網(wǎng)絡(luò)安全形勢分析:
自從1995年開始在網(wǎng)絡(luò)中引進防火墻以來�,網(wǎng)絡(luò)安全解決方案已經(jīng)定型成為以防火墻為主的解決方案。這個解決方案的特點就是:將網(wǎng)絡(luò)劃分成不同安全等級的網(wǎng)段�����,在網(wǎng)段邊界放置防火墻,進行網(wǎng)段隔離和訪問控制��。即使后來出現(xiàn)了針對應(yīng)用層威脅的IDS產(chǎn)品�����,也無法動搖防火墻在網(wǎng)絡(luò)安全解決方案的核心地位�����。
通過分析這幾年的網(wǎng)絡(luò)安全發(fā)展形勢�,我們發(fā)現(xiàn)這個傳統(tǒng)的網(wǎng)絡(luò)安全解決方案已經(jīng)不能滿足網(wǎng)絡(luò)安全的需求了。網(wǎng)絡(luò)安全技術(shù)和形勢的發(fā)展�����,使我們必須對傳統(tǒng)的網(wǎng)絡(luò)安全解決方案進行一下反思:
安全形勢一:大部分的威脅來自網(wǎng)絡(luò)內(nèi)部
便攜機的普及使得移動辦公得到大量的普及��,計算機終端不斷的在企業(yè)內(nèi)網(wǎng)和外網(wǎng)兩個環(huán)境間進行漫游����,很容易造成網(wǎng)絡(luò)威脅從外網(wǎng)進入內(nèi)網(wǎng),從而在內(nèi)網(wǎng)進行傳播�。另外由于VPN技術(shù)的普及��,使得企業(yè)內(nèi)網(wǎng)無限擴展,更加大了威脅進入內(nèi)網(wǎng)的機會��。
安全形勢二:僅靠防火墻不能解決大部分網(wǎng)絡(luò)安全問題
各種蠕蟲����、病毒、應(yīng)用層攻擊技術(shù)和 EMAIL����、移動代碼結(jié)合�����,形成復(fù)合攻擊手段,使威脅更加危險和難以抵御�����。這些復(fù)合威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用���,給企業(yè)帶來了重大損失���;對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行DDoS攻擊�����,造成基礎(chǔ)設(shè)施的癱瘓;更有甚者����,像電驢�、BT等P2P應(yīng)用和MSN���、QQ等即時通信軟件的普及����,企業(yè)寶貴帶寬資源被業(yè)務(wù)無關(guān)流量浪費,形成巨大的性能威脅�����。這些威脅大部分都能夠穿透防火墻��,防火墻基于TCP/IP 3層和4層的訪問控制對這些問題無能為力����。
安全形勢三:主機和應(yīng)用層的安全抵御必須和網(wǎng)絡(luò)緊密結(jié)合
目前�,越來越多的病毒和蠕蟲是基于網(wǎng)絡(luò)來傳播的,有了網(wǎng)絡(luò)這個介質(zhì),可以威脅傳播速度很快�,以SQL Slammer為例�����,10分鐘內(nèi)�,SQL Slammer感染了全球90%的有漏洞的計算機。如果網(wǎng)絡(luò)對于這些威脅不能識別�����,不能在其傳播擴散的通路上進行阻截�����,純粹依靠人工手動的打補丁����、升級防病毒軟件和在網(wǎng)絡(luò)上設(shè)置ACL�,根本無法抑制這些蠕蟲病毒的大規(guī)模泛濫。
在這種充滿挑戰(zhàn)的環(huán)境下��,IT部門急需能夠保護應(yīng)用系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和性能的設(shè)備,使之能夠幫助IT部門實現(xiàn)這些關(guān)鍵任務(wù)的解決方案:主動式入侵防御系統(tǒng)�,即Intrusion Prevention System – IPS�。
