邊界安全

人們?yōu)榱私鉀Q資源的共享而建立了網(wǎng)絡(luò)，然而全世界的計(jì)算機(jī)真的聯(lián)成了網(wǎng)絡(luò)，安全卻成了問(wèn)題。因?yàn)樵诰W(wǎng)絡(luò)上，你不清楚對(duì)方在哪里，泄密、攻擊、病毒等等，越來(lái)越多的不安全因素讓網(wǎng)絡(luò)管理者難以安寧，所以把有安全需求的網(wǎng)絡(luò)與不安全的網(wǎng)絡(luò)分開(kāi)，是沒(méi)有辦法的選擇。分離形成了網(wǎng)絡(luò)的“孤島”，沒(méi)有了連接，安全問(wèn)題自然消失了。 然而因噎廢食不是個(gè)辦法，沒(méi)有連接，業(yè)務(wù)也無(wú)法互通，網(wǎng)絡(luò)孤島的資源在重復(fù)建設(shè)、浪費(fèi)嚴(yán)重，并且隨著信息化的深入，在各種網(wǎng)絡(luò)上信息共享需求日益強(qiáng)烈。

比如：政府的內(nèi)網(wǎng)與外網(wǎng)，需要面對(duì)公眾服務(wù)；銀行的數(shù)據(jù)網(wǎng)與互聯(lián)網(wǎng)，需要支持網(wǎng)上交易；企業(yè)的辦公與生產(chǎn)網(wǎng)，老總們的辦公桌上不能總是兩個(gè)終端吧；民航、鐵路與交通部的信息網(wǎng)與互聯(lián)網(wǎng)，網(wǎng)上預(yù)定與實(shí)時(shí)信息查詢是便利出現(xiàn)的必然。本著有需求就有供應(yīng)，因此，網(wǎng)絡(luò)邊界誕生了。

網(wǎng)絡(luò)邊界就是針對(duì)不同網(wǎng)絡(luò)環(huán)境所設(shè)置的安全防御措施。

把不同安全級(jí)別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界。防止來(lái)自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。下面我們來(lái)看看網(wǎng)絡(luò)邊界上的安全問(wèn)題都有哪些：

非安全網(wǎng)絡(luò)互聯(lián)帶來(lái)的安全問(wèn)題與網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題是截然不同的，主要的原因是攻擊者不可控，攻擊是不可溯源的，也沒(méi)有辦法去“封殺”，一般來(lái)說(shuō)網(wǎng)絡(luò)邊界上的安全問(wèn)題主要有下面幾個(gè)方面：

1、信息泄密

網(wǎng)絡(luò)上的資源是可以共享的，但沒(méi)有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：

◆攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密

◆合法使用者在進(jìn)行正常業(yè)務(wù)往來(lái)時(shí)，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密

2、入侵渠道

互聯(lián)網(wǎng)是世界級(jí)的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢(shì)力與團(tuán)體。入侵就是有人通過(guò)互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨椋斐赡憔W(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動(dòng)的、有目的、甚至是有組織的行為。

3、網(wǎng)絡(luò)病毒

與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來(lái)病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無(wú)對(duì)手”、“無(wú)意識(shí)”的攻擊行為。

4、木馬入侵

木馬的發(fā)展是一種新型的攻擊行為，他在傳播時(shí)像病毒一樣自由擴(kuò)散，沒(méi)有主動(dòng)的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動(dòng)與他的“主子”聯(lián)絡(luò)，從而讓主子來(lái)控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡(luò)”。

來(lái)自網(wǎng)絡(luò)外部的安全問(wèn)題，重點(diǎn)是防護(hù)與監(jiān)控。來(lái)自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過(guò)認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡，也就是我們說(shuō)的行為審計(jì)與合軌性審計(jì)。

安全隱患

1、黑客入侵

入侵的過(guò)程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。

2、病毒入侵

病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降。病毒對(duì)網(wǎng)關(guān)沒(méi)有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無(wú)目的，實(shí)則無(wú)孔不入。

3、網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊是針對(duì)網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如DOS攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說(shuō)是一種公開(kāi)的攻擊，攻擊的目的一般是造成你服務(wù)的中斷。

如何防護(hù)邊界呢？

對(duì)于公開(kāi)的攻擊，只有防護(hù)一條路，比如對(duì)付DDOS的攻擊；但對(duì)于入侵的行為，其關(guān)鍵是對(duì)入侵的識(shí)別，識(shí)別出來(lái)后阻斷它是容易的，但怎樣區(qū)分正常的業(yè)務(wù)申請(qǐng)與入侵者的行為呢，是邊界防護(hù)的重點(diǎn)與難點(diǎn)。

