随着互联网的发展,每天都会有大量的数据传输和信息交流,这些数据都被保存在数据中心中。由于数据总量大、且重要性高,数据中心的安全显得尤为重要。在数据泄露、网络攻击以及黑客攻击的背景下,数据安全固网,已成为现代数据中心网络安全的重大问题。在本篇文章中,我们将会讨论如何保护数据中心网络安全。
数据中心网络的基本原理
数据中心网络(Data Center Network, DCN)是建立在网络互联设备上的高可靠性、高可扩展性的网络,也是支持云计算应用的关键基础设施。通常,数据中心网络被分为三个级别:核心层、汇聚层和接入层。在这三个层级中,接入层是最重要的,因为它直接面向业务和服务,也是用户和数据操作的入口。
数据中心网络为了保证数据的快速和稳定传输,采用了多条物理线路并行传输。同时,使用了不同的协议,比如TCP、UDP、IP。数据中心网络需要保证数据的完整性、保密性、可用性和可靠性。如果数据出了问题,会导致数据的泄露、窃听和篡改,极限情况下会造成严重的数据灾难。
数据中心网络面临的威胁
数据中心网络的规模很大,维护也很复杂,这使得数据中心网络面临着多种威胁。其中,最常见的威胁包括网络攻击、黑客攻击、DoS/DDoS攻击等。
网络攻击
网络攻击是指用于针对目标网络进行破坏或破坏网络安全元素的活动。攻击者利用他们的技能和知识,来突破网络安全防护,劫持数据,窃取重要的信息或者将其他类型的有害内容注入网络。
黑客攻击
黑客攻击是指对数据系统进行未经授权的访问或者攻击,目的是获取或盗窃敏感信息、对系统造成破坏或者利用系统进行非法活动。
DoS/DDoS攻击
DoS/Denial of Service攻击是指攻击者通过发送大量的无意义请求或者恶意请求,目的是使得网络主机或者系统资源不可用。而DDoS/Distributed Denial of Service攻击则是通过多个主机同时进行攻击,造成服务器的过载,使得系统瘫痪。
如何保护数据中心网络安全
出于保护数据中心网络安全的目的,我们需要采取一定的措施和技术手段,以保证数据的安全和完整。
使用代理
代理技术(Virtual Private Network,虚拟专用网络)是一种可以采取加密隧道来创建私人通信网络的技术。代理可以模拟从未建立的私人局域网,使得网络中的用户和数据资源能够安全传输。对于数据中心网络的接入层,代理技术是非常有必要的。这可以大大加强数据中心的安全性,防止黑客攻击和数据泄露。
使用防火墙
防火墙是在网络与互联网界面处安装的一种特殊硬件或者软件,用于检测网络数据流并且控制其传输的一种网络安全设备。防火墙可以判断数据包的来源和目标,以及数据包的内容,以防止网络攻击和黑客入侵。
数据备份
数据备份非常重要,一旦数据丢失或者遭受攻击,可以通过数据备份进行恢复。不同的数据备份方式有不同的优点和缺点,可以根据数据的不同种类和重要性进行选择。比如,可以将数据备份到云端,同时也可以备份到其他的外部介质中。
随着互联网的不断发展,数据中心网络安全已经成为重要的防线。在数据中心网络中,数据的可靠性、机密性、安全性和可用性是非常重要的。通过采用安全措施如代理、防火墙以及数据备份等技术手段,可以极大的提高数据中心网络的安全性和可靠性。这些方法具有高效性和实用性,同样也是考察准入数据中心网络领域自身技术和能力的重要参考因素。
相关问题拓展阅读:
- 数据销毁,对数据中心运营至关重要
- 如何防范计算机网络攻击
数据销毁,对数据中心运营至关重要
人们常问,到底为什么要 销毁数据 呢?为什幺要 销毁文件 呢?销毁与数据中心运营有什么关系呢?
