入侵检测系统开发总结报告
2020-03-02 02:04:19 来源:范文大全收藏下载本文
校园网设计方案
目录
第一章 某校园网方案 .............................................................................3 1.1设计原则.......................................................................................3 第二章 某校园网方案设计......................................................................3 2.1校园网现网拓扑图 ........................................................................3 2.2校园网设备更新方案 ....................................................................4 2.3骨干网络设计 ...............................................................................7
2
第一章 某校园网方案 1.1设计原则
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键 3.在满足学校的需求的前提下,建出自己的特色
1.2网络建设需求
网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求 网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求
防止IP地址冲突 非法站点访问过滤 非法言论的准确追踪 恶意攻击的实时处理
记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询 需要能够对网络设备进行集中的统一管理 需要对网络故障进行快速高效的处理
第二章 某校园网方案设计 2.1校园网现网拓扑图
3 整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
4 方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
5 核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
6 2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络 8 环境中核心交换机的高性能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学
9 生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
10 无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。 2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。
2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。 2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。 2.4.3.1事前的身份认证
11 对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用. 当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。 2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC Flood\\SYN Flood攻击
通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。 2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。
2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的 12 思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。
对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,
13 网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同 14 时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。
2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端,
第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。
16 2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。
NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。 第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。
第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
网络防火墙设计中的问题 方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint 公司的Firewall-I为代表,其实现是通过 dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优 化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。
另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大 多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬 件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火 墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成 本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128 (256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡 这 样一个工业PC结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操 作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所 作的改动量有多大。
事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且 其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是 Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部 分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少 量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾 的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口 TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。
17 目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。 在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。 2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙 分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代 防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为 第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下: 取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm); 限制命令执行权限; 取消IP转发功能; 检查每个分组的接口; 采用随机连接序号; 驻留分组过滤模块; 取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。
以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。 netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数, 如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作 扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。
3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。 A.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专 门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计 上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密 的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。
b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主 机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详 细讨论。
B.对来自外部(和内部)攻击的反应能力
18 目前常见的来自外部的攻击方式主要有: a.DOS(DDOS)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前 防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Syn flooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。 另外对于ICMP攻击,可以通过关闭ICMP 回应来实现。 b.IP假冒(IP spoofing)
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。 c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机 也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能 在内网主机感染木马以后起一定的防范作用)。 d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。 e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。 f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙 功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的 探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对 抗这些攻击。 C.透明代理的采用
