作者为迈克菲技术产品经理

　　内网网络安全问题的提出

　　网络安全对于绝大多数人而言指的都是互联网安全（Internet Security），但是对于组织的安全主管而言却不尽然。他们的使命是负责保护企业的数字资产—信息和基础架构，对于这些保护对象而言，其外部都可能是风险源，而这里的外部风险源则既有可能是互联网Internet，也有可能是内部网络Intranet。内部网络并不等于可信网络。对于组织而言，来自内部的威胁有可能远大于外部的威胁。这使得有必要对于内网的网络安全进行针对性的分析，并找出解决之道。

　　内网网络安全风险分析

　　分析的视角

　　网络安全是一个非常复杂而庞大的研究对象，不同的研究视角可能会“看到”不一样的安全风险。例如针对单个数字资产，最常见的视角是关注其完整性、机密性和可用性。对于组织的安全架构，可以从物理层、网络层、数据层、用户层这样的视角进行分析。本文出于简化的目的，将内部网络的安全按其参与者进行分析，包括网络、通信方和信息。本文分析的模型是位于不同网络的通信方，在其信息交换的过程中所面临的安全风险。

　　安全风险

　　按照这一模型，需要关注的风险主要有：

• 网络

　　假设组织对于其内部网络进行了良好的规划和管理，则来自不同的网络意味着处于不同的内部部门和/或不同的安全等级。这里主要的风险有：不同的部门可能不应跨网络访问资源；不同安全等级网络 的通信可能包含潜在的攻击。

• 通信方

　　在参与通信的双方中，需要保护的是服务器一方的安全。由于服务器往往采取了必要的安全保障措施，客户端那一方的安全性则成为木桶理论中可能的短板。

• 信息交换

　　通信的目的是交换信息，对于通信方之外的安全管理员而言，主要关注交换的内容和通信的方式中可能存在的安全风险。主要的风险有：不符合企业安全策略的通信内容（主要指文件）；不符合企业安全策略的通信方式（不应通信或带宽挤占）。

• 其他的风险

　　当然，真实世界远比理论复杂。本文的视角选取并不能覆盖组织中内部网络的所有风险。其他可能存在的风险有：

• 机密性

　　对于某些组织而言，在内部网络中仍然要保证高度的机密性要求。这可能意味着对于数据的整个生命周期过程中，都需要考虑各阶段安全风险和防护手段。这部分内容一般不列入网络安全的范畴，本文并未展开讨论。

• 完整性

　　对于组织的某些特定信息资产，保障其完整性至关重要。对于该信息资产的存储、修改都需要考虑可能的安全风险，并通过技术手段进行保障。这部分内容往往通过安全设计和数据备份实现，不是传统的网络安全范畴。本文并未展开讨论。

• 可用性

　　网络安全主要考虑的是带宽挤占带来的可用性风险，本文并未对信息资产的可用性进行全面讨论。

• 风险的定义

　　各组织对于风险的接受程度并不相同，这也导致了本文讨论的风险可能对于部分组织并不完整。

　　内网网络安全的解决之道

　　按照前文的分析结果，内网网络的安全主要关注的对象应该是网络、通信方和信息交换相关的安全风险。对于这三个对象，安全管理员可以采取相应的技术缓解风险。

　　网络

　　合理划分网络

　　对于组织而言，传统的网络划分往往是由网络管理部进行的。组织的安全管理员需要网络划分进行审阅。网络划分的依据除了根据地理位置、部门之外，也应考虑其包含信息资产安全等级，安全管理员关注网络划分的目的在于更容易实现按安全等级进行保护。应尽可能避免安全等级相差较大的信息资产划分在同一网络中。

　　设置边界检查点

　　对于来自不同的网络的通信应在其边界处设置检查点，过滤其中可能的安全威胁，包括未授权的网络访问和潜在的攻击。

　　技术实现

　　防火墙（Firewall）

　　防火墙是最早出现的网络安全技术，也是相对简单的一种。防火墙作为网络边界检查点的主要作用是实现访问控制。

　　防火墙作为一种安全技术，主要优势包括：

• 性能：目前的防火墙已经有100G的产品。
• 工作在网络层：可实现网络地址翻译甚至路由等功能。
• 配置容易：防火墙配置较为容易。

　　但是在实践中，防火墙并非是内网边界检查点最常用的设备，这主要是因为以下原因：

• 内网往往并没有极高的网络吞吐量性能要求
• 防火墙对于通过ACL规则之后的数据包检查并不擅长，对于复杂的攻击无法防御
• 添加工作在网络层的防火墙需要更改内部网络拓扑
• 防火墙没有失效打开（Fail Open）功能。设备失效会影响网络可用性。

　　当然，近年来防火墙技术也在发展。最主要的方向是解决其对于数据包的检查功能，使防火墙能够理解应用层的通信，成为基于应用的防火墙（Application Firewall），国际上主要的应用防火墙厂商包括McAfee公司（收购Secure Computing获得技术）和PAN，还有一些专注于Web应用的公司，如Imperva和国内的绿盟等。这些应用防火墙很大程度上改善了应用层防护能力，设置通过协议代理技术做到了非常精细的颗粒度，当然也存在着配置复杂，对管理员要求高，性能较低等需要进一步克服的技术障碍。

　　入侵防护系统（Intrusion Prevention System）

　　入侵防护系统 作为入侵检测系统的升级技术，在近年广泛用于组织内部网络的边界防护。主要技术优势包括：

• 强大的数据包深入检查（Deep Packet Inspection）功能，可以检测各种应用层协议中夹带的攻击（不局限于Web等）
• 配置容易，用户可基于默认的策略进行设置。自动阻断攻击。
• 透明接入网络，无需更改网络拓扑
• 带有失效打开功能。如果设备失效会自动旁路，不致影响网络的可用性

　　入侵防护系统也存在一些局限，主要包括：

• 全面部署成本较高。一般而言，同样吞吐性能的防火墙和入侵防护系统相比，后者购置成本远高于前者。
• 对入侵防护系统的评价较为复杂，对于普通用户难以评估不同入侵防护系统的防护能力。

　　这些局限导致了目前入侵防护系统作为最被安全技术趋势研究机构看好的内网网络安全产品，并未得到与其名声相匹配的普及程度。

　　通信方

　　即便是来自可信网络，如果参与通信的一方自身的系统安全无法保障，也将会影响对端的安全。因此应对于通信方的安全状况需进行必要的检查，使其满足组织预定义的安全基准，才许可其参与通信。

　　下一篇文章 浅谈内网网络安全（下）