計算機網絡聯動安全策略及系統架構

孫玉秀，翟素娟

SUN Yu-xiu，ZHAI Su-juan

（河北交通職業技術學院，石家莊 050035）

0 引言

企業局域網的建立，為企業的資源和信息的共享提供了方便，大大地提升了企業的管理和決策水平，提高了工作效率。隨著企業信息化進程的推進，這些企業局域網通過各種連接方式連接到因特網，由于TCP/IP協議的一些缺陷，網絡系統的缺陷和漏洞，使到網絡安全成了中小企業必須重視并加以有效防范的問題[1,2]。本文主要針對上述問題，重點分析了計算機網絡聯動安全策略及系統架構相關問題。

1 系統數據的組織和收集方式設計

在現有的網絡設備的聯動上，需要多種安全協議和安全策略的有效配合。在保證現有企業網絡中已有的設備投資中，不同設備，不同廠商之間的產品進行相互協調，系統設計綜合安全與效率方面，主要使用以下數據組織和收集方式[3,4]：

1）作為互聯網的主要管理模型

SNMP可以提供一種訪問不同廠商的網絡設備的標準方法，具有簡單、實用、傳送處理效率高等優點。控管中心通過定時輪詢程序收集已有的部署在各網絡工作交換機，服務器中的Agent提供的可收集信息。

在交換機與控管中心使用SNMP協議。目前SNMP主要包括三個版本：SNMPvl，SNMPv2以及最新的SNMPv3。相對而言，SNMPv3增加、完善了安全和管理機制，其主要特點在于適應性強，可適用于多種操作環境，能滿足復雜網絡的管理需求。使用時，應對效率與安全進行綜合考慮，在不同的安全區域，靈活采用相應的SNMP版本。兼顧考慮網絡設備的兼容性，大部分采用SNMPv2，保證通信的安全。例如，管理數據流經過不安全可信區域時，可考慮使用SNMPv3進行管理，并且最好采用分布式管理，將管理負荷由多臺網管工作站共同負擔，網絡管理才能正常有效地運行下去。

2）基于XML的通用數據格式

控管中心與網絡防火墻，網絡防毒系統的交互通信，采用XML的通用數據格式安全策略中心與IDS的信息交互格式，將參照IDWG提出的入侵檢測消息交換格式（DMED和基于XML格式的實現（IDWG）提出的IDMEF使得各種網絡安全產品之問的通信成為可能。IDMEF定義了面向對象的可擴展的數據模型；而且基于XML的IDMEF的實現消除了由于內容和形式導致的語義理解差異，可以從多個不同的層次描述入侵事件。擴展標記語言XML是一種簡單的數據存儲語言，使用一系列簡單的標記描述數據，而這些標記可以用方便的方式建立，XML的簡單使其易于在任何應用程序中讀寫數據，這使XML很快成為數據交換的唯一公共語言，在異構系統中數據交換最方便的途徑，在現有的網絡系統中，需要控管中心收集網絡防火墻，網絡防毒軟件輸出的數據，運用XML數據格式的成本最少，對現有系統影響最小。

3）傳輸使用SSL協議

安全套接層協議（SSL）是在Internet基礎上提供的一種保證私密性的安全協議．它能使客戶，服務器應用之間的通信不被攻擊者竊聽，并且始終對服務器進行認證，還可選擇對客戶進行認證。SSL協議要求建立在可靠的傳輸層協議（例如：TCP）之上SSL協議的優勢在于它是與應用層協議獨立無關的。高層的應用層協議（例如：HTTP，FTP，TELNET……）能透明的建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。在此之后應用層協議所傳送的數據都會被加密，從而保證通信的私密性。

通過以上敘述，SSL協議提供的安全信道有以下三個特性：1）私密性。因為在握手協議定義了會話密鑰后，所有的消息都被加密。2）確認性。因為盡管會話的客戶端認證是可選的，但是服務器端始終是被認證的。3）可靠性。因為傳送的消息包括消息完整性檢查（使用MAC）。

