警惕应用层安全漏洞

基于4-7层的各种应用变得越来越复杂，不仅要部署在各个企业的总部，而且在企业的各个分支机构都会有部署。这就带来了新的问题——安全。很多用户反映：防火墙、反病毒软件以及入侵检测系统（IDS）等传统的网络安全设备，在当前大多数针对应用层面的网络攻击面前，已经显得有些束手无策了。而改变这种局面的最有效方法则是将安全建设的重点转移到4-7 层网络上来。目前4-7层网络应用安全市场已经成为众多安全厂商未来重点发展的方向。

传统手段难抵安全新威胁
目前的网络攻击大多出现在应用层，而不是普通防火墙防范的网络层。很多攻击手段可以轻易地绕过防火墙进入企业网络。而这些攻击的最大威胁在于，直接面对企业应用，对企业业务造成最直接地打击。尤其我国信息化的推进，很多企业的业务关联性大大增加，网络也变得越来越智能化。哪个环节出现问题，都会造成网络大面积的瘫痪，造成不可预估的损失。

从这几年全球安全事故所导致的损失来看，有集中在恶意操作攻击和拒绝服务式攻击上的趋势，使得老三样安全产品（防火墙、防病毒、IDS）防不胜防。而企业经济损失处于急剧上升状态，原因来自两方面：一是企业通常依赖于针对 “点”的安全工具，其中包括防火墙、虚拟专用网（VPN）、入侵检测（IDS）和反病毒系统来防范攻击和恶意操作。然而每个相互独立的安全工具都将引入一个新的单点故障、性能瓶颈和过载，这将危及整体防范体系，导致暴露新的安全弱点。二是，这些安全设备在阻截攻击和恶意操作的时候，有可能降低网络应用的效率。

传统的安全厂商大都是从4 层以下的安全防护起步，在安全上积累了一定经验，但对4－ 7 层网络架构本身缺乏经验。

以往的网络安全防护产品是通过叠加的方式接入到网络中的，在对传输数据进行安全检测时往往严重消耗了网络处理效率。解决这个问题可以将处理速度相对缓慢的安全防护设备通过防火墙负载均衡设备并行地接入到网络中，将各种信息经过识别后发送到不同的安全检测设备，做到物尽其用。利用智能化安全控制模块，可以与传统防火墙等产品共同搭建一个从2 － 7层的全方位、智能化的网络安全防护体系。

应用层更应注重安全防范
传统的骨干网络交换设备都是基于2 － 3层网络结构所设计，它们为网络提供了最为基础的构架，确保了骨干网的大容量、高速率。但是，随着网络应用的不断发展，更多的功能与服务都将通过4－7层网络来实现。

随着4 － 7层网络应用的增多，安全问题难以避免。在4 － 7层网络上如何保证安全性呢？随着针对网络应用层的病毒、黑客以及漏洞攻击的不断爆发，目前面临的安全方面的挑战主要集中在应用层，所以解决的办法也不能像普通防火墙一样在网络层解决。安全性的保障应该是从应用层着手。传统的防火墙、防病毒网关都是基于2 －3 层网络设计的，存在着巨大的安全漏洞及隐患。为了解决这些隐患，目前很多厂商开始针对应用层开发安全产品。

用户需要的性能越来越高，智能越来越多，智能应用交换在网络中能够应用的领域也将越来越广泛。未来的智能应用交换市场会出现三个趋势：首先，需要有更加强劲的应用交换系统，来满足网络中更多的流量与应用的需求；其次，智能交换必须能够理解越来越多的应用；第三，随着时间的推移，企业将不仅在其数据中心，而且在其分支机构中采用应用交换产品，来保证端到端的可用性和安全性。

目前用户在进行网络安全建设时，似乎还不会想到应用交换这样一种安全手段，而交换的安全手段可以具备传统的安全手段（如防火墙）无法实现的技术。就安全而言，不管是网络的安全还是实际的安全，要想实现完全的安全只有一层的安全措施是不可能做到的，必须有多层立体防御的安全意识。

