欣全向公司巡路免疫網路在巡路免疫網路解決方案中,採用了各種技術手段實現免疫網路的基本要求。比如:
1、通過在接入網關設備中加入安全功能,如ARP先天免疫、區域網路防火牆、濾窗技術等,實現了網路設備中融合安全功能的要求;
2、通過強制安裝終端免疫驅動,在網路的末端節點進行部署。更重要的是在網卡一級對底層協定也進行管控,實現了深度防禦和控制。
3、通過對全網安全策略組合的綜合設定、預定和學習,實現了主動防禦,對已知和未知的攻擊行為起到抑制、干預,阻止其發作的作用。
4、通過運行在伺服器上的運營中心,對來自網關和終端驅動的報警信息、異常流量、身份核查等進行處理,對網路的運行狀況進行審計評估,還負責安全策略的升級和下發等工作。
5、區域網路安全和管理協定將接入網關、伺服器、終端驅動等各部分網路設備和安全功能,構成一個完整的體系,實現了全網設備聯動。
巡路免疫網路解決方案的功能特色:
1、 對終端身份的嚴格管理。終端MAC取自物理網卡而非系統,有效防範了MAC克隆和假冒;將真實MAC與真實IP一一對應;再通過免疫驅動對本機數據進行免疫封裝;真實MAC、真實IP、免疫標記三者合一,這個技術手段其他方案少有做到。所以,巡路免疫方案能解決二級路由下的終端偵測和管理、IP-MAC完全克隆、對終端身份控制從系統到封包等其他解決不了或解決不徹底的問題。
2、 終端驅動實現的是雙向的控制。他不僅僅抵禦外部對本機的威脅,更重要的是抑制從本機發起的攻擊。這和個人防火牆桌面系統的理念顯著不同。在受到ARP欺騙、骷髏頭、CAM攻擊、IP欺騙、虛假IP、虛假MAC、IP分片、DDoS攻擊、超大Ping包、格式錯誤數據、發包頻率超標等協定病毒攻擊時,能起到主動干預的作用,使其不能發作。
3、 群防群控是明顯針對區域網路的功能。每一個免疫驅動都具有感知同一個網段內其他主機非法接入、發生攻擊行為的能力,並告知可能不在同一個廣播域內的免疫運營中心和網關,從而由免疫網路對該行為進行相應處理。
4、 提供的2-7層的全面保護,還能夠對各層協定過程的監控和策略控制。深入到2層協定的控制,是巡路免疫網路解決方案的特有功能。而能夠對各層協定過程的監控和策略控制,更是它的獨到之處。現在普遍的解決方案,基本上是路由器負責 3層轉發,防火牆、UTM等進行3層以上的管理,唯獨缺少對“區域網路至關重要的二層管理”,免疫驅動恰恰在這個位置發揮作用。而上網行為管理這類的軟硬體,在套用層進行工作,對2、3層的協定攻擊更是無能為力。
5、 對未知的協定攻擊,能夠有效發揮作用,是真正的主動防禦。
6、 免疫接入網關在NAT過程中,採取了專用算法,摒棄了其他接入路由器、網關產品需要IP-MAC映射的NAT轉發算法,將安全技術融於網路處理過程,使ARP對免疫接入網關的欺騙不起作用。這叫做ARP先天免疫,這樣的技術融合還很多。
7、 具有完善的全網監控手段,對區域網路所有終端的病毒攻擊、異常行為及時告警,對內外網頻寬的流量即時顯示、統計和狀況評估。監控中心可以做到遠程操作。
欣全向目前提供三種產品形式:集成方案、核心方案、整體方案。
背景資料——
網路攻擊的發展趨勢:
目前網路威脅呈現出複雜性和動態性的特徵,黑客日益聚焦於混合型攻擊,結合各種有害代碼來探測和攻擊系統漏洞,並使之成為殭屍或跳板,再進一步發動大規模組合攻擊。攻擊速度超乎想像,已經按小時和分鐘來計算,出現了所謂大量的零日或零小時攻擊的新未知攻擊。
很多從區域網路發起的攻擊,不會採用以真實身份單獨進行,而是通過區域網路的欺騙串聯,偽造身份多點進行。
防火牆的局限性:
現有的各種網路安全技術中,防火牆技術可以在一定程度上解決一些網路安全問題。防火牆產品主要包括包過濾防火牆,狀態檢測包過濾防火牆和套用層代理防火牆,但是防火牆產品存在著局限性。其最大的局限性就是防火牆自身不能保證其準許放行的數據是否安全。同時,防火牆還存在著一些弱點:一、不能防禦來自內部的攻擊:來自內部的攻擊者是從網路內部發起攻擊的,他們的攻擊行為不通過防火牆,而防火牆只是隔離內部網與網際網路上的主機,監控內部網和網際網路之間的通信,而對內部網上的情況不作檢查,因而對內部的攻擊無能為力;二、不能防禦繞過防火牆的攻擊行為:從根本上講,防火牆是一種被動的防禦手段,只能守株待兔式地對通過它的數據報進行檢查,如果該數據由於某種原因沒有通過防火牆,則防火牆就不會採取任何的措施;三、不能防禦完全新的威脅:防火牆只能防禦已知的威脅,但是人們發現可信賴的服務中存在新的侵襲方法,可信賴的服務就變成不可信賴的了;四、防火牆不能防禦數據驅動的攻擊:雖然防火牆掃描分析所有通過的信息,但是這種掃描分析多半是針對IP位址和連線埠號或者協定內容的,而非數據細節。這樣一來,基於數據驅動的攻擊,比如病毒,可以附在諸如電子郵件之類的東西上面進入你的系統中並發動攻擊。
關於“老三樣”:
國家信息化專家諮詢委員會專家沈昌祥院士認為,首先,由老三樣(防火牆、入侵監測和病毒防範)為主要構成的傳統信息安全系統,是以防外為重點,而與目前信息安全主要“威脅”源自內部的實際狀況不相符合。其次,從組成信息系統的伺服器、網路、終端三個層面上來看,現有的保護手段是逐層遞減的。人們往往把過多的注意力放在對伺服器和網路設備的保護上,而忽略了對終端的保護。第三,惡意攻擊手段變化多端,而老三樣是採取封堵的辦法,例如,在網路層(IP)設防,在外圍對非法用戶和越權訪問進行封堵。而封堵的辦法是捕捉黑客攻擊和病毒入侵的特徵信息,其特徵是已發生過的滯後信息,不能科學預測未來的攻擊和入侵。
“老三樣,堵漏洞、做高牆、防外攻,防不勝防。” 沈院士這樣概括目前信息安全的基本狀況。老三樣在目前網路安全套用上已經明顯過時了。