網(wǎng)絡(luò)邊界是指內(nèi)部安全網(wǎng)絡(luò)與外部非安全網(wǎng)絡(luò)的分界線。

　　由于網(wǎng)絡(luò)中的泄密、攻擊、病毒等侵害行為主要是透過網(wǎng)絡(luò)邊界實現(xiàn)，網(wǎng)絡(luò)邊界實際上就是網(wǎng)絡(luò)安全的第一道防線。網(wǎng)絡(luò)攻擊入侵者通過互聯(lián)網(wǎng)與內(nèi)網(wǎng)的邊界進(jìn)入內(nèi)部網(wǎng)絡(luò)，篡改存儲的數(shù)據(jù)，實施破壞，或者通過某種技術(shù)手段降低網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)的癱瘓。

　　把不同安全級別的網(wǎng)絡(luò)相連接，就產(chǎn)生了網(wǎng)絡(luò)邊界。防止來自網(wǎng)絡(luò)外界的入侵就要在網(wǎng)絡(luò)邊界上建立可靠的安全防御措施。下面我們來看看網(wǎng)絡(luò)邊界上的安全問題都有哪些： 非安全網(wǎng)絡(luò)互聯(lián)帶來的安全問題與網(wǎng)絡(luò)內(nèi)部的安全問題是截然不同的，主要的原因是攻擊者不可控，攻擊是不可溯源的，也沒有辦法去“封殺”，一般來說網(wǎng)絡(luò)邊界上的安全問題主要有下面幾個方面：

• 信息泄密

　　網(wǎng)絡(luò)上的資源是可以共享的，但沒有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密，合法使用者在進(jìn)行正常業(yè)務(wù)往來時，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密

• 入侵者的攻擊

　　互聯(lián)網(wǎng)是世界級的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢力與團(tuán)體。入侵就是有人通過互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為。

• 網(wǎng)絡(luò)病毒

　　與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無對手”、“無意識”的攻擊行為。

• 木馬入侵

　　木馬的發(fā)展是一種新型的攻擊行為，他在傳播時象病毒一樣自由擴(kuò)散，沒有主動的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動與他的“主子”聯(lián)絡(luò)，從而讓主子來控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡(luò)”。 來自網(wǎng)絡(luò)外部的安全問題，重點是防護(hù)與監(jiān)控。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計。由于有這些安全隱患的存在，在網(wǎng)絡(luò)邊界上，最容易受到的攻擊方式有下面幾種：

• 黑客入侵

　　入侵的過程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣。

• 病毒入侵

　　病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降。病毒對網(wǎng)關(guān)沒有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水”的滲透一樣，看似漫無目的，實則無孔不入。

• 網(wǎng)絡(luò)攻擊

　　網(wǎng)絡(luò)攻擊是針對網(wǎng)絡(luò)邊界設(shè)備或系統(tǒng)服務(wù)器的，主要的目的是中斷網(wǎng)絡(luò)與外界的連接，比如DOS攻擊，雖然不破壞網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，但阻塞了應(yīng)用的帶寬，可以說是一種公開的攻擊，攻擊的目的一般是造成你服務(wù)的中斷。

　　保護(hù)網(wǎng)絡(luò)邊界主要有如下幾種傳統(tǒng)的設(shè)備。

　　1．防火墻

　　網(wǎng)絡(luò)早期是通過網(wǎng)段進(jìn)行隔離的，不同網(wǎng)段之間的通信通過路由器連接，要限制某些網(wǎng)段之間不互通，或有條件的互通，就出現(xiàn)了訪問控制技術(shù)，也就出現(xiàn)了防火墻，防火墻是早期不同網(wǎng)絡(luò)互聯(lián)時的安全網(wǎng)關(guān)。

　　防火墻的安全設(shè)計原理來自于包過濾與應(yīng)用代理技術(shù)，兩邊是連接不同網(wǎng)絡(luò)的接口，中間是訪問控制列表ACL，數(shù)據(jù)流要經(jīng)過ACL的過濾才能通過。ACL有些像海關(guān)的身份證檢查，檢查的是你是哪個國家的人，但你是間諜還是游客就無法區(qū)分了，因為ACL控制的是網(wǎng)絡(luò)OSI參考模型的3～4層，對于應(yīng)用層是無法識別的。后來的防火墻增加了NAT/PAT技術(shù)，可以隱藏內(nèi)網(wǎng)設(shè)備的IP地址，給內(nèi)部網(wǎng)絡(luò)蒙上面紗，成為外部"看不到"的灰盒子，給入侵增加了一定的難度。但是木馬技術(shù)可以讓內(nèi)網(wǎng)的機(jī)器主動與外界建立聯(lián)系，從而"穿透"了NAT的"防護(hù)"，很多P2P應(yīng)用也是采用這種方式"攻破"防火墻的。