应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体 系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用 sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。
4.透明性
防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响, 就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑 19 结构往往需要改变,网络设备(包括主机和路由器)的设置 (IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防 火墙的位置,防火墙就可以直接安装和放置到网络中使用。
透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明 模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然, 其他功能如透明代理还可以 继续使用。 目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下: 内网―――――防火墙―――――路由器
(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)
内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时 由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARP Proxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连 接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和 内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。
显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外, 防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清 楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子 网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。 这个过程如下:
1.用ARP代理实现路由器和子网的透明连接(网络层) 2.用路由转发在IP层实现数据包传递(IP层) 3.用端口重定向实现IP包上传到应用层(IP层)
前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是 为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙 既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。
需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。
目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。 5.可靠性
防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的 产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的 拓扑结构一般都是冗余设计)更让人无法承受。
防火墙的可靠性也表现在两个方面:硬件和软件。
国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。
国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。
国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑 20 使用通用PC架构。
另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的 可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎 合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。
总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。 6.市场定位
市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。
总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价: CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 无限用户 131000.00 从用户量上防火墙可以分为: a. 10-25用户:
这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M(针对 硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。
这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。 据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故? b. 25-100用户
这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管 理往往成为标准模块。
这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上 硬件防火墙价格明显高于软件防火墙。
目前国内防火墙绝大部分集中在这个区间中。 c. 100-数百用户
这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用。这个区间的 防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端 防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。 d. 数百用户以上
这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论。当然其价格也很高端,从数十万到数百万不等。
总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功 能越多,价格就越贵。如Netscreen的百兆防火墙: NetScreen-100f(AC Power) -带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000而在此基础上增加了128位VPN功能的报价则高出5万元: ¥317,500 7. 研发费用
如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高, 人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX程序员数 量还是太少(远远少于Windows平台下开发人员),人员成本很高。
总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。
下边对一个中小型企业级防火墙的研发费用作个简单的估计。
21 研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分): 内核模块
防火墙模块(含状态检测模块) NAT模块 带宽管理模块 通信协议模块 管理模块
图形用户界面模块(或者Web界面模块) 透明代理模块(实质属于NAT模块)
透明模式模块(包括ARP代理子模块、路由转发子模块等) 各应用代理模块(包括URL过滤模块) VPN模块
流量统计与计费模块 审计模块
其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)
上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大 的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块 各按20人周计算,防火墙实现总共需要150人周。加上前期10- 15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行 费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。
显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。 8. 可升级能力(适用性)和灵活性
对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙 不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级 功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。 防火墙的灵活性主要体现在以下几点: a. 易于升级
b. 支持大量协议
c. 易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来) d. 功能可扩展
这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是 定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻 击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET /default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是 个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性 一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。
如何构建网络整体安全方案
整体的安全方案分成技术方案、服务方案以及支持方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
1、防火墙
安装位置:局域网与路由器之间;WWW服务器与托管机房局域网之间; 22
局域网防火墙作用:
(1) 实现单向访问,允许局域网用户访问INTERNET资源,但是严格限制INTERNET用户对局域网资源的访问;
(2) 通过防火墙,将整个局域网划分INTERNET,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行管理;
(3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能有限绝大部分防止来自INTERNET上的攻击,网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞;
(4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对INTERNET的访问;
(5)进行流量控制,确保重要业务对流量的要求;
(6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时间的使用。
托管机房防火墙的作用:
(7) 通过防火墙的过滤规则,限制INTERNET用户对WWW服务器的访问,将访问权限控制在最小的限度,在这种情况下,网络管理员可以忽略服务器系统的安全漏洞,只需要关注WWW应用服务软件的安全漏洞;
