時間:2023-06-12 14:46:22
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全網(wǎng)絡(luò)策略,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
關(guān)鍵詞:網(wǎng)絡(luò);安全;方案
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2012) 17-0000-02
1 網(wǎng)絡(luò)安全評估分析系統(tǒng)
1.1 網(wǎng)絡(luò)安全評估分析系統(tǒng)的必要性
面對用戶網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估,制定符合用戶網(wǎng)絡(luò)應(yīng)用的安全策略顯然是不現(xiàn)實的。解決的方案是,尋找一種能尋找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全分析評估系統(tǒng)。
檢測現(xiàn)有網(wǎng)絡(luò)中的邊界設(shè)備(如路由器交換機)、網(wǎng)絡(luò)安全設(shè)備(防火墻、入侵檢測系統(tǒng))、服務(wù)器(包括內(nèi)部網(wǎng)絡(luò)系統(tǒng)的各種應(yīng)用服務(wù)器)、主機、數(shù)據(jù)庫等進行掃描,預(yù)先查找出存在的漏洞,從而進行及時的修補,對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進行安全配置。
目前大多數(shù)的病毒都已經(jīng)不是簡單的復(fù)制和占據(jù)資源的概念,其已經(jīng)演變?yōu)橥ㄟ^利用系統(tǒng)漏洞和脆弱性,破壞和盜取信息為目的軟件。所以,通過安全評估分析系統(tǒng),在網(wǎng)絡(luò)受到感染以前,及時地修補系統(tǒng)漏洞,從而更有效的保護局域網(wǎng)。
1.2 網(wǎng)絡(luò)安全評估分析系統(tǒng)選型
安全評估系統(tǒng)(掃描對象包括網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫系統(tǒng))使用戶有機會在故障出現(xiàn)之前將其修復(fù),而不是對一項已經(jīng)進行的入侵或誤用情況做出反應(yīng)。漏洞掃描可以讓用戶首先防止入侵。漏洞掃描也許對那些沒有很好的事件響應(yīng)能力的用戶會有幫助。
在用戶網(wǎng)絡(luò)系統(tǒng)中,部署一臺百兆硬件網(wǎng)絡(luò)安全評估分析系統(tǒng),它通過對網(wǎng)絡(luò)安全弱點全面和自主地檢測與分析,能夠迅速找到并修復(fù)安全漏洞。能同時對網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備(如路由器、交換機、防火墻等)、小型機、PC SERVER和PC機操作系統(tǒng)(如Windows)和應(yīng)用程序(如IIS)由于各種原因存在一些漏洞(包括系統(tǒng)漏洞、脆弱口令等),將風(fēng)險分為高,中,低三個等級并且生成大范圍的有意義的報表,從以管理者角度來分析的報告到為消除風(fēng)險而給出的詳盡的逐步指導(dǎo)方案均可以體現(xiàn)在報表中。
(1)全面的產(chǎn)品資質(zhì)認定
網(wǎng)絡(luò)安全評估系統(tǒng)具有如下的產(chǎn)品資質(zhì)認證,為用戶提供滿意的產(chǎn)品:
公安部《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》
國家保密局《科學(xué)技術(shù)成果鑒定證書》
國家信息安全測評認證中心《國家信息安全產(chǎn)品認證產(chǎn)品型號證書》
(2)易用性
網(wǎng)絡(luò)安全評估分析系統(tǒng)應(yīng)該充分考慮了中國人的使用習(xí)慣,具有良好的易用性。安裝和使用界面全中文化,操作使用符合標準的WINDOWS風(fēng)格,用戶大部分只要通過電擊鼠標就可以達到目的。管理工作更加方便,其輸出也更加有價值。
(3)產(chǎn)品擴展性
網(wǎng)絡(luò)安全評估分析系統(tǒng)的測試方法庫采用插件方式,升級極為容易,添加新的插件就可以使軟件增加新的功能,掃描更多漏洞。同時這種技術(shù)使軟件的升級維護都變得相對簡單,并具有非常強的擴展性。
1.3 網(wǎng)絡(luò)安全評估分析系統(tǒng)部署
網(wǎng)絡(luò)安全評估分析系統(tǒng)可以定期連入管理中心網(wǎng)絡(luò)的網(wǎng)管交換機或者中心交換機上,對網(wǎng)絡(luò)設(shè)備進行網(wǎng)絡(luò)安全評估,比如小型機、PC SERVER、網(wǎng)絡(luò)設(shè)備(交換機、路由器等)、安全設(shè)備(如防火墻)及內(nèi)網(wǎng)各工作站系統(tǒng),進行周期性的安全評估,得出安全評估分析報告,然后進行相應(yīng)的漏洞修補或重新設(shè)計安全策略,以達到網(wǎng)絡(luò)中硬件設(shè)備系統(tǒng)和應(yīng)用平臺的安全化。
1.4 網(wǎng)絡(luò)安全評估分析系統(tǒng)部署后作用
(1)安全評估是本系統(tǒng)的主要功能,也稱為“脆弱性分析”或者“網(wǎng)絡(luò)安全掃描”,通過本網(wǎng)絡(luò)安全評估分析系統(tǒng)的部署,可以對網(wǎng)絡(luò)內(nèi)計算機系統(tǒng)或者網(wǎng)絡(luò)設(shè)備進行安全測試與評估,獲得相關(guān)安全信息,找出安全隱患和可被黑客利用的漏洞。
(2)設(shè)備可以結(jié)合CVSS(通用脆弱性評級體系)和等級保護方法的理論,科學(xué)的給出相應(yīng)的安全分析和可操作的修補處理建議,為網(wǎng)絡(luò)管理人員提供修補漏洞的方法,使得管理可以及時修補網(wǎng)絡(luò)隱患,做到防患于未然。
(3)自評估部分還可以協(xié)助管理員對設(shè)備進行問題的自動修補。
2 應(yīng)用防護
2.1 Web應(yīng)用防護系統(tǒng)的必要性
隨著越來越多的應(yīng)用系統(tǒng)以WEB的方式被部署,這些系統(tǒng)的敏感數(shù)據(jù)如用戶信息等被黑客盜竊和篡改的潛在風(fēng)險也越來越高。回顧當(dāng)今成功的系統(tǒng)攻擊,很多都是利用了WEB應(yīng)用漏洞。實施這些攻擊的人,既有來自外部的黑客,也有來自內(nèi)部的不懷好意的用戶。
因為基于WEB的應(yīng)用系統(tǒng)可以通過任意瀏覽器進行訪問,用戶往往更容易訪問到這些系統(tǒng),從而在一定程度上可以通過這些系統(tǒng)繞過內(nèi)部的安全控制。
對大多數(shù)公司來說,WEB應(yīng)用系統(tǒng)已經(jīng)成為安全的邊界。使用WEB安全網(wǎng)關(guān)是確保這些系統(tǒng)安全的唯一途徑。然而,考慮到WEB應(yīng)用的多樣性,WEB安全網(wǎng)關(guān)往往只有在針對具體的應(yīng)用精心配置后才能有效地承擔(dān)起應(yīng)用保護的角色。沒有正確部署的WEB安全網(wǎng)關(guān)往往會阻斷合法用戶對系統(tǒng)的正常訪問,甚至沒能起到應(yīng)有的左右而讓黑客長驅(qū)直入。
WEB安全網(wǎng)關(guān)是一種新型的可以保護WEB系統(tǒng)免遭攻擊的網(wǎng)絡(luò)及應(yīng)用安全設(shè)備。它通過執(zhí)行非常細粒度的安全策略來保證WEB應(yīng)用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于WEB安全網(wǎng)關(guān)所使用的突破性技術(shù),這些安全策略能夠非常容易地適應(yīng)各種WEB應(yīng)用系統(tǒng),從而滿足所有的安全需要。
WEB 安全網(wǎng)關(guān)為WEB應(yīng)用提供了全面的應(yīng)用層保護,它不但能抵御目前已知的攻擊及其變種,還能抵御未知的攻擊。
需要特別指出的是,WEB安全網(wǎng)關(guān)通過自己獨特的WEB對象混淆技術(shù),大大提高了攻擊者的技術(shù)門檻,甚至能使大部分的普通攻擊者無從下手;獨創(chuàng)的安全令牌技術(shù)則能徹底防止WEB應(yīng)用對象被篡改和偽造。由于攻擊者無法篡改和偽造WEB請求數(shù)據(jù),攻擊便無法實施。此外,通過與WEB應(yīng)用緊密相連的安全策略的配合,WEB安全網(wǎng)關(guān)能嚴格限制合法用戶的行為,避免了對系統(tǒng)受限資源非法的訪問。
融合可靠的應(yīng)用層過濾技術(shù)和先進的數(shù)據(jù)加密技術(shù), WEB安全網(wǎng)關(guān)完全能為企業(yè)級的WEB應(yīng)用提供完整的安全解決方案。
2.2 Web安全網(wǎng)關(guān)的選型
根據(jù)用戶網(wǎng)絡(luò)的應(yīng)用需求,推薦使用Web安全網(wǎng)關(guān)產(chǎn)品可以滿足了網(wǎng)絡(luò)需求,很好的解決了對Web服務(wù)器的防護和管理功能。
具體功能如下:
2.2.1 基于黑名單的攻擊過濾器能阻斷目前大部分的常見攻擊
(1)SQL注入
(2)跨站腳本攻擊
(3)已知的蠕蟲和系統(tǒng)漏洞
(4)對敏感資源和數(shù)據(jù)的非法訪問
(5)其他系統(tǒng)溢出攻擊
2.2.2 基于白名單的防御引擎能阻斷任何非法的攻擊
(1)偽造用戶輸入數(shù)據(jù)
(2)非法的應(yīng)用訪問流程
(3)Cookie濫用
(4)HTTP請求劫持
2.2.3 完備的網(wǎng)絡(luò)層安全和服務(wù)提供整體防御
(1)狀態(tài)檢測防火墻
(2)IP/端口過濾
(3)應(yīng)用層DDOS防護
(4)SSL 加速
2.2.4 靈活多變的偽裝技術(shù)使系統(tǒng)逃避探測和攻擊
(1)防止對服務(wù)器操作系統(tǒng)和WEB服務(wù)器的指紋探測
(2)自定義錯誤頁面防止敏感信息泄露
(3)刪除網(wǎng)頁開發(fā)工具信息以及代碼注釋,使黑客無法獲取重要的信息
(4)防止服務(wù)器端代碼泄露
2.2.5 豐富的日志提供強大的報表和審計功能
(1)詳細的系統(tǒng)日志和訪問控制日志
(2)豐富的WEB資源訪問統(tǒng)計報表
(3)詳細的攻擊統(tǒng)計報表
(4)支持標準的syslog日志服務(wù)器
(5)基于XML的日志數(shù)據(jù)便于與外部系統(tǒng)集成
2.3 Web安全網(wǎng)關(guān)的部署
