因为外围网络是网络中风险很大的部分,因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供:外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分,而且不是特定的防病毒工具,但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如,一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因,应该将 NID 系统配置为与组织的网络管理系统一起工作,将任何不寻常的网络行为的警告直接传递给组织的安全人员。
要了解的一个关键问题是:对于任何 NID 实现,其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护,而且防护应该得到连续不断的实时监视。只有在此时,才能认为该过程是防护策略的一部分。否则,NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。
有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备,也可以是集成到其他网络服务(如组织的防火墙服务)中的其他系统。例如,Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。
应用程序层筛选
组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容(如病毒)不仅是有用的,而且是必需的。在过去,曾经使用防火墙服务提供的数据包层筛选执行了此筛选,仅允许根据源或目标 IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作,因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF,则可以实现的安全性要高得多。例如,使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量,以便它只能传递到 Web 服务器。但是,此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中,您可以检查端口 80 上传递到 Web 服务器的所有数据,以确保它是有效的且不包含任何可疑代码。
ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件,以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据,如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析,包括使用任何端口和协议检测、检查和验证流量的功能。
内容扫描
内容扫描在更高级防火墙解决方案中作为一项功能提供,或者作为单独服务(如电子邮件)的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的,则它通常与电子邮件服务器协同工作以检查电子邮件的特性(如附件)。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server 和 ISA Server 提供增强安全功能(如实时防病毒内容扫描)的合作伙伴。
第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性,此方法需要自动化解决方案或很大的管理开销,通常仅对阻止数目较小的已知有问题网站是有用的,无法提供综合性保护解决方案。第二种方法提供了更好的保护,因为它的限制特性允许控制可供系统用户访问的站点。但是,除非进行了正确调查以识别用户所需的所有站点,否则此方法可能对许多组织来说限制性太强。
仅当客户端处于组织防护内时,这两种方法才会提供保护。移动客户端在办公室外直接连接到 Internet 时,将不提供此保护,这意味着您的网络可能会受到攻击。如果组织中的移动客户端需要 URL 筛选解决方案,则您应该考虑使用基于客户端的防护系统。但是,此方法可能会带来很大的管理开销,尤其是在具有大量移动客户端的环境中。
网页显示有限 阅读全文请下载本文完整版WORD文档