2004安全技术回顾

Posted on December 25, 2004 by 吃得很胖的虾

?

一:网络防毒技术。
虽然使用网络设备来进行病毒防护并不是今年的发明,很多国内的公司也一直在使用各种应用代理完成设备上文件的缓存,然后使用杀毒软件进行病毒扫描,其中典型的就是邮件防毒墙。但是使用代理缓存的问题是带来对用户的不透明性,需要等待一个在设备上保存文件,病毒扫描的延时,影响用户对网络的直观理解。但是随着Fortinet实时扫描技术在其产品中的应用,使网络防毒墙这一产品形态真正的走向了用户需求。集成状态防火墙功能,并对报文进行流还原,深度检查,从而在报文转发过程中对网络数据进行病毒扫描,实现病毒实时扫描。这样的产品解决了用户对各个终端不能有效监控的问题,至少对病毒的来源之一——网络进行了有效的封堵,是能解决用户实际问题的技术。

二:安全准入技术。
说白了就是接入控制,802.1X, PPPoE, 微软域控制,在家上网也要输入一个用户名密码,这种对网络用户接入网络进行控制的技术太多。但是在网络病毒泛滥(昨天刚装的Win2000没打补丁,插了一下网线试网络,立即就感染了病毒),攻击无处不在,简单的组合一下,在允许用户接入网络的之前,对用户的终端进行安全检查,判断是否符合安全策略,如有没有安装非法软件,有没有安装了响应的杀毒软件,是否是无病毒的“干净”终端,只有符合这写策略,才让你接入网络。这样又堵住了攻击和病毒的另一个来源,用户终端。另外,通过安全准入控制,不仅仅能够做到对用户终端的安全检查,而且通过和网络设备的互动,达到对用户的区分服务。比如,不同帐号的漫游范围,访问内容的控制。做的比较全的厂商有Sygate,而另一网络巨头CISCO的NAC概念提出,都是网络安全准入控制技术的实施典型。在不久的将来,ISP可以控制我们电脑安装的软件,可以控制我们访问的内容,可以定位我们的上网行为,最终IP网络会形成一个封闭的安全网络。而一群自由之士又会成为新网络的黑客,或者另外建一个全新的开放网络。

三:安全功能在网络设备集成。
简单的组合,带来的功效是巨大的。CISCO新一代路由器性能比原来高10倍,在提供网络数据转发功能的同时,直接集成防火墙,VPN等安全设备,形成ALL IN ONE的设备,对于用户来说,是非常及时的。因为芯片技术的进步和成本的降低是网络设备可以使用高性能芯片,而针对具体业务的ASIC芯片组合进网络设备,使今天的路由器,交换机的功能更加丰富。而对网络带来的好处就是一次处理,大大降低网络延时,为语音、视频应用扫清网络障碍。同时,随着网络设备商的集成设备的推出,哪些依赖于工控机等平台的单一设备制造商必须重新考虑自己的技术方向和产品形态,是一个比较大的挑战。但不管怎么说,对于用户来说,这是一件好事。

四:新一代NP技术。
用CPU,ASIC还是NP,一直是大家不断争论的一个问题,其实这个问题非常简单。在能达到同样性能的情况下,最优选CPU,然后是NP,然后是ASIC。目前很多厂商使用CPU+特定业务ASIC来实现高速处理,这是比较常见的方式。在性能不能解决的情况下,选择NP是不能不为之的做法。但是不管是IBM,还是Intel的NP,一个主要问题是开发成本太高,微码的开发难度和进度都不是普通公司能够短期搞定的。而带来的维护成本和对客户的响应速度都是很大的问题。不过今年CAVIUM推出的OCTEON NSP将会很大程度上改变当前的安全市场格局。直接支持C语言和标准协议栈,性能高达10G,是期望中的业务网关处理芯片。

五:内部网络网安全
长期以来,网络安全的范畴一直停留在网络外连的出口保护。通过状态防火墙阻止外部的非法访问。虽然现在有应用检测、深度检测、IPS等等概念,但是一直发挥重要作用的仍然是状态防火墙,保证外部网络不能直接访问内部主机。然而,不管是病毒还是蠕虫,来之内部泛滥比来之外部多得多。只要一个内网用户无意中下载一个从未出现过的病毒程序(基于特征的内容检测也好,杀毒墙也好,都不能阻止位置病毒文件)在内网运行,那么内部网络如同不设防的前线,立即崩溃。所以,内部网络的安全是当前必须解决问题。目前的IDS产品,安全审计产品可以对内部网络进行安全检查,但是不能防护来之内部网络的攻击。可喜的是,在今年有厂商开始在内部网络安全领域有所动作,如趋势的内部安全网关,在内部网络间起到安全防护的作用。CISCO的交换机插卡也是对内部交换网络的安全增强,通过在交换机上扩展安全插卡,可以把安全区域的概念从出口延伸到内部网络,形成更安全的分级保护。在可以预见的将来,内部网络安全产品将得到更多的发展,但是其形态可能不会以单独的产品出现,而是当前产品的替代产品。如安全交换机,安全路由器,安全接入服务器等等。

安全随着网络的发展而演进,因为IP网是一个开放、公平的网络,但是却要提供保证私有利益的服务,所以出现了各种安全的问题。一直以来,安全都是处于被动的防御阶段,虽然CISCO今年提出主动防御体系,但是其根本思想还是在堵,只不过堵的地方多了一些,从内网到接入,到各个终端,这也是没有把其作为安全技术亮点的原因,但足可以体现其市场概念引导的能力。随着3G的推出,IPV6的演进,网络安全将包含更多的领域,也会迎来更大的挑战。

This entry was posted in 闲篇. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*
To prove you're a person (not a spam script), type the security word shown in the picture. Click on the picture to hear an audio file of the word.
Click to hear an audio file of the anti-spam word