WEB安全網(wǎng)關(guān)能根據(jù)用戶的需要采用多種部署方式。標準的設(shè)備部署在Web服務(wù)器前面,配置過程可以在幾個小時內(nèi)完成,WEB安全網(wǎng)關(guān)可以抵抗絕大部分常見的攻擊。通過在標準部署基礎(chǔ)上進行高級的安全策略調(diào)整,可以根據(jù)需要提供最高級別的安全,徹底杜絕攻擊發(fā)生的可能。
2.4 Web安全網(wǎng)關(guān)的作用
2.4.1 最大可能地減少針對WEB的攻擊
隨著越來越多的基于WEB的應(yīng)用系統(tǒng)投入使用,越來越多的敏感數(shù)據(jù)被暴露在當(dāng)前的系統(tǒng)無法解決的安全威脅之下。一旦攻擊得逞,損失便大的無法接受。使用WEB安全網(wǎng)關(guān)能最大可能地減少針對WEB應(yīng)用的攻擊。
2.4.2 避免敏感信息被盜,符合行業(yè)安全規(guī)范
當(dāng)今很多行業(yè)如銀行和電子商務(wù)等行業(yè)都有自己的安全規(guī)范,符合這些安全規(guī)范是業(yè)務(wù)正常開展的基礎(chǔ)。目前WEB應(yīng)用系統(tǒng)是黑客們?yōu)榱双@取諸如客戶信息等敏感數(shù)據(jù)而尋找的最主要的攻擊目標,每年因為針對應(yīng)用層的攻擊而導(dǎo)致的損失都高達己億美元。WEB安全網(wǎng)關(guān)是解決敏感數(shù)據(jù)經(jīng)由WEB系統(tǒng)被盜竊這一棘手的安全問題的最重要也是最有效的途徑。
2.4.3 無須安全補丁,保護已有投資
因為知道應(yīng)用系統(tǒng)容易遭受各種攻擊,IT部門需要不間斷地監(jiān)控各站點并且安裝各種最新的補丁。因為如前所述,WEB安全網(wǎng)關(guān)能阻止各種針對WEB應(yīng)用和WEB服務(wù)器的攻擊,從而大大降低了系統(tǒng)對補丁的依賴性。此外,對于存在安全漏洞但是因為其他原因無法進行升級的舊有系統(tǒng),WEB安全網(wǎng)關(guān)也能保證系統(tǒng)能安全地運行,從而保護了客戶的投資。
2.4.4 安全便捷,使用簡單
WEB 防火墻部署非常容易,通過向?qū)Э梢院芸斓赝瓿稍O(shè)備的初次安裝。因為WEB安全網(wǎng)關(guān)是網(wǎng)絡(luò)層的設(shè)備,因此可以和任何WEB服務(wù)器配合使用,并且對WEB應(yīng)用是透明的。
關(guān)鍵詞:m0n0;安全網(wǎng)關(guān);多功能
1 引言
目前,對于小區(qū)寬帶、網(wǎng)吧、學(xué)校、賓館等眾多中小型企業(yè)用戶而言,多功能安全網(wǎng)關(guān)已成為企業(yè)用戶網(wǎng)絡(luò)環(huán)境正常運行的重要網(wǎng)絡(luò)設(shè)備之一,這些企業(yè)用戶購買的Internet接入設(shè)備不僅能夠有效的使用Internet網(wǎng)絡(luò)資源,而且還需要具有一定的安全性和穩(wěn)定性,以保證企業(yè)內(nèi)網(wǎng)的高效有續(xù)運行,此外可管理和多用途也是近年來隨著企業(yè)用戶的實際需求發(fā)生而產(chǎn)生的新的設(shè)備發(fā)展方向。比如小區(qū)寬帶用戶需要高速網(wǎng)絡(luò)接入、帶寬獨占而且最好是資費較低,在這種情況下,如果每家都使用ISP的ADSL撥號上網(wǎng),雖然能夠保證高帶寬和帶寬獨占,但是接入成本相對較高,而且更多的時候用戶不上網(wǎng)的時候帶寬是被浪費的。在這種情況下,如果以小區(qū)為單位建立小型的ISP,使用這類多功能安全網(wǎng)關(guān),申請一定量的高速網(wǎng)絡(luò)帶寬,然后按照小區(qū)ADSL的形式提供用戶端接入,這樣就可以很好的解決前面提到的問題,關(guān)鍵是這類產(chǎn)品帶來的最大實惠就是極大的降低了網(wǎng)絡(luò)接入的資費。m0n0是一款優(yōu)秀的開源防火墻系統(tǒng),基于該系統(tǒng)開發(fā),按照用戶需求,構(gòu)建一款多功能的安全網(wǎng)關(guān)產(chǎn)品,這就是本文的出發(fā)點所在。
2 m0n0防火墻系統(tǒng)簡介
m0n0開源安全網(wǎng)關(guān)最初由瑞士人Manuel Kasper開發(fā)的基于X86平臺的嵌入式安全網(wǎng)關(guān)系統(tǒng),目的是構(gòu)建一個簡單、高效、自由、安全的嵌入式安全網(wǎng)關(guān),實現(xiàn)使用較小成本就可以得到和昂貴的商業(yè)安全網(wǎng)關(guān)相同或相近的功能特性。該開源項目經(jīng)過多年的發(fā)展和壯大,到目前為止全球已有數(shù)以萬計的人員參與項目的開發(fā)和推廣工作,安全網(wǎng)關(guān)已具備大部分商業(yè)安全網(wǎng)關(guān)的網(wǎng)絡(luò)功能,并且越來越受到中小型企業(yè)用戶的歡迎。
但由于m0n0是傳統(tǒng)的網(wǎng)絡(luò)層安全網(wǎng)關(guān),應(yīng)用層功能較弱,還有很大的擴展空間,特別是基于插件管理平臺進行功能模塊擴展的思想對于該開源安全網(wǎng)關(guān)的應(yīng)用和推廣有著極其重要的意義。
3 多功能安全網(wǎng)關(guān)的整體設(shè)計
多功能安全網(wǎng)關(guān)的設(shè)計是在原有系統(tǒng)的基礎(chǔ)上通過多功能模塊管理平臺進行功能模塊管理,系統(tǒng)整體設(shè)計如圖1所示。
如上圖所示,本防火墻系統(tǒng)是在M0n0的原有功能基礎(chǔ)之上進行的二次開發(fā),除進一步增加和完善必要的功能模塊之外,還應(yīng)用多功能模塊管理平臺統(tǒng)一進行模塊的管理和維護,而且各個子系統(tǒng)和基本防火墻系統(tǒng)分處于不同的文件系統(tǒng)當(dāng)中,以實現(xiàn)對基本系統(tǒng)的保護和第三方功能模塊的靈活擴充。
M0n0原有平臺的基本功能模塊有訪問控制、VPN、NAT/PAT、日志審計、流量控制、SNMP、DHCP中繼、動態(tài)DNS、上網(wǎng)認證、靜態(tài)路由、VLAN中繼等。
在上述基本平臺的基礎(chǔ)之上開發(fā)多功能模塊管理平臺,負責(zé)上傳新開發(fā)或者修改好的功能模塊,生成模塊對應(yīng)的運行空間(獨立文件系統(tǒng)),自動進行系統(tǒng)文件布局和配置文件的保存?zhèn)浞荩约肮δ苣K的修改刪除等操作。該系統(tǒng)的實現(xiàn)使得安全網(wǎng)關(guān)的模塊管理成為一種可能,而且通過生成獨立運行空間,使得各個子系統(tǒng)和主系統(tǒng)可以各自獨立穩(wěn)定運行。
在該安全網(wǎng)關(guān)當(dāng)中,所謂的多功能就是通過各個模塊實現(xiàn)的,結(jié)合目前企業(yè)的實際需求設(shè)計的應(yīng)用模塊主要為如下四種(由于各個模塊又是一個獨立的小系統(tǒng),所以下文中我們將其稱之為子系統(tǒng)),各個模塊的功能特性如下。
模板式流控模塊:模板式流控模塊子系統(tǒng)是在dummynet+IPFW流量控制的基礎(chǔ)上提出的一種模板式流控解決方案,按照網(wǎng)吧網(wǎng)絡(luò)、辦公環(huán)境、集體網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)等幾種不同的網(wǎng)絡(luò)類型各自特點開發(fā)與之對應(yīng)的系列流量模板,最終實現(xiàn)針對某一網(wǎng)絡(luò)環(huán)境的流量管理策略,避免手工安排規(guī)則、管道、隊列等復(fù)雜流控元素的困擾。
雙線接入模塊:雙線接入模塊子系統(tǒng)是在原有防火墻單線接入的基礎(chǔ)上引入的雙線解決方案,實現(xiàn)網(wǎng)吧、學(xué)校等特殊網(wǎng)絡(luò)環(huán)境對雙線網(wǎng)絡(luò)接入的實際需求。通過該子系統(tǒng)可以實現(xiàn)兩條線路的流量負載均衡、主從線路設(shè)置以及線路備份等功能,增加企業(yè)網(wǎng)絡(luò)的穩(wěn)定性。
網(wǎng)絡(luò)計費模塊:網(wǎng)絡(luò)計費模塊子系統(tǒng)是為了滿足網(wǎng)吧、學(xué)校、賓館的特殊需求開發(fā)的一個計費模塊,該系統(tǒng)可根據(jù)共享賬號、獨立賬號等不同的角色開展計費工作;而且獨立賬號還可以按照特權(quán)賬號、包月賬號、計時賬號等屬性進行計費,實現(xiàn)對網(wǎng)絡(luò)使用者的管理和控制。
上網(wǎng)行為管理模塊:此外將第三方軟件Panabit制作成為一款功能模塊集成到系統(tǒng)當(dāng)中,也是該安全網(wǎng)關(guān)的一個創(chuàng)新所在。該軟件是一款FreeBSD下的優(yōu)秀上網(wǎng)行為管理軟件,通過該軟件實現(xiàn)對所有用戶的網(wǎng)絡(luò)訪問、流量控制、日志審計融為一體,為實現(xiàn)全面的網(wǎng)絡(luò)管理和監(jiān)控奠定基礎(chǔ)。
[參考文獻]
隨著業(yè)務(wù)的不斷發(fā)展,馬應(yīng)龍藥業(yè)集團公司湖北武漢總部(以下簡稱馬應(yīng)龍)辦公網(wǎng)絡(luò)已從原有的不到100臺終端擴展到數(shù)百臺終端,通過20Mb電信、30Mb聯(lián)通線路訪問互聯(lián)網(wǎng),另有供互聯(lián)網(wǎng)訪問的多臺公司服務(wù)器集群托管在IDC機房。馬應(yīng)龍原有的出口安全設(shè)備已不能滿足現(xiàn)有需求。
多核安全保護IDC
馬應(yīng)龍經(jīng)過前期細致的產(chǎn)品選型、性能評測、功能模擬測試、實際應(yīng)用環(huán)境穩(wěn)定性測試等工作,最終選擇了Hillstone山石網(wǎng)科提供的解決方案,由Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān)作為集團辦公網(wǎng)出口及IDC托管服務(wù)器區(qū)的安全設(shè)備。
馬應(yīng)龍在辦公網(wǎng)出口部署了Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān),開啟防火墻、流量控制、ISP路由功能,對辦公內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)用戶進行高效轉(zhuǎn)發(fā),并開啟相應(yīng)的帶寬管理策略,保障了關(guān)鍵辦公業(yè)務(wù),限制了非正常流量,并通過使用ISP路由功能實現(xiàn)了電信、聯(lián)通互訪,有效地完成了馬應(yīng)龍正常業(yè)務(wù)辦公的支撐任務(wù)。