其原因听起来比较残酷。如果你是无名鼠辈,有一些人会关心你,他们把无数老百姓的数据凑成一个叫大数据的东西去兜售;如果你小有声望,会有一批人关心你的隐私生活和朋友圈,你的数据经贩卖后流入市场会成为人们茶余饭后的谈资;如果你是名人、知名公司或响当当的品牌,无数人都在盯着你,渴望你言行出轨,期待你被举报被陷害被曝光,你的这些不幸数据却是他们的自媒体的绝佳内容,是获得流量和粉丝的强大工具,是他们圈钱的秘密武器。
数据泄露的数量让人瞠目结舌
世界上每天产生多少数据呢? 2.5P比特。碰伍1P是一百万的三次方,90%的数据是最近这两年产生的。大部分数据源于数据中心的服务器,为什么这么说呢?你兢兢业业地经营着自己的社交媒体,文章和图像需要上传到平台的服务器上别人才能欣赏到;你在电脑上编辑邮件和PPT,公司的云端亦有备份,方便了你在另一台电脑上办公;公司协调办公和ERP产生的数据都存储在远方的服务器上,这样才能实现随时随地办公的梦想。服务器承担了数据存储和计算的核心工作,而数据中心又是大规模存放服务器的地方。
数据中心拥有海量数据,必须进行数据销毁才能让业主放心
既然数据中心是数据存储和处理的集中场所,海量数据的安全防护就格外重要了。传统上,数据中心的信息安全有物理保护和访问控制二种机制。物理保护是指门禁控制和物理接触控制,对于哪些人在物理层面上可以接触某台服务器的存储介质做严格的权限分配。访问控制指在逻辑层面上对数据访问权限做出详细规定,防止数据被没有权限的人获取。当然,安全策略上还有网络安全、防火墙、冗余备份、逻辑隔离等手段。不难发现,对于数据的生命周期而言,传统的安全策略聚焦于数据生命周期的产生、传输和存储等前期和中期阶段,在数据生命笑毕或周期的尾声却出现了弱管理甚至忽视。下图列出了数据生命周期的六大环节,第六个格子正是末期管理之销毁,实际上却常常被忽视。
数据生命周期管理,销毁环节常被忽视
你也许会辩解,我们的硬盘数据有加密,别人不知道密钥就无法读写数据。但是,总有一个人知道你的密钥,难道不是吗?这个人或许对你忠诚耿耿,绝对可靠,但是你能保证他/她会效忠致死吗?与其把宝压在一个人身上,不如把安全交给销毁处理,这是明智的做法。有的风险不值得冒!
Stellar公司的调研发现七成数据残留有风险
你也许会辩解,我们的硬盘是RAID5读写,信息分布在不同的硬盘上,一块硬盘的数据被读取了不会影响整个系统的信息安全。数没但是,当你的IT经理计划硬件资产淘汰时,谁会关心几百块硬盘下架后的摆放顺序呢?谁又会去安排人员特意把同一RAID5下的盘摆放在不同的仓库呢?实际操作中,我们从来没有遇到管理如此精致的IT主管。与其痴心渴望你的IT经理如此精致,不如请一家 销毁公司 及时销毁数据和文件。这样的风险不值得冒!
