Cómo resolver problemas de seguridad de límites de red

1. Tecnología de firewall

La forma inicial de aislamiento de red es el aislamiento de segmentos de red. Debido a que la comunicación entre diferentes segmentos de red está conectada a través de enrutadores, ciertos segmentos de red deben restringirse. no se comunican entre sí, o si se comunican entre sí de forma condicional, aparecerá la tecnología de control de acceso y aparecerán los cortafuegos como puertas de entrada de seguridad iniciales cuando se interconecten diferentes redes.

El principio de diseño de seguridad del firewall proviene del filtrado de paquetes y la tecnología de proxy de aplicaciones. En ambos lados hay interfaces que conectan diferentes redes, y en el medio. es la lista de control de acceso ACL. El flujo de datos debe ser filtrado por ACL antes de que pueda pasar. ACL es como una inspección de tarjeta de identificación aduanera. Comprueba de qué país eres, pero es imposible saber si eres un espía o un turista, porque ACL controla la tercera y cuarta capa de la red y no puede identificar la capa de aplicación. . Los cortafuegos posteriores agregaron la tecnología NAT/PAT, que puede ocultar las direcciones IP de los dispositivos de la red interna, velar la red interna y convertirse en una caja gris "invisible" para el mundo exterior, lo que dificulta la intrusión. Sin embargo, la tecnología de caballo de Troya puede permitir que las máquinas de la red interna establezcan contacto activo con el mundo exterior, "penetrando" así la "protección" de NAT. Muchas aplicaciones P2P también utilizan este método para "romper" los cortafuegos.

La función del firewall es construir la "puerta de la ciudad" de la red y proteger la única forma de ingresar a la red, por lo tanto, en el diseño de seguridad de límites de la red. , el firewall se convierte en un factor faltante.

La desventaja del firewall es que no puede identificar la capa de aplicación y es indefenso contra virus y troyanos ocultos en la aplicación. Por lo tanto, como interconexión de red con niveles de seguridad muy diferentes, la seguridad de los cortafuegos dista mucho de ser suficiente.

2. Tecnología de múltiples puertas de enlace de seguridad

Dado que un firewall no puede resolver la protección de seguridad en todos los niveles, es necesario instalar varias puertas de enlace de seguridad más, como en cuanto a aplicaciones IPS para intrusión de capas, AV para lidiar con virus, AV para lidiar con ataques DDOS... En este momento, nacieron los equipos UTM, el diseño en conjunto es UTM y, por separado, son varios tipos de puertas de enlace de seguridad.

Múltiples puertas de seguridad deben establecer varios puntos de control más en la puerta de la ciudad. Hay una división de funciones, como verificación de documentos, inspección de equipaje, detección de drogas y búsqueda. espías...

La seguridad de múltiples puertas de enlace de seguridad es obviamente mejor que la de los firewalls. Al menos puede resistir varias intrusiones y virus comunes. Sin embargo, la mayoría de las puertas de enlace de seguridad múltiple confirman las intrusiones mediante el reconocimiento de funciones. Este método es rápido y no provoca retrasos obvios en la red, pero también tiene sus propios defectos inherentes. En primer lugar, las funciones de la aplicación generalmente se actualizan rápidamente. semanas, por lo que la puerta de enlace debe "actualizar la base de datos de firmas" de manera oportuna; en segundo lugar, muchos ataques de piratas informáticos utilizan comunicaciones "normales" para ingresar de manera dispersa y indirecta sin características obvias. Finalmente, no importa cuántas puertas de seguridad haya, son sólo unos pocos puntos de control. Una vez que se "mezclan" y entran por la puerta, las puertas de enlace serán inútiles. Esta puede ser la razón por la que los expertos en seguridad tienen “insuficiente confianza” en múltiples puertas de enlace de seguridad.

3. Tecnología Gatekeeper

La idea de seguridad de Gatekeeper proviene de "no conectarse al mismo tiempo". En lugar de conectar dos redes al mismo tiempo y "transferir" datos empresariales a través de un buffer intermedio, la empresa es interoperable y la posibilidad de intrusión es, en principio, mucho menor si "no se establece ninguna conexión".

El guardián simplemente transfiere datos, que es similar al método manual de "transferencia de disco U". La seguridad de un guardián depende de si transporta "datos puros" o "datos grises". El contenido que pasa es claramente visible. "Cuando el agua está clara, no hay intrusiones y los virus no tienen dónde esconderse". y la red es relativamente segura. En otras palabras, si la puerta de la ciudad solo permite el paso de un tipo de persona, como un repartidor de comida, la probabilidad de que un espía se cuele se reduce considerablemente. Sin embargo, como límite de interconexión de la red, el guardián debe admitir la conexión de varios servicios, es decir, el paso de ciertos protocolos de comunicación. Por lo tanto, la mayoría de los guardianes tienen servicios proxy para los protocolos, al igual que algunos canales especiales se abren en la red. muralla de la ciudad, la seguridad del guardián está comprometida En términos de inspección de seguridad de estos canales, el efecto de inspección del guardián no es necesariamente mejor que el de múltiples puertas de seguridad.

La idea del portero es bloquearlo primero y luego abrir algunas puertas pequeñas según las necesidades de la "ciudad". primero, y luego prohibir uno por uno a aquellos que no lo quieran. Las dos ideas son exactamente opuestas. La tecnología de identificación de intrusiones es similar, por lo que el uso de múltiples puertas de enlace para aumentar la identificación y protección de la capa de aplicación es un buen complemento para ambas.