　　防火墻的作用就是建起了網(wǎng)絡(luò)的"城門"，把住了進(jìn)入網(wǎng)絡(luò)的必經(jīng)通道，所以在網(wǎng)絡(luò)的邊界安全設(shè)計中，防火墻成為不可或缺的一部分。

　　防火墻的缺點是：不能對應(yīng)用層識別，面對隱藏在應(yīng)用中的病毒、木馬是毫無辦法的，所以作為安全級別差異較大的網(wǎng)絡(luò)互聯(lián)，防火墻的安全性就遠(yuǎn)遠(yuǎn)不夠了。

　　2．VPN網(wǎng)關(guān)

　　外部用戶訪問內(nèi)部主機(jī)或服務(wù)器的時候，為了保證用戶身份的合法、確保網(wǎng)絡(luò)的安全，一般在網(wǎng)絡(luò)邊界部署VPN（虛擬網(wǎng)）網(wǎng)關(guān)，主要作用就是利用公用網(wǎng)絡(luò)（主要是互聯(lián)網(wǎng)）把多個網(wǎng)絡(luò)節(jié)點或私有網(wǎng)絡(luò)連接起來。

　　針對不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet（外部擴(kuò)展）相對應(yīng)。

　　典型的VPN網(wǎng)關(guān)產(chǎn)品集成了包過濾防火墻和應(yīng)用代理防火墻的功能。企業(yè)級VPN產(chǎn)品是從防火墻產(chǎn)品發(fā)展而來的，防火墻的功能特性已經(jīng)成為它的基本功能集的一部分。如果VPN和防火墻分別是獨立的產(chǎn)品，則VPN與防火墻的協(xié)同工作會遇到很多難以解決的問題；有可能不同廠家的防火墻和VPN不能協(xié)同工作，防火墻的安全策略無法制定（這是由于VPN把IP數(shù)據(jù)包加密封裝的緣故）或者帶來性能的損失，如防火墻無法使用NAT功能等。而如果采用功能整合的產(chǎn)品，則上述問題就不存在或能很容易解決。

　　3．防DoS攻擊網(wǎng)關(guān)

　　拒絕服務(wù)攻擊（DoS，DenialofService）是一種對網(wǎng)絡(luò)上的計算機(jī)進(jìn)行攻擊的一種方式。DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。常見的拒絕服務(wù)攻擊有SYNFlood、空連接攻擊、UDPFlood、ICMP Flood等。

　　SYN Cookie是應(yīng)用非常廣泛的一種防御SYNFlood攻擊的技術(shù)，在攻擊流量比較小的情況下，SYNCookie技術(shù)可以有效地防御SYNFlood攻擊；從路由器上限制流向單一目標(biāo)主機(jī)的連接數(shù)或者分配給單一目標(biāo)主機(jī)的帶寬也是一種常用的防御手段。另外，由于一些攻擊工具在攻擊之前往往對攻擊目標(biāo)進(jìn)行DNS解析，然后對解析之后的IP進(jìn)行攻擊。因此如果對于被攻擊的服務(wù)器分配一個新IP，在DNS進(jìn)行重新指向之后，攻擊工具往往還會向原來的IP發(fā)送攻擊，這樣，被攻擊的服務(wù)器就可以躲開攻擊。這種方法被稱為"退讓策略"。

　　由于防DoS攻擊需要比較多的系統(tǒng)資源，一般使用單獨的硬件平臺實現(xiàn)，與防火墻一起串聯(lián)部署在網(wǎng)絡(luò)邊界。如果與防火墻共用平臺，只能防范流量很小的DoS/DDoS攻擊，實用性較差。

　　4．入侵防御網(wǎng)關(guān)

　　入侵防御網(wǎng)關(guān)以在線方式部署，實時分析鏈路上的傳輸數(shù)據(jù)，對隱藏在其中的攻擊行為進(jìn)行阻斷，專注的是深層防御、精確阻斷，這意味著入侵防御系統(tǒng)是一種安全防御工具，以解決用戶面臨網(wǎng)絡(luò)邊界入侵威脅，進(jìn)一步優(yōu)化網(wǎng)絡(luò)邊界安全。

　　5．防病毒網(wǎng)關(guān)

