浅析内网安全产品之网络架构篇

作者: TEC 分类: 安全视点 发布时间: 2013-10-18 13:49 ė 6没有评论

目前市面上的网络安全审计、网络监控系统、防信息泄露类产品众多,在普通用户眼中很多不同的产品在某些功能或大部分功能上都重合,价格也高低各不一。软件类型的价格从几十块钱一个客户端到几百甚至上千块一个,硬件设备类型的从几千至几万或几十万均有可能。商家各自的宣传上当然是王婆卖瓜自卖自夸。因此用户在产品选型时往往不知所措,面对如此众多精美的产品宣传彩页和在销售人员三寸不烂之舌的鼓吹下,要做出正确的抉择确实对用户的专业水准和判断能力有一定的要求。往往用户左右比较,颇费一番心思的考虑后购买了某产品,使用一段时间却发现越来越多的问题暴露出来,远远达不到最初预计的效果,从而最终导致弃之不用成为摆设。

 

不管是网络安全审计还是网络监控系统,亦或是防信息泄露产品,虽然叫法不一,商家宣传的层面和重点也不同,但不可忽视的是:在用户看来似乎很多功能都是差不多的。

 

由于不同的产品在架构、技术原理、功能实现上各不相同,而普通用户恰恰缺乏专业的技术能力去分辨这之间的差距,只能凭感觉或自己有限的测试条件去做评定,因此就造成了部分产品选型上的错误或失败的案例。

 

笔者将通过“网络架构篇”、“技术实现原理篇”以及“功能实现篇”这一系列文章出发,从专业角度分析不同类型产品之间的差异和优缺点,希望能给用户在进行产品选型时提供一些帮助和参考。

 

网络架构篇:

不同的产品网络应用架构有所不同,大致可以分为如下几类:

网关式的软件或硬件设备:

旁路式的软件或硬件设备

C/S架构的软件或软硬结合

 

网关式的软件或硬件设备

 

优点: 

 

网关式的软件或硬件设备顾名思义:设备或软件系统是放在网络出口处,处于用户网络数据包进出的必经之道。如是硬件设备则多半采用透明代理模式或桥接模式进行数据包的捕获与分析,而如果是软件系统则多安装在企业的代理服务器上进行数据包的捕获和分析。好处也很显而易见,不需要对用户原有的网络结构进行改变,部署相对容易。

同时,由于此类系统处于网络数据包的必经之地,所有进出的网络数据包必须经过设备,因此对于第七层的应用协议的分析控制、对于网络带宽的管理与控制相对容易实现。这是网关式的软件或硬件设备的优势所在。当然某些网关型的审计设备需要取代用户的上网网关或NAT设备来进行流量的分析和控制,这种方式对于小型企业考虑到成本问题倒也不失为一种选择,至少省掉了代理服务器或NAT设备的投入。

 

缺点:

产品的应用架构就直接暴露了问题所在,大体说来架构上的特性带来了如下负面作用:

 

一、多一台设备对于用户网络而言就将多一次网络延时,特别是针对企业这种要求并不是太高或网络带宽并不是太高的情况下,出于成本的考虑,大多数的硬件设备会采用X86架构,因此网络的吞吐量、延时等特性指标并不会太高。

 

二、多一台网关类型的设备或软件系统将增加用户网络出现单点故障的概率。

 

三、由于网关型的硬件设备或软件系统是对经过网络设备的数据包进行捕获和分析,从而监控一些应用的活动,比如监控和审计HTTP、SMTP、POP3等协议,还原用户的上网行为,一旦没有数据包经过,那设备就无用武之地。比如桌面终端本地的信息泄露(通过USB移动存储设备进行资料的拷贝、光盘刻录机刻录资料、通过无线、蓝牙、红外或直接点对点交叉网线联接等方式将资料拿走)

 