采用交换安全手段的好处有三点，首先它能够以千兆速度来处理威胁、攻击，也就是说它比普通的防火墙路径检测的速度要快得多。其二是它能够监测应用层。防火墙靠路径检测不能够阻止病毒攻击，因为防火墙不能检测应用层。而应用交换可以针对应用层检测，就能阻止针对应用的攻击。三是能够以较快的速度来扫描整个网络或者是好几个网络，或者是网络的所有网源。病毒总是遍布整个网络的，防住某几个点的意义并不大，必须使病毒在全网络都无处藏身，才能阻止病毒的威胁。

应用安全需要打破传统
传统的网络安全体系架构通常是由2-3 层（数据链路层和网络层）设备组成的，对数据包只能进行2－3层的分析和处理，因而存在巨大的缺陷。

近来大多数攻击都有一些共同的特点，那就是针对应用层攻击、蔓延速度快等。传统的2 －3 层网络安全体系，其防范措施要么是等待下载补丁程序，要么是关闭某些端口。这些措施不但费时费力，而且有一点事后诸葛的味道，无法彻底保证网络系统的安全。而网络安全是一个完整的体系，针对4 － 7 层的攻击也日益增多，因此，4 － 7 层的网络安全同样不可忽视。

Radware公司全球副总裁应文华认为：“传统2－3层网络层面安全防护措施解决不了的问题，通过4 － 7 层网络技术可以得到有效的解决。在4－7层上，智能交换设备可以通过自身的安全模块，对数据包进行应用层级别的深入分析，按照特征数据进行匹配，以防止病毒入侵，并可以通过终止所跟踪的可疑会话来实时检测和阻止攻击。比如 Radware公司的SynApps 应用安全模块就是针对4 － 7层安全的解决方案，安装在Radware应用交换机上，可保护应用服务器免受很多攻击。SynApps安全模块可连续对重要网络资源的安全状况进行检测，如服务器、防火墙、Cache服务器和路由器等。通过以上各种4 －7 层级别的安全监测，这一安全模块可以保护 Web 服务器免受25 大类、1200 多种的攻击，主要包括拒绝服务 (DoS) 攻击、分布式拒绝服务 (DDoS)攻击、缓冲区溢出/超限、利用已知的Bugs 攻击、利用误配置和默认的安装问题来进行的攻击、在攻击前探测流量、后门/特洛伊木马、端口扫描等。”

中国科学器材进出口总公司的林志浩认为：“象我们这样的中小企业，对网络全局的把握能力和洞察力相对较弱，特别是在网络的安全与稳定性变得越来越重要的今天，这个问题就越显得突出，经常会出现疲于应付的局面，而不能很好地做到防患于未然。从另一方面来看，出于多方面的原因，做为中小企业，在网络应用与建设上的投入力度相对较弱，企业的网管缺乏相应的硬件设备和软件技术手段，难于对自己的企业网实施监控。但是我们发现，进入2005 年以来，很多企业对网络安全的关注度明显加强了，企业所关注的安全问题都与其业务密切相关，更多在应用中出现的安全问题浮出了水面。如何解决这样的安全问题，我们还期待着更多安全厂商能给出答案。”

4-7层交换能快速安全响应
由于网络的普及，信息安全事故日益呈全球化特征，一个病毒发作，往往迅速波及到全球。据统计，目前病毒从出现到全面爆发的周期已大大缩短，通常情况下大约只需4 8 小时（近期肆虐全球的冲击波病毒仅 3 小时）。这些情况使得很多网管员及个人用户都陷入了混乱之中。

对于传统防病毒软件，由于多数企业网络管理员需要逐台升级，升级工作量大，往往不能在有效时间内全面防护。而采用4－7层交换设备的安全模块，在发现病毒攻击后24 小时内，便可提供对攻击的完全防范方案。而且通过4－7层设备，只需在靠近网络出口的一个控制点，就可以对内部所有的网络设备及主机进行防护。

用户可安装自己的过滤器来防范攻击，完全自如地控制其安全策略的实施。在新病毒或者攻击出现的时候，用户只要对4 －7层交换设备的安全模块进行升级，就可实现单点式防护，从而大大减轻了网络管理工作量，并确保在最短时间完成。

(责任编辑:张竺)