Más tarde, la tecnología de canal de almacenamiento, la tecnología de canal unidireccional, etc. aparecieron en el diseño de los guardianes, pero no podían garantizar la "simplicidad" de los datos. nuevos avances en la tecnología de inspección, por lo que los expertos han cuestionado la seguridad del guardián.

Sin embargo, el gatekeeper nos ha aportado dos aclaraciones:

1. Establecer una zona de amortiguamiento para la interoperabilidad empresarial. Dado que la conexión puede ser insegura, lo es. También es una buena idea abrir un área separada para reducir el alcance de las áreas inseguras.

2. Agente de protocolo. De hecho, los firewalls también tienen agentes de aplicación. La idea es evitar la entrada de intrusos. Si desea algún servicio, lo arreglaré con mi propia gente. para proporcionárselos. El objetivo final del acceso a la red es solicitar negocios. Si lo completo por usted, ¿no se logra también el objetivo? Los piratas informáticos están fuera de la puerta de la red. Si no entran, la amenaza será mucho menor.

4. Tecnología de red de conmutación de datos

Desde firewalls hasta guardianes, todos adoptan métodos de punto de control. Las tecnologías de "inspección" son diferentes, pero para las últimas. Las técnicas de ataque de los piratas informáticos no son fáciles de usar y no existen medios de monitoreo. Para hacer frente a los ataques "humanos", sólo los seres humanos son los mejores oponentes.

La tecnología de la red de intercambio de datos se basa en la idea de aislamiento de búfer. Se construyó un "mercado de comercio de datos" en la puerta de la ciudad para formar el aislamiento de dos zonas de búfer. Al mismo tiempo, los bancos introdujeron el modelo Clark-Wilson de protección de la integridad de los datos del sistema no solo previene las fugas de datos de la red interna, sino que también garantiza la integridad de los datos, es decir, las personas no autorizadas no pueden modificar los datos, evita modificaciones incorrectas por parte de usuarios autorizados y. Garantiza la coherencia de los datos internos y externos.

La tecnología de red de intercambio de datos proporciona una nueva idea para la protección de fronteras. El uso de la red para lograr el intercambio de datos también es una estrategia de "intercambiar tierra por seguridad". Establecer un amortiguador entre las dos redes para mantener los "flujos comerciales" bajo control.

La tecnología de red de conmutación de datos tiene ventajas significativas sobre otras tecnologías de seguridad fronteriza:

1. Combina el uso de múltiples puertas de enlace y guardianes de seguridad y utiliza "puertas" de seguridad de múltiples niveles.

2. Con espacio de búfer, se puede aumentar el monitoreo y la auditoría de seguridad, y se pueden utilizar expertos para lidiar con las intrusiones de piratas informáticos. El límite está dentro de un rango controlable y cualquier pista. o perturbaciones pueden escapar, pero los ojos del monitor.

3. El agente comercial garantiza la integridad de los datos. El agente comercial también permite que los visitantes externos se detengan en el área de intercambio de la red. personal de servicio, al igual que los visitantes solo pueden discutir negocios en el área de recepción fija y no pueden ingresar al área de la oficina interna.

La tecnología de red de intercambio de datos tiene como objetivo la interconexión de redes para la interoperabilidad de big data. En términos generales, es adecuada para las siguientes situaciones:

1. Negocios frecuentes. Requisitos de interoperabilidad:

La cantidad de datos comerciales que se intercambiarán es grande o existen ciertos requisitos en tiempo real. El método manual definitivamente no es suficiente y el método de puerta de enlace no es lo suficientemente protector, como el método de puerta de enlace. el sistema UnionPay del banco y el sistema de declaración de aduanas, el sistema de gestión de seguridad social, el sistema de gestión de entradas y salidas de seguridad pública, entre la red interna de grandes empresas (que ejecuta ERP) e Internet, el sistema de biblioteca pública, etc. Las características sobresalientes de estos sistemas son que la importancia del centro de datos es evidente, pero está estrechamente relacionada con los requisitos del público en general y las empresas para proporcionar acceso a Internet. Bajo los requisitos de seguridad y adaptabilidad empresarial, la interconexión empresarial requiere. uso de Para garantizar una tecnología de seguridad completa, es adecuado elegir el método de red de intercambio de datos.

2. Interconexión externa de redes de alta densidad:

Las redes de alta densidad generalmente involucran secretos de estado. El primer factor es que la información no se puede filtrar. es decir, no debe filtrarse. Permite la intrusión de personal no autorizado. Sin embargo, debido a la demanda de información pública, o la supervisión de redes e información públicas, debe estar interconectada con redes no seguras. Si se trata de un negocio como la supervisión, el tráfico empresarial también es muy grande y el real. Los requisitos de tiempo también son altos. Elija la interconexión de red. La tecnología de red de conmutación de datos es adecuada.

4. Resumen: "Si el diablo está alto, el camino es alto, y si el camino está alto, el diablo está alto". La frontera de la red es el "campo de batalla" para el juego a largo plazo entre los dos. Sin embargo, si bien la tecnología de seguridad se "actualiza continuamente", también avanza gradualmente hacia la idea de "defensa activa y protección tridimensional". La tecnología de protección de fronteras también está madurando gradualmente, y la tecnología de red conmutada de datos ya no es solo una puerta de enlace de protección, sino una red de seguridad fronteriza y una idea integral de protección de seguridad. Quizás el tema de la seguridad sea eterno, pero los límites de la red en el futuro deben ser cada vez más seguros y la ventaja de la red radica en la conectividad.