中国的网络安全技术在近几年得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。 从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。 一、现阶段网络安全技术的局限性 谈及网络安全技术,就必须提到网络安全技术的三大主流—防火墙技术、入侵检测技术以及防病毒技术。 任何一个用户,在刚刚开始面对安全问题的时候,考虑的往往就是这"老三样"。可以说,这三种网络安全技术为整个网络安全建设起到了功不可没的作用,但是传统的安全"老三样"或者说是以其为主的安全产品正面临着许多新的问题。 首先,从用户角度来看,虽然系统中安装了防火墙,但是仍避免不了蠕虫泛滥、垃圾邮件、病毒传播以及拒绝服务的侵扰。 其次,未经大规模部署的入侵检测单个产品在提前预警方面存在着先天的不足,且在精确定位和全局管理方面还有很大的空间。 再次,虽然很多用户在单机、终端上都安装了防病毒产品,但是内网的安全并不仅仅是防病毒的问题,还包括安全策略的执行、外来非法侵入、补丁管理以及合规管理等方面。 所以说,虽然"老三样"已经立下了赫赫战功,且仍然发挥着重要作用,但是用户已渐渐感觉到其不足之处。其次,从网络安全的整体技术框架来看,网络安全技术同样面临着很大的问题,"老三样"基本上还是针对数据、单个系统、软硬件以及程序本身安全的保障。应用层面的安全,需要将侧重点集中在信息语义范畴的"内容"和网络虚拟世界的"行为"上。 二、技术发展趋势分析 1.防火墙技术发展趋势 在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。 从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。 UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。UTM设备应具备以下特点。 (1)网络安全协议层防御。防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。 (2)通过分类检测技术降低误报率。串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等,从而显著降低误报率。 (3)有高可靠性、高性能的硬件平台支撑。 (4)一体化的统一管理。由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各样攻击威胁的时候,能够更好地保障用户的网络安全。 2.入侵检测技术发展趋势 入侵检测技术将从简单的事件报警逐步向趋势预测和深入的行为分析方向过渡。IMS(IntrusionManagementSystem,入侵管理系统)具有大规模部署、入侵预警、精确定位以及监管结合四大典型特征,将逐步成为安全检测技术的发展方向。 IMS体系的一个核心技术就是对漏洞生命周期和机理的研究,这将是决定IMS能否实现大规模应用的一个前提条件。从理论上说,在配合安全域良好划分和规模化部署的条件下,IMS将可以实现快速的入侵检测和预警,进行精确定位和快速响应,从而建立起完整的安全监管体系,实现更快、更准、更全面的安全检测和事件预防。 3.防病毒技术发展趋势 内网安全未来的趋势是SCM(SecurityComplianceManagement,安全合规性管理)。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点,精细化的内网管理可以使现有的内网安全达到真正的"可信"。 目前,内网安全的需求有两大趋势:一是终端的合规性管理,即终端安全策略、文件策略和系统补丁的统一管理;二是内网的业务行为审计,即从传统的安全审计或网络审计,向对业务行为审计的发展,这两个方面都非常重要。 (1)从被动响应到主动合规。通过规范终端行为,避免未知行为造成的损害,使IT管理部门将精力放在策略的制定和维护上,避免被动响应造成人力、物力的浪费和服务质量的下降。 (2)从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析,而没有办法对业务行为的内容进行控制,SCM审计要求在合规行为下实现对业务内容的控制,实现对业务行为的认证、控制和审计。 (3)对于内网来说,尽管Windows一统天下,但是随着业务的发展,Unix、Linux等平台也越来越多地出现在企业的信息化解决方案中,这就要求内网安全管理实现从单一系统到异构平台的过渡,从而避免了由异构平台的不可管理引起的安全盲点的出现。 最后,安全技术和安全管理不可分割,它们必须同步推进。因为即便有了好的安全设备和系统,如果没有好的安全管理方法并贯彻实施,那么安全也是空谈。 2.不支持应用层协议。假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用HTTP协议),不允许去外网下载电影(一般使用FTP协议)。包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。 3.不能处理新的安全威胁。它不能跟踪TCP状态,所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。 综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。 1.2 应用代理网关技术 应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。 应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。 缺点也非常突出,主要有: · 难于配置。