积极防御面对混合威胁

面对混合型威胁，人们虽然采取了一些安全控制措施，但往往处理方式单一，收效甚微。我们需要根据混合型威胁的复杂性，采取积极主动的综合防御措施，最大限度地控制安全风险。

近年来，随着互联网技术的广泛应用，网络安全事件层出不穷。以冲击波、震荡波为代表的混合型威胁更是造成全球范围的影响。每当这些安全事件爆发时，成千上万联网的计算机往往受到破坏性攻击，造成的结果是数据破坏、系统异常、网络大面积瘫痪。

图1 高可靠全链路冗余应用环境

面对混合型威胁，防火墙已成为网络建设中不可或缺的安全设施被广大用户所接受。由于防火墙处于网络的临界点、安全内部网络和不可信外部实体相交界的位置，所有内外交换的数据流量的集中点，其性能、可用性、可靠性、安全性等都得到更进一步的重视。

混合型威胁综述

黑客入侵黑客技术不再是一种高深莫测的技术，并逐渐被越来越多的人掌握。目前，世界上有20多万个免费的黑客网站，这些站点从系统漏洞入手，介绍网络攻击的方法和各种攻击软件的使用，这样，系统和站点遭受攻击的可能性就变大了。加上现在还缺乏针对网络犯罪的有效反击和跟踪手段，这些都使得黑客攻击具有隐蔽性好，“杀伤力”强的特点，构成了网络安全的主要威胁。

网络的缺陷因特网在设计之初对共享性和开放性的强调，使得其在安全性方面存在先天的不足。其赖以生存的TCP/IP协议族在设计理念上更多的是考虑该网络不会因局部故障而影响信息的传输，基本没有考虑安全问题，故缺乏应有的安全机制。因此它在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。

软件及系统的漏洞或“后门”随着软件及网络系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的服务器、浏览器、桌面软件等等都被发现存在很多安全隐患。任何一个软件系统都可能会因为程序员的一个疏忽或设计中的一个缺陷等原因留下漏洞。这也成为网络的不安全因素之一。

深入的安全防御技术

防火墙采用了基于操作系统内核的深度过滤技术，通过引入应用协议分析和深度过滤模块，使得状态检测和应用深度过滤技术完美结合在一起，不但可以对网络数据流进行快速的状态检查，完成必要的访问控制，对于规则允许的流量还可以根据应用层协议分类，并用与协议对应的深度内容过滤模块进行过滤。上述过程均是在OS内核进行，系统开销小过滤效率高，从而保证了防火墙的高性能。在保证高性能的条件下，由于对数据进行深度内容过滤，从而大大提升了网络数据的安全性。

支持深度内容过滤功能，在OS内核完成对应用数据内容的安全过滤，比传统的方式内容过滤速度更快，可靠性更高。

图2 高可靠半链路冗余应用环境

典型应用

防火墙在不同的企业有不同的应用特点，以其中四种应用为例。

高可靠全链路冗余应用环境

电信网络和许多骨干网络的可靠性要求很高，不允许出现因为设备的故障造成网络的不可用，因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题，图1为防火墙在骨干网络中应用的例子。

正常情况下两台防火墙均处于工作状态，可以分别承担相应链路的网络通讯。当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时，该防火墙的网络通讯自动切换到另外一台防火墙，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。同时，防火墙之间的其中一条链路用于实现状态表传送，当一台防火墙故障时，这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上，用户不会觉察到有任何变化。防火墙之间的另外一条链路用于数据通讯，增加网络链路的冗余，增强可靠性。

高可靠半链路冗余应用环境

大企业网络和许多骨干网络也有非完全链路冗余的环境，图2为防火墙在半链路冗余网络中应用的例子。

旁路环境下双机热备环境

在大型数据中心（IDC）利用交换机划分VLAN的功能，相当于将交换机模块根据不同的VLAN分成几个交换模块使用，一个VLAN连接在防火墙的外部接口和上联路由器的接口，另外几个VLAN连接内部网和防火墙的内部接口。

所有外部流量从路由器接口进入交换机然后通过二层交换直接进入防火墙的外部接口，经过防火墙的内部接口后在进入交换机，最后进入内部核心网络，如图3所示。

骨干网内网分隔环境

据赛迪(CCID)统计报告，网络攻击有70%以上来自于企业内部，因此，保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。

通过防火墙从3个到8个百兆接口进行模块化扩展，除了可以用作多DMZ区设置外，还可以将内网进行多重隔离保护。通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。

这样不仅保护了企业内部网和关键服务器，使其不受来自Internet的攻击，也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击。内网分隔的另一个目的是:防止问题的扩大。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。

图3 旁路环境下双机热备环境

混合模式接入环境

防火墙支持各种接入模式，分别为：透明模式、路由模式和混合模式，并支持各种模式之上的NAT模式。

透明工作模式：防火墙工作在透明模式下不影响原有网络设计和配置，用户不需要对保护网络主机属性进行重新设置，方便了用户的使用。

路由工作模式：防火墙相当于静态路由器，提供静态路由功能。

混合工作模式：防火墙在透明模式和路由模式同时工作，极大提高网络应用的灵活性。

这种环境需要防火墙支持混合工作模式，而许多防火墙不支持这种接入模式，给企业的应用带来不便。

通过以上方式的积极综合防御措施，我们有理由相信，面对混合型威胁，我们有能力全面保护网络信息的安全，为信息化发展真正起到保驾护航的作用。