浅谈内网网络安全及威胁应对措施

　　内网网络安全的解决之道

　　按照前文的分析结果，内网网络的安全主要关注的对象应该是网络、通信方和信息交换相关的安全风险。对于这三个对象，安全管理员可以采取相应的技术缓解风险。

　　网络

　　合理划分网络

　　对于组织而言，传统的网络划分往往是由网络管理部进行的。组织的安全管理员需要网络划分进行审阅。网络划分的依据除了根据地理位置、部门之外，也应考虑其包含信息资产安全等级，安全管理员关注网络划分的目的在于更容易实现按安全等级进行保护。应尽可能避免安全等级相差较大的信息资产划分在同一网络中。

　　设置边界检查点

　　对于来自不同的网络的通信应在其边界处设置检查点，过滤其中可能的安全威胁，包括未授权的网络访问和潜在的攻击。

　　技术实现

　　防火墙(Firewall)

　　防火墙是最早出现的网络安全技术，也是相对简单的一种。防火墙作为网络边界检查点的主要作用是实现访问控制。

　　防火墙作为一种安全技术，主要优势包括：

　　l 性能：目前的防火墙已经有100G的产品。

　　l 工作在网络层：可实现网络地址翻译甚至路由等功能。

　　l 配置容易：防火墙配置较为容易。

　　但是在实践中，防火墙并非是内网边界检查点最常用的设备，这主要是因为以下原因：

　　l 内网往往并没有极高的网络吞吐量性能要求

　　l 防火墙对于通过ACL规则之后的数据包检查并不擅长，对于复杂的攻击无法防御

　　l 添加工作在网络层的防火墙需要更改内部网络拓扑

　　l 防火墙没有失效打开(Fail Open)功能。设备失效会影响网络可用性。

　　当然，近年来防火墙技术也在发展。最主要的方向是解决其对于数据包的检查功能，使防火墙能够理解应用层的通信，成为基于应用的防火墙(Application Firewall)，国际上主要的应用防火墙厂商包括McAfee公司(收购Secure Computing获得技术)和PAN，还有一些专注于Web应用的公司，如Imperva和国内的绿盟等。这些应用防火墙很大程度上改善了应用层防护能力，设置通过协议代理技术做到了非常精细的颗粒度，当然也存在着配置复杂，对管理员要求高，性能较低等需要进一步克服的技术障碍。

　　入侵防护系统(Intrusion Prevention System)

　　入侵防护系统作为入侵检测系统的升级技术，在近年广泛用于组织内部网络的边界防护。主要技术优势包括：

　　l 强大的数据包深入检查(Deep Packet Inspection)功能，可以检测各种应用层协议中夹带的攻击(不局限于Web等)

　　l 配置容易，用户可基于默认的策略进行设置。自动阻断攻击。

　　l 透明接入网络，无需更改网络拓扑

　　l 带有失效打开功能。如果设备失效会自动旁路，不致影响网络的可用性

　　入侵防护系统也存在一些局限，主要包括：

　　l 全面部署成本较高。一般而言，同样吞吐性能的防火墙和入侵防护系统相比，后者购置成本远高于前者。

　　l 对入侵防护系统的评价较为复杂，对于普通用户难以评估不同入侵防护系统的防护能力。

　　这些局限导致了目前入侵防护系统作为最被安全技术趋势研究机构看好的内网网络安全产品，并未得到与其名声相匹配的普及程度。

　　通信方

　　即便是来自可信网络，如果参与通信的一方自身的系统安全无法保障，也将会影响对端的安全。因此应对于通信方的安全状况需进行必要的检查，使其满足组织预定义的安全基准，才许可其参与通信。

　　技术实现

　　网络准入控制(Network Access Control)

　　网络准入控制技术可以实现确保接入网络的客户端安全状况符合要求。通过在桌面机上安装客户端软件，组织可以避免未达安全要求的客户端接入内部网络，造成潜在的安全风险。这一技术的主要优点包括：

　　l 可基于客户端的身份控制准入

　　l 可基于客户端的安全状况控制准入

　　l 方便实现公司的安全策略。

　　网络准入控制技术也存在一些实现的难点，主要包括：

　　l 对于网络环境复杂的组织，技术方案设计较难

　　l 客户端软件会一定程度上影响客户端性能

　　l 对于规模较大的组织，部署工作是一个挑战

　　虽然网络准入控制技术有着这些实现困难，但是目前还没有其他更好的技术实现对于客户端的安全控制。尤其是对于大规模的组织而言，通过网络准入控制技术来保障网络安全，仍是一种极为常见的选择。

　　信息的流动

　　组织的网络安全管理人员需要关注通信方之间的信息流动。包括应用层的相关信息(哪些文件，哪些协议)和网络层的相关信息(流量模型，异常流量)，并根据这些信息结合组织的安全策略，判断网络中信息流动的正常与否。

　　信息

　　网络安全管理人员可能关注的信息包括：

　　l 当前传输次数最多的文件

　　l 当前主要访问的URL地址

　　l 最忙碌的服务器

　　l 各种协议所占网络通信的百分比

　　l 异常流量信息

　　l 拒绝服务攻击信息

　　l 蠕虫爆发信息