• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      分層安全策略為什么不是萬能的

      2013-04-16 23:13:30jiangxun
      計算機與網(wǎng)絡(luò) 2013年23期
      關(guān)鍵詞:安全策略防火墻數(shù)據(jù)包

      為了應(yīng)對日益復(fù)雜的惡意行為和惡意軟件,分層安全策略在不久之前變得相當受歡迎,而且現(xiàn)在已經(jīng)深入人心,成為整個行業(yè)保護企業(yè)網(wǎng)絡(luò)最好的實踐方式。從直觀的角度來看,它似乎在網(wǎng)絡(luò)內(nèi)部署了多臺安全設(shè)備,每一臺都有其自身的防御載體,提供一種具有重復(fù)性、在幾個不同層次上都有意義的網(wǎng)絡(luò)防御。

      比如,如果一個組織部署了一個防火墻、入侵防御系統(tǒng)(IPS)和端點保護(EPP)系統(tǒng),組織會認為這些產(chǎn)品可以通過其不同的功能組合提供更強大的保護:在網(wǎng)絡(luò)外部,防火墻會檢查惡意URL、IP地址和其他類似可以在訪問控制列表中容易驗證的指標傳入的數(shù)據(jù)包。數(shù)據(jù)包如果通過防火墻,IPS系統(tǒng)會檢查數(shù)據(jù)包的內(nèi)容和頭信息,如果任意數(shù)據(jù)包內(nèi)容被視為符合IPS簽名列表的惡意內(nèi)容,這個數(shù)據(jù)包就會被丟棄或阻止。最后,在網(wǎng)絡(luò)中EPP系統(tǒng)駐扎在每個終端設(shè)備上,作為防御惡意代碼的最后一道防御線,對抗可能通過防火墻和IPS的惡意代碼。

      給定的數(shù)據(jù)包通過網(wǎng)絡(luò)的每一個節(jié)點時,都需要接受為了保護網(wǎng)絡(luò)而日益侵入性的檢查。安全管理員都感到欣慰,覺得只有最復(fù)雜的惡意編碼可以成功滲透安全設(shè)備的幾層防御。然而,NSS實驗室的獨立安全測試人員發(fā)布的一份報告質(zhì)疑部署分層安全方法會增強企業(yè)網(wǎng)絡(luò)安全。

      在報告中關(guān)于入侵偵測故障的部分,NSS實驗室決定測試37種不同的安全設(shè)備,包括來自24家安全廠商提供的解決1711種已知漏洞的防火墻、下一代防火墻(NGFW)、IPS和EPP設(shè)備。所選擇的攻擊已知感染過超過200多種軟件供應(yīng)商,包括來自微軟、蘋果和思科的產(chǎn)品。NSS實驗室為了確定對于檢測漏洞的最佳配對,測試了各種設(shè)備的不同組合。對于分層安全策略的潛在故障,結(jié)果提供了一個有趣的答案。

      測試的606種不同組合中,只有19種成功阻止了所有入侵企圖,值得注意的是,沒有一種單獨進行測試的設(shè)備能夠阻止所有的惡意企圖。至于哪些產(chǎn)品一起工作是最佳搭配,NSS實驗室發(fā)現(xiàn)NGFW 和IPS的組合比任意EPP系統(tǒng)組合都能更有效地阻止已知的攻擊。例如,任意NGFW-IPS組合平均故障率約為0.8%,而任意EPP組合平均故障率是驚人的26%.單單這些結(jié)果表明,如果不將一些內(nèi)嵌的安全設(shè)備搭配起來,僅僅只是部署端點防護是不夠安全的方法。

      那么,組織應(yīng)該采取或計劃采取怎樣的分層安全方法來應(yīng)對這個報告?首先,企業(yè)應(yīng)該重視報告的具體內(nèi)容。例如,應(yīng)當注意到,沒有任何安全裝置可以僅僅憑借自身來檢測到所有直接的微軟相關(guān)攻擊。以微軟為中心的組織決定部署安全設(shè)備組合時,應(yīng)該認識到這個事實。

      該報告提供了大量關(guān)于各種設(shè)備組合的性能詳情,我建議至少通讀整個報告,然后采用其中關(guān)于您的組織所使用的產(chǎn)品或供應(yīng)商的性能內(nèi)容。蘋果對蘋果產(chǎn)品的比較可能并不太合適,但是數(shù)據(jù)可能會凸顯你的產(chǎn)品表現(xiàn)不佳的狀況以及怎樣將產(chǎn)品和其他技術(shù)結(jié)合起來可以提高你的分層安全。例如,一個特別的組合:Sourcefire 3D 8250 IPS和Stonesoft 1301 NGFWs,在我心目中脫穎而出,因為它在測試過程中的阻攔表現(xiàn)非常好。盡管如此,某些產(chǎn)品可能適合一個組織,但不一定會適合另一個組織。

      為此,每一個組織考慮或部署分層安全方式時,最好考慮到自身的威脅狀況和安全要求,然后按照NSS實驗室的方法自行進行測試。這將為每個組織提供特定的結(jié)果組合,并能產(chǎn)生一個更清晰的畫面,告訴組織哪些產(chǎn)品可以提供最佳的性能。

      最后,部署分層安全策略時如果不考慮到設(shè)備組合,其實很有可能導(dǎo)致災(zāi)難性的后果。雖然會有故障可能性,但是對于攻擊者帶來的許多問題,分層網(wǎng)絡(luò)安全仍舊可以像當前任意方法一樣提供極有說服力的解決方法。為了確保使用分層安全策略可以帶來更好的效果,在部署設(shè)備之前,安全管理員應(yīng)該深入研究不同廠商的設(shè)備組合,上述NSS實驗室報告就是這個過程一個明智的開始。

      猜你喜歡
      安全策略防火墻數(shù)據(jù)包
      基于認知負荷理論的叉車安全策略分析
      基于飛行疲勞角度探究民航飛行員飛行安全策略
      構(gòu)建防控金融風險“防火墻”
      當代陜西(2019年15期)2019-09-02 01:52:08
      SmartSniff
      淺析涉密信息系統(tǒng)安全策略
      如何加強農(nóng)村食鹽消費安全策略
      基于Libpcap的網(wǎng)絡(luò)數(shù)據(jù)包捕獲器的設(shè)計與實現(xiàn)
      下一代防火墻要做的十件事
      自動化博覽(2014年6期)2014-02-28 22:32:13
      視覺注意的數(shù)據(jù)包優(yōu)先級排序策略研究
      移動IPV6在改進數(shù)據(jù)包發(fā)送路徑模型下性能分析
      牟定县| 白朗县| 嘉义县| 开平市| 兴山县| 秭归县| 清苑县| 绥芬河市| 汝城县| 淮阳县| 多伦县| 德清县| 巩义市| 兴和县| 赞皇县| 资源县| 泰和县| 通化市| 永康市| 阿图什市| 北安市| 合水县| 大安市| 清河县| 兴化市| 清新县| 东兰县| 中西区| 柯坪县| 望城县| 沙田区| 德安县| 阳泉市| 巴青县| 保亭| 三都| 巫溪县| 永吉县| 芦溪县| 嘉义县| 讷河市|