(8)通过过滤规则,对远程更新的时间、来源(通过IP地址)进行限制。
2、入侵检测
安装位置:局域网DMZ区以及托管机房服务器区;
IDS的作用:
(1) 作为旁路设备,监控网络中的信息,统计并记录网络中的异常主机以及异常连接;
(2)中断异常连接;
(3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。
3、网络防病毒软件控制中心以及客户端软件
安装位置:局域网防病毒服务器以及各个终端
防病毒服务器作用:
(1) 作为防病毒软件的控制中心,及时通过INTERNET更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件;
(2)记录各个终端的病毒库升级情况;
(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。
防病毒客户端软件的作用:
(4) 对本机的内存、文件的读写进行监控,根据预定的处理方法处理带毒文件;
(5) 监控邮件收发软件,根据预定处理方法处理带毒邮件;
4、邮件防病毒服务器
安装位置:邮件服务器与防火墙之间
邮件防病毒软件:对来自INTERNTE的电子邮件进行检测,根据预先设定的处理方法处理带毒邮件。邮件防病毒软件的监控范围包括所有来自INTERNET的电子邮件以及所属附件(对于压缩文件同样也进行检测)
5、反垃圾邮件系统
安装位置:同邮件防病毒软件,如果软硬件条件允许的话,建议安装在同一台服务器上。
反垃圾邮件系统作用:
(1) 拒绝转发来自INTERNET的垃圾邮件;
(2) 拒绝转发来自局域网用户的垃圾邮件并将发垃圾邮件的局域网
用户的IP地址通过电子邮件等方式通报网管;
(3) 记录发垃圾邮件的终端地址;
(4) 通过电子邮件等方式通知网管垃圾邮件的处理情况。
6、动态口令认证系统
安装位置:服务器端安装在WWW服务器(以及其他需要进行口令加强的敏感服务器),客户端配置给网页更新人员(或者服务器授权访问用户);
动态口令认证系统的作用:
23
通过定期修改密码,确保密码的不可猜测性。
7、网络管理软件
安装位置:局域网中。
网络管理软件的作用:
(1) 收集局域网中所有资源的硬件信息;
(2) 收集局域网中所有终端和服务器的操作系统、系统补丁等软件信息;
(3) 收集交换机等网络设备的工作状况等信息;
(4) 判断局域网用户是否使用了MODEM等非法网络设备与INTERNET连接;
(5) 显示实时网络连接情况;
(6) 如果交换机等核心网络设备出现异常,及时向网管中心报警;
8、QOS流量管理
安装位置:如果是专门的产品安装在路由器和防火墙之间;部分防火墙本身就有QOS带宽管理模块。
QOS流量管理的作用:
(1) 通过IP地址,为重要用户分配足够的带宽;
(2) 通过端口,为重要的应用分配足够的带宽资源;
(3) 限制非业务流量的带宽;
(4) 在资源闲置时期,允许其他人员使用资源,一旦重要用户或者重要应用需要使用带宽,则确保它们能够至少使用分配给他们的带宽资源。
9、重要终端个人防护软件
安装位置:重要终端
个人防护软件的作用:
(1) 保护个人终端不受攻击;
(2) 不允许任何主机(包括局域网主机)非授权访问重要终端资源;
(3) 防止局域网感染病毒主机通过攻击的方式感染重要终端。
10、页面防篡改系统
安装位置:WWW服务器
页面防篡改系统的作用:
(1) 定期比对发布页面文件与备份文件,一旦发现不匹配,用备份文件替换发布文件;
(2) 通过特殊的认证机制,允许授权用户修改页面文件;
(3) 能够对数据库文件进行比对。
二、安全服务解决方案
在安全服务方案中,采用不同的安全服务,定期对网络进行检测、改进,以达到动态增进网络安全性,最大限度发挥安全设备作用的目的。安全服务分为以下几类:
1、网络拓扑分析
服务对象:整个网络
服务周期:半年一次
服务内容:(1)根据网络的实际情况,绘制网络拓扑图;(2)分析网络中存在的安全缺陷并提出整改建议意见。
服务作用:针对网络的整体情况,进行总体、框架性分析。一方面,通过网络拓扑分析,能够形成网络整体拓扑图,为网络规划、网络日常管理等管理行为提供必要的技术资料;另一方面,通过整体的安全性分析,能够找出网络设计上的安全缺陷,找到各种网络设备在协同工作中可能产生的安全问题。
2、中心机房管理制度制订以及修改
服务对象:中心机房
服务周期:半年一次
服务内容:协助用户制订并修改机房管理制度。制度内容涉及人员进出机房的登记制度、设备进出机房的登记制度、设备配置修改的登记制度等。
24
服务作用:严格控制中心机房的人员进出、设备进出并及时登记设备的配置更新情况,有助于网络核心设备的监控,确保网络的正常运行。
3、操作系统补丁升级
服务对象:服务器、工作站、终端
服务周期:不定期
服务内容:(1) 一旦出现重大安全补丁,及时更新所有相关系统;(2)出现大型补丁(如微软的SP),及时更新所有相关系统;
服务作用:通过及时、有效的补丁升级,能够有效防止局域网主机和服务器相互之间的攻击,降低现代网络蠕虫病毒对网络的整体影响,增加网络带宽的有效利用率。
4、防病毒软件病毒库定期升级
服务对象:防病毒服务器、安装防病毒客户端的终端
服务周期:每周一次
服务内容:(1) 防病毒服务器通过INTERNET更新病毒库;(2)防病毒服务器强制所有在线客户端更新病毒库;
服务作用:通过不断升级病毒库确保防病毒软件能够及时发现新的病毒。
5、服务器定期扫描、加固
服务对象:服务器
服务周期:半年一次
服务内容:使用专用的扫描工具,在用户网络管理人员的配合,对主要的服务器进行扫描。
服务作用:(1) 找出对应服务器操作系统中存在的系统漏洞;(2) 找出服务器对应应用服务中存在的系统漏洞;(3) 找出安全强度较低的用户名和用户密码。
6、防火墙日志备份、分析
服务对象:防火墙设备
服务周期:一周一次
服务内容:导出防火墙日志并进行分析。
服务作用:通过流量简图找出流量异常的时间段,通过检查流量较大的主机,找出局域网中的异常主机。
7、入侵检测等安全设备日志备份
服务对象:入侵检测等安全设备
服务周期:一周一次
服务内容:备份安全设备日志。
服务作用:防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。
8、服务器日志备份
服务对象:主要服务器(如WWW服务器、文件服务器等)
服务周期:一周一次
服务内容:备份服务器访问日志
服务作用: 防止日志过大导致检索、分析的难度,另一方面也有利于事后的检查。
9、白客渗透
服务对象:对INTERBET提供服务的服务器
服务周期:半年一次
服务内容:服务商在用户指定的时间段内,通过INTERNET,使用各种工具在不破坏应用的前提下攻击服务器,最终提供检测报告。
服务作用:先于黑客进行探测性攻击以检测系统漏洞。根据最终检测报告进一步增强系统的安全性
10、设备备份系统
服务对象:骨干交换机、路由器等网络骨干设备
服务周期:实时
服务内容:根据用户的网络情况,提供骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备。
25
服务作用:一旦核心设备出现故障,使用备件替换以减少网络故障时间。
11、信息备份系统
服务对象:所有重要信息
服务周期:根据网络情况定完全备份和增量备份的时间
服务内容:定期备份电子信息
服务作用:防止核心服务器崩溃导致网络应用瘫痪。
12、定期总体安全分析报告
服务对象:整个网络
服务周期:半年一次
服务内容:综合网络拓扑报告、各种安全设备日志、服务器日志等信息,对网络进行总体安全综合性分析,分析内容包括网络安全现状、网络安全隐患分析,并提出改进建议意见。
服务作用:提供综合性、全面的安全报告,针对全网络进行安全性讨论,为全面提高网络的安全性提供技术资料。
以上是服务解决方案,众所周知,安全产品一般是共性的产品,通过安全服务,能够配制出适合本网络的安全设备,使得安全产品在特定的网络中发挥最大的效能,使得各种设备协同工作,增强网络的安全性和可用性。
当然,在网络中,不安全是绝对的,即使采取种种措施,网络也可能遭到应用某种原因无法正常运作,这时候,就需要有及时有效的技术支持,使得网络在尽可能短的时间内恢复正常。下面将提出技术支持解决方案。
三、技术支持解决方案
技术支持是整个安全方案的重要补充。其主要作用是在用户网络发生重要安全事件后,通过及时、高效的安全服务,达到尽快恢复网络应用的目的。技术支持主要包括以下几方面:
1、故障排除
支持范围:
(1) 用户无法访问网络(如局域网用户无法访问INTERNET);
(2)应用服务无法访问(如不能对外提供WWW服务);
(3)网络访问异常(如访问速度慢)。
作用:一旦网络出现异常,为用户提供及时、有效的网络服务。在最短的时间内恢复网络应用。
2、灾难恢复
支持范围:设备遇到物理损害网络网络应用异常。
作用:通过备品备件,快速恢复网络硬件环境;通过备份文件的复原,尽快恢复网络的电子资源;由此可在最短的时间内恢复整个网络应用。
3、查找攻击源
支持范围: 网络管理员发现网络遭到攻击,并需要确定攻击来源。
作用: 通过日志文件等信息,确定攻击的来源,为进一步采取措施提供依据。
4、实时检索日志文件
支持范围: 遭到实时的攻击(如DOS,SYN FLOODING等),需要及时了解攻击源以及攻击强度。
作用:通过实时检索日志文件,可以当时存在的针对本网络的攻击并查找出攻击源。如果攻击强度超出网络能够承受的范围,可采取进一步措施进行防范。
5、即时查杀病毒
支持范围: 由不可确定的因素导致网络中出现计算机病毒。
作用:即使网络中出现病毒,通过及时有效的技术支持,在最短的时间内查处感染病毒的主机并即时查杀病毒,恢复网络应用。
6、即时网络监控
支持范围: 网络出现异常,但应用基本正常。
作用:通过网络监控,近可能发现网络中存在的前期网络故障,在故障扩大化以前及时进行防治。
26
以上是技术支持解决方案,技术支持是安全服务的重要补充部分,即使在完善的安全体系下,也存在不可预测的因素导致网络故障,此时,需要及时、有效的技术支持服务,在尽可能短的时间内恢复网络的正常运行。
综上所述,局域网的安全由三大部分组成,涵盖设备、技术、制度、管理、服务等各个部分。
四、分布实施建议意见
网络安全涉及面相当广,同时进行建设的可行性较差,因此,建议按照以下方式进行分阶段实施。
1、第一阶段
(1)技术方面,采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。
(2)服务方面,进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份,通过这些服务,增强网络的抗干扰性。
(3)支持方面,要求服务商提供故障排除服务,以提高网络的可靠性,降低网络故障对网络的整体影响。
2、第二阶段
在第一阶段安全建设的基础上,进一步增加网络安全设备,采纳新的安全服务和技术支持来增强网络的可用性。
(1)技术方面,采用入侵检测、邮件防病毒软件、动态口令认证系统、并在重要客户端安装个人版防护软件。
(2)服务方面,对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。
(3)支持方面,要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控等技术支持。
3、第三阶段
在这一阶段,采取的措施以进一步提高网络效率为主。
(1)技术方面,采用反垃圾邮件系统、网络管理软件、QOS流量管理软件。
(2)服务方面,采用白客渗透测试,要求服务商定期提供整体安全分析报告。
(3)支持方面,要求能够实时或者时候查找攻击源。
以上针对用户网络分别从三个方面提出了安全解决方案,并按照实施的紧迫性分成三个阶段来实现,但是实际针对某个用户,对于安全的要求可能各不相同,具体网络情况也可能有很大的差异,因此建议用户根据实际情况建立网络安全建设的时间表。
另外,随着新技术、新产品的不断涌现,网络技术的不断发展,对于网络安全的要求不断提高,在实际实施过程中采取的措施完全可能超越本文中提及的产品、服务、支持,这也是安全建设的最基本原则:不断改进,不断增强,安全无止境。 四台Cisco防火墙实现VPN网络
其实四台Cisco防火墙的VPN同两台防火墙做VPN没什么大的区别,只是一定要注意路由的配置;在四台Cisco pix做VPN中,有两种方式,一种是采用一个中心的方式,另一种就是分散式的,前者,也就是说以一个PIX点为中心,其它的机器都 连到本机上,在通过本机做路由;后者,则是在每一个路由上都要写出到另外三台的加密方式,这里采用的就是第一种类型;
