内网控制与安全融合
通常意义上的“内网控制”包括两个方面:第一,网络准入控制;第二,全网安全技术。把这两点整合到新一代网关安全技术中,目前来看是非常有必要的。
目前业内的共识是:两种技术的整合将推动企业安全向全网化进发。据梁小东介绍,新一代的准入控制技术包括第二层和第三层的准入,日后可能还有更高层准入。目前,在第二层采取交换机或者WLAN等手段,利用802.1X进行相关的联动与控制。而在第三层,主要集中在身份认证上。对此,王延华解释说,目前的过程是当用户通过相关认证之后,才可以访问相应的服务器资源,而日后将会向更高的方向发展,目前这两层的特征需要在新一代网关安全技术中体现出来。
在全网安全方案中,这部分功能同样需要实现。王景辉表示,全网安全技术将成为新一代网关安全技术的一个重要组成部分,同时也是整个企业内网准入技术的一个组成部分。他预计,今后的安全模式将会受到颠覆,只要在网关处部署新一代安全设备,用这一个设备就可以实现所有内部用户的安全访问。
目前像Juniper、神州数码网络、深信服已经在网关安全设备中实现了基于ActiveX技术进行的客户端软件触发,在内网用户登陆的时候自动分发插件,从而自动完成对主机的检查,包括注册表完整性、非法进程、非法端口、是否具备个人防火墙和防病毒软件,符合要求以后,再授权用户进入内网系统。这个过程也被称作新一代端点安全控制与检查,目的是杜绝外部不安全隐患。
非常有意思的是,记者发现,除了新一代网关技术,目前基于准入与全网安全技术的整合正在被有条不紊地实践着。对此,张祯岩、邬迪和叶建辉三人看法不谋而合,他们认为像SSL VPN就已经把网络准入规则和用户的访问权限做了结合。在远程用户接入时,通过进行端点的安全性扫描,获得其安全等级,高安全等级的用户可以访问更多的资源,而安全级别低的客户端将不具备内网访问权限,实现了动态的VPN访问控制。而对于网络行为管理设备,准入规则被创新地加入到了对内网用户上网行为的管理方面,管理员可以在策略中心设置一系列的安全规则,这些规则包括操作系统的版本、主机安装的应用软件甚至是某些网络行为。当内网用户在访问Internet时,如果符合预先设定的安全规则便可以顺利地访问互联网。而不符合要求的主机将被阻止网络连接,除非其提高本机的安全性并符合企业对员工上网的要求。
同样的,众多企业的CIO也在逐步吃透全网安全的技术核心。王景辉认为,当用户发现自己的基础网络已经比较完善的时候,对应用层的访问控制得到了更广泛的关注。当防范广域网攻击的措施越来越有效时,如何建立一个健康强壮的局域网将成为CIO的工作重点。安全是从OSI模型中自下到上的完善,并且也在经历一个从 WAN-->LAN防护到LAN-->WAN保护这样一个双向的防护过程。对此,邬迪表示,新一代安全网关技术很可能整合或者配合其他安全专有设备,如广域网加速设备、上网行为管理设备,一起来完成全网安全的部署。
此外,将两种技术整合到新一代安全网关中还有一个好处,那就是可以在一定程度上,具备实现防护的能力。张祯岩解释说,新一代安全网关的边界控制会较传统的防火墙、UTM更加智能,特别是可以适应规则的例外情况。从实验室测试的成绩看,对于新型态的攻击或安全威胁,新一代安全网关技术可以实现部分事先防护功能。
业界对于内网安全与准入的态度十分明朗,但王景辉也提醒说,在新一代安全网关技术中还需要关注微软这样的公司,因为有迹象表明微软在从事防病毒等安全工作,如果市场反应是微软做的足够成功,有可能会有新的国际标准出台,届时众多网络安全厂商都必须与之结合,以便彼此间互相通信,而神州数码网络、天融信等国内厂商开发的私有协议,有可能受到挑战。
IPv6与安全融合
IPv6在新一代网关安全技术中扮演的角色不可或缺。对此王景辉解释说,IPv6本身可以很好地解决IPSec的问题,但对于访问控制还是需要设备进行支持。这里说的访问控制主要是指IPv6下的安全包过滤的问题。
据悉,神州数码网络作为国内唯一通过IPv6 Ready Phase 2认证的厂家,已经展开了对IPv6下的新一代安全网关的预研工作。从目前披露的情况看,在IPv6状态下,安全设备需要查找的包更深,因此对于处理器的性能要求更高,对整体设备的性能也是严峻的考验。毕竟IPv4下检查一个包都是在128-256位左右,但日后需要更加深入的检查。
目前来看,IPv6在现网上用的很少,主要还是实验网上做。对此,张祯岩和梁晓东的看法也比较一致,他们觉得在IPv6大规模推广还没有开始之前,安全厂商主要希望能够在新一代安全网关技术中把IPv6的兼容性调试好,目前的依据都是支持IPv6的地址规划,但对于日后的攻击行为,还难以准确判断。
据悉,像Juniper、联想网御、神州数码网络、深信服、WatchGuard都已经开始了对IPv6状态下的安全调试工作。有意思的是,王延华、叶剑辉和邬迪三人均认为,IPv6在中国会从骨干网到接入网一级一级地实施,在技术上并没有太大难度,因此对于安全厂商来说,IPv6只是底层的网络协议,那么只要底层的软件协议支持,做到IPv4到IPv6的切换没有问题。
责任编辑 赵毅 zhaoyi#51cto.com TEL:(010)68476636-8001
| 共2页: 上一页 [1] 2 | ||
|
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · Java基础教程 · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · SOA 面向服务架构 · SQL Server 2005全解 · Java编程开发手册 · RAID——磁盘阵列基础 |
· 三层交换技术专题 · SQL Server入门到精通 · Windows Server 2003企.. · Windows远程桌面应用 · C#技术开发指南 · VPN技术 · Solaris 10 配置管理 · C#技术开发指南 |
||
|
|||
| · ARP攻击防范与解决方案 · VPN技术 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · RAID——磁盘阵列基础 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| 张振伦 的博客 |
|
| ·拯救系统管理员 ·美国选民:我为什么选布什 |
·VMware公司中文命名挑战赛 ·我们真缺乏创新吗? |
| 梁林 的博客 |
|
| ·J0ker的CISSP之路:复习-.. ·J0ker的CISSP之路:复习-I.. |
·9月第3周安全回顾 内网安.. ·教你几招识别和防御Web网.. |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 教你使用Anti ARP Sniff.. · 网络嗅探教程:使用Snif.. · 常见病毒手工清除方法大.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · 热门 IT 培训认证官方资.. · Ubuntu 中文开源频道 · Solaris基础知识入门 |
· 费力不讨好 数据中心主.. · AMD Phenom三核处理器解.. · 51CTO主编推荐经典专题 |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