由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。 · 处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行,因为对于内网的每个Web访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常Web访问不能及时得到响应。 总之,应用代理防火墙不能支持大规模的并发连接,在对速度敏感的行业使用这类防火墙时简直是灾难。另外,防火墙核心要求预先内置一些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无情地阻断,不能很好地支持新应用。 在IT领域中,新应用、新技术、新协议层出不穷,代理防火墙很难适应这种局面。因此,在一些重要的领域和行业的核心业务应用中,代理防火墙正被逐渐疏远。 但是,自适应代理技术的出现让应用代理防火墙技术出现了新的转机,它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。 1.3 状态检测技术 我们知道,Internet上传输的数据都必须遵循TCP/IP协议,根据TCP协议,每个可靠连接的建立需要经过"客户端同步请求"、"服务器应答"、"客户端再应答"三个阶段,我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。 状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。 网关防火墙的一个挑战就是能处理的流量,状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。 任何一款高性能的防火墙,都会采用状态检测技术。 从2000年开始,国内的著名防火墙公司,如北京天融信等公司,都开始采用这一最新的体系架构,并在此基础上,天融信NGFW4000创新推出了核检测技术,在操作系统内核模拟出典型的应用层协议,在内核实现对应用层协议的过滤,在实现安全目标的同时可以得到极高的性能。目前支持的协议有HTTP/1.0/1.1、FTP、SMTP、POP3、MMS、H.232等最新和最常用的应用协议。 二、防火墙发展的新技术趋势 2.1 新需求引发的技术走向 防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求。 · 远程办公的增长。这次全国主要城市先后受到SARS病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的VPN(虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。 · 内部网络"包厢化"(compartmentalizing)。人们通常认为处在防火墙保护下的内网是可信的,只有Internet是不可信的。由于黑客攻击技术和工具在Internet上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的"包厢",对每个"包厢"实施独立的安全策略。 2.2 黑客攻击引发的技术走向 防火墙作为内网的贴身保镖,黑客攻击的特点也决定了防火墙的技术走向。 80端口的关闭。从受攻击的协议和端口来看,排在第一位的就是HTTP协议(80端口)。 根据SANS的调查显示,提供HTTP服务的IIS和Apache是最易受到攻击,这说明80端口所引发的威胁最多。 因此,无论是未来的防火墙技术还是现在应用的防火墙产品,都应尽可能将80端口关闭。 · 数据包的深度检测。IT业界权威机构Gartner认为代理不是阻止未来黑客攻击的关键,但是防火墙应能分辨并阻止数据包的恶意行为,包检测的技术方案需要增加签名检测(signature inspection)等新的功能,以查找已经的攻击,并分辨出哪些是正常的数据流,哪些是异常数据流。 · 协同性。从黑客攻击事件分析,对外提供Web等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护网络安全的任务。早在2000年,北京天融信公司就已经认识到了协同的必要性和紧迫性,推出了TOPSEC协议,与IDS等其他安全设备联动,与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和IDS的联动和认证服务器进行联动。如支持国内十几家知名的IDS、安全管理系统、安全审计、其他认证系统等等组成完整的TOPSEC解决方案。2002年9月,北电、思科和Check Point一道宣布共同推出安全产品,也体现了厂商之间优势互补、互通有无户群精准地发送信息,我们觉得这个挺好,就同意了。" 周女士说,他们只是与这家短信公司合作,从来也没问过他们是通过何种方式推送短信。"我们从上周一就开始推送短信了,至于为什么会在东北大学‘总裁班’开课时推送,我也不清楚。更不知道什么是伪基站。如果事先知道伪基站是违法的,我们肯定不会和这家公司合作。" 从沈阳市无线电管理委员会办公室了解到,不法分子通常将伪基站设备放置在汽车内,驾车缓慢行驶或将车停在特定区域,进行短信诈骗或广告推销。通过伪基站,不法分子可以绕开公众通信网,任意冒用公众服务号码,如100XX或95XXX等号码,从而实施电信诈骗、广告推销等违法犯罪活动。在手机用户收到的各种垃圾短信中,有70%的垃圾短信出自伪基站。 沈阳市无线电管理委员会办公室负责人曾经表示,不法分子利用伪基站发送短信,屏蔽信号,干扰公共频率资源,危害后果严重。为有效打击不法分子的行为,今年公安机关集中开展了打击伪基站专项行动,并独立排查定位伪基站6起。目前,技术人员已经能利用设备"哨兵一号"和"哨兵二号"快速锁定伪基站的位置,最快只需10分钟。