以下,是施工图以及四个Cisco pix的详细配置:
详细配置如下:
中心pix1:
: Saved
: Written by enable_15 at 23:10:31.763 UTC Thu Apr 24 2003
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable paword NHvIO9dsDwOK8b/k encrypted
pawd NHvIO9dsDwOK8b/k encrypted
hostname pixfirewall 27
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
acce-list 101 permit ip 172.17.0.0 255.255.0.0 172.16.0.0 255.255.0.0
acce-list 101 permit ip 172.17.5.0 255.255.255.0 172.17.10.0 255.255.255.0
acce-list 101 permit ip 172.17.10.0 255.255.255.0 172.17.5.0 255.255.255.0
acce-list 101 permit ip 172.16.0.0 255.255.0.0 172.17.0.0 255.255.0.0
acce-list 101 permit ip 172.17.5.0 255.255.255.0 172.17.17.0 255.255.255.0
acce-list 101 permit ip 172.17.10.0 255.255.255.0 172.17.17.0 255.255.255.0
acce-list hyzc permit icmp any any
acce-list hyzc permit tcp any any
acce-list hyzc permit udp any any
pager lines 24
interface ethernet0 auto
interface ethernet1 auto
mtu outside 1500
mtu inside 1500
ip addre outside 192.168.0.2 255.255.255.240
ip addre inside 172.17.5.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
nat (outside) 1 0.0.0.0 0.0.0.0 0 0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
acce-group hyzc in interface outside
route outside 0.0.0.0 0.0.0.0 218.7.16.49 1
route inside 172.17.0.0 255.255.0.0 172.17.5.20 1
route outside 172.17.17.0 255.255.255.0 192.168.0.4 1
route outside 172.17.16.0 255.255.255.0 192.168.0.1 1
route outside 172.16.0.0 255.255.255.0 192.168.0.3 1
route outside 172.17.18.0 255.255.255.0 218.7.16.52 1
route outside 172.17.18.64 255.255.255.0 218.7.16.49 1
route outside 218.7.248.100 255.255.255.252 218.7.16.49 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec 28
no sysopt route dnat crypto ipsec transform-set strong esp-des esp-sha-hmac crypto map tohyjt 20 ipsec-isakmp
crypto map tohyjt 20 match addre 101 crypto map tohyjt 20 set peer 192.168.0.3 crypto map tohyjt 20 set peer 192.168.0.4 crypto map tohyjt 20 set peer 192.168.0.1 crypto map tohyjt 20 set transform-set strong crypto map tohyjt interface outside isakmp enable outside isakmp key cisco addre 192.168.0.3 netmask 255.255.255.255 isakmp key cisco addre 192.168.0.4 netmask 255.255.255.255 isakmp key cisco addre 192.168.0.1 netmask 255.255.255.255 isakmp identity addre isakmp policy 9 authentication pre-share isakmp policy 9 encryption des isakmp policy 9 hash sha isakmp policy 9 group 1 isakmp policy 9 lifetime 86400 telnet 218.7.16.49 255.255.255.255 inside telnet 172.17.5.20 255.255.255.255 inside telnet timeout 5 h timeout 5 terminal width 80 Cryptochecksum:8982919a8bfa10ba09cddee3f2da0e6a : end pix2配置: : Saved : Written by enable_15 at 00:00:48.042 UTC Fri Apr 25 2003 PIX Version 6.2(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable paword N.swjdczcTdUzgrS encrypted pawd N.swjdczcTdUzgrS encrypted hostname HYZCrc fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000 names acce-list 101 permit ip 172.17.17.0 255.255.255.0 172.17.10.0 255.255.255.0 acce-list 101 permit ip 172.17.17.0 255.255.255.0 172.17.5.0 255.255.255.0 acce-list hyzc permit icmp any any acce-list hyzc permit tcp any any acce-list hyzc permit udp any any pager lines 24 interface ethernet0 auto interface ethernet1 auto mtu outside 1500 29
mtu inside 1500
ip addre outside 192.168.0.4 255.255.255.252
ip addre inside 172.17.17.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
nat (outside) 1 0.0.0.0 0.0.0.0 0 0
nat (inside) 0 acce-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 218.7.37.5 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
no sysopt route dnat
crypto ipsec transform-set strong esp-des esp-sha-hmac
crypto map tohyzc 20 ipsec-isakmp
crypto map tohyzc 20 match addre 101
crypto map tohyzc 20 set peer 192.168.0.2
crypto map tohyzc 20 set transform-set strong
crypto map tohyzc interface outside
isakmp enable outside
isakmp key cisco addre 192.168.0.2 netmask 255.255.255.255
isakmp identity addre
isakmp policy 9 authentication pre-share
isakmp policy 9 encryption des
isakmp policy 9 hash sha
isakmp policy 9 group 1
isakmp policy 9 lifetime 86400
telnet 172.17.17.253 255.255.255.255 inside
telnet timeout 5
h timeout 5
terminal width 80
Cryptochecksum:f63109daf8abcaf74a4f3b30ab01b48a
: end
pix3配置:
: Saved
:
PIX Version 6.0(1)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable paword X8QPBTnOSyX6X9Y9 encrypted
pawd X8QPBTnOSyX6X9Y9 encrypted
hostname pixfirewall 30
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
企业级防火墙选购热点
防火墙是主要的网络安全设备,一个配置良好的防火墙,能够有效地防止外来的入侵,控制进出网络的信息流向和信息包,提供使用和流量的日志和审计,隐藏内部IP地址及网络结构的细节,以及提供VPN功能等等。
对于企业网络而言,一个没有配备防火墙的网络无异于“开门揖盗”,安全性无从谈起。那么,如何选择合适的防火墙呢?本文从技术角度出发,谈谈企业级防火墙的选购要点。 防火墙种类
在选购之前,企业用户首先需要弄清防火墙的种类。目前,市场有六种基本类型的防火墙,分别是嵌入式防火墙、基于企业软件的防火墙、基于企业硬件的防火墙、SOHO软件防火墙、SOHO硬件防火墙和特殊防火墙。
嵌入式防火墙 : 就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。
嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样, 所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。
基于软件的防火墙 : 指能够安装在操作系统和硬件平台上的防火墙软件包。如果用户的服务器装有企业级操作系统,购买基于软件的防火墙则是合理的选择。如果用户是一家小企业,并且想把防火墙与应用服务器(如网站服务器)结合起来, 添加一个基于软件的防火墙就是合理之举。
基于硬件的防火墙 : 多捆绑于“交钥匙”系统(Turnkey system)中,是一个已经装有软件的硬件设备。基于硬件的防火墙也分为家庭办公型和企业型两种款式。
特殊防火墙 : 侧重于某一应用的防火墙产品。目前,市场上有一类防火墙是专门为过滤内容而设计的,MailMarshal和WebMarshal就是侧重于消息发送与内容过滤的特殊防火墙。OKENA的StormWatch虽然没有标明是防火墙, 但也具有防火墙类规则和应用防范禁闭功能。 防火墙“软”与“硬”的折衷
一般说来,软件防火墙具有比硬件防火墙更灵活的性能,但是安装软件防火墙需要用户选择硬件平台和操作系统。而硬件防火墙经过厂商的预先包装,启动及运作要比软件防火墙快得多。
