《網路安全體系結構》一1 1 網路安全是乙個系統

網路安全體系結構

網路安全是乙個系統。它不是防火牆，不是入侵檢測，不是虛擬專用網，也不是認證、授權以及審計（aaa）。安全不是cisco公司及其任何合作夥伴或競爭對手能夠賣給你的任何東西。儘管這些產品與技術在其中扮演了重要角色，但是網路安全的概念更為寬泛。所有網路安全都起始於安全策略，這已經幾乎成為了行業標準。此後，它還涵蓋了必須遵循這些安全策略的人，以及必須實施這些策略的人。於是，它最終會使當前的網路基礎設施發生變化。

那麼對於網路安全來說什麼是系統呢？網路安全系統可以從廣義上定義為：

通過相互協作的方式為資訊資產提供安全保障的全體網路裝置、技術以及最佳做法的集合。

為了舉例說清這個問題，讓我們回到剛才討論的埠80的蠕蟲問題。有哪些系統元素能夠緩解http蠕蟲對公共web伺服器製造的威脅呢？下述列表對這些系統元素進行了總結，這些內容將在第3章中進行具體的介紹。

如果對防火牆進行適當的配置，它可以防止一台遭到入侵的web伺服器繼續感染不同網路中的其他系統。

私有vlan（pvlan，不是通常的vlan，在第6章中會進行具體介紹）有助於防止web伺服器感染同乙個網路中的其他系統。

網路ids（nids）可以檢測和阻止對web伺服器的感染企圖。

主機ids（hids）能夠執行與nids一樣的功能，但它們比後者更接近主機，這也就意味著它們能夠讀取更多與特定攻擊有關的內容資料。

更新特徵資料庫可以使防病毒軟體具備檢測特定蠕蟲和其他惡意**的功能。

最後，雖然優秀系統管理員（sysadmin）的操作不是本書的重點，但是有許多操作行為（例如及時打補丁、定期漏洞掃瞄、為作業系統設定密碼鎖定，以及實施web伺服器最佳做法）確實能夠在防止系統威脅中起到重要作用。

上面所有系統元素的協同工作可以起到緩解威脅的作用。儘管其中的任何一項技術都無法100%有效地防止基於http的蠕蟲攻擊，但是基本的數學概率表明，針對特定威脅部署的協同技術越多，壓制威脅的可能性也就越大。

如果網路遭受的是已知攻擊而不是未知攻擊時，那麼測試網路安全系統是否完善就顯得意義不大。雖然指令碼小子（script kiddie）缺乏創造力，因此他們進行的攻擊是可以進行預判的，但那些具有明確目的與技術的攻擊者則可能擁有一些隱蔽的獨特技術。

在過去的安全事件中，一定有一些給你留下過深刻的印象，比如2023年的莫里斯蠕蟲、後門（root kit）、20世紀90年代的ip欺騙（第3章將進行詳細介紹）、2023年的分布式拒絕服務攻擊（distributed denial of service，ddos）、2023年的http蠕蟲或2023年的蠕蟲王（sql slammer）和衝擊波（ms blaster）蠕蟲。只要你的系統遭到了該攻擊的感染，你就可以輕鬆地指出該系統在安全性方面的不足。正是通過這種「吃一塹長一智」的學習過程，許多表面上不起眼的安全問題才會猛然凸顯出來。

亡羊補牢的學習方式是不可避免的，但是通過設計，可以使安全系統有能力抵禦大量不同型別的攻擊，而不是只能防禦一些特定的攻擊方式，這樣的設計方式可以將損失降到最低。實際上，衡量安全系統是否成功的方法之一就是計算你為了應付最新威脅而不得不進行重要修改的次數。在理想情況下，必須修改系統的頻率應該非常低。

網路安全是乙個系統。如果你在讀完本書之後什麼都沒有記住，這無疑說明我的寫作是失敗的。但是哪怕你能記得一丁點內容，我希望這就是前面這個簡單的句子。

《網路安全體系結構》一1 1 網路安全是乙個系統

《網路安全體系結構》一2 1 網路安全千金難買

網路安全體系

《網路安全體系結構》一1 12 應用知識問題

《網路安全體系結構》一1 1 網路安全是乙個系統

《網路安全體系結構》一2 1 網路安全千金難買

網路安全體系

《網路安全體系結構》一1 12 應用知識問題

相關推薦