解决内网安全问题的措施

摘要：说起网络安全，大家就会想到病毒破坏和黑客攻击，事实并非如此。常规安全防御理念往往局限在网关级别、网络边界（防火墙、漏洞扫描、防病毒、IDS）等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，在所有的安全事件中，高于70%的安全事件是发生在内网上的，并且随着网络的庞大化和复杂化，这一比例仍有增长的趋势，内网安全面临着前所未有的挑战。因此文章针对几个方面的挑战提出了一些解决措施。

关键词：内网安全防火墙病毒

1、内网安全面临的挑战

1.1以太网交换机难担安全重任

组建内网的主要设备是以太网交换机，其安全性较弱；虽然划分VLAN、ACL访问控制可以在一定程度上控制内网安全，但这种控制是比较粗的方式，难以做到比较精细的安全控制，同时也会影响到VLAN间用户的访问，从而影响网络的使用效率。另外在内网安全事件中，攻击对象也从攻击主机、网络设备而改为对网络资源进行攻击为主要特征，而以太网交换机的工作原理和开放特征难以对此类攻击进行有效的控制。

1.2单一安全技术难以实现有效防控

病毒和攻击手段的发展成就了防火墙、防病毒网关、IDS等安全设备，但是这几种设备均是基于对已知攻击手段的防范，无法有效防范未知攻击手段，尤其是对以网络资源为攻击对象的攻击手段进行防范。防火墙没有办法实现对内部用户安全攻击的控制；IDS不能实现对所有业务的监测和控制；防病毒软件没有办法控制病毒在网络内的传播；可以看出分别部署这些设备的网络在安全措施上缺乏系统性，防火墙、IDS、防病毒各自为政，难以对整网形成有效防控。

1.3安全发展面临硬件平台的挑战

由于全部工作在OSI参考模型的传输层之上，防火墙、IDS、防病毒等设备都要求复杂的算法、丰富的功能、不断的升级，这些特点注定防火墙、IDS、防病毒设备出生在x86平台上。而网络设备已经发生了非常大的变化，采用专有的ASIC芯片，核心交换机已经具备近千个G的交换处理能力。基于x86平台的安全设备，性能通常不到这些网络设备的1%，会成为整网性能的瓶颈。为了迎接以上挑战，产生了内部网络与安全的融合。

2、内部网络与安全的融合