购买硬件设备防火墙,往往意味着获得了一个捆绑在硬盒子里的“交钥匙”系统。如果用户对防火墙运行的硬件平台没有特殊要求,硬件防火墙则是这类用户理想的选择。另一个适用硬件防火墙的场合是,用户希望隔离防火墙服务,不把防火墙安装在其他应用中。 防火墙的功能与性能考虑
用户节点数
在选购防火墙时,用户需要考虑保护的节点数。从最简单的分类上来说,要加以保护的结点数决定了采用企业级防火墙还是采用SOHO防火墙。大多数情况下,SOHO防火墙能够应付50个以内的用户连接请求,如果需要保护50个以上用户,就必须采用企业防火墙。
企业防火墙往往具有管理多个防火墙的功能,即企业防火墙能够与中央管理控制台进行通信。生产企业防火墙的供应商大都提供作为选件的中央管理控制台。此外,安全信息管理(SIM)设备也可以作为第三方管理控制台使用。 大多数防火墙都标明了用户连接数。
NAT
如今,几乎所有防火墙都捆绑了网络地址转换(NAT)功能。NAT使用户能够把专用或非法IP地址转换成合法的公共地址。 NAT结构可分为四类:一对一寻址、多对一寻址、一对多寻址和多对多寻址。
31
一对一寻址是NAT最基本的形式,可以把内部IP地址映射到不同的外部公共IP地址。 多对一寻址意味着多个内部IP地址可以映射到一个外部IP地址,如果用户有一个内部DHCP作用域,并想把它映射到一个外部IP地址,建议这类用户采用多对一寻址。多对多寻址将其他网络上几组不同的IP地址映射成内部或外部的IP地址。如果用户准备把一组DHCP作用域映射到另一组DHCP作用域,这就需要采用多对多NAT寻址。一对多寻址则使用于需要把一个IP地址分成两个地址的负载均衡场合。如果用户需要部署一个庞大、复杂的电信级网络,这就需要使用NAT的高级特性。
对简单网络而言,一对一NAT功能就已足够。
VPN
大部分企业级防火墙具有VPN功能。这类防火墙通常被用作VPN的端点。VPN能够确保隐私和数据的完整性。用户要牢记VPN必须有两个端点。如果用户没有第二个端点连接至VPN,就没有购买具有VPN功能的防火墙的必要。VPN通过加密隧道发送数据,从而把数据与外界隔离开来。加密过程需要额外的处理能力,如果用户准备为电信级网络建立VPN,这就需要捆绑具有密码加速器或允许添加密码加速器的VPN防火墙。捆绑密码加速器是为了提高VPN的速度。
日志功能
日志功能是防火墙的重要特性之一。为更好地管理网络,用户最好选购能够记录多种事件的日志、过滤多种事件的防火墙。
在防火墙的日志功能方面,要注意的包括,所选购的防火墙日志事件的多少和过滤器的多少。过滤器能够使用户以合理、易懂的方式察看不同的事件。用户应该能够根据IP地址、网络号、连接类型、域名和日期时间等基本过滤器过滤事件。
Syslog格式是最常用的日志格式,用户所选购的防火墙最好支持Syslog格式。
防火墙规则
防火墙规则是防火墙得以工作的核心,其则对防火墙允许哪些类型的流量进出网络作出规定。
对企业级用户而言,要注意的是,防火墙是否支持自动次序独立规则。一般说来,防火墙上的规则需要排成非常特定的次序,否则无法正常工作。一些防火墙具有自动给规则排列次序的特性。具有这一特性的防火墙最好同时具有开启及关闭该特性的功能。自动次序独立规则制订是一个出色的特性,它能帮助用户合理给规则排列次序。
但是,也必须清楚地看到,在制订防火墙规则时,人的作用是最重要的。 小结
选购企业防火墙,用户需要了解的除上述之外还需要认真研究一下防火墙的可用性、内容过滤器以及支持防病毒功能的特性。当然,供应商的服务能力也是必须注意的,供应商或厂商是否提供电话支持服务以及服务的收费情况等,这是保证企业网络不间断运行的重要条件。 增强路由器安全的十个技巧
很多网络管理员还没有认识到他们的路由器能够成为攻击的热点,路由器操作系统同网络操作系统一样容易受到黑客的攻击。大多数中小企业没有雇佣路由器工程师,也没有把这项功能当成一件必须要做的事情外包出去。因此,网络管理员和经理人既不十分了解也没有时间去保证路由器的安全。下面是保证路由器安全的十个基本的技巧。
1.更新你的路由器操作系统:就像网络操作系统一样,路由器操作系统也需要更新,以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。
2.修改默认的口令:据卡内基梅隆大学的计算机应急反应小组称,80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令,并且使用大小写字母混合的方式作为更强大的口令规则。
3.禁用HTTP设置和SNMP(简单网络管理协议):你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的。但是,这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置,禁用HTTP方式并且使用这种设置方式。如果你没有使用你的路由器上的SNMP, 32 那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。
4.封锁ICMP(互联网控制消息协议)ping请求:ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。
5.禁用来自互联网的telnet命令:在大多数情况下,你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。
6.禁用IP定向广播:IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和cpu难以承受太多的请求。这种结果会导致缓存溢出。
7.禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。
8.包过滤:包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外,你可以封锁和允许IP地址和范围。
9.审查安全记录:通过简单地利用一些时间审查你的记录文件,你会看到明显的攻击方式,甚至安全漏洞。你将为你经历了如此多的攻击感到惊奇。
10.不必要的服务:永远禁用不必要的服务,无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络操作系统默认地提供一些小的服务,如echo(回波), chargen(字符发生器协议)和discard(抛弃协议)。这些服务,特别是它们的UDP服务,很少用于合法的目的。但是,这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。
启明星辰银行安全防御方案
一、需求背景
某市城市商业银行已经实施了初步的安全建设,目前单独部署了2台防火墙和单机版防病毒,但已不能满足该商业银行业务发展及上级监管部门对信息安全提出的更高要求。经过漏洞评估,该商业银行发现生产网(包括核心服务器)与互联网的隔离不足,存在大量高危风险漏洞,且被攻击者利用并获得系统控制权限的可能性极大,为了加强信息安全保障,用户决定进行网络安全二期改造。
根据已经实施的风险评估,确认当前较为紧迫的安全需求包括:
安全域调整
划分单独的核心服务器区域,将原来统一部署在生产网核心交换机的应用服务器和数据库服务器等割接至新增的核心服务器交换机,该交换机接入生产网核心交换机,将核心服务器区置于单个VLAN中,同时用VLAN将生产网和办公网实现隔离。
内外网逻辑隔离
在生产网核与互联网之间部署UTM(统一威胁管理)设备,使其工作在透明模式,通过合理配置UTM的访问控制策略可降低无法修补的设备漏洞所造成的威胁,并将使用存在漏洞服务的终端控制在一定的范围内,对其访问行为进行日志记录。
核心服务器保护
该市城市商业银行业务系统均为WEB应用业务,通过之前进行的风险评估,确认这些WEB应用服务器均具有SQL注入漏洞,被攻击的可能性极大,威胁可能来自外部终端和内部终端,需要重点保护,因此需要部署一台可精确阻断SQL注入攻击的防御设备。
二、实施方案
通过对多家产品的横向测试,最终该市城市商业银行选择了启明星辰的天清汉马USG一体化安全网关产品作为内外网隔离设备,选择了启明星辰的天清IPS产品作为核心服务器保护设备,具体产品部署方案如下:
33
该方案在建设之初用户对网络进行了全面的风险评估,因此建设具有很强的针对性。来自互联网的威胁包括:网络入侵、病毒传播、非授权访问控制、资源滥用、非法言论传播等,天清汉马USG一体化安全网关具有功能全、性能高、应用简单等特点,适用于城市商业银行的内外网隔离需求。
城市商业银行网络中的核心服务器包含了最重要的业务系统以及数据资源,而针对服务器群的威胁主要是应用层威胁,具体来讲主要是针对WEB业务的应用威胁。目前针对WEB系统破坏力最强的威胁就是SQL注入,通过SQL注入入侵者可以获取WEB应用系统的完整权限,可以任意修改和窃取敏感数据,对城市商业银行来讲彻底屏蔽SQL注入威胁至关重要。而目前可选择的安全产品之中,只有启明星辰的天清IPS因为采用了基于原理的SQL注入检测与阻断技术,可以有效识别并阻断SQL注入攻击,因此城市商业银行选择了天清IPS作为核心服务器保护设备。产品上线后,通过天清IPS日志系统可以看出,有多起SQL注入攻击被成功阻断,用户信息系统的安全性得到了极大的提高。
神码基金公司信息安全解决方案 用户现状及存在问题
● 基金行业使用多运营商提供的链路,但不能对多链路进行有效化的智能化管理;
● 不同运营商链路互联互通问题、使最终客户访问网上交易平台和门户网站时响应缓慢; ● 网上交易平台和门户网站都使用多台服务器,不能对多台服务器进行有效的流量管理; ● 大量垃圾邮件的不断涌入企业邮件系统,严重影响了企业的日常运转;
● 不能对WEB浏览内容安全进行控制,导致IT维护量大、生产效率低和企业法律风险大。 需求描述
为了适应新的业务发展需求, 解决原有网络潜在的问题,具体需求如下: ● 多链路负载均衡为了保证出口链路的高可用性和访问效率,计划拥有多条ISP接入线路。多链路负载均衡设备能够提供独具特色的解决方案,不但能够充分利用多条链路(双向流量按照预设的算法分担到不同的链路上,发生链路不通的情况下,能够无缝切换到可用链路上);而且可以根据对不同链路的侦测结果,将最快速的链路提供给外部用户进行响应,从而解决目前广泛存在的多个ISP之间的互联互通问题。
● 应用服务器负载均衡通过负载均衡设备,使访问应用服务器的流量得以合理分配,同时保证服务器发生故障时可以进行无缝切换,提升应用服务器的可用性和可靠性。
34 ● 对员工访问WEB进行有效控制,对不合适的访问内容进行限制或禁止,同时需要对企业访问互联网进行加速。
● 针对垃圾邮件肆虐并严重干扰人员工作、甚至造成严重损失的现状,需要考虑对垃圾邮件过滤和防御,防范垃圾邮件的技术需要有较高性能,在防范垃圾邮件的同时也需要防范病毒邮件对邮件系统的影响。 解决方案
1、方案设计拓朴图
基金行业系统安全整体设计方案
2、方案描述
整体安全解决方案具备很强的安全和可靠性:
● F5主备系统是唯一可以提供毫秒级切换的解决方案;
● Blue Coat可以支持bypa功能,当发生硬件故障时两块物理网卡可以直通;
● IronPort 的AsyncOS?专为邮件设计的高可用性操作系统。可以最高支持单台10000个并发连接,极大保证的邮件传递的安全和速度。
● 在Internet出口布署——主备F5 LC 6400,可全面监控和检测两个运营商的6条链路,对多条链路进行智能化的管理和流量分配,保证有5条链路以下发生故障时的无缝切换,同时可测试哪条链路可以为用户提供最佳服务,然后将该用户引导至此链路,从而解决目前广泛存在的多个ISP之间的互联互通问题,确保他们能得到最快服务及最高质量的连接。
通过Blue Coat SG代理服务器加快使用internet的响应,可提供更快的Web页面传递速度, Blue Coat布署在网关处,Blue Coat设备可以了解到用户如何使用公司提供的网络资源的,Blue Coat可集成的内容过滤产品,通过限制用户访问不合适的内容,并强制执行企业互联网访问策略,以使网络资源应用在和业务相关的工作上,防止影响生产力或给企业带来法律责任的滥用网络的情况发生。
在交易服务器和门户网站服务器前端分别布署主备的F5 LTM,可以保证客户的请求被均衡的分配到不同的能正常提供服务的服务器上。同时可以通过F5 灵活的扩展方式对服务器进行SSL 压缩和加速,真正保证重要的服务器资料安全、快速和高可用。IronPort邮件安全网关邮件服务器位于相同的网络中,采用的旁路连接方式,对现有的网络结构没有影响,IronPort使用SenderBase 名誉得分过滤、深层内容过滤和基于上下文分析三大技术防止垃圾邮件,IronPort全球独有的病毒爆发预防技术,可以第一时间防止大规模的新病毒爆发, 从而保证客户邮件系统的安全。