馬應(yīng)龍通過在IDC托管服務(wù)器群前部署Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān),開啟防火墻、IPS入侵防御功能。馬應(yīng)龍通過設(shè)置嚴謹?shù)姆阑饓^濾規(guī)則,配合精確的流并行檢測引擎,有效地保證了IDC托管服務(wù)器群的安全。
四大特點提升安全指標
1. 高性能安全防護抗攻擊能力。Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān)采用業(yè)界領(lǐng)先的多核Plus G2硬件架構(gòu),可提供相當(dāng)于數(shù)倍傳統(tǒng)設(shè)備的吞吐率、每秒新建會話數(shù)及最大并發(fā)會話數(shù),能夠滿足馬應(yīng)龍網(wǎng)絡(luò)中所有對網(wǎng)絡(luò)環(huán)境的吞吐要求。Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān)在性能方面可以達到每秒處理20萬TCP或50萬UDP的攻擊請求,在極限背景流量情況下仍可以對攻擊流進行識別和阻斷,而且系統(tǒng)還將源地址、發(fā)起的攻擊類型、時間等信息都保存到日志,方便日后審計。
2. 先進的防火墻安全防護功能。Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān)可以支持防火墻功能,能夠在深度應(yīng)用識別的基礎(chǔ)上對數(shù)據(jù)包進行過濾,重點針對重要的Web服務(wù)器進行細粒度的控制;此外,Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān)還支持基于用戶的訪問控制,部署在馬應(yīng)龍網(wǎng)絡(luò)后,與系統(tǒng)的認證系統(tǒng)整合起來,并根據(jù)不同的訪問用戶類型,來執(zhí)行不同的訪問控制規(guī)則,加強了對應(yīng)用層的防護。
3. 高效的入侵防護功能。Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān)全面支持入侵防護技術(shù),并在深度應(yīng)用識別技術(shù)上,對當(dāng)前常見的安全攻擊手段進行報警和阻斷。同時Hillstone SG-6000-G2110的IPS功能支持超過3000種的攻擊檢測和防御,支持透明模式部署,用戶可以迅速將IPS部署在網(wǎng)絡(luò)中,大大降低了IT人員的工作量,也為企業(yè)爭取了防御攻擊的寶貴時間。
4. 便捷快速的管理維護功能。Hillstone SG-6000-G2110高性能多核安全網(wǎng)關(guān)提供可快速配置的傳統(tǒng)命令行接口及直觀、易于管理的Web接口,中英文頁面便于不同用戶對其管理。同時Hillstone山石網(wǎng)科的集中管理平臺――HSM可對多臺設(shè)備進行集中管理、運行狀況監(jiān)控和日志收集,方便用戶進行快速、便捷、高效管理。
第一輸油處是長慶油田分公司下設(shè)的二級生產(chǎn)單位,下屬共有10個場站,跨越5個地(市)16個縣(區(qū)),是公司目前輸量最大的管道之一。據(jù)了解,其IT部門于2010年11月對內(nèi)進行了升級改造,以處機關(guān)的千兆接入為匯聚層,百兆連接至下屬的各輸油場站,使全網(wǎng)從三層架構(gòu)更改成二層架構(gòu)。
改造之后,終端設(shè)備數(shù)量達到近500臺,服務(wù)器超過20臺,再加之機關(guān)附屬、基層場站、培訓(xùn)中心、賓館等多業(yè)務(wù)模式下頻繁的負責(zé)的信息交換需求環(huán)境,其內(nèi)網(wǎng)安全問題日益嚴峻,內(nèi)部病毒感染事件的頻發(fā)體現(xiàn)了三大集中的網(wǎng)絡(luò)安全防護需求。
云安全讓IWSA3000脫穎而出
在網(wǎng)絡(luò)安全系統(tǒng)升級前,第一輸油處慎重周密地擬定了多家備選網(wǎng)絡(luò)安全廠商。由于網(wǎng)絡(luò)出口得到了統(tǒng)一,第一輸油處很快明確了采購需求:在互聯(lián)網(wǎng)出口處針對基于Web方式的威脅提供保護,保證惡意程序在進入內(nèi)部網(wǎng)絡(luò)前就被清除掉。
由于第一輸油處升級前的網(wǎng)絡(luò)拓撲構(gòu)造為部署Web安全網(wǎng)關(guān)、統(tǒng)一安全管理提供了有利的基礎(chǔ)條件。第一輸油處對安全網(wǎng)關(guān)主要提出了三點需求:能夠防御未知及新病毒,不影響網(wǎng)絡(luò)系統(tǒng)性能,提供可量化的安全管理。
雖然測試了多款安全網(wǎng)關(guān)產(chǎn)品,但第一輸油處發(fā)現(xiàn)這些產(chǎn)品依然在使用防毒中的“老路數(shù)”:網(wǎng)關(guān)上下載最新的特征碼、URL地址庫,然后對流量進行過濾比對。在實際測試過程中,這些產(chǎn)品本質(zhì)的缺陷和“亡羊補牢”落后策略均無法滿足防御最新病毒的要求,特別是在遇到0Day(零日)攻擊的情況下。在測試中,由于趨勢科技安全網(wǎng)關(guān)IWSA3000支持透明模式,采用透明部署方式,產(chǎn)品運行時不會對用戶日常使用習(xí)慣帶來任何的影響。最終,這款產(chǎn)品得到了用戶的認可。第一輸油處的相關(guān)領(lǐng)導(dǎo)表示:“在選擇網(wǎng)絡(luò)安全設(shè)備時,我們看重的是對網(wǎng)絡(luò)威脅實際的防范效果。經(jīng)過深層次的技術(shù)溝通,在充分了解趨勢科技產(chǎn)品云技術(shù)的實際效果和價值,并且充分了解IWSA測試評估報告后,我們最終還是決定選擇趨勢科技的IWSA3000。”
準確分析動態(tài)惡意威脅
據(jù)了解,由于趨勢科技IWSA3000采用了“云安全”技術(shù),它能夠進行動態(tài)性質(zhì)的惡意威脅分析,生成動態(tài)的信譽庫,而非“死代碼”。采用這一先進模式的趨勢科技IWSA網(wǎng)關(guān),還擁有云計算毫秒級的運算速度,可在幾分鐘內(nèi)成功攔截惡意攻擊網(wǎng)址。在一些破壞性較大的病毒尚未被媒體關(guān)注前,第一輸油處就因為已經(jīng)部署了趨勢科技IWSA 3000,而提前發(fā)現(xiàn)并成功攔截了這些病毒。此外,趨勢科技IWSA在云端數(shù)據(jù)庫中建立了該URL的病毒屬性,能幫助企業(yè)內(nèi)的分支機構(gòu)或者用戶避免再次遭受同樣的URL的侵害,從而實現(xiàn)零秒差阻擋病毒的防護效果。
部署半年以來,趨勢科技IWSA3000為長慶第一輸油處實現(xiàn)了主動攔截的惡意URL鏈接,桌面防毒系統(tǒng)發(fā)現(xiàn)病毒的比率下降也很明顯,極其顯著地緩解了終端的防毒壓力。
第一輸油處通過趨勢科技IWSA 3000報表功能的深化應(yīng)用,還實現(xiàn)了安全工作量化的管理目標。通過收集到的Top10病毒、Top10網(wǎng)站、Top10違規(guī)IP等重要數(shù)據(jù),準確定位了網(wǎng)絡(luò)內(nèi)部高風(fēng)險的客戶端,為終端用戶的教育和培訓(xùn)等具體工作及正在推進的標準化運維工作,提供了可靠的支撐。據(jù)第一輸油處的工程師介紹,趨勢科技IWSA的管理功能幫助他們確保了信息化系統(tǒng)對核心業(yè)務(wù)的穩(wěn)定運行。
趨勢科技IWSA3000被部署在第一輸油處的內(nèi)網(wǎng)核心交換機和出口防火墻之間,這類網(wǎng)絡(luò)拓撲在大型網(wǎng)絡(luò)中是非常常見的結(jié)構(gòu)。而IWSA3000可以用透明的方式進行架設(shè),不需要更改原有網(wǎng)絡(luò)拓撲結(jié)構(gòu)。根據(jù)企業(yè)需求,IWSA3000還提供了強大的圖形化報表功能。第一輸油處的網(wǎng)絡(luò)安全管理員表示,趨勢科技IWSA3000大大緩解了網(wǎng)絡(luò)安全管理人員的壓力。
【關(guān)鍵詞】網(wǎng)絡(luò)安全;動態(tài)防護體系;設(shè)計;實現(xiàn)
在信息高速發(fā)展的今天,全球化的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)打破了傳統(tǒng)的地域限制,世界各地應(yīng)用網(wǎng)絡(luò)越來越廣泛。但是隨著通過對網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)訪問的不斷增加,其不穩(wěn)定因素也隨之增加,為了保障網(wǎng)絡(luò)環(huán)境的動態(tài)安全,應(yīng)采用基于動態(tài)監(jiān)測的策略聯(lián)動響應(yīng)技術(shù),實現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實時主動防御。
1 動態(tài)安全防護機理分析
要實現(xiàn)網(wǎng)絡(luò)交換設(shè)備的動態(tài)安全防護,必須能夠在保證設(shè)備本身安全的前提下對進入設(shè)備的數(shù)據(jù)流進行即時檢測和行為分析,根據(jù)分析結(jié)果匹配相應(yīng)的響應(yīng)策略,并實時將策略應(yīng)用于網(wǎng)絡(luò)交換設(shè)備訪問控制硬件,達到阻斷后續(xù)攻擊、保護網(wǎng)絡(luò)交換設(shè)備正常業(yè)務(wù)運行的目的。
2 設(shè)計與實現(xiàn)
2.1 安全主動防御模型設(shè)計
網(wǎng)絡(luò)安全主動防御通過采用積極主動的網(wǎng)絡(luò)安全防御手段,和傳統(tǒng)的靜態(tài)安全防御手段結(jié)合,構(gòu)筑安全的防御體系模型。網(wǎng)絡(luò)安全主動防御模型是一個可擴展的模型,由管理、策略和技術(shù)三個層次組成:
1)管理層是整個安全模型的核心,通過合理的組織體系、規(guī)章制度和措施,把具有信息安全防御功能的軟硬件設(shè)施和使用信息的人整合在一起,確保整個系統(tǒng)達到預(yù)定程度的信息安全。
2)策略層是整個網(wǎng)絡(luò)安全防御的基礎(chǔ),通過安全策略來融合各種安全技術(shù)達到網(wǎng)絡(luò)安全最大化。
3)技術(shù)層主要包括監(jiān)測、預(yù)警、保護、檢測、響應(yīng)。