你也许会辩解,这批硬盘由实习生使用,没有接入公司的ERP等核心系统,数据都是无关紧要的。请看看 数据残留大揭秘 吧,你就明白了数据其实没有紧要次要之分,只有你的IT政策是合规还是不合规之分。IT治理不合规时,没有数据是保密的和隐私的;IT治理合规时,数据没有不含隐私的也没有不敏感的,所有数据都需要保密,否则你的数据资产极有可能变为你的负债。
你必须面对一个极其残酷的现实:你的数据不一定被泄漏,一旦泄露则 身败名裂 ,你觉得值得冒这个风险吗?下面这个视频讲述了 数据销毁的必要性。
为什么要销毁数据
海量数据需要海量存储空间。这些数据中大部分都是交易数据、过程数据、用户数据或者中间计算数据,数据中心永久存留这些数据并无益处,因为存储空间需要购买,空间维护需要费用。1G的存储通常需要0.3元,1T的存储量则需要300元,若加上数据维护和电力成本分担,1T的数据量每年约需要350元的成本。与其让这些数据在数据中心的存储设备里睡大觉,不如及时销毁和清理,节省出来宝贵的存储空间迎接崭新数据的到来。这样便大大节省了数据中心的运营支出,提升了生产效率。那么, 如何销毁数据 呢? 数据销毁 和 文件销毁 ,这里也 大有学问 。
首先,数据质量远比数据的数量重要,数据中心为了不断增长的数据而在软硬件上连续投资的做法,实在是一个代价昂贵的错误。需要注重有效数据的处理。表面上看,数据中心的数据总量增长是非常迅猛的,全球数据量以每年58%的速度增长,不到两年就翻一倍,在未来这个速度会更快,其中大部分数据都是在数据中心里产生的。我们的数据中心是不可能每两年就扩容一倍的容量,所以任由数据量增长下去,数据中心会很快陷入不断扩容的怪圈,结果数据中心的规模越来越大,而数据中心业务并没有实质增长,数据中心的盈利水平却在下降。就好像是一个胖子,总是吃炸鸡可乐而缺少体育锻炼,将会越来越胖,但实际上身体的体质在不断下降,最后除了一身赘肉,什么也干不了。数据切不可成为数据中心的负担,该清理时就清理,该销毁时就销毁。
其次,我们要对数据进行销毁,就要对数据进行分门别类的管理,分清哪些数据是有用的,哪些数据是无用的。这就要从数据产生的源头做起。在数据中心产生增量数据时,要将这些数据进行分类、整理归档,存储到分好类别或有标签的空间里去,同时对这些数据进行明确标记名称,通过名称就可以知道数据的大概内容,以便作为数据是否有用的判断准则。如果在数据归档记录时类别不明确,那么后来就无法做到精准销毁。管理这些数据是非常复杂的,涉及到数据辨识、清理、优化等等,而这些工作又是周期性,需要花费大量的时间和人力,且不会带来明显的收益,因此数据精细管理常常被忽视。其实,数据的有效存储工作将帮助数据中心产生长期和正面的收益,且越早部署越早行动收益越明显。
硬盘销毁、数据销毁、文件销毁的行业标准
第三,数据的销毁绝不是简单的删除清空这样简单,需遵循 数据销毁的行业标准 。销毁的手段也有几种,这和你希望达到的效果有关。一般销毁分为软件销毁和硬件销毁两种。软件销毁指在磁盘轨道上写入大量垃圾字节,导致磁盘数据无法读取和恢复。绝大多数情况下,硬盘可以继续使用,无需外置工具,只要硬盘能读写就可以使用这个方法。销毁过程慢,通常要1到3个小时才能完成一个硬盘上的数据销毁,DOD/ass标准耗时1个小时以上; GUTMAN/7Pass标准需要3个小时以上。美国国防部的DOD 5220.22-M标准是应用最广的一套软体规范,许多人都把DOD 5220.22-M直接当作数据清除与销毁的标准。软件销毁常用的方法还有:格式化硬盘、硬盘分区、文件粉碎软件。格式化仅仅是为操作系统创建一个全新的空文件索引,将所有的扇区标记为“未使用”状态,让操作系统认为硬盘上没有文件,因此,若采用数据恢复工具软件是可以恢复格式化后数据区中的数据的,格式化也分高级格式化、低级格式化、快速格式化和分区格式化几种。低级格式化的销毁最为彻底,很难通过软件再将已经销毁的数据还原回来,硬盘存储空间得到充分释放。用硬盘分区的方式销毁数据,也只是修改了硬盘主引导记录和系统引导扇区,绝大部分的数据区并没有被修改,没有达到数据销毁数据擦除的目的。文件粉碎软件是专门用于彻底删除文件达到数据销毁目的的,在网上也出现了不少,一些反病毒软件也增加了数据销毁数的功能。他们用于处理一般的私人数据可以,但不能用于处理带密级的数据。软销毁一般只是将数据文件覆盖到无法识别,并不能真正将磁盘数据擦除。操作系统由于考虑到操作者操作习惯或者误操作,以及数据销毁后各种非常情况等诸多方面因素,特意安排了删除后可恢复的后门。用户所使用的删除命令,只是将文件目录项做了一个删除标记,把它们在文件分配表中所占用的簇标记为空簇,并没有对数据区进行任何改变,也就是没有对这些信息做任何数据擦除、数据销毁的操作,这样数据其实依然占用存储空间,并没有达到节省存储空间的目的。硬件销毁则通过采用物理、化学方法直接销毁存储介质,以达到彻底的 硬盘数据销毁 的目的,比如粉碎硬盘、高温焚烧硬盘或折弯硬盘。还有一种硬销毁是采用专用的 硬盘消磁机 来彻底销毁数据。不管是直接对硬盘进行消磁,还是对硬盘进行折弯,硬盘将被损坏,不仅数据不能被恢复,硬盘也无法二次使用。这种硬销毁往往用来对已经故障的硬盘进行处理,避免故障硬盘里存着的数据被坏人恢复出来。当然,在IDC大规模淘汰服务器时,通常采用这种方法 销毁硬盘数据 ,速度快且销毁彻底。
硬盘数据销毁的方法对比
数据可以是资产,也可能是负债。数据中心拥有海量数据,数据外泄会伤害品牌、损失声誉并引发诉讼,数据维护成本居高不下会拖累公司的财务业绩。如果不及时清除数据,数据资产就演变为你的负债。及时对数据中心的数据进行销毁,不仅可以节省存储空间,节约运营成本,还可以提升信息安全,避免数据泄露。所以, 彻底销毁数据 对于数据中心运营至关重要。
如何防范计算机网络攻击
一、计算机网络攻击的常见手法
互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。
