“免疫”是生物醫學的名詞,它指的是人體所具有的“生理防禦、自身穩定與免疫監視”的特定功能。
就像我們耳熟能詳的電腦病毒壹樣,在電腦行業,“病毒”就是對醫學名詞形象的借用。同樣,“免疫”也被借用於說明計算機網絡的壹種能力和作用。免疫就是讓企業的內部網絡也像人體壹樣具備“防禦、穩定、監視”的功能。這樣的網絡就稱之為免疫網絡。
免疫網絡的主要理念是自主防禦和管理,它通過源頭抑制、群防群控、全網聯動使網絡內每壹個節點都具有安全功能,在面臨攻擊時調動各種安全資源進行應對。
它具有安全和網絡功能融合、全網設備聯動、可信接入、深度防禦和控制、精細帶寬管理、業務感知、全網監測評估等主要特征。
它與防火墻、入侵檢測系統、防病毒等“老三樣”組成的安全網絡相比,突破了被動防禦、邊界防護的局限,著重從內網的角度解決攻擊問題,應對目前網絡攻擊復雜性、多樣性、更多從內網發起的趨勢,更有效地解決網絡威脅。
同時,安全和管理密不可分。免疫網絡對基於可信身份的帶寬管理、業務感知和控制,以及對全網安全問題和工作效能的監測、分析、統計、評估,保證了企業網絡的可管可控,大大提高了通信效率和可靠性。
巡路免疫網絡解決方案(XunLu Immunity Wall Network Solutions)——
欣全向公司巡路免疫網絡解決方案是在企業網絡中實現安全免疫,打造免疫網絡的途徑和方法。在目前網絡架構不做重大改變的前提下,實施部署巡路免疫網絡解決方案,可以順利地將壹個普通網絡升級為免疫網絡。
巡路免疫網絡解決方案不是壹個單獨的產品,而是壹套由軟硬件、內網安全協議、安全策略構成的完整組件。
在巡路免疫網絡解決方案中,采用了各種技術手段實現免疫網絡的基本要求。比如:
1、通過在接入網關設備中加入安全功能,如ARP先天免疫、內網防火墻、濾窗技術等,實現了網絡設備中融合安全功能的要求;
2、通過強制安裝終端免疫驅動,在網絡的末端節點進行部署。更重要的是在網卡壹級對底層協議也進行管控,實現了深度防禦和控制。
3、通過對全網安全策略組合的綜合設置、預定和學習,實現了主動防禦,對已知和未知的攻擊行為起到抑制、幹預,阻止其發作的作用。
4、通過運行在服務器上的運營中心,對來自網關和終端驅動的報警信息、異常流量、身份核查等進行處理,對網絡的運行狀況進行審計評估,還負責安全策略的升級和下發等工作。
5、內網安全和管理協議將接入網關、服務器、終端驅動等各部分網絡設備和安全功能,構成壹個完整的體系,實現了全網設備聯動。
巡路免疫網絡解決方案的功能特色:
1、 對終端身份的嚴格管理。終端MAC取自物理網卡而非系統,有效防範了MAC克隆和假冒;將真實MAC與真實IP壹壹對應;再通過免疫驅動對本機數據進行免疫封裝;真實MAC、真實IP、免疫標記三者合壹,這個技術手段其他方案少有做到。所以,巡路免疫方案能解決二級路由下的終端偵測和管理、IP-MAC完全克隆、對終端身份控制從系統到封包等其他解決不了或解決不徹底的問題。
2、 終端驅動實現的是雙向的控制。他不僅僅抵禦外部對本機的威脅,更重要的是抑制從本機發起的攻擊。這和個人防火墻桌面系統的理念顯著不同。在受到ARP欺騙、骷髏頭、CAM攻擊、IP欺騙、虛假IP、虛假MAC、IP分片、DDoS攻擊、超大Ping包、格式錯誤數據、發包頻率超標等協議病毒攻擊時,能起到主動幹預的作用,使其不能發作。
3、 群防群控是明顯針對內網的功能。每壹個免疫驅動都具有感知同壹個網段內其他主機非法接入、發生攻擊行為的能力,並告知可能不在同壹個廣播域內的免疫運營中心和網關,從而由免疫網絡對該行為進行相應處理。
4、 提供的2-7層的全面保護,還能夠對各層協議過程的監控和策略控制。深入到2層協議的控制,是巡路免疫網絡解決方案的特有功能。而能夠對各層協議過程的監控和策略控制,更是它的獨到之處。現在普遍的解決方案,基本上是路由器負責 3層轉發,防火墻、UTM等進行3層以上的管理,唯獨缺少對“局域網至關重要的二層管理”,免疫驅動恰恰在這個位置發揮作用。而上網行為管理這類的軟硬件,在應用層進行工作,對2、3層的協議攻擊更是無能為力。
