如何让网络空间多维化
袁家驹 发表于:13年05月21日 14:41 [来稿] DOIT.com.cn
谈到人类生活的空间和无限的宇宙,大家都会有很大的兴趣和很强的神秘感,认为多维空间的环境中,存在我们未知的事物,但从人的肉眼中只能看到是个长、宽、高三个维度所构成的空间,最多我们还可以加入时间,让时空互相联系,所以对于我们来说生活在一个四维时空。说道这里,让我们也想起,近年的一部大片诺兰的“盗梦空间”他突破了时空的限制,让电影中的时间与空间随意的跳跃交错,让人不得不佩服 “诺兰改变电影结构”的这句话。但网络是否也能空间多维化,让一个个数据包不再是二级制数字,而是一个真实的网络空间表现!
我们先来纵观一下防火墙的发展,我们看到最早人们为了防护火灾或者大风,都要建立高于屋面的墙面,这样高高的墙面,可以防止在相邻民居发生火灾的情况下,起到隔断火源的作用。同样我们把网络中进行安全隔离,防止由于一些区域电脑感染病毒,而蔓延到整个业务网络,而且如果部署在内部网络和互联网的边缘,也可以起到防止外部非法流量访问业务网络。
早期的防火墙,主要通过查看数据流的源IP地址、目的IP地址和交互端口,综合这些因素进行安全的行为判定。由于这些固定方式的安全查看也带来很多的问题,不能支持动态端口协商的应用处理,像某些应用程序在协商信道和数据信道并不是固定的端口,数据端口的使用往往需要协商后获得,比较随机,这对早期的防火墙是很大的挑战。还有些情况,用户IP地址经常会被篡改,所以通过IP地址限制特定用户是无法实现的。
为了解决这些问题,防火墙做了一次技术的变革,增加了深度包检测的功能,对动态端口的应用协议进行深度结构化检测,动态协商的数据端口采用动态放行方式。同时也对数据认证源进行改进,结合微软活动目录,加强与身份认证系统的互动,让用户认证不再仅通过IP地址进行识别。
看似这样的改变解决了我们面临的问题,但技术的发展是永远不会止步的,当今互联网的主要趋势正在向应用发展,带来虚拟化、智能终端、BYOD等新的概念和技术。如今,一般员工越来越习惯在移动设备上使用消费者应用访问基于 Web 的服务,来满足个人和工作两方面的需求。这些员工希望能够在企业网络上使用其常用的应用。IT 消费化也已成为趋势 - 员工希望能够在工作场所轻松使用其个人手机、平板电脑和笔记本电脑,而且不用担心会遭到黑客攻击。这次技术的变革也带来我们对安全更高的需求,我们更需要一个把用户真实环境中的信息作为安全的因数,体现在网络世界中。
思科ASA5500X下一代防火墙对网络安全进行了全新的诠释,不再是一个IP地址就代表了一个用户,一条访问控制列表就能保证网络的安全,而是把扁平的线性网络重新构建成一个真实的生活空间。我们从人的肉眼中能看到是个长、宽、高三个维度所构成的空间,而思科下一代防火墙对这个空间进行了更详细的描绘,添加了用户接入的使用设备、接入网络中所处的物理位置、接入时间、接入使用的网络类型。同时结合用户访问的网站信誉度、使用的哪些应用软件等因子,让一个真实的用户所处的多维空间呈现在网络中。
试想如果要在网络中构建一个真实的多维空间,哪些是我们需要的关键技术呢?首先大家都会想到用户识别,访问用户是什么身份、他会有哪些权限、如何去鉴别用户?这个需求是很好解决的,我们可以结合微软活动目录等多种的后台数据库,有效的实现了用户定位,帮助网络管理人员真正达到活动目录认证/防火墙策略和身份的对应,使得策略身份化,访控更加精细,管理更加方便。
其次智能终端的出现带来很大的安全挑战,也带动了安全的发展机遇,下一代的防火墙必须具备设备识别的功能才有可能满足市场的需求,对智能终端的识别可以帮助企业和用户加强安全防范,控制安全风险。
然后恶意网页、流氓软件、游戏网站……互联网上满天飞的年代,如何保证网络访问安全,同时满足用户的体验。我们不仅要通过内部流量可视化,带宽精准控制,也需要一个全球的信用度评价系统帮助鉴别那些未知网站的安全。
思科提供了世界最大的威胁分析系统 — 思科安全智能运营中心 (SIO)。它包括超过 700,000 个全球传感器,每天可查看超过 50 亿次 Web 请求,以及 35% 的全球流量。SIO持续收集其接收到的所有信息,对网络、域和应用进行分类并为其分配信誉分数。这些分数通过集中计算,3-5分钟迅速分配至配置为接收这些分数的思科设备。ASA CX 收到这些分数后,更新其全球环境存储库,开始识别新兴威胁,并着手实施防御这些威胁的操作。
讲了这么多,我们用一个场景帮助大家更好的理解思科下一代防火墙如何改变网络空间,让网络不再扁平,把网络真正映射成一个现实的空间。
试想我们工作的普通一天,大家到了公司第一件事情当然是打开电脑处理邮件,找不同部门的同事协调事情,在上班时候没法访问公司业务以外的应用,但休息时间和下班后是可以访问的,这就是我们把时间加入了到网络维度中,如果你在非工作区上网将仅能访问internet,可以理解为我们把地点也加入了网络安全维度。同时我们也对使用不同设备进行控制,普通员工使用智能终端是不能访问业务网络的,但老板或者高级管理人员可以随时随地进行。与此同时,访问外部的应用是否被允许,被访问的外部网站是否安全,这些问题可以通过思科全球的SIO网站荣誉度评级,帮助大家过滤有潜在威胁的网站。这样一个网络安全多维因素结合起来,协助我们建立一个全新的网络安全空间。
所以我们说现在世界是扁平的,网络空间是多维的!