内网往往并没有极高的网络吞吐量性能要求
防火墙对于通过ACL规则之后的数据包检查并不擅长,对于复杂的攻击无法防御
添加工作在网络层的防火墙需要更改内部网络拓扑
防火墙没有失效打开(Fail Open)功能。设备失效会影响网络可用性。
当然,近年来防火墙技术也在发展。最主要的方向是解决其对于数据包的检查功能,使防火墙能够理解应用层的通信,成为基于应用的防火墙(Application Firewall),国际上主要的应用防火墙厂商包括McAfee公司(收购Secure Computing获得技术)和PAN,还有一些专注于Web应用的公司,如Imperva和国内的绿盟等。这些应用防火墙很大程度上改善了应用层防护能力,设置通过协议代理技术做到了非常精细的颗粒度,当然也存在着配置复杂,对管理员要求高,性能较低等需要进一步克服的技术障碍。
入侵防护系统(Intrusion Prevention System)
入侵防护系统[2]作为入侵检测系统的升级技术,在近年广泛用于组织内部网络的边界防护。主要技术优势包括:
强大的数据包深入检查(Deep Packet Inspection)功能,可以检测各种应用层协议中夹带的攻击(不局限于Web等)
配置容易,用户可基于默认的策略进行设置。自动阻断攻击。
透明接入网络,无需更改网络拓扑
带有失效打开功能。如果设备失效会自动旁路,不致影响网络的可用性
入侵防护系统也存在一些局限,主要包括:
全面部署成本较高。一般而言,同样吞吐性能的防火墙和入侵防护系统相比,后者购置成本远高于前者。
对入侵防护系统的评价较为复杂,对于普通用户难以评估不同入侵防护系统的防护能力。
这些局限导致了目前入侵防护系统作为最被安全技术趋势研究机构看好的内网网络安全产品,并未得到与其名声相匹配的普及程度。
通信方
即便是来自可信网络,如果参与通信的一方自身的系统安全无法保障,也将会影响对端的安全。因此应对于通信方的安全状况需进行必要的检查,使其满足组织预定义的安全基准,才许可其参与通信。
技术实现
网络准入控制(Network Access Control)网络准入控制技术可以实现确保接入网络的客户端安全状况符合要求。通过在桌面机上安装客户端软件,组织可以避免未达安全要求的客户端接入内部网络,造成潜在的安全风险。这一技术的主要优点包括:
可基于客户端的身份控制准入
可基于客户端的安全状况控制准入
方便实现公司的安全策略。
网络准入控制技术也存在一些实现的难点,主要包括:
对于网络环境复杂的组织,技术方案设计较难
客户端软件会一定程度上影响客户端性能
