免疫网络

免疫网络(immunologic network)是指机体中连锁发生的一系列自我识别的过程。抗体可变区不仅显示出抗体活性,而且由于有独特型的抗原决定簇,又显示出抗原活性。抗体既能识别抗原,也能被其他细胞克隆识别,从而产生抗独特型的抗体。无论是游离的抗体分子,还是淋巴细胞膜的免疫球蛋白受体,都表现出具有一定特异性的独特型。根据克隆选择学说可以认为在抗原进入体内之前,已经存在识别抗原的细胞克隆,同时也存在识别该细胞独特型的细胞克隆。抗原进入体内后,识别这一抗原的细胞克隆便被活化,并产生大量抗体分子。其独特型又可活化第二个细胞克隆,经活化后的第二个细胞克隆再把第三个细胞克隆活化。当机体对外来抗原产生抗体Ab-1时,机体就产生针对Ab-1独特型的抗体Ab-2,继而产生针对Ab-2独特型的抗体Ab-3。这些依次产生的抗独特型的抗体可与其他抗体的独特型发生交叉反应,从而在体内形成一个复杂的网络。

免疫网络(Immunity network)——

免疫网络是企业信息网络的一种安全形式。

“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。

就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。

免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临***时调动各种安全资源进行应对。

它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。

它与防火墙、***检测系统、防病毒等“老三样”组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决***问题,应对目前网络***复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。

同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。

巡路免疫网络解决方案(XunLu Immunity Wall Network Solutions)——

欣全向公司巡路免疫网络解决方案是在企业网络中实现安全免疫,打造免疫网络的途径和方法。在目前网络架构不做重大改变的前提下,实施部署巡路免疫网络解决方案,可以顺利地将一个普通网络升级为免疫网络。

巡路免疫网络解决方案不是一个单独的产品,而是一套由软硬件、内网安全协议、安全策略构成的完整组件。

在巡路免疫网络解决方案中,采用了各种技术手段实现免疫网络的基本要求。比如:

1、通过在接入网关设备中加入安全功能,如ARP先天免疫、内网防火墙、滤窗技术等,实现了网络设备中融合安全功能的要求;

2、通过强制安装终端免疫驱动,在网络的末端节点进行部署。更重要的是在网卡一级对底层协议也进行管控,实现了深度防御和控制。

3、通过对全网安全策略组合的综合设置、预定和学习,实现了主动防御,对已知和未知的***行为起到抑制、干预,阻止其发作的作用。

4、通过运行在服务器上的运营中心,对来自网关和终端驱动的报警信息、异常流量、身份核查等进行处理,对网络的运行状况进行审计评估,还负责安全策略的升级和下发等工作。

5、内网安全和管理协议将接入网关、服务器、终端驱动等各部分网络设备和安全功能,构成一个完整的体系,实现了全网设备联动。

巡路免疫网络解决方案的功能特色:

1、  对终端身份的严格管理。终端MAC取自物理网卡而非系统,有效防范了MAC克隆和假冒;将真实MAC与真实IP一一对应;再通过免疫驱动对本机数据进行免疫封装;真实MAC、真实IP、免疫标记三者合一,这个技术手段其他方案少有做到。所以,巡路免疫方案能解决二级路由下的终端侦测和管理、IP-MAC完全克隆、对终端身份控制从系统到封包等其他解决不了或解决不彻底的问题。

2、  终端驱动实现的是双向的控制。他不仅仅抵御外部对本机的威胁,更重要的是抑制从本机发起的***。这和个人防火墙桌面系统的理念显著不同。在受到ARP欺骗、骷髅头、CAM***、IP欺骗、虚假IP、虚假MAC、IP分片、DDoS***、超大Ping包、格式错误数据、发包频率超标等协议病毒***时,能起到主动干预的作用,使其不能发作。

3、  群防群控是明显针对内网的功能。每一个免疫驱动都具有感知同一个网段内其他主机非法接入、发生***行为的能力,并告知可能不在同一个广播域内的免疫运营中心和网关,从而由免疫网络对该行为进行相应处理。