我們把網(wǎng)絡(luò)與社會(huì)的安全管理做一個(gè)對(duì)比：

要守住一座城，保護(hù)人民財(cái)產(chǎn)的安全，首先建立城墻，把城內(nèi)與外界分割開(kāi)來(lái)，阻斷其與外界的所有聯(lián)系，然后再修建幾座城門，作為進(jìn)出的檢查關(guān)卡，監(jiān)控進(jìn)出的所有人員與車輛，是安全的第一種方法；

為了防止入侵者的偷襲，再在外部挖出一條護(hù)城河，讓敵人的行動(dòng)暴露在寬闊的、可看見(jiàn)的空間里，為了通行，在河上架起吊橋，把路的使用主動(dòng)權(quán)把握在自己的手中，控制通路的關(guān)閉時(shí)間是安全的第二種方法；

對(duì)于已經(jīng)悄悄混進(jìn)城的“危險(xiǎn)分子”，要在城內(nèi)建立有效的安全監(jiān)控體系，比如人人都有身份證、大街小巷的攝像監(jiān)控網(wǎng)絡(luò)、街道的安全聯(lián)防組織，每個(gè)公民都是一名安全巡視員，順便說(shuō)一下：戶籍制度、罪罰、聯(lián)作等方式從老祖宗商鞅就開(kāi)始在秦國(guó)使用了。只要入侵者稍有異樣行為，就會(huì)被立即揪住，這是安全的第三種方法。

作為網(wǎng)絡(luò)邊界的安全建設(shè)，也采用同樣的思路：控制入侵者的必然通道，設(shè)置不同層面的安全關(guān)卡，建立容易控制的“貿(mào)易”緩沖區(qū)，在區(qū)域內(nèi)架設(shè)安全監(jiān)控體系，對(duì)于進(jìn)入網(wǎng)絡(luò)的每個(gè)人進(jìn)行跟蹤，審計(jì)其行為等等。

從網(wǎng)絡(luò)的誕生，就產(chǎn)生了網(wǎng)絡(luò)的互聯(lián)，Cisco公司就是靠此而興起的。從沒(méi)有什么安全功能的早期路由器，到防火墻的出現(xiàn)，網(wǎng)絡(luò)邊界一直在重復(fù)著攻擊者與防護(hù)者的博弈，這么多年來(lái)，“道高一尺，魔高一丈”，好象防護(hù)技術(shù)總跟在攻擊技術(shù)的后邊，不停地打補(bǔ)丁。其實(shí)邊界的防護(hù)技術(shù)也在博弈中逐漸成熟：

防火墻技術(shù)

網(wǎng)絡(luò)隔離最初的形式是網(wǎng)段的隔離，因?yàn)椴煌木W(wǎng)段之間的通訊是通過(guò)路由器連通的，要限制某些網(wǎng)段之間不互通，或有條件地互通，就出現(xiàn)了訪問(wèn)控制技術(shù)，也就出現(xiàn)了防火墻，防火墻是不同網(wǎng)絡(luò)互聯(lián)時(shí)最初的安全網(wǎng)關(guān)。

防火墻的安全設(shè)計(jì)原理來(lái)自于包過(guò)濾與應(yīng)用代理技術(shù)，兩邊是連接不同網(wǎng)絡(luò)的接口，中間是訪問(wèn)控制列表ACL，數(shù)據(jù)流要經(jīng)過(guò)ACL的過(guò)濾才能通過(guò)。ACL有些象海關(guān)的身份證檢查，檢查的是你是哪個(gè)國(guó)家的人，但你是間諜還是游客就無(wú)法區(qū)分了，因?yàn)锳CL控制的是網(wǎng)絡(luò)的三層與四層，對(duì)于應(yīng)用層是無(wú)法識(shí)別的。后來(lái)的防火墻增加了NAT/PAT技術(shù)，可以隱藏內(nèi)網(wǎng)設(shè)備的IP地址，給內(nèi)部網(wǎng)絡(luò)蒙上面紗，成為外部“看不到”的灰盒子，給入侵增加了一定的難度。但是木馬技術(shù)可以讓內(nèi)網(wǎng)的機(jī)器主動(dòng)與外界建立聯(lián)系，從而“穿透”了NAT的“防護(hù)”，很多P2P應(yīng)用也采用這種方式“攻破”了防火墻。

防火墻的作用就是建起了網(wǎng)絡(luò)的“城門”，把住了進(jìn)入網(wǎng)絡(luò)的必經(jīng)通道，所以在網(wǎng)絡(luò)的邊界安全設(shè)計(jì)中，防火墻成為不可缺少的一部分。

防火墻的缺點(diǎn)是：不能對(duì)應(yīng)用層識(shí)別，面對(duì)隱藏在應(yīng)用中的病毒、木馬都毫無(wú)辦法。所以作為安全級(jí)別差異較大的網(wǎng)絡(luò)互聯(lián)，防火墻的安全性就遠(yuǎn)遠(yuǎn)不夠了。