| 出版日期:2004-03-22 总期号:1298 本年期号:19 |
|
 |
只有防火墙还不够
施建国 企业有防火墙就安全了吗? 其实,面对众多企业用户的新应用,防火墙还有许多自身的局限, 新一代安全代理专用设备可以弥补防火墙的这些局限, 成为企业网络安全架构的重要组成部分。 现在,许多企业不惜代价地在网络安全方面投入资金,购买防火墙、电子邮件防毒系统或桌面防毒系统,以阻止病毒泛滥和黑客攻击。在许多企业,甚至系统集成商看来,这样的网络在安全方面就高枕无忧了。然而,结果怎样?据分析专家估算,2003年病毒和攻击给企业造成的损失达550亿美元;我国公安部于2003年上半年发布报告,称中国80%的计算机曾感染过病毒。由此可见,现在企业的网并不安全。究其原因,是由于现有的企业网络安全基础设施存在缺陷,它们对新型的病毒和攻击无法防御。现在的企业IT经理们需要重新审视网络安全问题,“企业网有防火墙就安全了吗?” 企业网面临的新问题 当前企业网络面临以下几个方面的问题,如果处理得不好将直接导致企业生产力下降,最终损失的是企业的利润。 滥用Web降低企业生产率 Web的广泛使用极大地帮助企业提高了生产力,但互联网中充斥着各种各样的内容,用户一点鼠标,就有可能被带到与工作无关的站点,这必然会导致员工工作效率降低,进而导致企业生产力的下降,严重的还可能将病毒带入公司内网,或被攻击者植入后门,导致灾难性的后果。因此,对内容进行适当过滤,对恶意代码和病毒进行强制清除,管理、监控并实时督导员工正确地使用互联网,是提高企业效益的当务之急。 病毒传播和攻击的新途径 目前大多数网络都安装了防火墙,攻击者清楚地知道,只要管理员不犯低级错误,要从正面攻入防火墙非常困难,于是他们从早期简单的端口试探性攻击转向通过应用层协议隐蔽地进入企业内网。具体来说,有以下四种病毒传播和攻击的新途径:通过Web传播病毒或实施攻击,通过WebMail进行传播,通过MSN Messenger之类的聊天工具传播,最近兴起的P2P文件共享应用也成了病毒传播的平台。遗憾的是,大部分企业还未对这些新的威胁采取有效的措施。 聊天工具的安全问题 这里所说的聊天工具是指MSN Messenger之类的实时信息交换工具。根据IDC对业界的分析,企业使用这类在线聊天工具的用户正处于增长趋势,到2005年将达到3亿人。权威人士研究发现,这些聊天系统在设计时都较多地考虑了灵活性,而没有考虑到安全问题。一个明显的事实是,几乎所有免费聊天工具都具备绕过防火墙的功能,防火墙无法对其进行阻挡。而且,聊天用户之间的信息交换是穿过公网,通过聊天服务器转发,信息在网络上清楚可见,这就容易导致企业机密信息被窃取。而且,聊天工具也已成为病毒大量传播的一种途径。 点对点文件共享应用的安全问题 点对点文件共享应用(P2P),是近年来迅速流行起来的一种互联网文件共享应用。P2P共享的文件通常是拥有版权的音乐、电影、商业软件等,在企业网络中,这种应用没有理由存在,不仅会对网络可用性造成严重影响,还能成为病毒传播途径,其共享文件带来的版权问题也有可能给企业带来潜在的法律责任,因此,有必要对其进行屏蔽和控制。 面对互联网应用方面出现的新问题,应该如何解决呢? 代理服务是解决方法 防火墙的主要功能是阻挡源自外部的攻击,企业现在使用的防火墙大多是包过滤型,或者是状态检查型防火墙,其主要功能是根据管理员设定的规则进行数据包过滤,将攻击者挡在网络的外面。对由于内部人员访问外部资源而引起的入侵攻击行为大都束手无策。 而且,防火墙不能进行有效的应用层检查,当前企业网面临的新问题具有一个共同特征,即需要应用层的控制和管理问题。但现在的防火墙都是工作在网络层,虽然有的防火墙对部分协议实现了应用层处理功能,但由于其硬件和操作系统是针对数据包过滤和状态检查,使用专用芯片对IP地址和端口号进行快速匹配而设计的,如果要求防火墙将一个个传输的网络层数据包进行组装,并抽取其中的应用层数据,然后进行复杂的模式匹配,根本无法达到满意的性能。事实上,现在用户正在使用的防火墙,大部分只进行网络层检查,很少有用户会打开应用层检查功能,主要就是因为性能的问题。 对应用层检查最好的办法是使用新一代的安全代理专用设备代理用户的访问请求,由于所有用户访问流量都必须通过代理专用设备,就可在代理专用设备上针对用户、网络协议、时间等因素实施深层次的访问策略控制,并对违反策略的情形使用插入页面方式提醒用户。同时提供完整的访问日志、病毒扫描日志、聊天日志等,并经统计分析形成报告,尽早发现问题,使控制策略进一步完善。这些控制策略包括:内容过滤策略,过滤与工作无关的站点,提高员工的工作效率;Web病毒扫描策略,对可能携带病毒的Web对象和恶意代码进行扫描和剥离;控制WebMail使用,全面禁止使用WebMail或允许使用WebMail但禁止收发附件;聊天控制策略,记录聊天内容、跟踪聊天关键字、禁止收发文件或通过语音、视频聊天;对P2P进行屏蔽。 虽然安全代理专用设备具有以上种种优点,但是,需要说明的是,它只是现有网络安全架构的一个重要补充,不会取代防火墙。新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵,着重网络层的过滤;而安全代理专用设备管理和控制内部用户对外的访问,着重的是应用层内容的检查。两者相辅相成,达成全方位及最佳效能的安全防卫架构。 病毒警讯 “贝革热”新变种到了P 近日,趋势科技和NAI公司分别发出病毒警告:3月15日,“贝革热”出现新型变种病毒(WORM_BAGLE.P),该病毒的风险程度被定为中度风险。目前这个病毒正在日本、韩国、美国和德国迅速传播。该病毒为邮件群发蠕虫病毒,这种驻留内存的病毒使用SMTP通过群发电子邮件传播自身拷贝。 贝革热病毒是在今年1月首次爆发,其变种一直在衍变,从随机的邮件内容到冒充安全组织机构发出的有关病毒或垃圾邮件以及黑客攻击威胁警告等的特定内容,并假装提供一个有用的附件,其实这个附件是携带病毒的。 高波变种再现 国家计算机病毒应急处理中心3月10日发现高波病毒的一个新变种。该病毒是常驻内存的蠕虫病毒,可利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,它还可以通过弱密码攻击远程系统进行主动传播,利用mIRC软件进行远程控制和传播(有关该病毒的详细信息请参见国家计算机病毒应急处理中心网站的相关介绍)。 该中心提醒广大计算机用户及时修补漏洞,升级杀毒软件和防火墙,启动“实时监控”,设置较为复杂的系统密码(建议为8位以上),做好病毒的预防工作。 |
||||||||||||||||||||||||||
