对于规模较大的组织,部署工作是一个挑战
虽然网络准入控制技术有着这些实现困难,但是目前还没有其他更好的技术实现对于客户端的安全控制。尤其是对于大规模的组织而言,通过网络准入控制技术来保障网络安全,仍是一种极为常见的选择[3]。
信息的流动
组织的网络安全管理人员需要关注通信方之间的信息流动。包括应用层的相关信息(哪些文件,哪些协议)和网络层的相关信息(流量模型,异常流量),并根据这些信息结合组织的安全策略,判断网络中信息流动的正常与否。
信息
网络安全管理人员可能关注的信息包括:
当前传输次数最多的文件
当前主要访问的URL地址
最忙碌的服务器
各种协议所占网络通信的百分比
异常流量信息
拒绝服务攻击信息
蠕虫爆发信息
技术实现
网络行为分析(Network Behavior Analysis)
网络行为分析是一种基于“流(flow)”的分析技术,通过对于Net flow[4]信息的采集,可以呈现出组织网络中的各种流量信息。网络行为分析技术的主要优点有:
通过对流信息的理解和整理,可以显示网络的流量异常
通过建立网络访问模型,可以显示网络滥用
显示网络协议百分比等信息,帮助分析网络带宽使用情况
可显示文件、URL等应用层信息[5]
离线部署
网络行为分析技术多用于规模较大的组织,它可为网络管理员和安全管理员提供有积极价值的流量信息。它的主要限制在于需要网络设备(路由器和交换机等)支持流信息的导出,并非所有的网络设备都支持这一功能。
内网网络安全的管理
挑战对于组织而言,确定安全风险和部署安全产品之后,最艰巨的挑战来自如何管理这些安全产品。攻击或违反策略的行为往往会被多个不同的安全产品监测到,这就需要安全产品之间的整合;同样的,出于管理的需要,安全产品也应与组织的IT基础架构和流程融合。
整合
内网网络安全产品
本文介绍的用于内网网络安全的产品之间都将需要协同工作。
防火墙和网络入侵防护系统这两种产品都承担着网间检查点的重任,未来的趋势必然是整合为单一的产品。最重要的功能将是检测和阻断攻击,以及应用层协议的细颗粒控制。
网络行为分析和网络入侵防护两者相似而并不相同,前者看到的是Net flow,后者检查的是数据包[6]。前者用于宏观分析,后者用于微观分析。前者为离线设备,后者为在线设备。前者目的在于分析,后者的作用是防护。但是两者却又相得益彰,互为补充。以迈克菲为代表的厂商已经着手整合这两种产品,通过网络入侵防护系统提供Net flow v9信息给网络行为分析。使得两者之间可以共享网络安全信息。
