科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络边界入侵防御策略中的关键技术

网络边界入侵防御策略中的关键技术

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

边界的大多数法规控制可以分为三个字类:泄漏防护、审计和日志记录、以及流程稽核。

作者:Joel Snyder 来源:TechTarget中国 2008年10月30日

关键字: 边界入侵 边界安全 网关

  • 评论
  • 分享微博
  • 分享邮件

  当人们谈及安全和入侵防御时,会冒出许多术语,并且含义不明确时,很容易会混淆。在深入讨论入侵防御之前,我们先来定义几个术语。我不会试图对所有文章中涉及的每个术语提供确定的答案,但是我给出它们在边界入侵防御策略中的定义。

  防病毒

  反间谍软件

  反垃圾邮件

  反网络钓鱼

  入侵检测与防御系统

  拒绝服务/分布式拒绝服务防御

  内容过滤

  应用程序控制与带宽管理

  法规限制

  防病毒

  防病毒可能是边界安全中最常见的术语了,但是即使是这样一个简单的术语也有很多种定义。病毒、特洛伊木马程序、蠕虫病毒、以及恶意软件都是共同用于描述恶意(或许起初并非有害的)软件中的具体一种或另外一种形式的术语。例如,恶意软件的本质是和若虫不同的一种病毒。但是当我们说“防病毒”时,我们谈论的是检测是否存在这些有害软件中的任一种,并非仅仅是病毒本身。

  病毒是一种可以感染其它应用程序的恶意软件。当这个应用程序由终端用户启动时,该病毒就被激活了,它既可以感染其它应用程序,也可以执行其罪恶的行为,比如随意删除你磁盘上的文件或者在你的Web浏览器上突然出现关于伟哥的广告。与病毒不同,蠕虫病毒既是独立的,又可以自动扩展;一旦感染了蠕虫病毒,人们将无法启动一个应用程序。特洛伊木马也是一种恶意软件,它可以伪装成一个合法的应用程序,但它不能扩展自己。

  当然,黑客并不担心这些不同的分类——他们只是乐于使用特洛伊木马来携带一个蠕虫病毒的有效载荷,这个有效载荷也能像病毒一样传染应用程序。术语“混合威胁”通常就是用来描述这些混合病毒。

  了解这些不同之处是非常重要的,理由是防病毒,尤其是在边界防病毒,可能拥有多种功能,可以在其生命周期内的不同时刻捕捉到不同类型的恶意软件。此外,你可能会在不同的环境中看到术语“防病毒”。

  简单说来,防病毒技术在传输过程中查找恶意软件。最流行的恶意软件的自动扩展技术是通过电子邮件,这样的话扫描电子邮件中的恶意附件就是防病毒策略的重要组成部分。然而,恶意软件也可以留在Web站点上,边界防病毒扫描器也可以顺便检查Web数据流中的恶意软件。

  这两项技术的问题在于它们不能保证从所见到的信息包重建病毒的有效载荷。加密的电子邮件和Web会议是一个问题,但是不标准端口上的Web信息流或者特定Web应用程序中的病毒也可能通过病毒扫描器。出于这个原因,边界的任何防病毒策略只能补充桌面上的防病毒程序。

  第二个边界防病毒技术包括搜索病毒不当行为的标志。比如,著名的Code Red蠕虫病毒发送一个特殊的URL,进而扩散到IISWeb服务器中。边界防病毒技术可以通过计算机的行为发现Code Redf感染的计算机。这项技术仅在感染发生以后,对识别恶意软件有用。然而,与了解到有人被病毒感染了相比,首先保护用户免于受到病毒感染的用处大不了多少。也有一些入侵防御工具专门用于寻找恶意软件的传播迹象,并可以使用该信息帮助隔离那些受感染的系统。这些就是我们通常所知的“网络异常行为检测”(NBAD)系统。

  反间谍软件

  对你刚刚阅读的病毒方面的知识有了一定的了解以后,很容易就可以知道间谍软件(有时称为广告软件)是另一种恶意软件,并且采用相同的技术就可以检测到。间谍软件最普遍的传播方式是“隐蔽强迫下载”,在这种方式中,用户访问某个Web站点,并且作为一种副作用,将另外的软件下载在自己的计算机中。有时候,下载软件是在用户不知情的情况下进行的,或者Web站点可能试图故意迷惑用户,进而绕过浏览器的安全保护进行下载。用户甚至有意下载并安装间谍软件,通常是由于他们被欺骗性的宣传所误导,误认为该软件在某种程度上会提高他们的因特网技能。