(一)利用网络系统漏洞进行攻击
许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。
对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏橘粗盯忽而使他人有机可乘。
(二)通过电子邮件进行攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。
对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。
(三)解密攻击
在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。
取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。
但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。
另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。
为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生圆和日和甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。
(四)后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2023、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。
这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力比较强,给用户进行清除造成一定的麻烦。
当在网上下载数据时,一定要在其运行之前进行病毒扫描,并使用一定的反编译软件,查看来源数据是否有其他可疑的应用程序,从而杜绝这些后门软件。
(五)拒绝服务攻击
互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击(DDoS)的难度比较小,但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而凳誉使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。
现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。
对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作,所以大家在上网时一定要安装好防火墙软件,同时也可以安装一些可以隐藏IP地址的程序,怎样能大大降低受到攻击的可能性。
二、计算机网络安全的防火墙技术
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的保密性、完整性和可使用性受到保护。网络安全防护的根本目的,就是防止计算机网络存储、传输的信息被非法使用、破坏和篡改。防火墙技术正是实现上述目的一种常用的计算机网络安全技术。
(一)防火墙的含义
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,更大限度地阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。
(二)防火墙的安全性分析
防火墙对网络的安全起到了一定的保护作用,但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究,作者对防火墙的安全性有如下几点认识:
1.只有正确选用、合理配置防火墙,才能有效发挥其安全防护作用
防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:
a.风险分析;
b.需求分析;
c.确立安全政策;
d.选择准确的防护手段,并使之与安全政策保持一致。
然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。
2.应正确评估防火墙的失效状态
评价防火墙性能如何,及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何? 按级别来分,它应有这样四种状态:
a.未受伤害能够继续正常工作;
b.关闭并重新启动,同时恢复到正常工作状态;
c.关闭并禁止所有的数据通行;
d. 关闭并允许所有的数据通行。
前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。
3.防火墙必须进行动态维护
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,要与商家保持密切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
4.目前很难对防火墙进行测试验证
防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大,主要原因是:
a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试的工具软件。
b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作难以达到既定的效果。
c.选择“谁”进行公正的测试也是一个问题。
可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,进而提出这样一个问题:不进行测试,何以证明防火墙安全?