3、方案特点:
F5是应用交付网络(ADN)的领军厂商,F5应用交付架构是专门为优化业务信息与使用者之间的连接而设计的架构式方法从而实现最佳的用户体验——快速,高可用,安全。
35
Blue Coat Systems是业界唯一一家完全致力于提供全面的、安全的互联网访问控制和安全保护解决方案的公司。Blue Coat Systems产品能够为用户提供一个灵活的、可扩展的平台,而且便于安装、配置和维护。Blue Coat专用设备提供的强大的互联网访问代理功能、缓存功能、策略控制功能,能最佳满足客户对上网安全和速度的双重需要。
IronPort公司是全球邮件安全网关的技术领先者,IronPort SystemAsyncOS是一个全新的软件架构,专门为解决并行通讯的瓶颈和档案队列的限制而开发,AsyncOS的高并行线程模式能智能的分配系统资源以应付因特网通信的瓶颈问题。 IronPort在垃圾邮件和病毒的防护领域,具有极大的领先技术优势,IronPort拥有世界上最高性能的网关平台和最有效的两层垃圾控制技术,为流出和流入的邮件提供强大的动力和保护。
方案实施效果
通过Blue Coat领先的缓存专用设备改善互联网访问性能,对企业内所有用户浏览互联网的行为进行管理和控制,消除了大部分互联网带来的内网安全隐患并减轻了内网维护的工作量,极大的保证了内网用户使用Internet的速度和安全的双重需要;IronPort反垃圾邮件使垃圾邮件的被阻断率大大超过了预期,同时大大便捷了管理人员的工作;F5本地流量管理和F5链路控制器极大提高了基金核
36 心交易平台和门户网站的安全、快速和高可用性。该方案在保卫基金信息安全的同时,给如火如荼的基金市场带来了一剂强心剂! 安天校园网解决方案
校园网结构层次复杂,终端节点基数巨大,因病毒引起的出口瘫痪和基层崩溃事故时有发生,由于校园网在规模、管理、需求上均有鲜明的自身特色,因此必须有量身定做的安全解决方案。目前中国主流高校的校园网基本都成长为千兆甚至万兆核心带宽,节点过万的大型网络,加之各学院、各部门信息建设分割等诸多因素,使校园网成为了一个典型的由各院系分散建设、由网络中心集中运维的尴尬局面,整个校园网络的构成一个准复杂巨系统,网络安全的可管理性呈几何级数趋势下降。
校园网管理主要面临的两大任务是网络运维的保障和实体节点的保障。
从网络运维的角度来说,由于校园网普遍达到百兆甚至千兆到桌面,同时桌面节点通过2-3级交换设备级联就到达了核心层甚至出口,因此内部感染节点持续扫描、攻击等行为,将给核心交换设备或者出口设备带来强大的压力,随着感染台数的增加,这种压力会被不断倍增,并迅速超越了上层网络设备的吞吐量和连接处理能力,这就是所谓“漏斗效应”。因此,对于校园网络来说,大规模蠕虫爆发时,造成瘫痪的并不是来自网络外部扫描,而是由于内部感染节点的高频度、大流量的集中扫描,迅速导致各层网络设备的性能和有效带宽的急剧下降,带来下列问题:
1、基层瘫痪:大量网络广播造成基层交换设备和汇聚设备瘫痪,包括ARP欺骗带来的局部瘫痪。
2、出口瘫痪:大量对外连接请求导致出口设备(如路由器、防火墙等)的连接数被占死,导致其他用户无法使用。
3、核心层瘫痪:网络核心层或者出口流量基本被病毒扫描流量占据。
从实体节点的角度来说,校园网内有大量的承担信息、教学、科研工作的服务器和相关信息系统,同时也有上万台为师生和工作人员提供服务的终端节点。
对于信息服务器群组来说,其面临的攻击威胁大于普通的桌面系统,但是目前的情况是市面上的相关安全产品并没有专门为服务器进行特别安全设置,依然采用通终端机器一样的保护级别。
而对于数以万计的终端用户节点来讲,它们由于基础量大,用户的应用水平千差万别,如果不能进行有效地保护,将会产生大量离散不可控点,使整个网络的安全失控。
安天解决方案
安天校园网解决方案的出发点是以“统一监控、分布防御、有效相应、集中管理”为指导思想,结合校园网实际情况综合分析,关注不同环节承担的任务和面临的安全压力。
校园网的出口和核心层,是网络的核心环节,网络吞吐量大、承担关键的通信服务,因此,需要有效的运维保障能力。由于出口和核心层,在内部节点遭到病毒感染的情况下,容易因漏斗效应发生严重的效率问题,甚至崩溃。因此,第一时间对影响网络整体效率的问题节点迅速准确的定位、定性是问题的关键。需要安天VDS网络病毒监控系统提供全景安全监控视图,和实时化病毒定位信息。VDS旁路工作,不影响网络效率,可以形成病毒趋势和定位的全景视图,能够为网管实施下一步的安全策略,提供有力的数据支持。
对于象服务器区这样的关键节点群,主要承担着为整个网络提供信息服务的任务,是黑客攻击的主要目标。由于校园网内服务器众多,网管人员数量相对较少,因此需要管理方便的自动化保护产品。安天主机保护系统服务器版则专为此需求设计。同时安天还为关键工作站设计了安天主机保护系统工作站版。
校园内大量的终端节点由于数量众多,基本上处于不可控或准可控状态,很容易成为病毒传播源,影响网络效率和以及其他用户的安全性。而由于校园网内用户层次复杂,特别是有大量学生的终端系统完全依赖个人的安全意识和水平,而学生自己多数不会购买安全产品,成为校园网安全保障的最大压力。因此需要一种低成本、高自动化、适应复杂软硬件环境的解决方案,安天主机保护系统桌面用户版以智能、兼容、轻载的设计思想可以完成上述任务。
安天主机保护系统针对不同类型节点的安全需求设计,提供文件层、操作系统层、网络层的多层次保护,能够大幅度提高这些关键节点的安全性。同时各层次产品都够以与现有反病毒产品互补的形式部署在系统中,不产生冲突,且资源占用率低,能够增强系统的安全系数。
37
另外,安天针对网管人员设计的网管工具箱系统,能够帮助网管深层挖掘系统中存在的安全隐患,使网管拥有比用户更专业的处理手段。
网络的离散会使安全问题不收敛,而产品的离散同样也会带来这种问题,安天安全管理中心能够整体管理部署在网络中的安全产品及设备,使产品之间能够形成有效联动,很好地解决了产品离散的问题。
方案部署
在校园网的总出口部署网络病毒监控系统VDS1000/VDS 2500,在网络内部关键网段部署VDS100系列,能够对全网的病毒情况进行全局监控和对局部网络形成更加细粒度的安全视图,快速定位病毒源,随时了解网络中的安全状况。
在服务器群计算机上部署安天主机保护系统服务器版,在关键工作站部署安天主机保护系统工作站版,对大量基本用户使用安天解决方案中为海量节点提供安天主机保护系统桌面版无限授权。能够对具体的计算机节点进行安全防护、配置优化、病毒查杀等工作,有效地扼制病毒泛滥,提升系统的安全性。
在解决方案中为网管人员提供了网管工具箱,对主机系统异常情况进行深度排查、以及修复处理。
上述安全环节,通过安天安全管理中心ASOC进行有效的管理,所有部署的产品能够有机地组织在一起,能够提供给网管人员更加全面的统计信息,
仅仅依靠技术化的的安全体系还不能完全解决校园网的安全问题,在一些突发的安全事件来临时,还需要一支专业的队伍进行及时响应,安天的CERT小组有着为许多行业用户服务的丰富经验,关键时候能够利用移动式网络斩断设备、勘查工具箱等专业设备进行快速响应,解决突发安全事件。
网络入侵检测解决方案 网络型入侵侦测系统
入侵检测作为安全侦测的最后一道防线,能提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必要补充,在网络安全防御中起到了不可替代的作用。 体系结构
系统采用引擎/控制台结构,引擎在网络中各个关键点部署,通过网络和中央控制台交换信息。 网络引擎部分运行于安全操作系统Open BSD之上,负责网络数据的获取、分析、检测,对警报进 38 行过滤和实时响应,并发送给控制台进行显示和记录;控制台运行于Windows平台,负责警报信息 的及时显示、记录、查阅,支持用户定制检测、响应策略和控制网络引擎。主要功能
“天眼”入侵侦测系统-网络型具备一般NIDS的主要功能,同时针对NIDS面临的威胁和NIDS发展方向开发出多项具有针对性的新功能,此外 该系统对于国内外流行的防火墙包括本公司长城防火墙提供支持,具有较完备的检测、响应、互动能力,是一款高效实用的入侵防范工具,它的具体功能如下: 入侵侦测功能
能实时识别各种基于网络的攻击及其变形, 包括DOS攻击、CGI攻击、溢出攻击、后门探测和活动等。目前可以检测900余种攻击行为及其变形。 警报过滤功能
能根据定制的条件, 过滤重复警报事件, 减轻传输与响应的压力,同时还能保证警报信息不被遗。
实时响应功能
根据用户定义,警报事件在经过系统过滤后进行及时响应,包括实时切断连接会话、重新配置防火墙(支持中科网威“长城”防火墙、CheckPoint FireWall-1和天融信防火墙)彻底屏蔽攻击、给管理员发送电子邮件、发送SNMP Trap报警、控制台实时显示、数据库记录等等。 系统策略定制功能
用户可以通过中央控制台详细定制系统策略、入侵侦测规则、警报过滤及响应规则等,还可以根据被保护平台、网络环境等信息选择预定义的策略,从而使系统能够真正适应具体环境的安全需求。 引擎管理功能
管理员在中央控制台可以直接控制各个引擎的行为,包括启动、停止、添加、删除引擎,也可以按照引擎查看、删除、查询实时警报。 电子邮件跟踪监视功能
对于网络上传输的电子邮件,可根据地址、收信人、发信人以及其他条件定制监视对象,系统自动记录邮件内容,支持中文和其他各种编码,支持附件。此项功能根据用户需求以专用工具提供。 系统需求
“天眼”入侵侦测系统-网络型包含两部分:网络引擎和控制台。 网络引擎:以工控机形式直接提供。 控制台:
• 软件环境:
Windows NT、Windows2000或更高的版本
西文Windows要求用户加装中文环境,如:RichWin for NT等汉字系统 正确配置TCP/IP网络,要求安装运行用户具备管理员权限。 • 硬件环境:
586或更高主频的PC计算机 64MB或更高容量的内存 8GB以上空余硬盘空间
增加软件及硬件 增加软件及硬件 地点 数量 “天眼”引擎(硬件) 被监控服务器前端交换机 1 监控台 内网管理工作站 1 2.主机型入侵检测系统
“天眼”入侵侦测系统-主机型是由北京中科网威信息技术有限公司根据市场和用户的实际需求,独立研发的一款辅助网络管理员加大安全管理力度和广度的监控系统。它是网络入侵检测系统的合理补充,尤其适合对局域网内关键主机涉及的可疑网络行为进行监控和审计。 整个系统采用Client/Server结构,分为控制台和主机引擎两部分。
控制台主要对主机引擎进行集中管理,包括:监控策略下发,报警信息处理、检索和报表,以及所有受监控主机状态的反馈等。
主机引擎是被监控主机上后台运行的代理程序,它主要负责采集系统关注的信息(如:网络连接和人机界面信息等),并根据控制台设置的策略进行相应的报警和响应。
39 主要功能
作为常规网络入侵检测系统的辅助工具,“天眼”入侵侦测系统-主机型在了解国内网络用户实际需求的基础上,将监控信息聚焦于几个实用的角度,通过不断地改进和优化,已经成为一款高效实用的入侵防范工具,其主要功能如下: 主机拨号监控功能
电话拨号上网可以轻易地从企业的内部网络撕开一条通向外部的秘密通道,绕过企业防火墙、基于网络的入侵检测系统的监控,对企业内部局域网的 安全构成极大的影响。主机引擎可以监视宿主主机的所有拨号行为,并可以根据控制台发布的合法拨号号码和时间段规则,进行报警和切断的功能。
主机网络连接监视功能
系统可以实时查看被监视主机所有的TCP、UDP和网络共享连接信息,并可以方便地将指定或可疑的连接直接加入非法或合法规则列表中。 主机人机界面监视功能
当管理员发现内部主机正在进行可疑网络行为时,有时需要了解该主机更详细的状态信息。 报警策略定制功能
用户可以通过控制台定制系统报警策略,具体包括:合法拨号号码和拨号时间段规则、非法TCP和UDP连接规则、合法网络共享连接规则等。 引擎集中管理功能
管理员在控制台可以集中管理各个引擎,包括:搜索、添加、删除引擎,此外,可以查看引擎的信息(如本地用户名、操作系统版本、MAC地址、连接模式等),并且可以查看被监控主机的运行状态,可以及时发现主机引擎被非法异常终止的情况。 警报信息的报表功能
系统提供了非常简便的报警信息统计和报表工具。用户可以根据各种可选条件,例如:报警类别、引擎IP地址、事件类型、警报产生时间等等。
企业需要什么样的IDS 测试IDS的几个性能指标
通常,对企业网安全性的要求越高,需要采取的防范措施就越严密。那么,对于现实中的企业网,必不可少的防护措施有哪些?
