“免疫”是壹個生物醫學術語,指人體的特定功能,如“生理防禦、自我穩定、免疫監測”。
就像大家熟悉的計算機病毒壹樣,在計算機行業,“病毒”就是醫學術語和圖像的借用。同樣,“免疫”也是用來解釋計算機網絡的壹種能力和功能。免疫就是讓企業內部網絡像人體壹樣具有“防禦、穩定、監控”的功能。這樣的網絡被稱為免疫網絡。
免疫網絡的主要思想是自主防禦和管理。它通過源頭抑制、群防群控、全網聯動,使網絡中的每個節點都具備安全功能,調動各種安全資源應對攻擊。
它具有安全與網絡功能壹體化、全網設備聯動、可信接入、深度防禦與控制、精細帶寬管理、服務感知、全網監控與評估等主要特點。
與防火墻、入侵檢測系統、反病毒組成的安全網絡相比,突破了被動防禦和邊界防護的局限,註重從內網角度解決攻擊問題,應對當前內網攻擊復雜化、多樣化、多化的趨勢,更有效地解決網絡威脅。
同時,安全與管理密不可分。免疫網絡可以對基於可信身份的帶寬管理、服務感知和控制,以及整個網絡的安全問題和工作效率進行監測、分析、統計和評估,保證了企業網絡的可管理性和可控性,大大提高了通信效率和可靠性。
魯迅免疫墻網絡解決方案—
新泉祥公司巡檢免疫網絡解決方案是實現企業網絡安全免疫,構建免疫網絡的途徑和方法。在當前網絡架構不做大的改動的前提下,實施巡更免疫網絡解決方案,可以成功將壹個普通網絡升級為免疫網絡。
巡視免疫網絡解決方案不是單壹產品,而是由軟硬件、內網安全協議、安全策略組成的壹整套組件。
在道路巡邏免疫網絡解決方案中,采用各種技術手段實現免疫網絡的基本要求。例如:
1.通過在接入網關設備上增加安全功能,如ARP先天免疫、內網防火墻、窗口過濾技術等。實現了在網絡設備中集成安全功能的需求;
2.通過強制安裝終端免疫驅動程序,部署在網絡的末端節點。更重要的是,底層協議也控制在網卡級別,實現深度防禦和控制。
3.通過全網安全策略組合的全面設置、預留和學習,實現主動防禦,對已知和未知攻擊進行抑制、幹預和預防。
4.通過運行在服務器上的運營中心,處理來自網關和終端驅動的告警信息、異常流量和身份驗證,審計和評估網絡運行狀態,還升級和發布安全策略。
5.內部網安全和管理協議集成了網絡設備和安全功能,如接入網關、服務器、終端驅動程序等。成壹個完整的系統,實現所有網絡設備的聯動。
道路巡邏免疫網絡解決方案的功能和特點:
1,嚴格管理終端身份。終端MAC取自物理網卡而非系統,有效防止MAC克隆假冒;將真實的MAC與真實的IP壹壹對應;然後通過免疫驅動對本地數據進行免疫封裝;真正的MAC、真正的IP和免疫標簽融為壹體,這是其他方案很少能做到的。因此,路由免疫方案可以解決其他無法解決或無法完全解決的問題,如終端檢測和管理、IP-MAC完全克隆、從系統到分組的終端身份控制等。
2.終端驅動實現雙向控制。他不僅抵禦外部對這臺機器的威脅,更重要的是抑制從這臺機器發起的攻擊。這與個人防火墻桌面系統的概念明顯不同。當受到ARP欺騙、骷髏頭攻擊、CAM攻擊、IP欺騙、假IP、假MAC、IP分片、DDoS攻擊、超大Ping包、畸形數據、發送包頻率過大等協議病毒攻擊時,可以起到積極的預防作用。
3.群防群控顯然是針對內網的功能。每個免疫驅動都有能力感知同壹網段內其他主機的非法訪問和攻擊行為,並通知可能不在同壹廣播域的免疫運營中心和網關,讓免疫網絡對這種行為做出相應的處理。
4.為2-7層提供全面的保護,還可以對各層的協議進程進行監控。深入第二層協議的控制是巡更免疫網絡解決方案的獨特功能。獨壹無二的是,它可以在所有級別上監視和控制協議過程。目前壹般的解決方案基本是路由器負責第三層轉發,防火墻和UTM在第三層以上管理,而對於局域網來說非常重要的第二層管理是缺失的。免疫驅動在這個位置起作用。而在線行為管理等軟硬件工作在應用層,對二三層的協議攻擊無能為力。