  至于原因最好留给阴谋论来解释,反间谍软件的处理方式通常与病毒不同。然而,寻找文件签名(尤其出现在网页中,比电子邮件信息中的更多)和异常行为的检测技术都与反间谍软件和防病毒技术有关。并且,与防病毒一样,桌面检测与防御策略必须增加一个边界防御。随着时间的推移,我们可以期待反间谍软件和防病毒软件将合并为一种工具,尽管现在市场上的风暴和骚乱已经导致许多企业不得不购买这两种工具,与这种日益严重的困境作斗争。

  反垃圾邮件

  与恶意软件检测相比,检测垃圾邮件难度要大得多,同时又要简单得多。因为任何大脑机能正常的人都可以产生出垃圾信息,新垃圾邮件的创造率相当高。同时,垃圾邮件只能通过电子邮件传播,所以改变这些信息流的方向,使之通过垃圾邮件过滤器,比捕获所有可能存在的病毒传播或者活跃的信息流要简单得多。

  反垃圾邮件技术与防病毒技术的另一个不同之处是反垃圾邮件的警报误判(合法信息被标记为垃圾邮件或者垃圾邮件被标记为合法信息)率比防病毒软件要高得多。换句话说,更多的垃圾邮件(与病毒相比)通过,并且更多的信息(与病毒相比)被归类为垃圾邮件。结果,反垃圾邮件特征,比如终端用户隔离以及单个用户灵敏度设置与白名单,通常决定着终端用户的满意程度。

  反网络钓鱼

  多种有害的或者恶意的邮件,网络钓鱼邮件可由与垃圾邮件相同的方法检测出来。在技术层面上,任何反垃圾邮件工具同时也可以是反网络钓鱼工具。在市场层面上,把这两种威胁合并到同一个产品上的理念是无法抵抗的,因此产生了大量专门处理这两种威胁的工具。

  由于反间谍软件与防病毒软件有关,因此,反网络钓鱼是与反垃圾邮件联系在一起的。所有能够处理反垃圾邮件的工具同时也擅长于处理网络钓鱼攻击。

  另一种基于网络行为的反网络钓鱼正在一些边界防护经销商中间流通。由于网络钓鱼电子邮件通常要求读者点击一个某个网页的链接,并提供了相关信息,理念是你可以帮助“受感染的用户”——他们受到网络钓鱼电子邮件欺骗,访问设有圈套的网址——通过采用NBAD系统捕获这些连接。结果是这种技术也是为标准的垃圾邮件服务的(因为用户被引导进入网站订购毒品、观看色情视频,以及购买股票),但是由于对用户的损害并不重大,一般不使用该技术。

  现在,大量的边界入侵防御产品都在电子邮件中使用URL,此外,终端用户点击URL来检测来袭的垃圾邮件/网络钓鱼邮件并输出反应情况。本质上来讲,虽然这与用于检测正在传播或正在攻击的恶意软件的技术是相同的,但是,它致力于一种具体任务:阻止用户回应任何网络钓鱼电子邮件。

  入侵检测与防御系统

  尽管这些产品家族听起来似乎应该有一定的联系,但是它们几乎没有类似之处。入侵检测系统(IDS)在网络中的一个或多个端点检测数据流,并就可疑或恶意的信息流提供警报和鉴定。IDS的关键部分是警报系统,以及鉴定和输入意图的数据存储。

  入侵防御系统是一个内嵌的设备,可以阻止恶意信息流。一些早期的IPS并不是内嵌的。它们可以检测到恶意信息流,然后减轻该信息流的影响;比如,可以采用TCP重置的方法进而淹没发送器和接收器,或者改变防火墙或路由器中的访问列表规则。然而,同时代的IPS看起来都一样:内嵌的信息流评估器寻找一些理由,丢掉信息包或者重置连接。由于IPS搜索恶意信息流,因此与IDS相比,它区别性更少,并且更为仔细。

  比如,在网络中,IDS可以检测到蠕虫病毒的在网络内部扩散,并且警戒这些企图。然而,IDS可以按照对系统受到攻击的企图,攻击对企业的重要程度,或者按照特定攻击企图的漏洞进行分类。IPS的复杂度并不相同。当IPS注意到一个明确的攻击企图时,就会简单地阻止这个攻击。受到攻击的系统是否存在漏洞、是否重要、甚至该系统是否存在,这些并不重要。IPS可以安全地阻止明确的攻击企图。然而,IPS一定不会阻止合法的信息流。因为IDS发出警报,而IPS阻止攻击,大多数IPS仅有几百个激活的特征(防止产生误报:将非法信息标记为合法信息),而IDS通常有成千个攻击特征。

