雨停了。
中国计算机报, 网络与通信, 总1413期, 2005/05/23, Monday。C21版。
题目: SYGATE不间断自防御网络
彻底消除安全隐患

还是SYGATE牛, 连安全专家都说没有绝对的安全, 可人家就敢说"彻底清楚", 佩服!
再想想, SYGATE 跟自防御网络又有什么关系呢? SYGATE好像也不卖switch, router呀?

http://www.enet.com.cn/esafe/inforcenter/A20050520416621.html

SYGATE不间断自防御网络消除安全隐患

2005-05-20 14:58:51　 作者： 　来源：SYGATE

网上的题目还挺谦虚!

关键是内容!
"　用户内部网络连续两周出现间歇性瘫痪的症状，平均每天瘫痪4次左右，每次时间长达几个小时。症状较轻时，网络尚可联通，但网速异常慢，让人无法忍受。症状较重时，则网络彻底瘫痪，子网之间均不可达，且同一子网内丢包率很高。"

连续两周出现这种问题, 居然网管人员还睡得着觉。

"因为这次网络瘫痪时间长达两周，严重影响到用户业务网和办公网的正常运行，牵涉众多部门。所以关注领导的层级越来越高。分公司从各部门抽调骨干人员组成了应急事件响应小组，且下达命令各部门须无条件配合，要求在3天之内找出原因并彻底解决网络故障。 "

这就是中国特色!! 在中国,任何事情只要领导急了, 那就都急了。

说实话, 做了几年网络安全工作, 有点烦了。烦的是网络在今天还有局部, 甚至更个LAN, WAN瘫痪的隐患存在。许多企业被已知的病毒, 蠕虫侵扰! 我很头疼!!如果过分强调制度,管理的问题, 我真不好意思。管理,制度固然重要, 但技术问题是前提, 没有过硬的技术保证, 管理,制度更本没人遵守, 执行。

网络安全根本原因还是技术问题。假如微软的系统漏洞没那么多, 假如我们的switch , router再聪明一点, 再坚强一点, 网络上安全问题我看主要是加密和CA的问题。

网络安全的问题, 还是由于目前的IT技术不成熟造成的。,如果PC机能自动防病毒, 蠕虫,我们的终端用户, 企业的非IT人员不就更轻松吗? 我不怨那些不装AV, patch 的客户, 他们不动IT, 他们不是IT专家。我们不能要求人家干着干哪, 我们只有将IT技术做得更完善, 更易用, 更安全,才能满足用户的需求。

网络要永远运行, 畅通!!
我们要想电网, 水(自来水)网学习。想象一下, 如果现在北京大停电, 你是什么感觉。我可以去睡觉, 可是Internet 要是不通了, 我也可以去睡觉。但是,我喜欢开着灯睡!!

外面下雨了。
中国计算机报, 网络与通信, 总1413期, 2005/05/23, Monday。C12版。
题目: 美讯智安全信息网关助理某银行

看完题目, 再看内容, 文中讲到"某银行是1948年12月1日在三个银行的基础上合并组成的。
天哪, 这还用"某"吗? 我说这就像安徒生的童话, "皇帝的新衣"呀! 好像用某银行,就不泄密了吗?
(我经常两方面看问题, 也有可能就是作者故意泄密呢, 逗你湾儿!)

文章快结束时, 居然有一句"无形中为人行的邮件系统增加了一道邮件防火墙", 奇怪, 这人行和某行到底是什么关系呢??

我还是那句话, 今天的IT文章有的真的很无聊! (我更无聊, 还看,还写!)

思科又收了一家公司, FineGround, 应用层的优化和安全控制。可以写"程序"了!!
if then else!! 和思科的ＩＯＳ XR 有点像。看来, 智能网络设备越来越多了。 P-Cube 的出现, 也使用户能够对网络的流量, 甚至每一个IP Packet, ethernet都进行控制。

网络安全的更高层次就是对流量,内容的控制。当年,ＡＣＬ 可以控制ＩＰ 地址, PSB(策略路由)可以不仅仅靠路由表来决定下一跳, BGP可以有更多的决定因素, 后来FW可以控制port, 简单应用协议, Q0S 可以控制不同类型的 packet, IDS可以深度分析多个数据包的组合, P-Cube可以控制数据流, 而今, FineGrond 可以控制更高层应用的数据, 例如 Peoplesoft, SAP, IBM WebSphere, Lotus Notes, Siebel 等等。

网络的功能越来越强大了。网络的明天更美好!

星期一刚上班, 又有同事说, 一家国内的企业被 SQL Slammer 病毒攻击了, 而且影响到全国几个省一级的业务系统, 导致业务中断。该企业的WAN是2M的SDH。
企业的IT人员又急了, 让我们提出解决方案。我就在想, 一个 ACL 就可以解决的问题, 居然闹到了现在。SQL Slammer 是在 2003.1.24-25 在全球爆发的,迄今已经两年多了。还有企业被SQL Slammer 所击倒, 我真的很困惑。
在5月中旬, 也有同事告诉我说, 一家省内机构发生 SQL 病毒, 中毒机器以 98Mbps的速度进行病毒攻击, 思科路由器的CPU 持续 99%, 这才引起网络人员的注意。我不禁要问, 这时AV干什么去了?
IDS又干什么去了? 可见要解决蠕虫攻击, 必须依靠 Switch 和Router!! 这是网络的责任!

中国的网络安全搞不好, 技术的原因有, 但更重要的是制度问题, 管理问题。AV 厂商在中国打拼了10级年, 今天依然不能保证每台PC都严格配置好AV和打好 patch!

TNC, NAP 和NAC以及EAD都是今天迫不得已的方式, 网络和PC 一定要结合的solution!其实网络应该有网络的解决方案, 那就是无论网络上的流量如何变化, switch , Router 一定不能死机, 只要什么样的流量我全能线速传送, 管他什么蠕虫还是病毒, 对于网络来说是透明的, 哪里还有网络安全问题呢?? 可实际情况并不是如此简单。连ＧＳＲ这样的设备都有可能被DDOS攻死! 一个小小的PC, 就可能干掉一台switch , 不合PC结合还真不行。

Switch--> Port Security理想。我有个想法,已经很多年了, 那就是, 今后每个switch 的以太网接口就是一台PIX 501 !! 安全问题在边缘!完善网络的接入控制,对网络安全会起到一定的作用!!

总上所述, 如果这家企业的WAN带宽是155M, 而不是2M, 我想可能不会出现业务中断的情况。因为中毒的PC数量不多, 但是如果中毒的PC数量不断增多, 再大的带宽也会被占满,从而影响业务, 这是QoS 又成了必不可少的控制了。

就像中国的ISP要封杀BT 一样, 对流量的控制就像大禹治水一样, 堵不是办法, 要疏导,网络也是一样。所以, 互联网的路还很长!