力,同时还要具备先进的管理性能。”
常用的安全防御技术里,状态监测防火墙的主要功能为根据预先定义的规则,检查单个包的地址、协议、端口等信息,来控制包的通过或丢弃,其优点在于简浩、高效、费刑较低并对用户透明,但它无法理解应用服务,因此缺乏对应用层的攻击进行全面有效的捡删;代理防火墙,能够理解应用层上的协议,能做更复杂一些的访问控制,但支持的协议有限,只能防止部分应用层攻_击;防病毒程序只是针刘已矢II的攻击而进行检测;传统的入侵检测系统(1DS)只扮演嗅探器(Sniffer)角色,不能在攻击入侵前进行拦截。
今天的网络面临的很多致命攻击是由蠕虫和特洛伊木马等病毒引起的,与阻止网络层的攻击相比,阻止应用层攻击更加困难,主要因为防御体系在采取措施之前,不但要检查封包的地址、协议、端口等信息,还必须审视封包里的所有数掘。这就要求新技术必须具备以下能力:
能够精确解读应用信息的息图。列一个安全系统的最根本挑战是,它必须知道客户端和服务器应用想要做的事情。因此,甚至在系统做出决定前,就必须理解每一个应用,并且及时把握这个应用或协议的任何更新,以确保它能继续掌握其意图。这就要求将应用层信息从流量里提取出来。对信息的精确解读需要通过流量重建(Traffic Reconstruction)和消除含糊性(Ambiguity Elimination)两个步骤来达到。
在应用信息被精确解读后,运川针埘性应用分析,以判断流量里是否含有攻击。这种分析可以通过两种方法来进行,即协议相合性(P r o t 0 c o IConformance)和攻击模式匹配(AttackPatterns Matching)。协议相台性就是基于协议表对数据进行分析,如果数据表现不正常,就根据对危害的分级,判定它是否为攻击。攻击模式匹配运用状态签名技术能有效区分合法流量和真正的攻击,而不是泛泛的表面的判断,因此更精确,减低误报。
有效处理流量、高可用性和易管理性。由于应用层安全比网络层安全需要更复杂和更深层的处理过程,所以好的系统必须能够优化分析和减少对效能的影响。如果系统发生故障,中断了刚络流量,那么它的价值就会大大削弱。所以系统必须提供高可用性的部署,以提高安仝的可靠性。另外,整个安全系统要易于管理,应该能提供精确控制,决定何时、何地以及如何在整个网络里部署应用层安全保护。
前不久,NetScreen公司发布了整合VPN、防病毒和入侵检测的防火墙,这款被定义为“深层监测防火墙(Deep ln—spectlon Firewall)”的产品,和其他类型的防火墙相比,更加注重对应用层的保护,能深层次地监侧HTTP、SMTP、IMAP、POP、FTP和DNS等协议。深层监测防火墙能非常有效地行使访问控制和封包检测功能,同时能深层次地分析应用信息,以决定接受或拒绝流量。它能提供对250种以上的应用层攻击和协议异常的保护,这些攻击主要针对互联网业务,如Web、emaII和文件交换等。
另一家著名安全厂商Crleek Polnt公司宣布}伴山的应用程序智能技术(A p p I l c a t i 0 nIntelligence),该技术也致力于解决基于应用的攻击问题;其他厂尚如思科、Fortinet等公司都在安全产品中引入了智能的慨念。
深层监测也好,应用程序智能也好,都是针对应用层的攻击而设计的。这透露出安全厂商对应用层防护的极大关往,或者说已经到了不得不直接而对的境地。
在网络技术发展的过程中,攻击和病毒也在“进化”。那些对应用层以下的攻击,已经渐渐不成为大的威胁,而针列应用层的攻击和病毒,因为应用层的技术复杂性,无法用一种或几利已知的或固有的规则来解决处理.因而越来越显示出对我们的网络、信息安全的致命性威胁。一场在网络之巅一一应用层的决战已经在攻击和防御之间激烈地展开,而且这场决战必将一直持续下去。同样,这场决战也发生在安全厂商之间,因为存新的安全需求下,谁占掘了刘应用层的防御和控制权,谁就占据了安全市场的有利地应,应用层的决战,必将重新定义互联网安全市场前景。