5.非法攻击防火墙的基本“招数”
a. IP地址欺骗攻击。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制而得成的。
b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。
c.防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了, 这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。
——
(三)防火墙的基本类型
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
1.网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。
先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。
如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
下面是某一网络级防火墙的访问控制规则:
(1)允许网络123.1.0使用FTP(21口)访问主机 ;
(2)允许IP地址为 和 的用户Telnet (23口)到主机 上;
(3)允许任何地址的E-mail(25口)进入主机 ;
(4)允许任何WWW数据(80口)通过;
(5)不允许其他数据包进入。
网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2.规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样, 规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。
当然它也象应用级网关一样, 可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和不受信任的主机建立直接连接。
规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用户透明,在OSI更高层上加密数据,不需要你去修改客户端的程序,也不需对每个需要在防火墙上运行的服务额外增加一个代理。
如现在更流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则检查防火墙。
从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变得更加能够识别通过的信息,而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间传送数据。
(四)防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。
这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。
这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。 在公共网络和私有网络之间构成了一个隔离网,称之为”停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在”停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
——
(四)防火墙的安全措施
各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措施:
1.防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。
2.网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。
3.开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
4.路由器安全管理程序
它为Bay和Cisco的路由器提供集中管理和访问列表控制。
(六)传统防火墙的五大不足
1.无法检测加密的Web流量
如果你正在部署一个光键的门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求,对于传统的网络防火墙而言,是个大问题。
由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。
2、普通应用程序加密后,也能轻易躲过防火墙的检测
网络防火墙无法看到的,不仅仅是SSL加密的数据。对于应用程序加密的数据,同样也不可见。在如今大多数网络防火墙中,依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。
但如今,采用常见的编码技术,就能够地将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。这种加密后的攻击代码,只要与防火墙规则库中的规则不一样,就能够躲过网络防火墙,成功避开特征匹配。
3、对于Web应用程序,防范能力不足
网络防火墙于1990年发明,而商用的Web服务器,则在一年以后才面世。基于状态检测的防火墙,其设计原理,是基于网络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,Access Control Lists)。在这一方面,网络防火墙表现确实十分出色。
近年来,实际应用过程中,HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商,均已转移到基于Web的体系结构,安全防护的目标,不再只是重要的业务数据。网络防火墙的防护范围,发生了变化。
对于常规的企业局域网的防范,通用的网络防火墙仍占有很高的市场份额,继续发挥重要作用,但对于新近出现的上层协议,如XML和SOAP等应用的防范,网络防火墙就显得有些力不从心。
由于体系结构的原因,即使是更先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。
4、应用防护特性,只适用于简单情况
目前的数据中心服务器,时常会发生变动,比如:
★ 定期需要部署新的应用程序;
★ 经常需要增加或更新软件模块;
★ QA们经常会发现代码中的bug,已部署的系统需要定期打补丁。
在这样动态复杂的环境中,安全专家们需要采用灵活的、粗粒度的方法,实施有效的防护策略。
虽然一些先进的网络防火墙供应商,提出了应用防护的特性,但只适用于简单的环境中。细看就会发现,对于实际的企业应用来说,这些特征存在着局限性。在多数情况下,弹性概念(proof-of-concept)的特征无法应用于现实生活中的数据中心上。
比如,有些防火墙供应商,曾经声称能够阻止缓存溢出:当黑客在浏览器的URL中输入太长数据,试图使后台服务崩溃或使试图非法访问的时候,网络防火墙能够检测并制止这种情况。
细看就会发现,这些供应商采用对80端口数据流中,针对URL长度进行控制的方法,来实现这个功能的。
如果使用这个规则,将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页,确实需要涉及到很长的URL时,就要屏蔽该规则。
网络防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此很难对应用层进行防护,除非是一些很简单的应用程序。
5、无法扩展带深度检测功能
基于状态检测的网络防火墙,如果希望只扩展深度检测(deep inspection)功能,而没有相应增加网络性能,这是不行的。
真正的针对所有网络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务,包括以下几个方面:
★ SSL加密/解密功能;
★ 完全的双向有效负载检测;
★ 确保所有合法流量的正常化;
★ 广泛的协议性能;
这些任务,在基于标准PC硬件上,是无法高效运行的,虽然一些网络防火墙供应商采用的是基于ASIC的平台,但进一步研究,就能发现:旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。
三、结束语
由于互联网络的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有效的网。
数据中心网络安全防护的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于数据中心网络安全防护,数据安全固网:保护数据中心网络安全,数据销毁,对数据中心运营至关重要,如何防范计算机网络攻击的信息别忘了在本站进行查找喔。
