网络世界的开启彷佛是打开了一个潘多拉魔盒,给你美好幻象的同时也把那些吃人的魔鬼给放了出来。Internet迅速普及的同时也带来了无国界的计算机网络、攻击、漏洞、以及内部用户网络攻击等一系列严峻的网络安全问题,各行各业的用户与个人用户越来越多地遭受着不同程度网络病毒的困扰。
安全问题是一个永恒的话题。在如今黑客猖獗,“杀机”重重的时代,网络之路比江湖之路更难走,我们都意识到,因特网是很不安全的,随时都可能遭受病毒侵害,所以,如何保障自身的网络安全成了时下用户最关注的一个热门话题。俗话说得好,“预防胜于治疗’,相信大家还没有淡忘2004年末东南亚海啸的那场惨剧,它以极其沉重的代价告诉我们,预警机制的先知先觉、防患于未然是多么的重要,亡了羊才去补牢所付出的代价就相当惨重了。自然灾害如此,网络安全亦然,良好的安全策略和实施只能是预防行动,而不是补救方法。在十·一这个即将到来的黄金周里,病毒或许会蜂拥而至,黑客或许会攻击不断,所以,网络安全的防护工作一点也不能松懈,做好预防措施,避免病毒侵害是至关重要的。
网络安全实际上是一项系统工程,它既涉及对外部攻击(病毒侵袭,黑客攻击等)的有效防范,又涵盖了实时检测、制定内部安全保障制度等内容。因此,网络安全解决应该是一个动态的方案,是涵盖着对于各种有可能造成网络安全隐患问题的整体防御能力。一提到网络安全人们很自然地就会想到,防火墙产品是保障网络安全的第一道防线,承担着防御来自Internet的各种攻击,是保护用户网络不可或缺的一道屏障。当然,防毒墙、安全、、、网关,还有安全、带防火墙的等各种网络安全产品和解决方案同样也是各用户和厂商们的聚焦点。在众多的安全产品中,很多的政府部门、金融、电信、网络等用户为了保障自身或数据安全都采用了防火墙作为防护的核心,而个人用户或一些小型网络对安全产品的需求则主要集中在防病毒、入侵检测、加密认证或者是安装一些安全交换机、带防火墙的路由器等。
诚然,网络安全产品可以在一定程度上保障网络安全,但是网络是不可能有100%安全的,即使有了防火墙、安全网关或VPN等各式各样的安全设备,但网络却不一定就安全,因为虽然现有的安全解决方案可以尽量减少出现漏洞的机会,但网络上单靠这些保护还是不够的。网络好比一间房子,为防止不法之徒进入房内,装门上锁是必然的,防火墙在网络上的位置就相当于房子门上的锁,它控制着访问网络的权限,只允许特许用户进出网络。但是,房子不是单靠一把锁就可以保障其安全的,为了更有效地满足网络安全需求,还需要其它技术,如用户验证、虚拟专用网和入侵检测等。然而,防火墙、身份验证等针对的是来自系统外部的攻击,只能尽量防止者进入网络,但是一旦外部入侵者进入了系统,他们便只能爱莫能助了。现在很多安全威胁来自企业网络内部而非Internet的已是事实,在网络安全部署时,要慎重留意可能存在的内部风险。众多的安全产品与解决方案都带有一定不可避免的局限性,这并不是说我们在病毒面前无可奈何,而是要提醒大家当你进行了安全方面的投入后,应该清楚自己保护了哪些部分,还存在有哪些安全隐患,以便进行不断改善修补。同时,在进行网络安全防护部署之前,结合自己的投资成本与网络规模更合理地设计一个尽可能完善的网络安全解决方案,选购更实惠更合适自身使用的安全产品或安全产品组合。
用户在购买安全产品时,在充分考虑目前安全威胁形势的同时理应本着整体部署的思路去选购,实现以主动防御为主,深入到各个层面,尽量消除各种安全隐患的网络安全解决方案。
1.内网安全的防护。
这个层面主要采取的是主动防御的理念,防火墙,专用内网安全产品以及IPS等设备都可以很好地起到保护内网安全的作用。
现在的防火墙的性能在传统的Internal、DMZ和External三端口模式的基础上大大改善了,提供更多的端口,可以将更多的内网子网用防火墙隔离开。防火墙保护的是一个内部网络,把安全防范策略应用到防火墙上即可抗击绝大部分的外部攻击,就可以轻松实现加强内部网络的安全性。而倘若没有防火墙,即使给每台PC都打上最新补丁,所能提供的实际防范能力也只能保证每个独立主机达到一定安全性,但是它们之间仍然无法实现数据传输的安全保证。专用内网安全产品是一种针对性很强的产品,在应用层防御上增添了很多内容,如针对HTTP蠕虫的防御,与传统防火墙单纯增加端口数目有很大的不同,对病毒的防护起到有的放矢的作用。其部署方式也比较灵活,可以将其放在核心交换机与工作组交换机之间。IPS不仅能实现检测攻击,还能有选择地阻断攻击,是一种主动型的防御技术。另外,IPS设备多用于保护内网重点网段或主机的安全。
2.边界安全的保障。
边界安全产品保障用户内网与因特网之间的安全堡垒。防火墙是这个层面忠诚的守护神,另外带有防火墙功能的安全网关、路由器、交换机等也是其卫士队列中的一员,而IPS则是边界安全的新加入的生力军。
不同的网络环境,由于使用的对安全程度的要求不尽相同,因而对防火墙的要求也各不一样。比如说一些扩展功能,如NAT功能、DNS功能、IDS功能、VPN 功能等,对于一些小型的公司来说就不需要这些功能。在防火墙的应用上,一些防火墙厂商把一些扩展的功能划分出来,分成许多个,用户可按实际需要分开购买。这样不但可以为客户提供灵活的组合,也可以使用户避免了白花钱买多余的功能。现在很多的安全网关、路由器、交换机等在原有的基本功能上都附带有防火墙的功能,虽然跟真正的防火墙比起来,还是有一定差距的,然而对于网络安全性要求不是很高的大中型网络或者一般的小型网络来说,这样的产品确实也是一个理想的选择。另外,IPS不是一种单一产品,而是多种产品的配合,集防火墙与防病毒软件等多种技术于一身,对网络的边界安全起到一定的防护作用。
3.整合网关的应用。
整合网关集多种安全功能于一身,最为常用的是:防火墙产品、防病毒软件、IPS设备和反垃圾邮件。它最大的优势是可以为用户节省网络投资成本。
4.实行严谨的网络安全管理。
网络安全产品提供的是一种硬件上的保障,而专门的管理人员可以地灵活调度各产品之间的优化组合,发挥出安全产品及其组合的更强劲性能,还可以及时解决相关的问题,因而,对于安全性能较高的网络来说,一个专门的网络管理人员是必不可少的。
网络安全技术水平在与病毒、黑客等的不断较量中得到了大大的提高,虽然离安全网络的实现还有一段距离,只要提高足够的警惕性,网络安全还是可以实现的。建设一个安全的网络不是把各种安全产品简单堆砌,而是把网络安全和业务安全等多层次的安全相结合起来,用户在选购安全产品时,要与自身网络的实际环境紧密结合,找最合适的产品或产品组合,然后结合一定的管理制度及措施,在这样充分的防御体系下,安全的网络环境陪伴你度过这个将至的黄金周乃至以后的日子是不成问题的。