首先,我们需要选用防火墙作为防御非法入侵的大门,通过规则定义,我们告诉防火墙和路由器: 符合某些条件的信息可以被放行,不符合某些条件的信息需要被拒绝。同时,我们还可以使用PKI加密认证和VPN通道技术,让“合法”的信息到达目的地。
其次,对服务器系统进行加固,提高安全防护水平。对系统的安全加固是个长期的工作,用户需要随时进行漏洞检查,做到随时发现随时填补。
第三,选用优秀的入侵检测系统(Intrusion Detection System,IDS)。在安全防护系统中,若不良来访者被允许访问,它会对企业网做出令网络管理者无法控制的事情,如果系统配备了IDS,这种破坏性行为将被抑制。我们知道,网络总是要提供服务的,对于一些常用的服务如浏览和E-mail收发等,防火墙只做到允许或者拒绝各种各样访问者访问这些服务,无法判定具有攻击行为的访问是否会摧毁防火墙。这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。如果墙角(或其他什么位置)安装了微型摄像机,能够监视来访者的一举一动,保安人员便可以根据来访者的行为及时发现不法分子,及时报警,确保办公与居住人员的安全。
IDS 在国内已经出现一段时间了,它是网络安全防护体系的重要组成部分。目前,它在国内的应用还不够广泛,人们还没有充分利用这个利器更好地保护企业网。作为大多数技术人员来说,介绍IDS的资料相对较少,而市场上类似的产品却多如牛毛,如何正确选择适合各自企业应用的产品,是每个人都关心的话题。本文将从使用者的角度介绍选择IDS的几个关键技术点,希望能为用户的选购给予帮助。
需要提醒用户注意的是,在IDS方面做得出色的产品一定很实用,但并不能说它就是一个 40 优秀的安全产品,因为除此之外,它还应该附带很多附属功能,即让用户感觉简单、好用。作为一个真正的IDS产品,其主要功能应包括以下几个方面。
* 检测入侵。
* 远程管理。
* 抗欺骗能力。
* 自身安全性。
下面,我们将分别对这4个方面进行分析。
一、检测入侵
IDS最主要的功能是检测非法入侵。能够智能地报告入侵者的非法行为是检验IDS性能优劣的首要条件。用户安装上IDS后,在缺省情况下,应该对各个服务可能遇到的攻击进行告警检测。我们可以选择一些破坏性比较大的攻击,比如远程溢出攻击(只要攻击成功,即可全面控制计算机系统),用它对IDS进行一下测试。面对这种攻击,如果IDS产品没有反应,那么附加功能再多,也是一个检测非法入侵能力低下的产品。
二、远程管理
IDS的机制是监视网络上的流量,如果所要监视的网络不止一个Hub或交换机,就要在每个Hub或交换机上安装网络引擎。这样我们就需要一个控制台和日志分析程序来管理和分析多个网络引擎及它们产生的告警。用户有时希望坐在办公室中实时查看和管理机房里的IDS,作为产品提供商,应该满足用户的这种需求,为用户提供远程管理功能,只是需要注意把这个功能和IDS的另一个功能(即远程告警)区分开。事实上,IDS还应该能够支持各种各样的远程告警方式,像打电话、发邮件等等。不过这种交流是单向的,用户只能被动地得到信息,而不能主动控制远程的网络引擎。
三、抗欺骗能力
IDS的目的是抵制入侵者,然而入侵者会想方设法逃避它。逃避IDS的方法很多,总结起来可以分成两大类: 让IDS漏报和让IDS误报。
1.IDS误报
所谓IDS误报是指: 明明没有这个攻击,但是入侵者让IDS拼命告警,使不断增长的告警日志塞满硬盘,以致翻滚的告警屏幕把管理者搞得眼花缭乱。这样,真正的攻击就可以夹杂在数不清的虚假告警中蒙混过关了。
2001年3月,国外网络安全产品评测人员Coretez Giovanni发现另外一种让IDS误报的入侵: 快速地产生告警信息,抑制IDS的反应速度,以致使IDS失去反应能力,甚至让系统出现死机现象。当时,Coretez写了一个名为Stick的程序,作为IDS产品的测试用例。它的作用是: 可以读入Snort(一种免费的IDS ,其下载网址为http://www.daodoc.com)的规则,然后按照Snort的规则组包。由于Snort的规则涵盖了绝大多数的攻击种类,所以 IDS一旦匹配了按Snort规则产生的攻击报文,即可发出告警信息。对于比较有名的IDS像ISS Realsecure和Snort,Stick都能给它们造成30s以上的停顿。所以,对于新出现的IDS及其造成的危害,用户绝不能忽视。另悉,ISS 针对新型IDS误报入侵已发布了补丁程序,详见http://www.daodoc.com/%3Fid%3D1974 上下载Stick,其编译起来并不麻烦,只需查看帮助即可。需要指出的是,绝大多数的IDS都是从Snort得到众多借鉴的,建议用户试用一下 Stick。
2.IDS漏报
和IDS误报相比,漏报其实更危险。采用IDS技术就是为了在发现入侵时给出告警信息。如果入侵者入侵成功而IDS尚未告警,IDS便失去存在的意义。笔者从国外网站上看到一篇文章,它对利用TCP连接特点让 IDS做漏报进行了详细的描述,同时还给出一些实现漏报的办法,给笔者提供了一种新思路: IDS想要防止欺骗,就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑,IDS并不能很容易地做到这一点。
这种方法比较适合智能化的IDS,好的IDS一般为了减少误报,会像现在一些高端的防火墙一样基于状态进行判断,而不是根据单个的报文进行判断。这样上面谈到的Stick对这种IDS一般不起作用。但是用户应该注意到,这种简单的IDS只是字符串匹配,一旦匹配成功,即可报警。
2001年4月,又出了一个让IDS漏报的程序ADMmutate,据说它可以动态改变Shellcode。本来IDS依靠提取公开的溢出程序的特征码来报警,特征码变了以后,IDS就报不出来了。但是程序还一样起作用,服务器一样被黑。这个程序的作者是ktwo(http: //www.ktwo.ca),我们可以从http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz上下载该程序。用户不妨也试试它,以检测自己的IDS产品性能。不过,ADMmutate只能对依靠检查字符串匹配告警的IDS起作用,如果IDS还依靠长度和可打印字符等综合指标,则ADMmutate将很容易被IDS监控到。
IDS的实现总是在漏报和误报中徘徊,漏报率降低了,误报率就会提高; 同样误报率降低了,漏报率就会提高。一般地,IDS产品会在两者中取一个折衷,并且能够进行调整,以适应不同的网络环境。
四、自身安全性
毫无疑问,IDS程序本身的健壮性是衡量IDS系统好坏的另一个指标。如上所述,Stick程序能让IDS停止响应,该IDS的健壮性就值得怀疑。
IDS的健壮性主要体现在两个方面: 一是程序本身在各种网络环境下都能正常工作; 二是程序各个模块之间的通信能够不被破坏,不可仿冒。IDS用于各个模块间远程通信和控制,如果通信被假冒,比如假冒一个停止远程探测器的命令或者假冒告警信息,都是釜底抽薪的狠招。这就需要用户在模块间的通信过程中引入加密和认证的机制,并且这个加密和认证的机制的健壮性要经受过考验。如果模块间的通信被切断,则需要良好的恢复重传机制。告警信息暂时没有发送出去,并不是丢弃,而是要本地保存,在适当的时候再发送。
