信息来源:HOKY
【简 介】
现今商业环境与五年前相比有着显著不同。由于互联网的不断普及,公司之间的联系比以往更加密切。因此公司必须在发展或提高生产力的同时确保其网络的安全。据ICSA统计,目前来自计算机系统内部的安全威胁高达60%。
开始阅读 查看评论
现今商业环境与五年前相比有着显著不同。由于互联网的不断普及,公司之间的联系比以往更加密切。因此公司必须在发展或提高生产力的同时确保其网络的安全。据ICSA统计,目前来自计算机系统内部的安全威胁高达60%。因为,不同于早期的集中式应用,现在企业的计算机系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,在这样的环境中,企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等都是供出入的"门户",只要有一个"门户"没有完全保护好,"黑客"就会通过这道门进入系统,窃取或破坏所有资源。所以,选择一款好的入侵防护产品非常重要。
多层次安全措施的洋葱理论,决定了必须采取多种防护,才有可能保证网络的安全。现在比较普遍的防护产品为防火墙(第一层防护)和NIDS(第二层防护)。
对所有与互联网连接上的机构来说,他们要做的第一件事,就是安装防火墙。防火墙对于企业网络来说是一个周边警卫,决定往来的信息是否可以进出。它通过提供接入控制,提供了出色的第一层防护。许多防火墙策略都支持允许机构在网上从事商业活动的协议,如SMIP,FTP,HTTP,SMTP和DNS,并使得有可能对内部系统造成威胁的信息无法进入。但是传统的防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击,所以它只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。所以第二层的防护必不可少。
第二层防护是针对在允许进入网络的信息中所潜藏的攻击,并保护网络免受那些攻击。如今一般企业普遍相信,被动式的、网络入侵监测系统(Network Intrusion Detection System, NIDS)能够保护机构免受攻击。遗憾的事,这种信念被下列原因打破了:①错误报警(False Alarms):许多NIDS解决方案导致错误结果,这常常使系统管理员感到困惑,因为需要大量的人工过滤来鉴别混杂在错误报警中的真正攻击。②管理能力低,维护量大:一般的NIDS解决方案都是很难管理和维护的,它需要大量的时间和精力去保持传感器的更新和安全策略的有效。③需要外包:很多公司误以为如果它们将NIDS加入其系统,他们需要将NIDS的维护工作外包给专业的安全服务提供商。④无攻击防护:现有的NIDS解决方案不能防止攻击。因为这些产品只是检测工具而已,防护能力是空洞的许诺。
所以,市场呼唤一种检测更精确、更易管理并且具有真正的防护能力的产品。IDP应运而生。
Juniper NetScreen入侵监测和防护(Juniper NetScreen-IDP)是市面上唯一能够提供网络入侵防御的第二层防护方案。它有三个革新:
第一个革新是采用多重方法检测技术(Multi-Method Detection,MMD)提高精确度。NetScreen-IDP系统通过应用协议异常、状态签名(Stateful Signature)、流量异常、后门检测(Backdoor Detection)、同步攻击(Syn-flood)、IP欺骗(IP spoof)和第二层检测,以及网络蜜罐(network honeypot)等8个不同的检测方法,能准确地识别入侵,减少错误报警。并且,这些方法共享信息,并且用最有效的方式一起去识别网络和应用层中的所有形式的攻击。同时,这些检测方法皆针对以高数据速率进行分析而被优化的,从而确保性能未能受到影响。由于NetScreen-IDP能提供一个全面的覆盖,你再也不需要费神决定到底是买一个基于协议异常的系统还是基于签名的系统,甚至需要两台或更多的产品。另外,多方法检测使管理员能够信任报警,而不用再担心会浪费时间去调查错误报警。
为了恰当地分析和表达流量,NetScreen-IDP系统拥有众多的封包处理技术去保证数据表达式的精确度。这些技术是:IP碎片整理(IP De-fragmentation)和TCP重组(TCP reassembling);流量跟踪(Flow Tracking);协议常规化(protocol normalization)。
第二个革新是,带内操作模式提供真正保护。NetScreen-IDP是一个带内解决方案,它是唯一能对付潜逃技术、提供真正入侵防护的方法。NetScreen-IDP一般是被放置在防火墙之后,检查从每个进出的数据包。当NetScreen-IDP检测出恶意流量时,它能丢弃连接,使之不能进入网络。当然,你是能完全准确地控制哪种形式的流量是需要丢弃连接的,所以能确保恶意流量不能到达目的地。
在封包的路径中运行NetScreen-IDP有很多优点:①在攻击被检测到的时候,它们就被拦截(丢弃),确保攻击无法成功,并避免造成的损失。②能确保被丢弃的入侵没有成功,所以你只需按个别案调查即可。节约的时间可以投入到其他项目上。③在封包到达指定目标之前,让NetScreen-IDP从结构和内容方面对它们进行核实,这样可防止攻击潜逃的发生。这可以防止攻击者利用数据包的模糊性进行攻击行为。