監(jiān)測是通過一定的手段和方法發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)潛在的隱患,防患于未然。預(yù)警是對可能發(fā)生的網(wǎng)絡(luò)攻擊給出預(yù)先的警告,主要是通過收集和分析從開放信息資源搜集而獲得的數(shù)據(jù)來判斷是否有入侵傾向和潛在的威脅。保護是指根據(jù)數(shù)據(jù)流的行為分析結(jié)果所提前采取的技術(shù)防護手段。檢測是指對系統(tǒng)當(dāng)前運行狀態(tài)或網(wǎng)絡(luò)資源進行實時檢測,及時發(fā)現(xiàn)威脅系統(tǒng)安全的入侵者。響應(yīng)是對危及網(wǎng)絡(luò)交換設(shè)備安全的事件和行為做出反應(yīng),根據(jù)檢測結(jié)果分別采用不同的響應(yīng)策略。
這幾個部分相輔相成,相互依托,共同構(gòu)建集主動、被動防御于一體的網(wǎng)絡(luò)交換設(shè)備安全立體防護模型。
網(wǎng)絡(luò)安全預(yù)警模塊通過網(wǎng)絡(luò)主動掃描與探測技術(shù),實現(xiàn)網(wǎng)絡(luò)信息的主動獲取,建立起相對于攻擊者的信息優(yōu)勢。網(wǎng)絡(luò)安全預(yù)警模塊根據(jù)數(shù)據(jù)流行為分析的具體結(jié)果,針對有安全風(fēng)險的設(shè)備采用通用的網(wǎng)絡(luò)交換設(shè)備掃描與探測技術(shù)進行實時監(jiān)控,隨時掌握這些設(shè)備的當(dāng)前狀態(tài)信息,并根據(jù)其狀態(tài)的變化實時更新網(wǎng)絡(luò)安全防護系統(tǒng)的相關(guān)表項,使網(wǎng)絡(luò)安全防護系統(tǒng)進行模式匹配時所使用的規(guī)則符合當(dāng)前網(wǎng)絡(luò)中的實際情況,有效地提升系統(tǒng)的安全防護能力和效率。
安全管理平臺主要由安全策略表、日志報警管理和用戶操作管理組成。其中,安全策略表是網(wǎng)絡(luò)數(shù)據(jù)流處理的依據(jù),數(shù)據(jù)流訪問控制模塊和行為安全分析模塊根據(jù)安全策略表中定義的規(guī)則對匹配的數(shù)據(jù)流進行相應(yīng)的控制和處理。日志報警管理通過查詢數(shù)據(jù)流行為安全分析、網(wǎng)絡(luò)安全預(yù)警等模塊產(chǎn)生的工作日志,對其內(nèi)容進行動態(tài)監(jiān)視,根據(jù)預(yù)設(shè)報警級別和報警方式產(chǎn)生相應(yīng)的報警信息并通知系統(tǒng)維護人員進行相應(yīng)處理。用戶操作管理實時接收用戶輸入命令,完成命令解釋,實現(xiàn)對安全防護系統(tǒng)的相關(guān)查詢和配置管理。
2.2 動態(tài)策略聯(lián)動響應(yīng)設(shè)計
(1)數(shù)據(jù)流分類
網(wǎng)絡(luò)數(shù)據(jù)流進入時,首先根據(jù)訪問控制規(guī)則對數(shù)據(jù)流進行過濾,過濾通過的報文在向上遞交的同時被鏡像到數(shù)據(jù)流識別及分類處理模塊,該模塊首先通過源IP、目的IP、源端口、目的端口、協(xié)議類型五元組對數(shù)據(jù)流進行分類,然后根據(jù)流識別數(shù)據(jù)庫的預(yù)設(shè)規(guī)則確定數(shù)據(jù)流的分類結(jié)果。在分類處理過程中,為提高處理效率,首先將五維分類查找問題分解降維為二維問題,利用成熟的二維IP分類算法進行初步分類。由于協(xié)議類型僅限于幾個值,所以可以壓縮所有分類規(guī)則中協(xié)議類型字段,將其由8位壓縮為3位,節(jié)省數(shù)據(jù)庫空間。由于規(guī)則實際所用到的端口號為0-65535中極少一部分,協(xié)議值和端口值不同情況的組合數(shù)目遠遠小于最大理論值。
(2)深度特征匹配
數(shù)據(jù)流在進行分類識別后,送入并行檢測器進行深度特征匹配,匹配結(jié)果送入行為安全分析模塊進行綜合分析和判斷,并根據(jù)具體分析結(jié)果進行相應(yīng)的策略響應(yīng)。檢測器通過預(yù)設(shè)在數(shù)據(jù)庫中的攻擊流檢測規(guī)則對應(yīng)用報文中的多個相關(guān)字段進行特征檢查和匹配,最終確定該數(shù)據(jù)流的屬性。
為了保證檢測器處理入侵信息的完整性,每個檢測器只負責(zé)某一類(或幾類)具體應(yīng)用網(wǎng)絡(luò)流量的檢測,檢測器之間采用基于應(yīng)用的負載均衡算法,該算法根據(jù)各檢測器的當(dāng)前負載情況和可用性狀況來動態(tài)調(diào)節(jié)各檢測器負載,具體原則為:同一類型應(yīng)用報文分配到同一類檢測器,同類型應(yīng)用報文基于負載最小優(yōu)先原則進行檢測器分配。
(3)策略聯(lián)動響應(yīng)
檢測到網(wǎng)絡(luò)攻擊時,數(shù)據(jù)流行為安全分析模塊根據(jù)攻擊的危險等級采取相應(yīng)的攻擊響應(yīng)機制,對普通危險等級的攻擊只報告和記錄攻擊事件,對高危險的攻擊使用主動實時響應(yīng)機制。主動響應(yīng)機制能有效提高系統(tǒng)的防御能力,為了避免產(chǎn)生誤聯(lián)動,主要是為一些關(guān)鍵的敏感業(yè)務(wù)流提供更高等級的保護。主動響應(yīng)機制將與安全策略直接聯(lián)動,阻止信息流穿越網(wǎng)絡(luò)邊界,切斷惡意的網(wǎng)絡(luò)連接操作。
3 應(yīng)用驗證
通過設(shè)計一臺基于動態(tài)策略聯(lián)動響應(yīng)的網(wǎng)絡(luò)安全防護技術(shù)的安全網(wǎng)絡(luò)交換設(shè)備來驗證該技術(shù)在實際網(wǎng)絡(luò)應(yīng)用環(huán)境中的安全防護能力。安全網(wǎng)絡(luò)交換設(shè)備的硬件邏輯由數(shù)據(jù)處理模塊,安全監(jiān)測模塊和管理控制模塊組成。
該應(yīng)用驗證環(huán)境在設(shè)計上的主要特點在于:
1)該系統(tǒng)以可自主控制的高性能網(wǎng)絡(luò)交換芯片為硬件核心,并針對網(wǎng)絡(luò)攻擊特點對網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件進行修改和完善,從根本上保證了網(wǎng)絡(luò)交換設(shè)備本身的安全性。
2)安全監(jiān)測模塊與網(wǎng)絡(luò)交換設(shè)備系統(tǒng)軟件相對獨立,保證了網(wǎng)絡(luò)交換設(shè)備在遭受攻擊時安全監(jiān)測和處理任務(wù)不受影響。
3)安全監(jiān)測模塊可根據(jù)實時網(wǎng)絡(luò)數(shù)據(jù)行為分析結(jié)果對網(wǎng)絡(luò)交換設(shè)備硬件進行實時安全防護設(shè)置,實現(xiàn)動態(tài)策略聯(lián)動應(yīng)對。
4 結(jié)論
為了解決網(wǎng)絡(luò)交換設(shè)備的動態(tài)安全問題,采用基于動態(tài)監(jiān)測的策略聯(lián)動響應(yīng)技術(shù),可實現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)交換設(shè)備的實時主動防御。通過Snort等常用攻擊軟件對安全網(wǎng)絡(luò)交換設(shè)備進行測試,結(jié)果表明,該安全網(wǎng)絡(luò)交換設(shè)備能夠有效地抗擊包括泛洪攻擊、IP碎片、拒絕服務(wù)攻擊等多種網(wǎng)絡(luò)攻擊形式,保證網(wǎng)絡(luò)交換設(shè)備的正常業(yè)務(wù)不受影響,同時能夠正確產(chǎn)生安全日志和相應(yīng)的報警信息。并且基于該技術(shù)實現(xiàn)的網(wǎng)絡(luò)交換設(shè)備已應(yīng)形成產(chǎn)品,實際使用情況良好。
參考文獻:
“三大陷阱” 騙君入甕
利用云計算,我們可以有效地提升系統(tǒng)效能、降低成本,凸顯業(yè)務(wù)的價值。正是看到了云計算的誘人前景,幾乎所有的IT企業(yè)都極為重視云計算技術(shù)的研究及應(yīng)用。云安全技術(shù)從概念發(fā)展到產(chǎn)品,展現(xiàn)出了強大的應(yīng)用潛力:通過部署在云端的大量客戶端,云安全系統(tǒng)可以將搜集到的威脅信息傳送到服務(wù)器端進行自動分析和處理,再把防護策略分發(fā)到每一個網(wǎng)站節(jié)點上,達到提前一步化解威脅入侵能力。
但是,市場上很多“云安全網(wǎng)站防護系統(tǒng)”只是打著“云安全”的幌子,本質(zhì)還是傳統(tǒng)的安全防護架構(gòu)和技術(shù),其應(yīng)用效果也和傳統(tǒng)產(chǎn)品相差無幾。我們通過對一些被騙企業(yè)的走訪發(fā)現(xiàn),用戶不但反映“藥效”一般,還有可能造成無法挽回的財產(chǎn)損失:
? 陷阱一:掛羊頭買狗肉
很多網(wǎng)站防護系統(tǒng)的云概念其實只是在傳統(tǒng)產(chǎn)品的基礎(chǔ)上增強了網(wǎng)絡(luò)應(yīng)用,所做的也僅是將部分安全威脅信息上傳到服務(wù)器上,然后由服務(wù)器對信息進行簡單的搜集、處理,而沒有構(gòu)建一個基于云端的安全體系。由于技術(shù)實力根本達不到云安全的門檻,他們只能采用“傳統(tǒng)安全產(chǎn)核心+表層網(wǎng)絡(luò)應(yīng)用”的內(nèi)部工作模式。當(dāng)然,這還算對得起用戶的,有些產(chǎn)品對外卻宣稱是云安全架構(gòu),用戶使用之后才發(fā)現(xiàn),這不就是原來的防火墻和入侵檢測系統(tǒng)嗎?臉都不洗就出來見人了。
? 陷阱二:手工作坊兌假酒
市場上的假酒泛濫,一不小心就容易買到假酒,假酒可謂是害人不淺,輕則傷身、重則喪命。一些所謂的云安全產(chǎn)品部分、或者完全不能為企業(yè)網(wǎng)站提供云端接入方式。如果用戶冒然采用這些產(chǎn)品,穩(wěn)定性將會成為更令人頭疼問題,比如:無法在國內(nèi)提供接入節(jié)點、企業(yè)在接入后會出現(xiàn)2~3小時的中斷等等,最終用戶無法訪問網(wǎng)絡(luò)資源,直接造成IT投資失敗等重大損失。
? 陷阱三:黑客攻擊“與我們無關(guān)”
一位來自河北某市的網(wǎng)站站長在微博中公開留言道自己的網(wǎng)站有13萬注冊用戶,在各大搜索引擎中都是當(dāng)?shù)嘏琶谝坏摹km然購買了云安全產(chǎn)品進行保護,但在受到了不明黑客的DDoS攻擊之后,商家卻告訴他這個需要自己聯(lián)系信息安全部門解決。雖然這位站長最終用安全寶所提供的網(wǎng)站安全解決方案解決了問題,但在追討之前的損失時,商家仍然表示“這與我們無關(guān)”。
辨別“真”云安全有妙招
