伴随着网络技术越来越深入进我们的工作和生活中,各种网络相关的安全问题也日益增多。为了保证网络的正常应用,网络安全市场也迅速扩大,网络安全技术也在发生着变化。2004年的网络安全领域,主要的技术变化有下面几点:
一:网络防毒技术
虽然使用网络设备来进行病毒防护并不是今年的发明,很多国内的公司也一直在使用各种应用代理完成设备上文件的缓存,然后使用杀毒软件进行病毒扫描,其中典型的就是邮件防毒墙。但是使用代理缓存的问题是带来对用户的不透明性,需要等待一个在设备上保存文件,病毒扫描的延时,影响用户对网络的直观理解。但是随着Fortinet实时扫描技术在其产品中的应用,使网络防毒墙这一产品形态真正的走向了用户需求。集成状态防火墙功能,并对报文进行流还原,深度检查,从而在报文转发过程中对网络数据进行病毒扫描,实现病毒实时扫描。这样的产品解决了用户对各个终端不能有效监控的问题,至少对病毒的来源之一——网络进行了有效的封堵,是能解决用户实际问题的技术。
二:安全准入技术
说白了就是接入控制,802.1X, PPPoE, 微软域控制,在家上网也要输入一个用户名密码,这种对网络用户接入网络进行控制的技术太多。但是在网络病毒泛滥(昨天刚装的Win2000没打补丁,插了一下网线试网络,立即就感染了病毒),攻击无处不在,简单的组合一下,在允许用户接入网络的之前,对用户的终端进行安全检查,判断是否符合安全策略,如有没有安装非法软件,有没有安装了响应的杀毒软件,是否是无病毒的“干净”终端,只有符合这写策略,才让你接入网络。这样又堵住了攻击和病毒的另一个来源,用户终端。另外,通过安全准入控制,不仅仅能够做到对用户终端的安全检查,而且通过和网络设备的互动,达到对用户的区分服务。比如,不同帐号的漫游范围,访问内容的控制。做的比较全的厂商有Sygate,而另一网络巨头CISCO的NAC概念提出,都是网络安全准入控制技术的实施典型。在不久的将来,ISP可以控制我们电脑安装的软件,可以控制我们访问的内容,可以定位我们的上网行为,最终IP网络会形成一个封闭的安全网络。而一群自由之士又会成为新网络的黑客,或者另外建一个全新的开放网络。
三:安全功能在网络设备集成
简单的组合,带来的功效是巨大的。CISCO新一代路由器性能比原来高10倍,在提供网络数据转发功能的同时,直接集成防火墙,VPN等安全设备,形成ALL IN ONE的设备,对于用户来说,是非常及时的。因为芯片技术的进步和成本的降低是网络设备可以使用高性能芯片,而针对具体业务的ASIC芯片组合进网络设备,使今天的路由器,交换机的功能更加丰富。而对网络带来的好处就是一次处理,大大降低网络延时,为语音、视频应用扫清网络障碍。同时,随着网络设备商的集成设备的推出,那些依赖于工控机等平台的单一设备制造商必须重新考虑自己的技术方向和产品形态,是一个比较大的挑战。但不管怎么说,对于用户来说,这是一件好事。
四:新一代NP技术
用CPU,ASIC还是NP,一直是大家不断争论的一个问题,其实这个问题非常简单。在能达到同样性能的情况下,最优选CPU,然后是NP,然后是ASIC。目前很多厂商使用CPU+特定业务ASIC来实现高速处理,这是比较常见的方式。在性能不能解决的情况下,选择NP是不能不为之的做法。但是不管是IBM,还是Intel的NP,一个主要问题是开发成本太高,微码的开发难度和进度都不是普通公司能够短期搞定的。而带来的维护成本和对客户的响应速度都是很大的问题。不过今年CAVIUM推出的OCTEON NSP将会很大程度上改变当前的安全市场格局。直接支持C语言和标准协议栈,性能高达10G,是期望中的业务网关处理芯片。
五:内部网络安全
长期以来,网络安全的范畴一直停留在网络外连的出口保护。通过状态防火墙阻止外部的非法访问。虽然现在有应用检测、深度检测、IPS等等概念,但是一直发挥重要作用的仍然是状态防火墙,保证外部网络不能直接访问内部主机。然而,不管是病毒还是蠕虫,来之内部泛滥比来之外部多得多。只要一个内网用户无意中下载一个从未出现过的病毒程序(基于特征的内容检测也好,杀毒墙也好,都不能阻止位置病毒文件)在内网运行,那么内部网络如同不设防的前线,立即崩溃。所以,内部网络的安全是当前必须解决问题。目前的IDS产品,安全审计产品可以对内部网络进行安全检查,但是不能防护来之内部网络的攻击。可喜的是,在今年有厂商开始在内部网络安全领域有所动作,如趋势的内部安全网关,在内部网络间起到安全防护的作用。CISCO的交换机插卡也是对内部交换网络的安全增强,通过在交换机上扩展安全插卡,可以把安全区域的概念从出口延伸到内部网络,形成更安全的分级保护。在可以预见的将来,内部网络安全产品将得到更多的发展,但是其形态可能不会以单独的产品出现,而是当前产品的替代产品。如安全交换机,安全路由器,安全接入服务器等等。
安全随着网络的发展而演进,因为IP网是一个开放、公平的网络,但是却要提供保证私有利益的服务,所以出现了各种安全的问题。一直以来,安全都是处于被动的防御阶段,虽然CISCO今年提出主动防御体系,但是其根本思想还是在堵,只不过堵的地方多了一些,从内网到接入,到各个终端,虽然没有突破传统的被动防御技术,但足可以体现其市场概念引导的能力。随着3G的推出,IPV6的演进,网络安全将包含更多的领域,也会迎来更大的挑战。