4、  提供的2-7层的全面保护,还能够对各层协议过程的监控和策略控制。深入到2层协议的控制,是巡路免疫网络解决方案的特有功能。而能够对各层协议过程的监控和策略控制,更是它的独到之处。现在普遍的解决方案,基本上是路由器负责 3层转发,防火墙、UTM等进行3层以上的管理,唯独缺少对“局域网至关重要的二层管理”,免疫驱动恰恰在这个位置发挥作用。而上网行为管理这类的软硬件,在应用层进行工作,对2、3层的协议***更是无能为力。

5、  对未知的协议***,能够有效发挥作用,是真正的主动防御。

6、  免疫接入网关在NAT过程中,采取了专用算法,摒弃了其他接入路由器、网关产品需要IP-MAC映射的NAT转发算法,将安全技术融于网络处理过程,使ARP对免疫接入网关的欺骗不起作用。这叫做ARP先天免疫,这样的技术融合还很多。

7、  具有完善的全网监控手段,对内网所有终端的病毒***、异常行为及时告警,对内外网带宽的流量即时显示、统计和状况评估。监控中心可以做到远程操作。

免疫墙——

免疫墙技术属于网络安全行业中的内网安全和管理领域。

以太网有协议漏洞,不擅长管理,这是网络问题频发的技术根源。免疫墙技术针对和解决的就是这个问题。

因此,免疫墙技术研究的是如何填补以太网协议的先天漏洞、如何对业务进行规范化、策略化管理。“网络问题网络解决”是免疫墙技术的指导思想。免疫墙的技术范围要拓展到网络的最末端,深入到协议的最底层、盘查到外网的出入口、总览到内网的最全貌,就是希望通过网络本身对网络病毒全面抵御,同时完善对业务的管理,使网络可控、可管、可防、可观。

背景资料——

网络***的发展趋势:

目前网络威胁呈现出复杂性和动态性的特征,***日益聚焦于混合型***,结合各种有害代码来探测和***系统漏洞,并使之成为僵尸或跳板,再进一步发动大规模组合***。***速度超乎想象,已经按小时和分钟来计算,出现了所谓大量的零日或零小时***的新未知***。

很多从内网发起的***,不会采用以真实身份单独进行,而是通过内网的欺骗串联,伪造身份多点进行。

防火墙的局限性:

现有的各种网络安全技术中,防火墙技术可以在一定程度上解决一些网络安全问题。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙,但是防火墙产品存在着局限性。其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。

      同时,防火墙还存在着一些弱点:

      一、不能防御来自内部的***:来自内部的***者是从网络内部发起***的,他们的***行为不通过防火墙,而防火墙只是隔离内部网与因特网上的主机,监控内部网和因特网之间的通信,而对内部网上的情况不作检查,因而对内部的***无能为力;

      二、不能防御绕过防火墙的***行为:从根本上讲,防火墙是一种被动的防御手段,只能守株待兔式地对通过它的数据报进行检查,如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施;

      三、不能防御完全新的威胁:防火墙只能防御已知的威胁,但是人们发现可信赖的服务中存在新的侵袭方法,可信赖的服务就变成不可信赖的了;

      四、防火墙不能防御数据驱动的***:虽然防火墙扫描分析所有通过的信息,但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节。这样一来,基于数据驱动的***,比如病毒,可以附在诸如电子邮件之类的东西上面进入你的系统中并发动***。

关于“老三样”:

国家信息化专家咨询委员会专家沈昌祥院士认为,首先,由老三样(防火墙、***监测和病毒防范)为主要构成的传统信息安全系统,是以防外为重点,而与目前信息安全主要“威胁”源自内部的实际状况不相符合。其次,从组成信息系统的服务器、网络、终端三个层面上来看,现有的保护手段是逐层递减的。人们往往把过多的注意力放在对服务器和网络设备的保护上,而忽略了对终端的保护。第三,恶意***手段变化多端,而老三样是采取封堵的办法,例如,在网络层(IP)设防,在外围对非法用户和越权访问进行封堵。而封堵的办法是捕捉******和病毒***的特征信息,其特征是已发生过的滞后信息,不能科学预测未来的***和***。

“老三样,堵漏洞、做高墙、防外攻,防不胜防。” 沈院士这样概括目前信息安全的基本状况。老三样在目前网络安全应用上已经明显过时了。