作為國內(nèi)第一家采用零部署的云安全技術(shù)的企業(yè),安全寶聯(lián)合產(chǎn)品副總裁吳翰清曾公開表示:“辨別真正的云安全產(chǎn)品對于用戶來說并非易事,這是因為,很多技術(shù)對于普通的企業(yè)用戶來說會先的非常神秘。但如果從云產(chǎn)生的背景中進行分析,就可以清晰的辨別出真假,這包括:無處不在的服務(wù)、無所不能的服務(wù)。”
如果無法從技術(shù)細節(jié)上考察所購買的產(chǎn)品,那么如何才能辨別云安全產(chǎn)品的真?zhèn)文兀繀呛睬鍨槲覀兲峁┝藘蓷l最簡單的方法:對比、試用。
首先,是與傳統(tǒng)安全防護模式的對比。智能學(xué)習(xí)、資源靈活是云安全模式的典型特點,也是其相對于傳統(tǒng)安全產(chǎn)品的最大區(qū)別。實時更新的規(guī)則可以幫助用戶網(wǎng)站更快速、更有效的應(yīng)對最新的安全威脅,并采取相應(yīng)的防護手段。但是,偽云安全網(wǎng)站防護系統(tǒng)由于沒有構(gòu)建基于云端的安全體系,因此只有固定的防護規(guī)則,無法迅速應(yīng)對新型安全風(fēng)險。安全寶為網(wǎng)站提出了革命性的替身安全模式,這是傳統(tǒng)的被動防護模式所不能具備的。以用戶網(wǎng)站替身的形式為用戶抵擋網(wǎng)站滲透和DDoS攻擊等安全威脅,這樣就有了關(guān)鍵時刻能夠替你“擋子彈”的保鏢,真正保護用戶原始服務(wù)器。
其次,用戶可以采用試用形式接入云安全網(wǎng)絡(luò)。云計算并非只是簡單的一個概念,真正落地需要廠商投入大量的資金在“云”的建設(shè)上,而試用環(huán)節(jié),則是考察產(chǎn)品和廠商能力最簡便的途徑。具體在云安全網(wǎng)站防護系統(tǒng)中,廠商就需要在各地配備大量的節(jié)點,并通過這些節(jié)點來搜集、處理相關(guān)信息,以保證良好的效果。
近年來,在網(wǎng)絡(luò)安全市場需求從單一化向多元化轉(zhuǎn)變的過程中,綜合安全網(wǎng)關(guān)是發(fā)展最迅猛的產(chǎn)品之一,它把多種技術(shù)相互融合,保護范圍從單一性擴展到更復(fù)雜的應(yīng)用層面,近期,衛(wèi)士通向大型企業(yè)市場及各級行業(yè)市場推出新一代多功能綜合安全網(wǎng)關(guān)――CG―USG3000系列,共包括USG3010、USG3020、USG3030、USG3040、USG3050、USG3060六款產(chǎn)品,就該系列產(chǎn)品的技術(shù)特點,記者近期采訪了衛(wèi)士通公司產(chǎn)品經(jīng)理羅慧,對其產(chǎn)品進行了詳細的解讀。
羅慧介紹,雖然“綜合”是安全網(wǎng)關(guān)的共性,但各廠商會根據(jù)各自的技術(shù)特長與行業(yè)經(jīng)驗積累,推出具有自己核心優(yōu)勢的綜合網(wǎng)關(guān)產(chǎn)品。
相對于中小用戶關(guān)注性價比,而高端用戶重視防御效果、可管理性,USG3000系列在這兩方面有優(yōu)異的表現(xiàn)。
基于衛(wèi)士通公司在安全行業(yè)數(shù)十年的技術(shù)積累,結(jié)臺了行業(yè)發(fā)展特征和客戶的廣泛需求,USG3000系列在支持防火墻、IPS、VPN、防病毒的基礎(chǔ)上,更加注重內(nèi)容安全及信息過濾,在應(yīng)用層進行了安全技術(shù)融合,支持內(nèi)容過濾、反垃圾郵件、P2P阻斷和限流、IM軟件控制等,使該款產(chǎn)品真正達到了多功能、超實用、易管理的至高境界,可以幫助企業(yè)用戶解決多方面的安全困擾。
中華衛(wèi)士USG3000系列集防火墻、VPN、入侵防御(IPS)、防病毒、內(nèi)容過濾、反垃圾郵件、P2P阻斷和限流、IM軟件控制等多種功能于一體,并創(chuàng)新突出了流量管理、DDoS防護和可視化系統(tǒng)查看工具等功能,可謂集“萬千寵愛于一身”,為大中企業(yè)、分支機構(gòu)、大型行業(yè)用戶提供了多方位、深層次的內(nèi)外安全防護。它的出現(xiàn)將全面提升各級用戶的安全防護能力,避免用戶采購及管理多種設(shè)備的各項成本,進而大大節(jié)省了投資。
隨著信息安全業(yè)的發(fā)展,安全需求開始逐步呈現(xiàn)出網(wǎng)絡(luò)化和復(fù)雜化的態(tài)勢。
衛(wèi)士通在多年ASIC防火墻的基礎(chǔ)上,創(chuàng)新性地引入了Soft ASIC的架構(gòu),把ASIC中的精華部分通過可編程的邏輯或優(yōu)化過的基層軟件來實現(xiàn)。此舉不僅提升了產(chǎn)品性能,同時還解決了ASIC硬件芯片開發(fā)周期長、升級困難等問題,并結(jié)合多核處理器和硬件加速器,使USG3000系列的內(nèi)容處理性能大幅提升,滿足了用戶對產(chǎn)品日益增加的擴展性需求。
此外,產(chǎn)品還具有超強的網(wǎng)絡(luò)適應(yīng)性,可支持路由、透明和混合三種模式的部署。無論是靜態(tài)路由、策略路由、ISP路由、動態(tài)路由等各種狀態(tài),USG3000系列都可從架構(gòu)的底層支持IPv6,具備極好的網(wǎng)絡(luò)兼容性。
值得一提的還包括,USG 3000系列可針對HTTP、FTP、SMTP和POP3協(xié)議進行防病毒操作。除了對HTTP/FTP支持URL黑白名單、命令過濾、文件類型過濾外,該系列產(chǎn)品還可自動控制文件,多線程下載內(nèi)容,進而有效管理IM、P2P、游戲、股票等應(yīng)用程序。
不僅如此,USG3000系列產(chǎn)品還集中監(jiān)控企業(yè)網(wǎng)絡(luò)中的安全設(shè)備。通過實時監(jiān)控、日志分析、性能跟蹤、事件關(guān)聯(lián)幫助管理員多角度透析網(wǎng)絡(luò)狀態(tài),從而采取措施來維護網(wǎng)絡(luò)健康和提高運行效率。USG3000系列特別提出由集中配置、批量配置、策略配置構(gòu)建成的立體配置模型,使得多機部署輕松完成,極大簡化了管理員的工作。
作為一個大型的金融企業(yè),中國長城資產(chǎn)管理公司(以下稱長城資產(chǎn)管理公司)深知信息技術(shù)和網(wǎng)絡(luò)技術(shù)對公司發(fā)展的重要性,公司總部與各省分支機構(gòu)之間已經(jīng)有2M鏈路相連,總部與各省分支機構(gòu)均與Internet連接。
“雙刃劍”困擾公司發(fā)展
隨著金融科技的發(fā)展,現(xiàn)代金融企業(yè)的業(yè)務(wù)開展越來越依賴于網(wǎng)絡(luò)。但網(wǎng)絡(luò)是一柄雙刃劍,在幫助公司發(fā)展業(yè)務(wù)的同時也帶來了一系列的安全問題。長城資產(chǎn)管理公司意識到網(wǎng)絡(luò)安全的重要性,并決定建立網(wǎng)絡(luò)安全體系。
長城資產(chǎn)管理公司總部的安全建設(shè)已經(jīng)部署了防火墻FW、防病毒AV、入侵檢測IDS和補丁管理系統(tǒng)。但各省分支機構(gòu)在安全建設(shè)方面幾乎是一片空白,技術(shù)力量弱,IT技術(shù)人員缺乏。
關(guān)注“短板”的建設(shè)
長城資產(chǎn)管理公司信息技術(shù)部安全處處長曾德超表示,長城資產(chǎn)管理公司的關(guān)鍵和核心數(shù)據(jù)存儲在總部,分支機構(gòu)的服務(wù)器沒有存儲重要數(shù)據(jù)。針對目前的這個現(xiàn)狀,把總部的安全建設(shè)作為工作重點的做法是比較可取的,也是比較經(jīng)濟的。但是分支機構(gòu)的安全建設(shè)與總部之間存在著嚴重的不平衡,這種不平衡會使總部的安全建設(shè)的成果和效果大打折扣。因為信息安全建設(shè)的總體效果不是取決于最堅固的環(huán)節(jié),相反是取決于最薄弱的鏈條,這就是著名的“木桶原理”。因此,分支機構(gòu)的基本安全保障建設(shè)就顯得尤為重要。
細粒度的訪問控制、病毒和蠕蟲的防護以及總部與分支機構(gòu)之間數(shù)據(jù)的加密傳輸和身份認證等等,都是來自分支機構(gòu)的安全需求,因此對于分支機構(gòu)來講,選擇一種包含防火墻、VPN和病毒防護等多種功能的安全產(chǎn)品,即UTM(統(tǒng)一威脅管理)是滿足上述要求的最佳解決方案。
長城資產(chǎn)管理公司總部與分支機構(gòu)之間通過單一鏈路很容易出現(xiàn)單點故障,因此,需要增加冗余鏈路作為備份。另外,就當(dāng)前網(wǎng)絡(luò)現(xiàn)狀和應(yīng)用功能,該公司的安全建設(shè)和管理,比較適合采用總部統(tǒng)一安全管理策略,對分支機構(gòu)進行集中管理的方式。
經(jīng)過仔細的調(diào)研和分析之后,長城資產(chǎn)管理公司決定實施如下的安全戰(zhàn)略:采用集中管理策略,并使用UTM產(chǎn)品 ,在公司總部和各個分支機構(gòu)進行統(tǒng)一部署。
一方面,集中管理可以從最大程度上節(jié)約公司的安全成本,特別是安全管理成本。同時利于總部及時掌握各個分支機構(gòu)的安全狀況,對整個公司的安全狀況了然于心,也便于進行安全檢查和安全審計。
另一方面,選擇UTM產(chǎn)品進行統(tǒng)一實施,可順利解決分支機構(gòu)的基本安全保障問題,在所有的分支機構(gòu)全部部署UTM產(chǎn)品,一攬子解決所有分支機構(gòu)的安全問題。此外,UTM產(chǎn)品具有如下功能上和管理上的優(yōu)勢:支持點對點VPN連接,實現(xiàn)集中式管理;建立總部與各省分支機構(gòu)之間的VPN連接,作為現(xiàn)有專線的備份鏈路;保護各省分支機構(gòu)免受來自Internet的惡意攻擊或者蠕蟲/病毒感染;實現(xiàn)移動用戶的安全接入;實現(xiàn)統(tǒng)一威脅管理,構(gòu)成立體防御體系,避免多種安全產(chǎn)品各自為政,條塊分割等。
擇UTM鑄造網(wǎng)絡(luò)長城
“長城資產(chǎn)管理公司對市場上的多功能安全網(wǎng)關(guān)產(chǎn)品進行逐一比較和分析后,最終選擇了天清漢馬多功能安全網(wǎng)關(guān),它集成了多種強大的功能,不僅提供防火墻、病毒過濾功能,還提供TCP技術(shù)防范拒絕服務(wù)攻擊、連接數(shù)限制、靈活的策略路由、AAA認證、準確的BT封鎖功能及完備的NAT功能等,能夠很好地滿足長城資產(chǎn)管理公司的安全需求。” 曾德超如是說。
該項目實施后,長城資產(chǎn)管理公司總部與各分支機構(gòu)IT系統(tǒng)的安全性得到大大加強,公司運營效率和管理效率也得到了很大的提高。
編輯點評:現(xiàn)代金融企業(yè)的業(yè)務(wù)開展越來越依賴于網(wǎng)絡(luò)已是不爭的事實,而與之相應(yīng)的安全問題亦越來越突出。對金融行業(yè)來說,安全問題往往是致命的,網(wǎng)絡(luò)安全的建設(shè)任重而道遠!
?業(yè)界動態(tài)?
