简述防火墙如何能更好地加强内网管理

来源:zdnet安全频道 论坛管理  作者:本站整理
摘要:运用防火墙则是保障网络运维的一个重要手段。目前很多用户使用的防火墙是设置在不同网络间的部件,它只在网络边界设置一个屏障,把整个网络分为可信任的内部网与不可信的公共网来进行隔离防护,这远远不能保障网络的正常运维。…

运用防火墙则是保障网络运维的一个重要手段。目前很多用户使用的防火墙是设置在不同网络间的部件,它只在网络边界设置一个屏障,把整个网络分为可信任的内部网与不可信的公共网来进行隔离防护,这远远不能保障网络的正常运维。

对于网络安全,其实是指网络的安全防护与管理,因为只有在基本管理措施到位的前提下,才能谈得上网络的安全问题。基于一般网络的构成情况,网络安全与管理需要有两个层面的工作要做:其一是内网与外网的衔接部分的安全防护与管理;其二是内部网络的安全防护和管理。现在大家主要关注的是第一部分安全防护和管理问题,这部分主要是防御来自外部(互联网等)的攻击和入侵,以及管理(或控制)来自内部使用人员访问外部网络的行为。由于这种安全与管理措施是在两个网的衔接部分实施的,管理的只是访问外部网络的行为,内部之间的访问行为根本无法到达边界上的防护设备,因此,用于网络边界上的安全防护和管理系统其防护方面比较强大,而管理方面较弱,这就是传统防火墙的功能,虽然防火墙的功能越来越大,但其管理功能基本也只能针对对外部访问行为的控制管理。

由于安全和管理已经远远不只是对边界的防御和行为管理,网络内部同样需要这种防护和管理措施,而且这种要求越来越强烈,业内有人称20%的安全管理问题来自外部,80%的安全管理问题来自内部,这种说法已经流行了很长一段时间,但并没有引起人们的重视,其原因是大家主要担心的还是来自外部的破坏行为,对内部的担心较少,另外,没有受到人们重视的主要原因也可能是没有适合的解决方案或解决此类问题需要付出更大的代价。随着防范外部破坏行为的能力增强,内部安全和管理的问题就越来越突出。由于内部网络的规模越来越大,应用越来越多,业务对网络的依赖性越来越大,因此,解决内网的安全和管理问题,是整个网络安全下一步工作的主要内容。

从应用角度讲,边界防护和管理与内网防护和管理也不一样。边界防护是防御外部的攻击和入侵,而内网防护是防御内部攻击的泛滥;边界防护采取的是简单的隔离(外网、内网和DMZ区)和严格的防护措施,而内网防护采取的是复杂的隔离(按网络、链路、业务、用户等)和较严格的防护措施。边界访问行为管理只管理经由边界的使用行为,而内网访问行为管理是管理所有网络内部的使用行为;边界访问行为管理是通过过滤数据内容,进行访问业务的管理和访问目的的管理,而内网访问行为的管理是通过网络接入认证和授权(AAA),以及访问控制、网络资源管理和监控等综合手段进行的。

从技术角度讲,解决内网安全和管理的主要问题是核心安全防护和管理设备的性能问题。由于内部网络的带宽很大(100M-1000M),业务数据量也很大,因此,不能采用传统的安全防护和管理系统去解决内网的安全和管理问题,只能采用处理能力和效率更高的解决方案,符合这种高性能要求的解决方案只能采用全硬件化(ASIC技术)的解决方案。这种纯硬件的解决方案,可以完全透明、线速地应用在内网中,在开启全部安全防护和管理措施的情况下,对现有应用也不产生任何影响(包括运行效率),是能够真正适合内网应用环境的解决方案。

从发展趋势看,网络技术与安全技术的结合是内网安全产品的发展趋势,这也正符合上述技术和应用的分析。网络技术已经实现了纯硬件化的进化过程,网络技术和安全技术的结合最终也将走向纯硬件化,并且形成多功能于一体的(ALL-IN-ONE)产品形态,这是高性能和管理便利要求的产物。

【相关文章】好搜一下
小方法大作用:如何让网站PR值一路高歌

小方法大作用:如何让网站PR值一路高歌

做网站最痛苦的就是建站之初的那段时间,如长沙厂房出租网站刚建立,只是处于婴幼儿时…