在2005年乃至后续几年内,网络安全市场仍旧热闹而且变得巨大。然而,安全领域的技术变化和进步实在不是很大,依旧是那么几种传统的技术变换着新花样。炒作新概念和发明新名词不应该成为一种潮流,而实实在在创造了实用有效的技术和产品,才是最重要的。
一:异常行为检测
安全防护从一开始就朝着两个方向努力着:一种是寻找出所有网络流量中的攻击行为,一旦发现不是这些已知的攻击行为,则认为是正常的。这种做法的思路就是构建攻击特征集,拿正常的数据来匹配。实现的产品有IDS,IPS,防毒墙,杀毒软件等等。这些都是从已知的特征库进行模式匹配。这种做法的致命问题就是对于未知的攻击,毫无用处。而新攻击恰恰是能造成最大的危害。而且,特征库的挖掘、增长和维护也是非常费时费力的事情。
另外一种就是对正常的网络行为建立模型,所有的网络数据拿来和正常模式匹配,如果不是这个正常范围以内,那么认为是攻击。这种做法比较符合人类的思维习惯,而且能够抵御未知的攻击。不管是在局域网中,还是访问一台互联网上的服务器,正常用户的行为是可以枚举的,而且大多情况下是雷同的,通过人工智能、神经网络技术建立其正常网络数据模型,对异常行为立即能够分别出来。就如同我们分辨一个好苹果一样:不会去一一排除所有的坏苹果特征,而是首先判断是否具有好苹果的特征。
为何目前的安全防护会陷入一个越来越复杂的误区,其根本原因就是攻击是发生在人的行为层面的东西,通过键盘,数据IO,内存,CPU,网络,才表现为网络数据,而目前所有防范工作都是在最底层的网络数据层面去判断,其难度和局限性可想而知。
虽然,这一技术仍然在研究和发展阶段,但是会不断从目前的研究阶段形成真正的商业产品,至少可以在短时间看到,对用户数据的异常检查技术能够应用在安全产品中。而不久的将来,使用这种技术的IDS等设备也会走向市场。
二:应用状态检测
安全领域中长期依赖发挥最大作用的无非是状态防火墙,通过协议状态检测技术实现数据访问单向流动,从而有效的保护内部网络不受攻击。而对服务器,采取暴露端口的形式。随着应用的增多和对安全性要求的提高,对这种开放端口的服务器同样需要保护,在网络层状态检查的基础上需要扩展到应用层的状态检查,从而对暴露在网路中的服务器进行保护。这种趋势会产品一系列的应用层安全网关,比如WEB安全网关,语音安全网关等专用协议网关。当然,其网络位置不必是整个网络的出口,只要在保护资源的通路上即可。目前的专有过滤网关就是这一趋势的一个表现。
三:细粒度数据控制
目前的数据控制是非常粗糙的,基于协议的简单过滤,和复杂QOS,说简单一点是基于IP的。但是,借用传统电信的观点,所有的控制都是基于用户的。固网电话号码可以代表固定网的用户,移动网号码可以代表移动用户,而IP地址绝对不能代表IP网络的用户。虽然目前很多产品都是这样做的,但是总存在不能解决的问题。通过对用户认证功能的融合,网络设备,包括防火墙可以具备标识用户的能力;已经通过使用FPGA和NP,可以对用户数据进行细粒度控制。比如,可以实现针对哪些用户可以用QQ,哪些不能;一部分用户可以使用BT下载达到20K的速度,而一些用户可以达到5K的速度。传统的基于ACL的访问控制,流量控制等功能将被新技术所逐渐取代。
四:安全技术融合
传统的网络层安全技术,如NAT,状态防火墙,VPN将不再作为热点的专有设备,网络中路由器,交换机性能的提升和硬件构架的换代将直接提供网络层的安全功能,传统意义上的防火墙功能将集成在路由器中。而另一方面,随着协议和接口的统一,原来防火墙完全也可以具备路由器或者交换机的位置。思科把原来一款支持硬件安全插卡的交换机全部插上安全模块,这就是思科的高端防火墙。交换、路由、安全的融合是迟早的事情。安全厂商或许能后变化成网络设备厂商,而网络设备厂商也能变为安全厂商,而由于积累的不同,后者具有更大的优势。比如,现在的交换机成本和以前的hub一样,但是抛弃原来的交换芯片,使用新的硬件,不但提供交换,而且提供安全和业务特性,那么将是会直接把安全延伸到真个内部网络,彻底解决目前的内网安全问题(我一直想做这个产品,如果哪位高人有路子,可以找我)。那么,传统的安全厂商如何发展:一、把自己融合进网络设备厂商,netscreen就提供了现成的榜样。二、向安全的新领域——业务安全(而不是网络安全)进军,fortinet为我们提供了榜样。三、组建安全联盟,形成一个大的安全体系,自己是其中一个基石。安全技术的融合必然促进上面提到的第二点趋势的发展。
五:IPV6安全
IPV6如同IPV4一样,协议本身就具有很多不安全,如邻居发现,路由通告,自动配置等都存在可以攻击的地方。但是,好处就是提供了端到端数据的加密,但这仅仅可以保证数据不泄密,用户一样可以有攻击行为。而且,对传统IDS等必须“打开”数据包的安全设备带来了难题和新的挑战。或许会出现新的产品形态。IPV6大家提了很多年,不必担心,她就要来到大家的身边,就如同当时手机一夜之间变成平民产品一样,会让你措手不急。这个时间或许就是今年中。
2005年安全领域的发展一定会向去年一样火热,但是安全如同路由协议一样越来越成为网络的一部分,传统安全厂商的必须转变观念,顺应潮流,推出实用并有针对性的产品,才能在安全的前进浪潮中稳居浪尖。
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=1522810