McAfee發(fā)現(xiàn)第20萬個惡意威脅
McAfee 近期宣布McAfee Avert實驗室把第10萬個威脅添加到其2004年9月份的數(shù)據(jù)庫當(dāng)中,并已經(jīng)發(fā)現(xiàn)第20萬個惡意威脅。 (李)
SONICWALL公布UTM設(shè)備市場報告
7月25日,SonicWALL宣布連續(xù)第五季度保持全球統(tǒng)一威脅管理(UTM)安全設(shè)備市場領(lǐng)導(dǎo)地位。根據(jù)今年7月IDC的全球安全設(shè)備跟蹤報告,于第一季度SonicWALL在銷售數(shù)量和工廠營收方面處于總體領(lǐng)導(dǎo)地位。 (剛)
聯(lián)想網(wǎng)御開啟全國技術(shù)巡禮
近日,聯(lián)想網(wǎng)御正式在廣州開啟主題為“藍海”的“2006年聯(lián)想網(wǎng)御全國技術(shù)巡禮”。本次巡禮歷時3個多月,覆蓋了包括華東、華南、西北等在內(nèi)的全國上百個城市,是目前業(yè)界覆蓋范圍最大的一次信息安全技術(shù)巡禮。 (何)
論文關(guān)鍵詞:安全審計 日志 數(shù)據(jù)挖掘
論文摘要:該文提出了無線網(wǎng)關(guān)安全審計系統(tǒng)的系統(tǒng)模型,詳細介紹了該系統(tǒng)的設(shè)計思想和流程。在系統(tǒng)中通過改進syslog機制,引入有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù),實現(xiàn)對無線網(wǎng)關(guān)的安全審計。
無線網(wǎng)關(guān)作為無線網(wǎng)絡(luò)與布線網(wǎng)絡(luò)之間的橋梁,所有的通信都必須經(jīng)過無線網(wǎng)關(guān)的審計與控制。在無線網(wǎng)絡(luò)中,無線網(wǎng)關(guān)放置在無線網(wǎng)絡(luò)的邊緣,相當(dāng)于無線網(wǎng)絡(luò)的大門,當(dāng)無線網(wǎng)關(guān)遭到攻擊和入侵時,災(zāi)難會殃及整個無線網(wǎng)絡(luò),使無線網(wǎng)絡(luò)不能工作或異常工作,由此可見,對無線網(wǎng)關(guān)進行安全審計是十分有意義的。
一、系統(tǒng)概述
本文研究的安全審計系統(tǒng)是北京市重點實驗室科研項目智能化無線安全網(wǎng)關(guān)的一部分。智能化無線安全網(wǎng)關(guān)在無線網(wǎng)關(guān)上集成具有IDS和防火墻功能的模塊,以及控制和阻斷模塊,這些功能模塊在統(tǒng)一操作系統(tǒng)的基礎(chǔ)上,既各司其職,又密切合作,共同完成防范、預(yù)警、響應(yīng)和自學(xué)習(xí)的功能,構(gòu)成一個有機的安全體系。
無線網(wǎng)關(guān)的安全審計系統(tǒng),其主要功能就是在事后通過審計分析無線安全網(wǎng)關(guān)的日志信息,識別系統(tǒng)中的異常活動,特別是那些被其他安全防范措施所遺漏的非法操作或入侵活動,并采取相應(yīng)的報告,以有利于網(wǎng)絡(luò)管理員及時有效地對入侵活動進行防范,確保網(wǎng)絡(luò)的安全。無線網(wǎng)關(guān)安全審計系統(tǒng)是針對無線網(wǎng)絡(luò)的安全運作而提出的,主要包括數(shù)據(jù)控制、數(shù)據(jù)采集、日志歸類、日志的審計與報警等幾大基本功能。
首先,審計系統(tǒng)的數(shù)據(jù)控制模塊對進出的數(shù)據(jù)信息進行嚴格的控制,根據(jù)預(yù)定義的規(guī)則進行必要的限制,適當(dāng)?shù)亟档惋L(fēng)險。其次,安全審計系統(tǒng)的數(shù)據(jù)采集模塊收集無線安全網(wǎng)關(guān)的網(wǎng)絡(luò)日志、系統(tǒng)日志、及用戶和應(yīng)用日志。隨后,采集部件收集到的日志記錄被送到日志歸類模塊,根據(jù)日志記錄行為的不同層次來進行分類。最后,使用審計與報警模塊對日志記錄進行審計分析。這時可以根據(jù)預(yù)先定義好的安全策略對海量的日志數(shù)據(jù)進行對比分析,以檢測出無線網(wǎng)關(guān)中是否存在入侵行為、異常行為或非法操作。管理員可以初始化或變更系統(tǒng)的配置和運行參數(shù),使得安全審計系統(tǒng)具有良好的適應(yīng)性和可操作性。
二、系統(tǒng)設(shè)計
1、系統(tǒng)結(jié)構(gòu)組成
2、設(shè)計思想
系統(tǒng)從數(shù)據(jù)采集點采集數(shù)據(jù),將數(shù)據(jù)進行處理后放入審計數(shù)據(jù)庫,采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法,從“正常”的日志數(shù)據(jù)中發(fā)掘“正常”的網(wǎng)絡(luò)通信模式,并和常規(guī)的一些攻擊規(guī)則庫進行關(guān)聯(lián)分析,達到檢測網(wǎng)絡(luò)入侵行為和非法操作的目的。
3、系統(tǒng)的詳細設(shè)計
(1)數(shù)據(jù)的控制
數(shù)據(jù)控制模塊使用基于Netfilter架構(gòu)的防火墻軟件iptables對進出的數(shù)據(jù)信息進行嚴格的控制,適當(dāng)?shù)亟档惋L(fēng)險。
(2)數(shù)據(jù)的采集
數(shù)據(jù)采集模塊,即日志的采集部件,為了實現(xiàn)日志記錄的多層次化,即需記錄網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和用戶等各種行為來全面反映黑客的攻擊行為,所以在無線安全網(wǎng)關(guān)中設(shè)置了多個數(shù)據(jù)捕獲點,其主要有系統(tǒng)審計日志、安全網(wǎng)關(guān)日志、防火墻日志和入侵檢測日志4種。
(3)日志的歸類
日志歸類模塊主要是為了簡化審計時的工作量而設(shè)計的,它的主要功能是根據(jù)日志記錄行為的不同層次來進行分類,將其歸為網(wǎng)絡(luò)行為、系統(tǒng)行為,應(yīng)用行為、用戶行為中的一種,同時進行時間歸一化。進行日志分類目的是對海量信息進行區(qū)分,以提高日志審計時的分析效率。
(4)日志審計與報警
日志審計與報警模塊側(cè)重對日志信息的事后分析,該模塊的主要功能是對網(wǎng)關(guān)日志信息進行審計分析,即將收到的日志信息通過特定的策略進行對比,以檢測出不合規(guī)則的異常事件。隨著審計過程的進行,若該異常事件的可疑度不斷增加以致超過某一閾值時,系統(tǒng)產(chǎn)生報警信息。該模塊包括日志信息的接收、規(guī)則庫的生成、日志數(shù)據(jù)的預(yù)處理、日志審計等幾個功能。
三、系統(tǒng)的實現(xiàn)
1、系統(tǒng)的開發(fā)環(huán)境
智能無線安全網(wǎng)關(guān)安全審計系統(tǒng)是基于linux操作系統(tǒng)開發(fā)的B/S模式的日志審計系統(tǒng)。開發(fā)工具為前臺:Windows XPprofessional+html+php后臺:Linux+Apache+Mysql+C++。
2、系統(tǒng)的處理流程
前面已經(jīng)詳細介紹了該系統(tǒng)的設(shè)計思想,系統(tǒng)的處理流程如圖2所示:
3、日志歸類模塊的實現(xiàn)
無線網(wǎng)關(guān)的日志采用linux的syslog機制進行記錄,syslog記錄的日志中日期只包含月和日,沒有年份。在本模塊中,對日志記錄的syslog機制進行一些改進,克服其在日志中不能記錄年的問題。
下面以無線網(wǎng)關(guān)的日志為例,說明其實現(xiàn)過程。網(wǎng)關(guān)日志的保存文件為gw.log,用一個shell腳本,在每月的第一天零點,停止syslogd進程,在原來的文件名后面加上上一個月的年和月,如gw.log200603,再新建一個gw.log用于記錄當(dāng)月的日志,再重啟syslogd記錄日志。這樣就把每月的日志存放在有標志年月的文件中,再利用C++處理一下,在記錄中加入文件名中的年份。
4、日志審計與報警模塊的實現(xiàn)
(1)日志審計模塊的處理流程
(2)規(guī)則庫生成的實現(xiàn)
安全審計系統(tǒng)所采用的審計方法主要是基于對日志信息的異常檢測,即通過對當(dāng)前日志描述的用戶行為是否與已建立的正常行為輪廓相背離來鑒別是否有非法入侵或者越權(quán)操作的存在。該方法的優(yōu)點是無需了解系統(tǒng)的缺陷,有較強的適應(yīng)性。
這里所說的規(guī)則庫就是指存儲在檢測異常數(shù)據(jù)時所要用到的正常的網(wǎng)絡(luò)通信及操作規(guī)則的數(shù)據(jù)庫。規(guī)則庫的建立主要是對正常的日志信息通過數(shù)據(jù)挖掘的相關(guān)算法進行挖掘來完成。首先系統(tǒng)從數(shù)據(jù)采集點采集數(shù)據(jù),將數(shù)據(jù)進行處理后放入審計數(shù)據(jù)庫,通過執(zhí)行安全審計讀入規(guī)則庫來發(fā)現(xiàn)入侵事件,將入侵時間記錄到入侵時間數(shù)據(jù)庫,而將正常日志數(shù)據(jù)的訪問放入安全的歷史日志庫,并通過數(shù)據(jù)挖掘來提取正常的訪問模式。最后通過舊的規(guī)則庫、入侵事件以及正常訪問模式來獲得最新的規(guī)則庫。可以不停地重復(fù)上述過程,不斷地進行自我學(xué)習(xí)的過程,同時不斷更新規(guī)則庫,直到規(guī)則庫達到穩(wěn)定。
(3)日志信息審計的實現(xiàn)
日志審計主要包括日志信息的預(yù)處理和日志信息的異常檢測兩個部分。在對日志進行審計之前,我們首先要對其進行處理,按不同的類別分別接收到日志信息數(shù)據(jù)庫的不同數(shù)據(jù)表中。此外,由于我們所捕獲的日志信息非常龐大,而系統(tǒng)中幾乎所有的分析功能都必須建立在對這些數(shù)據(jù)記錄進行處理的基礎(chǔ)上。而這些記錄中存在的大量冗余信息,在對它們進行的操作處理時必將造成巨大的資源浪費,降低了審計的效率。因此有必要在進行審計分析之前盡可能減少這些冗余信息。所以,我們在異常檢測之前首先要剔除海量日志中對審計意義不大及相似度很大的冗余記錄,從而大大減少日志記錄的數(shù)目,同時大大提高日志信息的含金量,以提高系統(tǒng)的效率。采用的方式就是將收集到的日志分為不同類別的事件,各個事件以不同的標識符區(qū)分,在存放日志的數(shù)據(jù)庫中將事件標識設(shè)為主鍵,如有同一事件到來則計數(shù)加一,這樣就可以大大降低日志信息的冗余度。
在日志信息經(jīng)過預(yù)處理之后,我們就可以對日志信息進行審計了。審計的方法主要是將日志信息與規(guī)則庫中的規(guī)則進行對比,如圖3所示,對于檢測出的不合規(guī)則的記錄,即違反規(guī)則的小概率事件,我們記錄下其有效信息,如源,目的地址等作為一個標識,并對其設(shè)置一懷疑度。隨著日志審計的進行,如果屬于該標識的異常記錄數(shù)目不斷增加而達到一定程度,即懷疑度超過一定閾值,我們則對其產(chǎn)生報警信息。
四、數(shù)據(jù)挖掘相關(guān)技術(shù)
數(shù)據(jù)挖掘是一個比較完整地分析大量數(shù)據(jù)的過程,它一般包括數(shù)據(jù)準備、數(shù)據(jù)預(yù)處理、建立數(shù)據(jù)挖掘模型、模型評估和解釋等,它是一個迭代的過程,通過不斷調(diào)整方法和參數(shù)以求得到較好的模型。
本系統(tǒng)中的有學(xué)習(xí)能力的數(shù)據(jù)挖掘方法,主要采用了三個算法:
(1)分類算法 該算法主要將數(shù)據(jù)影射到事先定義的一個分類之中。這個算法的結(jié)果是產(chǎn)生一個以決策樹或者規(guī)則形式存在的“判別器”。本系統(tǒng)中先收集足夠多的正常審計數(shù)據(jù),產(chǎn)生一個“判別器”來對將來的數(shù)據(jù)進行判別,決定哪些是正常行為,哪些是入侵或非法操作。
(2)相關(guān)性分析 主要用來決定數(shù)據(jù)庫里的各個域之間的相互關(guān)系。找出被審計數(shù)據(jù)間的相互關(guān)聯(lián),為決定安全審計系統(tǒng)的特征提供很重要的依據(jù)。
(3)時間序列分析 該算法用來建立本系統(tǒng)的時間順序模型。這個算法幫助我們理解審計事件的時間序列一般是如何產(chǎn)生的,這些所獲取的常用時間標準模型可以用來定義網(wǎng)絡(luò)事件是否正常。
本系統(tǒng)通過改進syslog機制,使無線網(wǎng)關(guān)的日志記錄更加完善,采用有學(xué)習(xí)能力的數(shù)據(jù)挖掘技術(shù)對無線網(wǎng)關(guān)正常日志數(shù)據(jù)進行學(xué)習(xí),獲得正常訪問模式的規(guī)則庫,檢測網(wǎng)絡(luò)入侵行為和非法操作,減少人為的知覺和經(jīng)驗的參與,減少了誤報出現(xiàn)的可能性。該系統(tǒng)結(jié)構(gòu)靈活,易于擴展,具有一定的先進性和創(chuàng)新性。此外,使用規(guī)則合并可以不斷更新規(guī)則庫,對新出現(xiàn)的攻擊方式也可以在最快的時間內(nèi)做出反應(yīng)。下一步的工作是進一步完善規(guī)則庫的生成以及審計的算法,增強系統(tǒng)對攻擊的自適應(yīng)性,提高系統(tǒng)的執(zhí)行效率。
參考文獻
[1]Branch,JW,Petroni,NL,VanDoorn,L.,Safford,D.,Auto-nomic802.11WirelessLANSecurityAuditing,IEEESecurity&Privacy,May/June 2004,pp.56-65.