5.可以有效的在未知協議的攻擊中發揮作用,是真正的主動防禦。
6.在NAT的過程中,免疫接入網關采用了特殊的算法,摒棄了其他接入路由器和網關產品需要IP-MAC映射的NAT轉發算法,將安全技術融入到網絡處理過程中,使ARP對免疫接入網關的欺騙不起作用。這叫ARP先天免疫,這樣的技術集成還有很多。
7.具有完善的全網監控手段,對內網所有終端的病毒攻擊和異常行為進行及時報警,對內外網帶寬的流量進行實時顯示、統計和評估。監控中心可以遠程操作。
免疫墻—
免疫墻技術屬於網絡安全行業的內網安全與管理領域。
以太網存在協議漏洞,不擅長管理,是網絡問題頻發的技術根源。免疫墻技術旨在解決這壹問題。
因此,免疫墻技術研究如何填補以太網協議的固有漏洞,如何對服務進行標準化和戰略性管理。“網絡問題解決”是免疫墻技術的指導思想。免疫墻的技術範圍要延伸到網絡末端,延伸到協議底層,延伸到外網出入口,延伸到內網最全景。希望網絡本身能夠全面抵禦網絡病毒,提高對服務的管理,做到網絡可控、可管、可防、可觀。
背景信息—
網絡攻擊的發展趨勢;
目前,網絡威脅具有復雜性和動態性的特點。黑客越來越註重混合攻擊,將各種有害代碼組合起來檢測和攻擊系統漏洞,使其成為僵屍或跳板,進而發動大規模的組合攻擊。攻擊速度超乎想象,已經是以小時和分鐘來計算了,並且出現了大量新的未知攻擊,稱為零日或零時攻擊。
很多從內網發起的攻擊,不會用自己的真實身份單獨進行,而是通過內網的欺騙和偽造的身份進行串聯。
防火墻的局限性:
在現有的各種網絡安全技術中,防火墻技術可以在壹定程度上解決壹些網絡安全問題。防火墻產品主要有包過濾防火墻、狀態檢測包過濾防火墻和應用層代理防火墻,但防火墻產品都有局限性。它最大的局限性是防火墻本身不能保證它允許發布的數據的安全性。同時,防火墻還存在壹些弱點:壹是無法防禦來自內部的攻擊:來自內部的攻擊者從網絡內部發起攻擊,他們的攻擊並不經過防火墻,但防火墻只是隔離內網和互聯網上的主機,監控內網和互聯網的通信,並不檢查內網的情況,對內部的攻擊無能為力;第二,無法防禦繞過防火墻的攻擊:從根本上說,防火墻是壹種被動防禦手段,妳只能等待通過它的數據報。如果數據因為某種原因無法通過防火墻,防火墻不會采取任何措施;第三,不能防禦全新的威脅:防火墻只能防禦已知的威脅,但是人們發現可信服務中有新的入侵方式,可信服務變得不可信;第四,防火墻無法防禦數據驅動的攻擊:雖然防火墻會對所有傳遞的信息進行掃描分析,但這種掃描分析多是針對IP地址和端口號或協議內容,而不是數據細節。這樣,數據驅動的攻擊,比如病毒,就可以附著在電子郵件之類的東西上,進入妳的系統,發動攻擊。
關於“老三樣”:
國家信息化專家咨詢委員會專家沈昌祥院士認為,第壹,以老三件(防火墻、入侵檢測、病毒防範)為主的傳統信息安全體系重在防外,與信息安全主要“威脅”來自內部的實際情況不符。其次,從服務器、網絡、終端三個層面來看,現有的保護手段正在壹步步減少。人們往往過於註重對服務器和網絡設備的保護,而忽視了對終端的保護。第三,惡意攻擊五花八門,而老三的方法都是堵,比如在網絡層(IP)設防,在外圍堵非法用戶和非授權訪問。阻斷法是捕捉黑客攻擊和病毒入侵的特征信息,特征是已經發生的滯後信息,不能科學預測未來的攻擊和入侵。
“老三樣,堵漏洞,築高墻,防外攻,防不勝防。”沈院士總結了目前信息安全的基本情況。老三樣在現在的網絡安全應用中顯然已經過時了。