对卫星网络及内容的安全防护措施

网络安全是多领域的综合业务，近10年来在规模和范围方面都获得了极大的发展。对网络及内容潜在的威胁来自各类不同的领域，因此增加了解决这一问题的难度。

在因特网产生之前，对卫星网络及内容实时入侵的安全防护相对容易。然而，基于卫星网络的WWW互联打开了潘多拉的盒子。

●安全政策

多年来，卫星网络是独立的，一般不与外部世界相互连接。卫星网络因其独特性而获得了安全性，目前这一状况不再如此。

为数不多的网络工程师能够应用不同的工具来提高其网络的安全性，然而除了选择工具，有效的安全策略开始于对网络的真实评估和对安全政策的开发。除非人们十分拥护，否则安全政策是不会起作用的。

网络中的每个设备至少应该在荧屏上建有日志，这些日志要求有用户名和接入设备的口令。要考虑到设备的风险，这些风险仅只需通过加入某些终端便能得到处理。如果人们从不改变工厂默认设备，那么用户名和口令保护的作用有限。一旦某个硬件的默认配置被黑客发现，那它们就会出现在黑客们的荧屏上。

●防火墙

下面的这些网络安全工具可以单独应用，但它们在同时使用时会最有效，从而充分发挥了它们的单方面的效能。

防火墙仍是防护网络进攻的第一道防线，这一技术经过Cisco、Juniper和Check Point等供应商过去15年的研发，已有了很大的进步。防火墙历来配置在可信任的边界上，或者是专用和公用网络的交界处，然而，随着802.11无线网络的广泛应用，可信任边界的数量猛增，因此可能受到攻击地方的数量也在猛增。

最开始，防火墙通过打开和关闭端口来控制流量，这一方式由互联网工程任务组(IETF)设计用来协调特殊的应用。端口80将用于控制网页浏览，端口25将控制SMTP流量，端口23将控制远程登陆流量，如此等等。一时间，每个人都遵守这些规则，但是应用开发商希望他们的软件能够被更广泛的用户应用。一些端口，例如端口80和端口443几乎总是开放的，应用开发商便利用这种方式进出防火墙。应用技术的发展已经到了大多数人能够发现一种方式来进入基于端口的防火墙的地步。端口阻止的价值随着时间的消逝而不断降低。

静态应用使用的是单个端口(80、25、23等)，能够被简单的分组过滤器控制。动态应用(例如FTP)将从一个端口出去并从另一个端口进来，要求更复杂的控制，因此状态检测出现了。现代应用完全忽略了端口，因此一些销售商附加了更多的过滤器，从而增加了处理延时(见《Via Satellite》2009年9期的“卫星网络的延时最小化处理”)。现实情况是，现代应用的企业控制要求更复杂一些的处理方式。

为了满足这一需求，Palo Alto网络公司将应用ID(App-ID)集成进它的防火墙中。该公司有能力将870种不同的应用进行分类。App-ID允许整个网络具备更细致的细分决定的能力。例如一个组织的营销部门可以允许运行WebEx，但其它部门则不能。对应用确认的能力也非常强大，但是Skype等某些应用使用的是特殊的加密形式，并在端口间跳动，从而造成应用申请的拒绝。然而，Skype的这一特点还能通过启发式的分析进行确认，这样Palo Alto网络公司的防火墙便可以阻止Skype的流量。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友