[2]李承,王偉釗. 基于防火墻日志的網(wǎng)絡(luò)安全審計系統(tǒng)研究與實現(xiàn).計算機工程 2002.6.
比如說,攻擊者可以先攻擊一臺沒有及時更新補丁的家庭計算機或公司內(nèi)部的計算機,然后利用這臺計算機連接到私有網(wǎng)絡(luò),發(fā)起攻擊。在現(xiàn)實工作中,管理員通常缺乏足夠的時間和資源來彌補這些漏洞。
Network Access Protection(NAP)for Windows Server 2008和Windows Vista提供了一個組件和應(yīng)用程序接口,幫組管理員確保強制的安全健康策略得以貫徹。
開發(fā)人員和管理員可以創(chuàng)建一個解決方案,來檢查連接到網(wǎng)絡(luò)的計算機,并且提供所需要的更新資源(叫健康更新資源),對于不更新的計算機限制接人。同時,NAP的強制更新功能可以和其他廠商的軟件整合,來幫助實現(xiàn)對接入計算機特定系統(tǒng)和軟件進行檢查。
其目的是為了最終實現(xiàn):監(jiān)視計算機訪問網(wǎng)絡(luò)是否符合健康策略要求,自動更新計算機,使其符合健康策略要求,或者,限制不符合安全策略要求的計算機,將其限制在受限制的網(wǎng)絡(luò)中。
很多用戶會認為NAP是防止惡意攻擊手段,實際不盡然,雖然NAP確實能夠輔助達到防范的目的,但NAP本身不是被設(shè)計用來防治惡意使用者破壞安全網(wǎng)絡(luò)的。它被設(shè)計用于幫助管理員維護網(wǎng)絡(luò)上的計算機的健康。它不能防治一個已經(jīng)符合安全要求的計算機上的惡意用戶釋放攻擊,或執(zhí)行其他不適當(dāng)?shù)男袨椤?/p>
在Windows 2008的NAP環(huán)境,是一種典型的客戶機/服務(wù)器架構(gòu),其基本結(jié)構(gòu)如圖1所示。
客戶環(huán)境包括SHA(系統(tǒng)安全),QA(隔離)和EC(強制客戶),各個組件的作用如下:
系統(tǒng)安全(SHA)檢查和聲明客戶的健康狀態(tài)(補丁狀態(tài)、病毒簽名、系統(tǒng)設(shè)置等),每一個SHA定義一個系統(tǒng)健康要求或一組系統(tǒng)健康要求。比如一個SHA定義防病毒簽名,一個SHA指定操作系統(tǒng)更新等等。wind0WSVista和Windows Server 2008包含了一個Windows SecurityHealth Valuator SHA,其他的軟件廠商或微軟可以提供額外的SHA到NAP平臺。
強制客戶端運用強制執(zhí)行的方法,每個NAP EC被定義為不同的網(wǎng)絡(luò)接入或連接類型。
修補服務(wù)器用來安裝需要的更新和設(shè)置以及應(yīng)用程序,將客戶計算機轉(zhuǎn)化為健康狀態(tài),不符合SHA檢查要求的計算機被路由到修補服務(wù)器。
網(wǎng)絡(luò)接入設(shè)備是有智力判斷賦予或拒絕客戶訪問網(wǎng)絡(luò)的請求(防火墻,交換機或一臺服務(wù)器)的設(shè)備。
系統(tǒng)健康服務(wù)器通過定義客戶端上的系統(tǒng)組件的健康要求,提供客戶端所要依從的策略。
NPS server包括Qs和Sys-tem Health Validator。Qs sits在IAS Policy服務(wù)器上,執(zhí)行SHV檢查下來相配的動作,SHV檢查安全生成的聲明。
很多人會覺得Windows 2008的NAP是一個全新的東西,但實際上,上文提到的四種客戶端的強制方式,它們中的大多數(shù)都是以前某項技術(shù)的延續(xù),了解這種技術(shù)發(fā)展的脈絡(luò),對于我們理解NAP的強制方式有很大的幫助。
首先,我們來看一看第一種強制方式:DHCP的方式:在Windows 2000和Windows 2003的DHCP服務(wù)器上,引入了一種分配IP地址選項(option)的方式,類(Class),我們可以在服務(wù)器上設(shè)置“用戶定義類”或“廠商定義類”,并為這些類設(shè)置獨特的Options。
當(dāng)時就有很多的用戶自己嘗試著用這個class類技術(shù),讓企業(yè)內(nèi)部的私有計算機屬于一個類,外來訪客的計算機得到的IP地址的選項將和企業(yè)內(nèi)部計算機得到的地址選項不同,這樣來控制訪客計算機的行為。
而Windows 2008的基于DHCP的NAP可以看成該項技術(shù)的發(fā)展和延伸。其基本思想就是將不符合健康檢查要求的計算機歸屬于一個類,給這個類的計算機特殊的Options,用路由器的默認網(wǎng)關(guān)等選項來約束,這樣,這些計算機就被限制在特定的網(wǎng)絡(luò)中了。
其次,第二種NAP的強制方式是用IPSEC,這種方式算是最具有微軟特色的NAP的解決方案了,其他廠商的類似產(chǎn)品,往往需要網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的支持,比如Cisco的NAC等等,但采用IPSEC解決方案的NAP,可以完全擺脫網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的束縛,在主機層面上實現(xiàn)網(wǎng)絡(luò)的接入保護。
其實,這種方式的NAP實際上也是傳統(tǒng)的windowS上的IPSEC技術(shù)延伸,在傳統(tǒng)的Windows IPSEC的驗證方式上,有三種方式,分別為AD、CA和預(yù)共享密鑰。在驗證通過后,可以通過設(shè)定“客戶端”、“服務(wù)器”、“安全服務(wù)器”的策略來控制計算機之間的通訊。
其中,最自由的方式毫無疑問是采用CA認證中心所頒發(fā)的證書來進行驗證,我們可以很自然的想到,只要由一個CA自動給符合健康要求的計算機辦法健康證書,就可以實現(xiàn)限制非健康計算機通訊的要求。
而windows,2008基于IPSEC的NAP的基本思想就是建立在頒發(fā)健康證書的基礎(chǔ)上的。
基于IPSEC的強制NAP將物理網(wǎng)絡(luò)分割為3個邏輯網(wǎng)絡(luò),一臺計算機在一個時刻只能在三個邏輯網(wǎng)絡(luò)之一之中。
安全網(wǎng)絡(luò)是有健康證書的計算機集合,要求接人的計算機采用IPSEC驗證,并采用健康證書。(在一個被管理網(wǎng)絡(luò),大多數(shù)服務(wù)器和客戶機屬于AD域,在安全網(wǎng)絡(luò)中。)
邊界網(wǎng)絡(luò)有健康證書,但不需要接人到私有網(wǎng)絡(luò),進行IPSEC驗證嘗試,在邊界網(wǎng)絡(luò)中的計算機必須能訪問整個網(wǎng)絡(luò)的計算機,邊界網(wǎng)絡(luò)通常只由HCS和NAP修復(fù)服務(wù)器。
受限網(wǎng)絡(luò)沒有健康證書,包含不符合NAP規(guī)范的客戶計算機的集合。
大家會很自然的,將這種對網(wǎng)絡(luò)的邏輯劃分的方法,和傳統(tǒng)IPSEC的client,server,securerserver三個預(yù)定策略進行對比,會發(fā)現(xiàn)兩者非常相似。
第三種NAP的強制方式是針對VPN接人的客戶的,不受管理的家庭計算機對網(wǎng)絡(luò)管理員又是一個挑戰(zhàn),因為IT人員不能直接物理訪問到這些計算機。
使用NAP,當(dāng)用戶使用VPN連接的時候,管理員可以檢查需要的程序,注冊表設(shè)置,文件,家庭計算機會被限制在受限網(wǎng)絡(luò)中,直到健康狀態(tài)符合要求。
關(guān)鍵詞:數(shù)據(jù)機密;數(shù)據(jù)完整;數(shù)據(jù)認證
中圖分類號:TP391文獻標識碼:A文章編號:1009-3044(2009)32-8879-02
Use IPSEC to Ensure Data Security Analysis on Windows Server 2003
GE Wei, ZHU Jing
(Network Academy of Ahead Software Vocational College, Nanchang 330041, China)
Abstract: IPSec (IPSecurity Protcol, IP security protocol) is a set of open standards, they are to work together to ensure the right data between devices such as confidentiality, data integrity and data authentication. These pairs of such entities may be a pair of hosts, or a pair of security gateways (routers, firewalls, VPN concentrators, etc.), or they may be a host and a security gateway between the remote access VPN like this kinds of situations. Entities such as IPSec to protect the right between the multiple data streams, and a single gateway can support the different pairs of the multiple partners, concurrent IPSec tunnels safe.