5、 對未知的協議攻擊,能夠有效發揮作用,是真正的主動防禦。
6、 免疫接入網關在NAT過程中,采取了專用算法,摒棄了其他接入路由器、網關產品需要IP-MAC映射的NAT轉發算法,將安全技術融於網絡處理過程,使ARP對免疫接入網關的欺騙不起作用。這叫做ARP先天免疫,這樣的技術融合還很多。
7、 具有完善的全網監控手段,對內網所有終端的病毒攻擊、異常行為及時告警,對內外網帶寬的流量即時顯示、統計和狀況評估。監控中心可以做到遠程操作。
免疫墻——
免疫墻技術屬於網絡安全行業中的內網安全和管理領域。
以太網有協議漏洞,不擅長管理,這是網絡問題頻發的技術根源。免疫墻技術針對和解決的就是這個問題。
因此,免疫墻技術研究的是如何填補以太網協議的先天漏洞、如何對業務進行規範化、策略化管理。“網絡問題網絡解決”是免疫墻技術的指導思想。免疫墻的技術範圍要拓展到網絡的最末端,深入到協議的最底層、盤查到外網的出入口、總覽到內網的最全貌,就是希望通過網絡本身對網絡病毒全面抵禦,同時完善對業務的管理,使網絡可控、可管、可防、可觀。
背景資料——
網絡攻擊的發展趨勢:
目前網絡威脅呈現出復雜性和動態性的特征,黑客日益聚焦於混合型攻擊,結合各種有害代碼來探測和攻擊系統漏洞,並使之成為僵屍或跳板,再進壹步發動大規模組合攻擊。攻擊速度超乎想象,已經按小時和分鐘來計算,出現了所謂大量的零日或零小時攻擊的新未知攻擊。
很多從內網發起的攻擊,不會采用以真實身份單獨進行,而是通過內網的欺騙串聯,偽造身份多點進行。
防火墻的局限性:
現有的各種網絡安全技術中,防火墻技術可以在壹定程度上解決壹些網絡安全問題。防火墻產品主要包括包過濾防火墻,狀態檢測包過濾防火墻和應用層代理防火墻,但是防火墻產品存在著局限性。其最大的局限性就是防火墻自身不能保證其準許放行的數據是否安全。同時,防火墻還存在著壹些弱點:壹、不能防禦來自內部的攻擊:來自內部的攻擊者是從網絡內部發起攻擊的,他們的攻擊行為不通過防火墻,而防火墻只是隔離內部網與因特網上的主機,監控內部網和因特網之間的通信,而對內部網上的情況不作檢查,因而對內部的攻擊無能為力;二、不能防禦繞過防火墻的攻擊行為:從根本上講,防火墻是壹種被動的防禦手段,只能守株待兔式地對通過它的數據報進行檢查,如果該數據由於某種原因沒有通過防火墻,則防火墻就不會采取任何的措施;三、不能防禦完全新的威脅:防火墻只能防禦已知的威脅,但是人們發現可信賴的服務中存在新的侵襲方法,可信賴的服務就變成不可信賴的了;四、防火墻不能防禦數據驅動的攻擊:雖然防火墻掃描分析所有通過的信息,但是這種掃描分析多半是針對IP地址和端口號或者協議內容的,而非數據細節。這樣壹來,基於數據驅動的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進入妳的系統中並發動攻擊。
關於“老三樣”:
國家信息化專家咨詢委員會專家沈昌祥院士認為,首先,由老三樣(防火墻、入侵監測和病毒防範)為主要構成的傳統信息安全系統,是以防外為重點,而與目前信息安全主要“威脅”源自內部的實際狀況不相符合。其次,從組成信息系統的服務器、網絡、終端三個層面上來看,現有的保護手段是逐層遞減的。人們往往把過多的註意力放在對服務器和網絡設備的保護上,而忽略了對終端的保護。第三,惡意攻擊手段變化多端,而老三樣是采取封堵的辦法,例如,在網絡層(IP)設防,在外圍對非法用戶和越權訪問進行封堵。而封堵的辦法是捕捉黑客攻擊和病毒入侵的特征信息,其特征是已發生過的滯後信息,不能科學預測未來的攻擊和入侵。
“老三樣,堵漏洞、做高墻、防外攻,防不勝防。” 沈院士這樣概括目前信息安全的基本狀況。老三樣在目前網絡安全應用上已經明顯過時了。