构建以防火墙为核心的网络安全体系
北京瑞星科技股份有限公司总经理 刘旭
对入侵检测来说,国内外有很多成熟的产品,其检测系统均可对入侵行为进行有效检测和报警,但更有效的策略是中断或扼杀攻击行为。要实现此能力,最简单的方式是如防火墙一样串入通信信道上,但这显然是不可行的!首先是IDS系统要像防火墙一样处理很多通信问题,用户也不太可能让类似的设备串入(因为同类型的设备还有很多,如病毒检测设备等),所以一般采用旁路侦听。在实际使用中,就出现了IDS系统绞尽脑汁去阻止不安全通信,但由于是旁路系统,这种行为的效果极其有限。
显然,如果防火墙能和IDS、病毒检测等相关安全系统联合起来,充分发挥各自的长处,协同配合,就能共同建立一个有效的安全防范体系。简单地说,相关专业检测系统专职于某一类安全事件的检测,一旦发现安全事件,则立即通知防火墙。因此,充分发挥各专业厂商的技术优势,形成有机的整体安全系统,这样的安全系统不但有效,而且具有一定的智能。
在国外的防火墙中,Firewall-1最早提出并实现了类似的系统。在国内,北京天融信公司也开发了类似的系统——开放式的安全应用接口 TOPSEC (Talent Open Protocol of SECurity),有入侵检测、病毒防御、内容审计等。为实现更有效的联合,针对每一类型的检测事件,在防火墙上设计维护了高效而可靠的通信应用阻断方案,为相关安全产品的禁行请求提供保障,从而形成以防火墙为核心,开放式的安全应用体系。北京天融信公司目前已经实现了IDBP(用于IDS)和ADBP(用于病毒防御)协议,并推出了IDBP协议的防火墙产品NGFW2000SE,用户反应良好,在即将推出的网络卫士防火墙4000中,将全面实现TOPSEC协议。
可喜的是,加入这一体系的安全厂商越来越多,这必然形成一种防火墙系统的发展方向。防火墙在这一体系中充当主体角色,同时它也是一个服务中心,将得到其他安全产品的大力支持,使其真正成为一个名副其实的防火墙系统。
构建一个技术更高、性能更好、功能更强大、使用更方便灵活的防火墙系统,需要各个安全厂商的联合与共同努力。
(摘自《计算机世界》)