从上面的描述中我们可以看到,没有IDS的安全防护体系是不完善的。希望本文可以帮助大家了解IDS,在网络安全体系中使用IDS增强网络的坚固性,并为用户选购IDS产品提供参考。
关于IDS
IDS采用分布式结构,内含Probe(又称探测器或探针),用于收集信息,一旦发现非法入侵便告警。根据其所处的位置不同,Probe又可以分成基于主机的和基于网络的。基于主机的Probe位于希望监控的服务器上,通过收集服务器的信息来进行分析告警。基于网络的Probe位于希望监控服务器的同一个Hub或交换机上,通过监听网络上到达服务器的报文来分析告警。
基于主机的Probe收集的信息准确,但是占用服务器资源,尤其在繁忙的服务器上会降低服务器性能。由于它与操作系统相关,如果所用IDS产品不支持操作系统,就不能安装基于主机的 42 IDS。
基于网络的Probe收集的信息没有基于主机的Probe准确,并且因为使用了监听功能,对于Hub可以正常使用,对于交换机需要交换机厂商支持。基于网络的Probe一般不影响服务器的正常工作,还可以监控多个服务器的工作。
IDS还含有一个集中监控信息的“控制台”,其作用是接收所有Probe的告警,远程控制所有的Probe。控制台端的日志分析模块会把Probe 的告警信息综合后集中分析,生成入侵分析报告。控制台端的响应模块会根据不同的响应策略对不同的告警采取不同的行动。连接控制台和Probe的是通信模块。
东软安全助力武汉信用风险管理信息系统 背景介绍:
个人征信业务是通过建立联合征信的方式,收集、整合分散在社会各方面的信用信息(数据),以市场化的运作模式和公正、独立的第三方立场,为社会提供信息产品与服务,解决社会经济交往中信息不对称问题,降低经济运行成本,规范市场经济秩序,从而推动社会信用体系的建立。 项目详细描述
武汉市个人征信系统可以采集分布在武汉市政府部门、金融机构、商业机构、教育机构以及其他机构中的与个人信用相关的信息,并加入到武汉市个人征信数据库中,然后根据客户查询请求,生成《个人信用报告》,对客户提供《个人信用报告》的查询服务。 如下图所示:
武汉个人征信项目是武汉市07年重点建设项目,并且武汉市全国个人征信业务若干试点城市之一。未来征信业务还将覆盖到武汉市所有工商注册企业信用记录。初步建立完整的社会信用体系。其意义十分重大,因此对于征信业务数据的机密性、完整性、可用性等安全防护要求十分严格。 武汉征信项目是全新项目,没有前期经验可以借鉴,本次建设内容是建立起高起点的数据中心平台:涵盖主机系统、存储系统、网络平台、安全系统均需整合,统一规划建设。
第一阶段:容纳1000万人10个数据提供单位,在线查询系统 300人同时在线交易,响应时间不高于3秒;一期工程考虑每年对外提供100万人次信用报告查询服务;未来扩展考虑每年对外提供1000万人次信用报告查询服务;同时考虑到企业征信服务需求;
第二阶段:1000万人50个数据提供单位,在线查询系统1000人同时在线交易,响应时间不高于5秒;
第三阶段:8000万人80个数据提供单位,在线查询系统要求能提供 1000人同时在线交易能力。 本次建设需完全满足第一阶段需求,而且要求可以通过扩展平滑过度,以满足第
二、三阶段的业务需求。
可以看到,本次建设对安全设备性能、扩展性、高可靠性都有着相当高的要求。本期部署的防火墙是保护数据中心,核心信息资产的最重要的安全屏障。 关键挑战:
1、性能。征信系统核心价值是提供个人信用信息的查询,提供信用信息产品,用户对收费获取的信息服务要求会很高,包括延迟、并发在线数等等。
43
2、稳定性。产品应该软硬件稳定可靠。
3、高可靠性。业务因为平台故障引起中断,导致的损失是数据加工型企业不能容忍的。
4、高扩展性。武汉征信平台分了三期建设,对安全网关设备的性能冗余提出了很高需求,直接选择高端千兆运营商级产品才能应对用户业务急速扩张带来的性能压力。
5、较之竞争对手具备独特优势功能。 解决方案描述
1、模拟环境测试:在选型阶段,用户组织了多个参测品牌将产品置于用户实际环境测试。参测东软产品为东软NOKIA IP391。部分防火墙部署在核心交换机与中间件服务器之间。部分用于隔离开发网段与内网网段。测试结果显示,产品较之同类参测其他品牌产品,在性能上有着明显的优势。
2、东软产品研发、生产均遵循国际最高标准,软件成熟度达到CMM5,防火墙产品安全认证级别达到国内最高的EAL3级。获得国家权威官方机构认证。是一款成熟稳定的高品质设备。用户对此十分认可。
3、在核心网中,防火墙设备采用双机冗余VFRP协议,全面兼容核心路由HSRP和小机的热备协议。设备部署互联实现了交叉的全连接拓扑。这样所有来自广域网或者局域网访问读写请求,必须经过东软防火墙3-7层安全筛选和过滤,方能取得相关资源。同时还实现了全网骨干从设备级到链路级的全备份—双核心路由—双核心防护墙—小机双机冗余。另外一台单机防火墙部署在开发网段与核心内网之间,抑制开发网段对核心业务网段潜在的不良网络访问和攻击。
4、东软NOKIA IP391支持扩展到8个千兆端口,为未来业务扩展预留空间。此外,东软防火墙支持以太网通道功能,提供了弹性支撑未来业务带宽增长的低成本解决方案。通过对多条物理链路的捆绑,可以将防火墙的多个物理以太网端口映射成一个逻辑端口,从而达到增加带宽和链路冗余的目的,实现防火墙上下行链路带宽从1G到2G的无缝扩展。而这样的性能扩展,无需采购配件和许可。延长了设备运营周期,有效提高了投资消费比,这也是用户所看重的。
5、东软NOKIA IP391为了提供多客户式的托管服务,满足用户对防火墙系统个性化配置的需求,可以将NetEye防火墙系统逻辑划分为多个虚拟系统(vsys),每一个虚拟系统的资源和配置都是独立的,都可以进行用户管理、服务配置、安全规则配置等一系列操作。目前,用户划分开发网段安全域的另一台东软NOKIA IP391只使用了2个端口,还有潜在6个端口可供使用。这六个端口任意组合后,作为独立防火墙,可以被用作网络环境中其他新增安全域边界划分设备。用户通过单台防火墙的投资,换回多台设备使用回报。 实施效果
项目实施后,通过采用双机冗余全连接拓扑方式,在高速交换骨干和高容量存储设备之间,无缝嵌入高性能深度防御防火墙设备,使得武汉征信业务平台在具备极高故障容错性能基础上,获得了极高的核心数据平台应用安全防护能力,其内嵌自动入侵行为检测阻断模块对流行的蠕虫病毒、分布式DOS攻击等威胁,提供了良好的的识别及阻断能力。
设备采用HTTPS的WEBUI管理方式,管理员在工作中可以方便的通过任何联网终端机建立安全的HTTPS加密通道以IE窗口方式登陆管理。防火墙还支持类CISOC命令行方式管理,安全管理员经过培训可以迅速精通防火墙操作,具备良好的操作便利性和较低的培训成本。 用户评价
用户通过选择了可靠的合作伙伴,选择高品质的高端产品,感受到了优质的产品服务。项目的良好完工,上线运行,东软的产品和服务经受了试运行阶段的考验。以上实践证明,用户前期项目设计和产品选型是可行和可靠的。用户对以太网通道、虚拟防火墙这样的高端防火墙才具备的实用功能非常认可。
44
相关推荐
人人范文网 m.inrrp.com.cn 手机版