四、对加密类型的网络数据传输,网关型或旁路型的监控审计设备(软件)都将无能为力。比如通过IPSEC VPN、SSL VPN、HTTPS等加密通道传送的数据。

五、目前的即时通信工具大部分均采用加密通信,如Live Messenger、QQ、Skype、Yahoo Messenger等等,网关或旁路型的硬件设备或软件只能对网络数据包进行协议的分析,而无法还原其内容。比如可以分析什么时间、什么人登陆了QQ或利用QQ传送了文件(通过对QQ通信指令的分析可以确定)、但具体的聊天内容或传送了什么文件就无法得知了。

 

六、由于设备或软件系统是网关架设,桌面终端发生的行为设备是无法管理和监视的(除非装客户端,采取设备+客户端的方式),比如用户恶意删除重要开发文档或破坏服务器上的公用资料。

 

旁路式的软件或硬件设备

 

优点:

旁路式的审计、监控、防信息泄露类型的设备(软件)相对于网关型的同类产品而言,最大的优势在于设备以旁路方式部署,大多通过交换机端口镜像或HUB等方式,在不改变用户原有网络结构和数据流向的情况下,将数据包同时复制一份至设备的数据捕获端口上进行协议的分析。这样不会造成用户的网络延时,也不会造成单点故障威胁。即使设备故障了也不影响用户的网络使用,充其量无法审计和监控而已。

 

缺点:

一、旁路式与网关式相比较,由于架构上的原因(数据包没有经过设备再至互联网),因此对P2P应用、网络带宽的控制能力相对较弱。

二、由于旁路部署,在涉及到应用的控制时,相对而言就没有网关设备那么直接和便捷。比如网关型当要禁止数据包传输时可以直接DROP数据包。而旁路设备则需要伪造一个TCP RST标志位来断开TCP连接或伪造一个ICMP目的端口无法到达的信息来阻止UDP类型的数据传输。当客户机器上安装的个人防火墙具备数据包状态检测能力的时候,这个伪造的数据包是无法通过检测的,也就造成了封堵的失效。

三、对于加密类型的数据传输与网关型的设备一样无能为力。同样,对于桌面终端上发生的泄密行为照样无法管理与监控。(请参见前面网关型的缺点介绍)

C/S架构的软件或软硬结合

 

基于大部分安全隐患产生的源头来自于桌面终端这一现实,因此在监控、审计和控制用户行为上来讲,在用户桌面终端安装管理软件是最为直接有效的方法,因为管住了信息泄露的源头。IP-Guard企业信息监管系统就是属于此类产品。

 

优点:

 

一、相对于前面两种架构(网关和旁路)的产品来说,由于直接在用户桌面终端上安装管理及监控客户端,可以直接从源头上对用户的各种行为进行监管。如对所有文档的操作行为、对程序的使用、对各种接口的管理、对进程的管理、对安全漏洞和补丁的管理等等。几乎没有什么功能不能实现,只是程序开发上如何实现及实现得是否高明的问题罢了。

二、由于直接在桌面终端进行监控,因此可以通过相应的技术手段绕过网关型或旁路型存在的技术瓶颈,在数据包还没有开始在网络上进行加密传输的时候,就将信息截获下来。比如QQ的聊天内容,传送的文件副本等。因此在监控功能的实现及完整性上面有无法比拟的优势。

 

缺点:

 

一、需要专用的服务器来保存所有被监控的数据资料,增加了企业的硬件投入。但对于数据的长久保存和归档而言,未必算是一件坏事,暂且算为缺点吧。

二、由于要在桌面终端上安装客户端,因此必定会造成一定的性能消耗和资源的占用、兼容性及系统稳定性的问题。但这部分的负面影响与软件的成熟度、开发者的编程水平、软件结构的设计有很大的关系,是可以通过人为的技术手段进行改进的。而IP-Guard企业信息监管系统作为国内一个开发历史最长(从2001年至今从未停止开发)、用户使用群体极其庞大、非常成熟的一款产品而言,前面所说的负面影响几乎可以忽略不计。

 

本文转自黄凯博客:http://techk.blog.51cto.com/3177718/589157





Related posts:

本文出自 信息防泄露大讲堂,转载时请注明出处及相应链接。

本文永久链接: http://www.ip-guard.net/blog/?p=1359

0

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Ɣ回顶部