扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2、向内看,别老向外看
来自网络外部的安全问题当然存在。黑客也罢,敌对势力也罢,外部威胁还在。但是现在90%的安全问题在内部,重点在内部,不在外部。病毒发作,往往是内部传染的。扫描,往往是内部的主机干的。要解决内部的问题,现在的防火墙架构形同虚设。一个只防外不管内的防火墙,怎么管内部的安全问题。再说,防火墙也管不着不经过防火墙的流量。
现有的防火墙架构是一种粗颗粒度的访问控制,把整个内部网络当作一个逻辑单元来处理。这种粗颗粒度的访问控制机制不能满足高安全性的要求,不能解决内网的安全问题,因此我们需要细颗粒度的访问控制机制。细颗粒度的访问控制机制未来会很吃香。提高精度,总是好事。
要说向内看,思科的网络访问控制(NAC)和微软的网络访问保护(NAP),都在向内看。最近注意到华为也开始向内看。无论是微软还是思科,尽管有各自的算盘,但在向内看这个问题上,倒是达成一致共识。分布式防火墙,全网安全,网格防火墙(Grid Firewall),这三样也是典型的向内看的安全架构。
无论是思科还是其它的公司,都从去年的SARS事件中得到启发。如果网络的某个主机不安全,在没有有效办法去解决的前提下,最好的办法就是隔离。思科说,我从交换机上将其隔离。分布式防火墙说,我在每一个分布式防火墙上把这个IP和MAC给封了。总之,给隔离了。
向内看肯定是一个趋势。细颗粒度的访问控制到底细到什么程度,目前还没有明确的说法。如果能对每一个用户,每一个IP,每一个MAC地址,都进行访问控制,可以肯定这是目前最细颗粒度的访问控制。这样的网络,是一个强制访问控制网络。听听,这个名词,强制访问控制网络(MACNET),一听就知道是安全的。如果你的网络,每一个用户都有防火墙,每一个IP都有防火墙,每一个MAC地址都有防火墙,你的内网一定相当安全。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者