　　隨著病毒與黑客程序相結(jié)合、蠕蟲病毒更加泛濫，網(wǎng)絡(luò)成為病毒傳播的重要渠道，而網(wǎng)絡(luò)邊界也成為阻止病毒傳播的重要位置；所以，防病毒網(wǎng)關(guān)應(yīng)運(yùn)而生，成為斬斷病毒傳播途徑最為有效的手段之一。

　　防病毒網(wǎng)關(guān)技術(shù)包括兩個部分，一部分是如何對進(jìn)出網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行查殺；另一部分是對要查殺的數(shù)據(jù)進(jìn)行檢測與清除。綜觀國外的防病毒網(wǎng)關(guān)產(chǎn)品，至今其對數(shù)據(jù)的病毒檢測還是以特征碼匹配技術(shù)為主，其掃描技術(shù)及病毒庫與其服務(wù)器版防病毒產(chǎn)品是一致的。因此，如何對進(jìn)出網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行查殺，是網(wǎng)關(guān)防病毒技術(shù)的關(guān)鍵。由于目前國內(nèi)外防病毒技術(shù)還無法對數(shù)據(jù)包進(jìn)行病毒檢測，所以在網(wǎng)關(guān)處只能采取將數(shù)據(jù)包還原成文件的方式進(jìn)行病毒處理，最終對數(shù)據(jù)進(jìn)行掃描仍是通過病毒掃描引擎實現(xiàn)的。

　　防病毒網(wǎng)關(guān)著眼于在網(wǎng)絡(luò)邊界就把病毒拒之門外，可以迅速提高企業(yè)網(wǎng)防殺病毒的效率，并可大大簡化企業(yè)防病毒的操作難度，降低企業(yè)防病毒的投入成本。

　　6．反垃圾郵件網(wǎng)關(guān)

　　電子郵件系統(tǒng)是信息交互的最主要溝通工具，互聯(lián)網(wǎng)上的垃圾郵件問題也越來越嚴(yán)重，垃圾郵件的數(shù)量目前以每年10倍的速度向上翻。而且往往會因為郵箱內(nèi)垃圾郵件數(shù)量過多而無法看出哪些是正常郵件，大大浪費(fèi)了員工的工作時間；另外，巨量的垃圾郵件也嚴(yán)重浪費(fèi)了公司的系統(tǒng)和網(wǎng)絡(luò)帶寬的資源。

　　反垃圾郵件網(wǎng)關(guān)部署在網(wǎng)絡(luò)邊界，可以正確區(qū)分郵件的發(fā)送請求以及攻擊請求，進(jìn)而將郵件攻擊拒絕，以保障電子郵件系統(tǒng)的穩(wěn)定運(yùn)行；此外，在保障郵件正常通信的情況下對垃圾郵件以及病毒郵件進(jìn)行有效識別并采取隔離措施隔離，可減少郵件系統(tǒng)資源以及網(wǎng)絡(luò)帶寬資源的浪費(fèi)，進(jìn)而提高公司員工的工作效率；最后，還不必為電子郵件系統(tǒng)出現(xiàn)故障時找不到問題而耗費(fèi)時間，部署后的電子郵件系統(tǒng)將可以在不需要管理員進(jìn)行任何干涉的情況下穩(wěn)定運(yùn)行，大大節(jié)省了電子郵件系統(tǒng)的管理成本。

　　7．網(wǎng)閘

　　安全性要求高的單位一般建設(shè)兩個網(wǎng)絡(luò)：內(nèi)網(wǎng)用于內(nèi)部高安全性業(yè)務(wù)；外網(wǎng)用于連接Internet或其他安全性較低的網(wǎng)絡(luò)，兩者是物理隔離的。既要使用內(nèi)網(wǎng)數(shù)據(jù)也要使用外網(wǎng)數(shù)據(jù)的業(yè)務(wù)時，用戶必須人工復(fù)制數(shù)據(jù)。實際應(yīng)用中，用戶希望這個過程自動化，解決"既要保證網(wǎng)絡(luò)斷開、又要進(jìn)行信息交換"的矛盾。

　　網(wǎng)閘可用來解決這一難題。網(wǎng)閘提供基于網(wǎng)絡(luò)隔離的安全保障，支持Web瀏覽、安全郵件、數(shù)據(jù)庫、批量數(shù)據(jù)傳輸和安全文件交換、滿足特定應(yīng)用環(huán)境中的信息交換要求，提供高速度、高穩(wěn)定性的數(shù)據(jù)交換能力，可以方便地集成到現(xiàn)有的網(wǎng)絡(luò)和應(yīng)用環(huán)境中。