| 出版日期:2005-06-13 总期号:1419 本年期号:42 |
|
 |
集中式网络才安全
文 乐天 网络体系结构好比荡秋千:从80年代的集中式大型机系统回到了90年代的分布式客户机服务器结构,而如今又回到了集中式体系结构。事实证明,由于保护分布式网络的安全成本高、难度大,企业的数据中心又重新沿用了集中IT资源的模式。企业也因此对网络进行分段,以便对访问和控制实行更细的控制。 过去,计算机病毒传播速度慢,也容易识别,并没有对企业商务构成真正的威胁。然而,如今毫不起眼的蠕虫已学会迅速肆虐,像Nachi这样的蠕虫可在十分钟之内遍历企业网的整个地址空间,既而通过因特网路径迅速感染成千上万台主机;Slammer的感染速度更是惊人:每过8.5秒钟,被感染的机器数量就会翻一番;Blaster不但在主机中传播极快,还能够通过大量的ICMP流量,让成千上万的网络和安全设备陷入瘫痪。 而设计一个能够抵御这些攻击的网络并非易事。譬如说,采用人工或者自动隔离的安全区域有没有冗余性?是否有足够的端口密度或者VLAN来保护通过物理位置或逻辑群组进行分段的网络?即便实行了隔离机制,有没有办法确保合法流量的传输,不让网络和数据通信陷入停顿?系统是否允许自动更新扫描和封阻引擎而无需人工干预?由于Blaster这类蠕虫利用众多的小数据包让企业路由器和边缘防火墙陷入瘫痪,所以设计能够抵御这类攻击的稳健的体系结构就至关重要。譬如说,即便在数据包很小的情况下,该体系结构也能提供线速安全处理功能吗?能不能有效保护企业的关键业务,就算受到攻击也可以继续正常发挥作用?有没有确保流量正常传输的高可用性和高冗余性? 企业在围绕集中式数据中心构建安全架构时,这些问题核心就突显出来:大多数IT部门设计安全架构是基于在正常商业环境下运行的网络,而不是受到攻击环境下运行的网络,这就导致网络保护力度不足:一旦受到攻击,就会被数量激增的流量压垮。网络安全的一个闪失就有可能导致公司的一系列损失,如数据受到破坏、信誉受损、因知识产权受到危及而丧失竞争优势、业务连续性受到影响,以及需要重新构建受到破坏或者受到危及的计算机和网络设备。 即便这些损失没有一种可以量化,仍完全可以通过计算重新构建受到破坏的计算机需要多少成本,来证明确有必要为网络安全投入资金。为了证明这一点,只要简单地算一下即可:计算机技术人员的每小时费用X分析及重新构建受损计算机所需的小时数X受损计算机数量。据最新估计,这个费用为每台计算机需要150到500美元不等,每台服务器更是高达1000美元。如果算上由于关键业务受到破坏而带来的具体损失,总损失就会带来非常大的影响。 永远不要以为下一场安全灾难不会发生在自己头上。企业应当扪心自问:自己的网络体系结构是否不仅能够保护桌面系统,还能保护关键业务型服务器。企业应当考虑使用确保吞吐量、网段支持和网络安全的解决方案来保护集中式数据中心和网段当中的关键IT资源,从而隔离攻击,同时确保合法业务流量的继续传输。 |
||||||||||||||||||||
