中小企业的网络安全

引言

网络安全是当今任何网络管理员最关心和优先考虑的问题，但要获得网络安全的一个良好定义却非常困难。任何网络的安全性在于管理员控制网络流量的能力。管理员控制流量的程度最终决定了网络的安全性。我们将网络安全定义为控制以下几点能力：

• 与互联网之间进行的网络流量。
• 与局域网上的机器之间进行的网络流量。
• 每台计算机上每个应用程序的行为以及每个应用程序在网络上产生的网络流量。
• 可以访问每个应用程序的用户。

任何能够满足这四点的网络都将能抵御所有内部和外部威胁。

现在让我们看看这网络安全的四个部分如何转化为实际的安全措施。操作系统漏洞是针对任何计算机最常见的攻击方式。状态检查（SI）防火墙无法防御大多数利用操作系统漏洞的攻击。

即使是执行深度包检测的防火墙也会失败，因为它们几乎不可能跟上不断变化的已知操作系统漏洞列表。SI防火墙的弱点在于它们对来自内部的攻击无效。来自局域网内机器对内部网络的攻击将永远不会被SI防火墙检测到，因为数据包永远不会通过它。

由于对局域网端节点的隐式信任，SI防火墙容易受到木马的攻击。一旦木马感染了局域网内的机器，SI防火墙几乎总是会允许该木马向互联网发送流量。因此，木马可能会将密码和其他公司机密发送给黑客，从而给用户带来更大的安全问题。一些SI防火墙可以通过限制流量可以发送的端口来提供一些额外的保护，但木马经常使用80端口隧道来绕过任何通过端口过滤阻止流量的尝试。

防止操作系统漏洞的唯一方法是应用所有可用的安全补丁，或者拥有一个能够检测恶意代码的系统。应用安全补丁非常耗时，并且需要持续的警惕才能保持更新。

目前，市场上没有一种产品能够在所有情况下可靠有效地检测恶意代码并阻止其损害系统。我与Neil一起致力于为我们的业务环境创建一个安全的网络。为了保护我们将要部署的网络，我们必须拥有以下组件：

• 边界防火墙。
• 桌面安全：防火墙和入侵检测系统（IDS）。
• 防病毒和恶意代码检测器。
• 网络流量监控和整形。
• 集中管理

边界防火墙是抵御攻击的第一道防线。所有进出的流量都必须经过边界防火墙。根据我们在防火墙中启用的检测功能，可以阻止大部分未经授权和恶意的流量。虽然边界防火墙存在不足，不能提供完全的安全，但它们是安全网络的重要组成部分。没有边界防火墙，网络极易受到攻击。

当今大多数安全威胁都针对企业桌面。使用强大的机制来保护我们网络内的桌面至关重要。当今蠕虫的典型攻击模式是感染一台机器，然后利用该机器的资源查找更多潜在的受害者。桌面安全可以分为两个部分。

首先，必须阻止任何入侵者感染机器。这是防病毒和恶意代码检测产品的领域。其次，必须阻止未经授权的入站/出站网络连接。这有助于防止入侵的传播。恶意代码可以通过多种方式感染网络上的计算机，包括电子邮件中的病毒、被攻破的可执行文件、从互联网下载的被感染软件等。

防病毒软件/硬件根据已知签名检测恶意代码的存在并将其过滤掉。这种基于签名的方法的优点是误报率低，并且不需要过多的用户干预。缺点是签名必须不断更新，因此它无法防御未知攻击。很可能，我们还需要使用某种入侵检测系统（IDS）。防火墙和IDS系统控制允许进出网络的流量类型。监控和整形网络流量的能力有助于提高网络安全性。

例如，如果能够监控网络边界的所有流量，就可以大致了解入站网络流量的性质、攻击类型等。同样，通过监控局域网的流量，可以交叉检查网络流量是否符合指定规则，以及网络资源是否被滥用。不幸的是，大多数安全产品在提供对网络流量情况的合理描绘方面做得非常差。如果管理员无法可视化网络流量，他们将无法轻松地管理或保护它。基于网络的IDS工作方式与防病毒系统非常相似。它们根据已知签名检测入侵。早期的入侵检测系统是被动的，一旦检测到入侵就会发出警报。

一些更新的系统可以即时创建规则来阻止入侵的传播。大多数基于网络的入侵检测系统会降低性能，因为每个数据包都需要搜索一个大型签名数据库。在快速以太网或千兆以太网网络上，这会压垮大多数处理器。有时入侵签名甚至会跨越多个数据包，在这种情况下，系统将无法检测到入侵。我们更有可能使用某种基于主机的IDS，因为它们能捕获入侵的实际来源，即恶意程序，而不仅仅是症状，即数据包。网络安全有许多组成部分，每个网络都有许多薄弱点。集中管理、监控和响应潜在安全威胁的能力对于任何网络的安全性都至关重要。

集中管理可确保一致的安全策略并确保策略得到正确执行。网络脆弱性的根本原因是无法管理网络安全。大多数网络都无法按照上一节所述的方式来控制和监控流量。网络脆弱性的根本原因是无法管理网络安全。大多数网络都无法按照我在此概述的方式来控制和监控流量。安全管理常常被性能所忽视。历史上，网络比路由器和计算机的速度都要快。

然而，正如摩尔定律所预测的那样，处理器变得快了很多，而且在许多情况下，局域网上的网关和节点不再是瓶颈。网络本身现在是瓶颈。例如，几乎任何笔记本电脑或台式机都可以以 100 Mb/s 的速率发送未加密数据，但到互联网的平均带宽只有 1.5 Mb/s。此外，管理安全是一项复杂任务，并且随着网络的发展和安全威胁的增加，这项任务会变得更加困难。

大多数中小型企业将在一个非常动态的环境中拥有 100-5000 台机器。安全性的多种方面，加上一堆身份验证方法和访问控制，使问题更加复杂。相比之下，Neil 和我可能会在一个非常静态和同质的环境中使用 20-150 台设备。几乎没有局域网流量，即使在最安全网络中，也是未加密的。使用有线局域网的人可能不认为在局域网上加密流量很重要，因为已经有一定程度的保护。攻击者无法访问传输数据的物理介质。

然而，无线局域网的情况并非如此。由于无线安全协议的缺陷，以及有时设备配置错误或保留出厂默认设置的事实，攻击者可能能够访问网络流量，甚至可能攻破整个网络。因此，我们将不使用任何无线设备。但一个更大的威胁是，我们对代理应用程序防火墙寄予厚望。应用程序代理防火墙会拦截所有来自本地主机的流量，并创建一个代理网络连接。应用程序层过滤长期以来被认为是针对大量攻击应用程序漏洞的灵丹妙药，也是针对试图模仿知名应用程序的木马的灵丹妙药。

这种方法的优点是，没有打补丁且易受应用程序漏洞攻击的本地主机可以通过一个已正确打补丁的代理防火墙进行保护。代理防火墙还可以过滤掉不可接受的命令，例如在 FTP 连接中禁止 PUT 或 GET，或在 Web 连接中禁止 ActiveX 控件。虽然代理防火墙的总体思想有一些优点，但它在现实生活中的实用性是有限的。例如，大多数应用程序提供了足够的控制，因此不需要代理。