自从1995年开始在网络中引进防火墙以来,网络安全解决方案已经定型成为以防火墙为主的解决方案。这个解决方案的特点就是:将网络划分成不同安全等级的网段,在网段边界放置防火墙,进行网段隔离和访问控制。即使后来出现了针对应用层威胁的IDS产品,也无法动摇防火墙在网络安全解决方案的核心地位。
网络安全形势分析
通过分析这几年的网络安全发展形势,我们发现这个传统的网络安全解决方案已经不能满足网络安全的需求了。原因是传统的网络安全解决方案对安全威胁的认识存在着误区。
误区1: 80%的安全威胁来自Internet
产生这个误区的历史原因是:在1995~2000年人们谈网络安全的时候,大部分的计算机还是台式机,台式机固定在办公区内,所遇到的安全威胁比较少,病毒的传播还以软盘传播为主。那时候的安全威胁主要来自Internet,而且能够有意识发动威胁攻击是部分技术高手。
误区2:网络安全就是防火墙
产生这个误区的历史原因是:传统观念的网络安全主要还是要基于边界模式。该观念认为通过把不同的网段划分成不同安全级别的网段,在不同的网段之间设置防火墙,就可以保证80%的安全问题得到解决。最多再加上IDS,对应用层威胁进行监控,就可以基本上万事大吉。
误区3:主机和应用层的安全防御和网络无关
产生这个误区的历史原因是:由于技术的限制,网络产品如果要涉足主机和应用层的安全,必然造成该产品成为性能瓶颈-吞吐量低、延迟大。因此,该观念认为网络应该做的事情就是路由和交换。相应的,这个观念所带来的解决方案基于主机的安全软件解决方案,例如在主机上装各种各样的防病毒软件、主机IDS/IPS等。主机的安全防御与网络隔离,无法形成一个整体解决方案。
但是时过境迁,网络安全技术和形势的发展,使我们必须对传统的网络安全解决方案进行一下反思,必须对传统的误区进行澄清:
正确观念一:大部分的威胁来自网络内部
便携机的普及使得移动办公得到大量的普及,计算机终端不断的在企业内网和外网两个环境间进行漫游,很容易造成网络威胁从外网进入内网,从而在内网进行传播。另外由于VPN技术的普及,使得企业内网无限扩展,更加大了威胁进入内网的机会。
正确观念二:仅靠防火墙不能解决大部分网络安全问题
各种蠕虫、病毒、应用层攻击技术和EMAIL、移动代码结合,形成复合攻击手段,使威胁更加危险和难以抵御。这些复合威胁直接攻击企业核心服务器和应用,给企业带来了重大损失;对网络基础设施进行DDoS攻击,造成基础设施的瘫痪。这些威胁大部分都能够穿透防火墙,防火墙基于TCP/IP
3层和4层的访问控制对这些问题无能为力。
正确观念三:主机和应用层的安全抵御必须和网络紧密结合
目前,越来越多的病毒和蠕虫是基于网络来传播的,有了网络这个介质,可以威胁传播速度很快,以SQL Slammer为例,10分钟内,SQL Slammer感染了全球90%的有漏洞的计算机。如果网络对于这些威胁不能识别,不能在其传播扩散的通路上进行阻截,纯粹依靠人工手动的打补丁、升级防病毒软件和在网络上设置ACL,根本无法抑制这些蠕虫病毒的大规模泛滥。
在这种咄咄逼人的安全形势下,原来的“防火墙+IDS+防病毒”的传统网络安全解决方案已经不能满足安全需求了,新的安全形势要求我们必须对安全解决方案做出新的定义。这样就产生了华为3Com安全渗透网络。
安全渗透网络包含三个基本的特征:
* 安全渗透网络要求网络必须从端点开始进行行为的管理:仅仅进行身份鉴别是不够的,必须做到对端点的行为进行识别,让行为顺从取代简单的“口令”认证,成为安全接入网络的基本条件
* 安全渗透网络要求网络深入到应用和业务内容进行保护:网络设备只工作在网络层和传输层是不够的,必须具有深度报文解析和深度应用感知的能力。
* 安全渗透网络要求基础安全特性成为网络的一部分:也就是基础安全特性应该有机的渗透到网络设备中,网络可以弹性的调整和部署,以适应因为业务变化引起的安全策略的变化。
相应的,华为3Com安全渗透网络由三个功能模块组成,分别是用户层上以EAD(端点准入防御)为基础的端点安全模块;应用层上以IPS为依托的威胁抵御模块;以及网络层上的基础安全模块。
端点安全模块-端点准入防御(EAD)
在企业网里,网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、使用网络管理员禁止使用的软件等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,华为3Com公司推出了端点准入防御(EAD)解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。
威胁抵御模块
华为3Com认为必须在网络上斩断这些威胁的传播通路,才能很好解决应用层安全威胁问题,华为3Com新近推出的TippingPoint IPS将担当起这个重任。TippingPoint
IPS的不同之处在于可以被“in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的同时对正常流量不产生任何影响的能力。
TippingPoint IPS在跟踪流状态的基础上,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,而且,TippingPoint
IPS也能够有效抵御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。
因此,集成了高精度的应用识别和入侵检测技术、高性能的硬件加密技术的TippingPoint IPS产品,有效弥补了“安全网络”蓝图和现实之间的距离,真正做到了网络中每个物理位置上安全无处不在、网络的每个层次上安全保护都无所不在。
基础安全模块
基础安全模块首先是增强网络基础设施的安全特性。经过多年的技术积累,华为3Com全系列路由器和交换机已经具有了丰富的安全特性,如MPLS VPN、基于身份的ACL等等。
除了开发基础网络设施的安全特性以外,华为3Com还推出了专业的防火墙/VPN产品。目前推出的SecPath系列硬件集成VPN功能的防火墙是一种改进型的状态防火墙,采用专门设计的高可靠性硬件系统和具有自主知识产权的私有操作系统,将高性能的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身,并且支持和交换机、路由器进行统一网管,轻松的渗漏进入网络,和其他网络设备共同构成立体的企业防御系统。
SecPath 1800F防火墙是华为3Com公司SecPath系列防火墙的旗舰产品。它是基于网络处理器技术(NP)的硬件高速状态检测防火墙设备,防火墙的转发平面由32个硬件线程实时处理,能够达到64字节小包文千兆的线速,并发会话数在2百万以上,具备卓越的防火墙处理性能,可以提供高达4G的快速网络数据转发能力。
SecBlade插卡是华为3Com根据客户需求开发出来的可以有机地融合进华为3Com核心交换机的安全业务模块,它实现了传统交换机和路由器的安全功能的提升,大大增强了设备抗击网络威胁的能力,使企业网络无缝地演变成安全的网络。
目前华为3Com已经推出SecBalde防火墙插卡、VPN插卡和IDS插卡,并将继续推出多种针对应用安全和内容加速的安全业务模块,给客户提供一个融合安全的网络解决方案。
从理念到产品,华为3Com安全渗透网络将有力的促使“网络+安全”的解决方案向“安全的网络”这样一个解决方案转变,我们有理由相信,通过将安全向企业网渗透,我们将打造一个绿色、安全、洁净的企业网。