key words: data confidentiality; data integrity; data authentication
隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展,網(wǎng)絡(luò)已經(jīng)普及到社會的各個方面,現(xiàn)在人們對網(wǎng)絡(luò)信息系統(tǒng)的依賴程度越來越高,無論是網(wǎng)絡(luò)數(shù)據(jù)的存儲與訪問,還是Internet上的電子商務(wù)應(yīng)用等。但是它在提供開放和共享資源的同時,也不可避免地存在著安全隱患,系統(tǒng)漏洞的危害無疑都是十分巨大的,如何保障機密信息在網(wǎng)絡(luò)中安全傳輸,成為人們?nèi)找骊P(guān)注的焦點。IPSec的提出正是為了有效地解決網(wǎng)絡(luò)安全問題。本文內(nèi)容主要闡述的是通過配置IPSec保證數(shù)據(jù)的傳輸安全。
1 IPSec協(xié)議概述
“Internet協(xié)議安全性(IPSec)”是一種開放標準的框架結(jié)構(gòu),通過使用加密安全服務(wù)以確保在Internet協(xié)議網(wǎng)絡(luò)上進行保密而安全的通信。
在基于IP的網(wǎng)絡(luò)中,如果沒有安全設(shè)置,公用網(wǎng)絡(luò)與專業(yè)網(wǎng)絡(luò)就很容易遭受到攻擊。IPSec有兩個基本目標:保護IP數(shù)據(jù)包安全及為抵御網(wǎng)絡(luò)攻擊提供防護措施。IPSec結(jié)合密碼保護服務(wù)、安全協(xié)議組和動態(tài)密鑰管理三者來實現(xiàn)上述兩個目標,不僅能為企業(yè)局域網(wǎng)與撥號用戶、域、網(wǎng)站、遠程站點以及Extranet之間的通信提供強有力且靈活的保護,而且還能用來篩選特定數(shù)據(jù)流。IPSec基于一種端-對-端的安全模式。這種模式有一個基本前提假設(shè),就是假定數(shù)據(jù)通信的傳輸媒介是不安全的,因此通信數(shù)據(jù)必須經(jīng)過加密,而掌握加解密方法的只有數(shù)據(jù)流的發(fā)送端和接收端,兩者各自負責(zé)相應(yīng)的數(shù)據(jù)加解密處理,而網(wǎng)絡(luò)中其他只負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的路由器或主機無須支持IPSec。該特性有助于企業(yè)用戶在下列方案中成功地配置IPSec。
2 IPSec解析
為了保證數(shù)據(jù)的傳輸,在windows server 2003的網(wǎng)絡(luò)中,應(yīng)該啟用IPSec來抵御網(wǎng)絡(luò)中出現(xiàn)的攻擊。
在進行數(shù)據(jù)交換前,先相互驗證雙方的計算機的身份,驗證身份之后,在這兩臺計算機之間建立一種安全協(xié)作關(guān)系,并且在進行數(shù)據(jù)傳輸之前將數(shù)據(jù)進行加密傳送。經(jīng)過這三個過程,可以保證網(wǎng)絡(luò)的通信安全,即使數(shù)據(jù)中途被截獲,因為截獲者不知道加密的密鑰也就無從了解數(shù)據(jù)的內(nèi)容。
在計算機中啟動IP安全策略管理,出現(xiàn)如圖1所示的對話框。采用該策略,表示與這臺計算機進行通信的計算機已經(jīng)使用了IPSec安全策略,如果對方計算機沒有采用安全策略,將不能與本機進行通信。
右擊啟動安全服務(wù)器配置策略,根據(jù)圖2和圖3分別設(shè)置好身份驗證及加密算法,IPSec安全策略將被應(yīng)用于計算機安全通信中,如果網(wǎng)絡(luò)中所有的計算機都運行windows XP、windows server 2003,則將windows server 2003的IPSec安全策略設(shè)置為安全服務(wù)器級,這樣可以保證網(wǎng)絡(luò)中所有的數(shù)據(jù)傳輸都是安全的,如網(wǎng)絡(luò)中有的計算機運行了較低的操作系統(tǒng),如windows NT,這些計算機不支持安全通信,可以將windows server 2003的IPSec安全策略設(shè)置為服務(wù)器級,這樣可以保證計算機間的相互通信。
3 結(jié)束語
TCP是面向連接的,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網(wǎng)絡(luò)攻擊,同時保持易用性。
參考文獻:
[1] 王心靈.IPSec實現(xiàn)保密數(shù)據(jù)傳輸?shù)募夹g(shù)研究[J].計算機技術(shù)與發(fā)展,2006(8).
[2] 賴瓊琪.基于IPSec的網(wǎng)絡(luò)安全在校園網(wǎng)中的研究與設(shè)計[J].電腦與電信,2006(11).
【關(guān)鍵詞】網(wǎng)絡(luò)安全安防系統(tǒng)思科
一、網(wǎng)絡(luò)安全
1、網(wǎng)絡(luò)安全的概念。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)中的各個部件、軟件以及數(shù)據(jù)的安全,它是通過對網(wǎng)絡(luò)信息的存儲、傳輸和使用的過程實現(xiàn),包含兩個方面,一是物理安全,即保障網(wǎng)絡(luò)設(shè)備的安全,使其能夠正常穩(wěn)定地提供網(wǎng)絡(luò)服務(wù);二是邏輯安全,即保證在網(wǎng)絡(luò)中存儲和傳輸?shù)男畔⒌陌踩浴?、影響網(wǎng)絡(luò)安全的因素。網(wǎng)絡(luò)安全在現(xiàn)實生活會受到很多因素的影響,其中有人為的和自然的因素,包括系統(tǒng)配置不當(dāng),計算機病毒木馬,軟件漏洞等,均會對網(wǎng)絡(luò)安全造成極大的危害。
二、網(wǎng)絡(luò)安全防護
網(wǎng)絡(luò)安全防護是一種網(wǎng)絡(luò)安全技術(shù),該技術(shù)致力于解決有效進行介入控制,保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段,主要包括物理安全分析技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù),系統(tǒng)安全分析技術(shù),管理安全分析技術(shù),及其它的安全服務(wù)和安全機制策略。
針對網(wǎng)絡(luò)上各種安全問題和隱患,為了最大程度的減小損失,可以采用如下技術(shù)進行網(wǎng)絡(luò)安全防護。
1、防火墻技術(shù)。防火墻是一種由軟件和硬件結(jié)合構(gòu)成的將內(nèi)部網(wǎng)絡(luò)與公用網(wǎng)絡(luò)分隔開的隔離系統(tǒng),用來在兩個網(wǎng)絡(luò)之間進行接入控制,從而可以防止非法用戶訪問和修改內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù),可以有效的將網(wǎng)絡(luò)分隔開,確保內(nèi)部網(wǎng)絡(luò)安全。
2、數(shù)據(jù)加密技術(shù)。為了提高網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)和信息的安全性,可以采用數(shù)據(jù)加密技術(shù)對重要的數(shù)據(jù)進行加密,防止機密信息被竊取泄露,其中常采用對稱加密和非對稱加密對信息進行加密算法,從而實現(xiàn)對數(shù)據(jù)信息的加密保護。
3、入侵檢測技術(shù)。通過入侵檢測技術(shù),可以對網(wǎng)絡(luò)系統(tǒng)中的幾個節(jié)點進行檢測,通過分析采集的數(shù)據(jù)信息,判斷網(wǎng)絡(luò)中是否有不安全操作行為及是否遭到攻擊。入侵檢測系統(tǒng)對網(wǎng)絡(luò)的監(jiān)測不會影響網(wǎng)絡(luò)的正常運行,它能實時地對網(wǎng)絡(luò)進行檢測從而及時采取防護手段保護網(wǎng)絡(luò)安全。
4、網(wǎng)絡(luò)掃描技術(shù)。通過網(wǎng)絡(luò)掃描技術(shù),可以對復(fù)雜網(wǎng)絡(luò)進行掃描從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,并及時對發(fā)現(xiàn)的漏洞進行相應(yīng)的處理,采取必要的措施。網(wǎng)絡(luò)掃描技術(shù)可以強化網(wǎng)絡(luò)系統(tǒng),是一種主動的防御策略,通過對網(wǎng)絡(luò)系統(tǒng)的強化來防止網(wǎng)絡(luò)安全受到侵害。
5、虛擬專用網(wǎng)。虛擬專用網(wǎng)(VPN)是一種在一定網(wǎng)絡(luò)協(xié)議基礎(chǔ)上,公網(wǎng)中邏輯上獨立的專用網(wǎng),通過虛擬專用網(wǎng),用戶可以通過公網(wǎng)中的虛擬專線實現(xiàn)數(shù)據(jù)的傳輸,從而保障了傳輸數(shù)據(jù)的安全性。
6、病毒防護技術(shù)。隨著網(wǎng)絡(luò)的發(fā)展,病毒的傳播也變得更加迅速,對網(wǎng)絡(luò)和計算機具有巨大危害。
三、思科網(wǎng)絡(luò)安防系統(tǒng)
思科作為一家世界500強企業(yè),作為一個在互聯(lián)網(wǎng)解決方案提供領(lǐng)域的佼佼者,十分重視網(wǎng)絡(luò)安全及防護,其用戶遍及世界各地各大企業(yè),領(lǐng)域涉及各個行業(yè),可見其網(wǎng)絡(luò)安防系統(tǒng)的安全可靠性。
1、思科的網(wǎng)絡(luò)安全設(shè)計架構(gòu)。安全域要在五個層次上隔離,即物理上隔離、邏輯上隔離、策略上隔離、應(yīng)用上隔離、準入上隔離。而對網(wǎng)絡(luò)安全域的劃分需要對網(wǎng)絡(luò)系統(tǒng)中各個設(shè)備進行集成化、模塊化并實現(xiàn)階梯式安全。
2、思科自防御網(wǎng)絡(luò)。思科自防御網(wǎng)絡(luò)是針對網(wǎng)絡(luò)中的攻擊和威脅進行識別、主動防御和應(yīng)對的新型網(wǎng)絡(luò)戰(zhàn)略,通過三個階段實現(xiàn)對網(wǎng)絡(luò)的安全防護。(1)集成化的安全系統(tǒng)。(2)協(xié)作化的安全系統(tǒng)。(3)智能化的自適應(yīng)安全系統(tǒng)。
3、思科SMB級安全網(wǎng)絡(luò)平臺。采用了思科自防御網(wǎng)絡(luò)安全的組件,思科的SMB級安全網(wǎng)絡(luò)平臺還具備成本較低的優(yōu)勢,非常適合一些中小企業(yè)使用,這一經(jīng)濟有效的方案保證了連通性、簡潔性、安全性以及可擴展性,能夠幫助企業(yè)優(yōu)化其運營,提升企業(yè)競爭力。
四、結(jié)語
計算機和網(wǎng)絡(luò)的擴大與普及已成為不可逆轉(zhuǎn)的趨勢,而網(wǎng)絡(luò)中影響網(wǎng)絡(luò)安全和穩(wěn)定的因素也必將隨之不斷增加,人們越來越開始重視網(wǎng)絡(luò)中數(shù)據(jù)信息的安全可靠性,因此網(wǎng)絡(luò)安全防護的重要地位將得到進一步顯現(xiàn)。
參考文獻
[1]戴紅,王海泉,黃堅.計算機網(wǎng)絡(luò)安全,2004
