分享
 
 
 

内网安全产品新型阻断方式初探

王朝互联网·作者佚名  2011-12-18
窄屏简体版  字體: |||超大  

(北京/联合电讯社)--目前大多数内网安全产品在防止非法接入时主要使用ARP欺骗的阻断方式,但ARP欺骗阻断存在很多不足,启明星辰公司对此提出了新的思路,天珣内网安全系统采用多种阻断方式实现主动防御、合规管理。

随着内网安全管理产品在市场上的热销,各种理念的产品层出不穷,但产品同质化趋势明显,尤其是针对终端非法接入内网的阻断方面,手段普遍单一,主要采用ARP欺骗的阻断方式。任何技术都存在现实的两面性,ARP欺骗阻断对于内网安全产品而言,需要科学合理运用才能发挥最大的功效。国内信息安全领军企业启明星辰公司在内网安全管理产品的诸多底层技术方面开展了积极的实践探索,并提出了新的防止非法接入的手段和思路。

一、 什么是ARP欺骗阻断

ARP(Address Resolution Protocol是地址解析协议),是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)。简单说,IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。

ARP欺骗阻断:在同一个IP子网内,数据包根据目标机器的MAC地址进行寻址,而目标机器的MAC地址是通过ARP协议由目标机器的IP地址获得的。每台主机(包括网关)都有一个ARP缓存表,在正常情况下这个缓存表能够有效维护IP地址对MAC地址的一对一对应关系。但是在ARP缓存表的实现机制和ARP请求应答的机制中存在一些不完善的地方,容易造成ARP欺骗的情况发生。

由于ARP欺骗的阻断方式技术实现较简单,就被国内大部分厂商所采用,特别是针对未注册阻断、非法访问的阻断等,往往都采用ARP欺骗的阻断方式。

二、 ARP欺骗阻断的不足

首先,采用ARP欺骗阻断方式对网络的负荷影响很大。

ARP工作时,首先请求主机会发送出一个含有所希望到达的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IP和MAC地址的数据包应答请求主机。在ARP欺骗阻断的实现中,一个ARP请求可能会收到数十个、设置数百个ARP应答,有些ARP欺骗阻断程序还通过主动发ARP请求实现欺骗,因此,在网络中采用大量发ARP包的动作对于网络资源的占用是十分巨大的,可能导致网络设备性能下降,影响用户正常的业务。

其次,ARP欺骗阻断方式准入效果不可靠。

ARP欺骗并不能100%保证有效,比如目标机器的ARP应答包和欺骗包都能正确达到ARP请求者,请求者是否被欺骗还存在一定的机率,或者客户端安装了防ARP欺骗的软件,如果采用ARP欺骗包来实现终端设备的准入控制,效果就可想而知,其自身的缺陷,使得准入的可靠性大为降低。

最后,ARP欺骗阻断和真正的ARP欺骗难以区分。

在一个网络内如果启用了ARP欺骗阻断,当真的发生ARP欺骗时,后果将是灾难性的。用户将不能区分主动的ARP欺骗阻断和真正的ARP欺骗,将给用户的故障排除带来极大的困难,严重影响用户业务。另一方面,在大多数的ARP欺骗阻断实现中,往往是子网内的所有电脑同时对目标电脑进行欺骗,如果目标电脑无需受欺骗后,要求所有电脑停止对其进行欺骗,而此时如果个别电脑没有收到停止欺骗的指令,将导致目标电脑持续不能正常访问网络,导致用户运维事故。

三、 内网安全产品的新型阻断方式

综上所述,ARP欺骗的阻断方式存在很多问题,因此内网安全产品应该辨证地使用这一方式,启明星辰在其天珣内网安全风险管理与审计系统中提出了不同的思路。

1: 避免单一,采用多种阻断方式

天珣内网安全风险管理与审计系统在终端接入边界交换机,可以通过网络准入控制手段阻断不合法的终端接入内网,同时,在后台重要服务器中,通过应用准入控制,实现阻断不合法的终端访问重要服务器和服务资源。也就是说,从内网接入边界、后台服务器资源和客户端自身实现无缝的准入控制。在不支持网络准入和应用准入两项条件的环境下,天珣产品虽然也使用了ARP欺骗的阻断方式,但是,这种阻断方式被大大规范和限制,特别是在个人防火墙只要拦截到ARP欺骗的攻击,就会立即制止客户端向其他客户端发送欺骗包,从而彻底改变了ARP欺骗的不利局面。除此之外,启明星辰天珣内网安全系统与天清汉马USG一体化安全网关(UTM)形成UTM平方统一安全套件,提供外网边界准入控制,可以实现阻断不合法的终端访问internet。

2:主动防御ARP欺骗

启明星辰天珣内网安全系统通过检查IP数据包包头,可确保数据包欺骗不能发生。通过监控网络行为的发起进程,防止木马以隐藏进程方式进行网络访问。通过监控ARP请求或应答包,自动绑定网关MAC,拒绝延迟的ARP应答包等方式,防止内网ARP欺骗侵害。内置强大的企业级主机防火墙系统,采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段,实现了针对计算机终端的威胁主动防御和网络行为控制,从而保证计算机终端双向访问安全、行为受控,有效防护疑似攻击和未知病毒对企业内网造成的危害。

3: 基于终端网络行为模式的威胁主动防御

启明星辰天珣内网安全系统具备基于终端网络行为模式的威胁主动防御机制,通过集中控制每台计算机终端的网络行为,限定网络行为的主体、目标及服务,并结合计算机终端的安全状态控制网络访问,可以有效切断“独立进程型”蠕虫病毒的传播途径及木马和黑客的攻击路线,弥补防病毒软件“防治滞后”的弱点。通过监控TCP并发连接数,减缓蠕虫病毒对网络造成的损害。通过监控UDP的发包行为,限制异常进程的网络访问。

启明星辰天珣内网安全系统紧密围绕“合规”,内含企业级主机防火墙系统,通过“终端准入控制、终端安全控制、桌面合规管理、终端泄密控制和终端审计”五维化管理,全面提升内网安全防护能力和合规管理水平。天珣内网安全系统引领了内网安全管理模式的新变革,在行使终端安全管理职能的同时,更与天清汉马USG一体化安全网关(UTM)组成以“网络边界、终端边界”为主要防护目标的UTM平方统一安全套件,协同构建多层次纵深防御体系,改变了“被动的、以事件驱动为特征”的传统内网安全管理模式,开创了“主动防御、合规管理”为目标的内网安全管理新时代。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有