| ||||
网络安全漏洞仍处处存在,没有任何解决方案能够阻挡黑客。如果使用多种安全手段,结合使用防火墙、入侵检测、防病毒扫描、尤其是隔离网闸(GAP)技术及其它保护方法,通过降低安全漏洞的可能性、尽量减小受破坏的可能性,就能节省资金和时间。
保护网络好比保护住宅和个人财产。第一道防线通常是给所有门窗上锁。在网络上,防火墙就相当于这把锁。防火墙按照预定的安全策略检查所有进入流量,确定哪些流量可以进入、哪些不能。通常而言,未得到明确许可的流量不得进入。这样一来,防火墙就能防御各种攻击。连接至因特网的任何网络都要有防火墙。有人还希望保安系统提供额外保护,网络上也有相当于这样的功能:入侵检测系统即IDS。通常IDS会监控所有进入的流量,查寻基于网络的攻击所具有的某些征兆或特征。一旦发现可疑活动的迹象,立即向操作员报警。
另一种保护涉及内容。网络的死敌通常是臭名昭著的计算机病毒,防病毒扫描系统会审查所有进入信息,查寻病毒感染的迹象。大多数系统可以进行配置,以便采取许多纠正行动,包括隔离可疑文件以便进一步分析,及干脆删除含有可执行代码的所有附件。这如同家长在电视机中使用V芯片,以屏蔽某些节目。从技术上来说,这是所谓的内容过滤系统所起的作用。这种系统目的在于阻止员工在网上浏览与工作无关的某些站点或资料。
如果把住宅看作城堡,提供根本保护的则是可靠的护城河,它使所有外人远离你的住宅。随着隔离网闸(GAP)技术的问世,网络安全也具备了这种功能。该技术提供了物理隔离机制,将重要的网络资源与因特网相隔离,同时仍允许双向网络流量,以便公司在如今快节奏的电子商务世界进行交易。隔离网闸技术是通过采用含有特殊开关的设备部署而成,通过保持不间断连接的一种方式,将服务器场(Server Farm)网络或一台服务器与因特网进行物理隔离。虽然这似乎自相矛盾,但若考虑到隔离网闸本身的实时性,就相当显然。不妨设想一种特殊的双向开关连接两个不同的存储体:一个用于进入的流量,另一个用于外出的流量。隔离网闸能在设备的任何一端进入网络(不可信)与外出网络(可信)之间迅速来回切换。该技术创建了这样一种环境:内外两个网络物理断开,但逻辑相连。隔离网闸技术在两个网络之间实现了物理隔离,这意味着网络数据包不能从一个网络流向另一个网络,并且可信网络上的计算机和不可信网络上的计算机从不会有实际连接。对于有连接的PC,黑客会使用各种方法,通过网络建立连接从而获得控制,然而物理隔离却能杜绝这种情况发生。隔离网闸技术除了实现物理隔离外,还允许可信网络和不可信网络间的数据、资源和信息的安全交换。隔离网闸技术带来的最大好处是:物理隔离使可信网络变得安全,同时允许在线式实时访问不可信网络。
防火墙、入侵检测和防病毒扫描系统对已确认的攻击都颇为有效。这类经实践证明切实可行的技术继续被黑客所利用,这完全是因为许多公司还没有部署这些基本的防御措施。当然,业内最出色的黑客在不断想方设法渗入网络、窃取资源。有鉴于此,提供防火墙、IDS和防病毒技术的厂商在不断升级解决方案。但如果你的网络遭到了一种新攻击,那会发生什么呢?或者如果有一种工具能防御攻击,但你还没有添加到网络中,你该如何保护自己抵御谁都无法预知的攻击呢?
正如城堡外面的护城河,隔离网闸设备能够不断阻止入侵者进入。它通过在不可信网络牺牲自己来积极有效地应对攻击,以充分保护可信网络避免受到基于操作系统和网络的各种攻击,包括拒绝服务攻击。因为隔离网闸设备在短短几秒内就能迅速实现全面恢复,这足以证明有必要为这额外的一层网络安全花费不算多的资金。
自然,有人想知道隔离网闸设备对网络性能会有何影响。基于超速CPU、总线和交换机的下一代设计,使隔离网闸设备能够提供每秒吉位的吞吐量。有些产品甚至支持负载均衡群集和高可用性群集。性能上的这些提高已经使隔离网闸设备成为网络安全必不可少的一个部件,从而使如今的安全管理人员会想:要是不弥补网络安全的不足,该如何生存下去。
电子商务辩论台: |
实名制会员登录
|
载入中…
|