  并非每一个IPS都使用特征来确定攻击,并且甚至那些使用特征的IPS也可能会与其它技术相结合,帮助确定(并阻止)恶意信息流。NBAD系统的范围与IPS功能有一部分是重叠的,这些产品尽管使用不同的技术,但通常被认为可以解决类似的问题。

  拒绝服务/分布式拒绝服务防御

  IPS也是“以速率为基础的”,意味着它们寻找不正常的信息流。这些系统也是一DoS 和DDoS(拒绝服务攻击和分布式拒绝服务攻击)防御工具为标志的。基于速率的IPS可以与特徵式IPS相结合。然而,由于它们抵御不同类型的攻击,它们通常配置在网络的不同端口,并保护不同类型的系统。比如,以速率为基础的IPS最常用在大型网络服务器池或者大型电子邮件服务器的前端,而特征式IPS是直接配置在公司防火墙内部(或者作为企业防火墙的一部分),进而保护终端用户或者更多普通类型的服务器。

  IPS和IDS执行异常行为检测,或者寻找特殊的病毒或网络钓鱼行为,它们就会作为防病毒或反网络钓鱼工具而出售。尽管这是这些产品中非常有用的一方面,但重要的是你不能IPS或IDS座位一种反恶意软件或垃圾邮件的“第一道防线”。

  内容过滤

  内容过滤工具可以使用大量不同的技术,其目的都是为了实现同一个目标:限制来自公司电脑上的有害内容。通常情况下,内容过滤几乎都用于网络浏览文本,尽管这个想法可以用其它方法来扩展。大多数内容过滤使用分类阻止的方法。内容过滤器可以在网络ULR离开公司网络之前进行监测,并且与大型数据库进行区分比较。URL可能作为未知返回来,或者可能适合于某个类别,比如“运动”或“赌博”。基于这种分类,网络管理者可能选择阻止信息流进入那些类型或者全部的网站,或者以一些其它更多的限制标准为基础,比如每天的时间或者用户认证信息。

  实际上,一些内容过滤器着眼于捕获那些没有经过合理分类的信息流,并将其返回,进而试图分析这些内容。它的长度已经非常长了。举例来说,试图分析图片内容的产品已经上市,其特殊目的是为了阻止色情图片。

  内容过滤并不是一个特别可靠的技术,并且一般不能阻止有特定用户下载不合适的信息。然而,它通常用于这样的环境中:需要某种过滤(比如初等学校),或者一些技术实施支持固定的安全或使用策略(比如在一个面向客户的零售设置中)。

  应用程序控制与带宽管理

  内容过滤对网络浏览的作用,和应用程序控制和带宽管理对所有其它类型的应用程序的作用是一样的。这两种技术都是用于阻止或者控制某种特定的网络使用类型的。应用程序控制通常是高级防火墙的一部分,而带宽管理则是集成到防火墙和其它基础体系设备里的,比如路由器,或者通过独立的设备便可处理。

  与内容过滤相似,应用程序控制通常用于这样的环境中:技术实施必须带有一项规定的使用策略。比如,如果某个公司想要禁止使用Skype公司的voice-over-IP,应用程序控制就可以用于执行这个禁止令。

  法规限制

  从广义的范畴来讲,法规限制的概念是范围足够大,包括其所有条款。然而,边界的大多数法规控制可以分为三个字类:泄漏防护、审计和日志记录、以及流程稽核。

  泄漏防护最难配置。泄漏防护工具借用了IDS的技术,通过在边界进行检测,试图监控和管理流出企业之外的敏感信息流。依靠调节体制,这个范围可以从受保护的个人信息(比如个人健康资料)到公司的敏感财务数据。

  审计与日志记录工具是比较被动的,旨在帮助企业遵守审计访问的要求(比如公司的财务信息)或者保持长期的记录(比如企业外部的所有即时通讯信息流)。

  流程稽核工具在确保企业外部连接遵循符合适用调节体制的策略方面更加活跃。最常见的例子就是对敏感信息加密。比如,一个流程稽核工具可以观测医院和保险公司之间的电子邮件通信,也可以阻止任何没有加密的通信,或者访问并对其按照策略的要求进行加密。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章