2 系統架構設計

數據引擎負責收集入侵檢測的數據，網絡防火墻、網絡防毒系統的日志和數據。轉換成統一數據格式，記錄所有進出網絡的數據，為其他功能提供原始的數據材料。并生成日志記錄，及時備份記錄，保證在事后取證調查。系統防御機制的實現是由數據分析，檢測策略規則，識別不同的入侵行為，判斷對網絡不同的危害程度，采取不同的防御手段。

系統核心為部署在不同級別上的防御控管中心，收集來自于本級別上的網絡接入交換機中各主楓的網絡防毒軟件的客戶端報告和接入交換機的流量信息，在數據分析中綜合處理分析，運用策略評判系統，做出防御控制命令，嚴格對本級別中的主機的入侵危害進行監控，在發生嚴重的網絡危害爆發時及時從本級別的交換機解決處理，實現分區域分管網絡的目的，自動將網絡系統與網絡安全系統之間有效地聯動起來，自動監控網絡的危害爆發，將網絡分而治之，即使網絡發生嚴重的入侵，病毒危害發生，也將網絡有效的隔離，將影響和損失減少到最低的程度。

根據以上要求，設計的系統分析如下。本系統采用了三級安全防御體系。端接在匯接交換機上的主機上的網絡防毒客戶端收集主機的信息，它帶有主機入侵檢測系統構成一道最低級安全防御體系。該級別的防御體系主要保護對象是用戶主機資源和檢測網絡的末端接入設備。端接在核心交換機上的安全控管中心與各級網絡接入級交換機成的核心安全防御體系．該級安全防御體系既要抵御來自外部網絡的入侵和攻擊，又抵御來自內網的攻擊。本系統核心就是讓交換機的端口在系統核心的安全控管中心的指揮下成為一道安全的防御出入口，解決在中間層中安全的薄弱問題。網絡交換機不同的端口位置相對應在網絡的位置是不盡相同的，通過聯防控管中心的識別和策略評判對不同位置的網絡交換機端口的控制，達到中斷入侵危害網絡的網絡行為。最外層的是控管中心監控聯動的網絡防火墻。對于來自外網的入侵和攻擊，要想成功攻擊企業網絡的網絡中心的應用服務器，必須攻破三層安全防御體系。對于來自內網的入侵和攻擊，要想成功攻擊企業網絡中心的應用服務器，則必須攻破二層安全防御體系，從而實現網絡聯動防御。

3 網絡聯防的網絡設備和系統功能

為了更好理解上述分析，這里以網絡聯防的網絡設備和系統功能為例進行說明分析。

3.1 網絡邊界防火墻

本次項目所采用訪火墻為現有的Fortigate 400與Fortigate 50，將通過冗余方式進行高可用設計，防火墻的綜合安全性能要滿足千兆交換要求，無需工作模式切換就能同時實現在透明模式和路由模式下的全部功能，包括雙鏈路冗余、多層訪問控制、多種安全管理方式、信息內容過濾、網絡入侵檢測、日志審計系統等多種安全策略下的綜合應用。在集防黑、防毒、防黃等安全功能為一身的同時，在網絡性能上依然表現出色，其吞吐量、最大并發連接數、時延等性能指標均應滿足相關性能要求。同時還需提供集中式安全管理，可以用統一的策略和集成的平臺對受控網絡進行安全配置和管理。本項目中網絡防御系統控管中心通過sN^lP協議與Fortigate進行相互通信，收集fortigate日志，異常發生的數據，策略命令對fortigate添加修改防火墻策略。Fortigate在網絡防御系統中擔當企業內外重要的關口，具有重大的安全意義和影響。

3.2 網絡防毒軟件

項目中采用已有得網絡防毒軟件體系，趨勢科技的OfficeScan的網絡版防毒系統軟件，針對企業網絡上的桌面PC和服務器的綜合性信息安全解決方案趨勢科技防毒墻網絡版OfficeScan是一套集成了多種安全功能的綜合性信息安全管理系統，能夠全面保護企業網絡免受病毒、特洛伊木馬、蠕蟲、網絡黑客、網絡病毒、間諜軟件及混合攻擊的威脅。

該解決方案同時支持網絡準入控制方案一'NAC（Network Admission Control），為企業提供了一個在Cisco自防御網絡環境中實施安全政策的最有效方法。如果網絡中沒有支持NAC功能的設備，也同樣可以利用趨勢科技的網絡防毒墻NVW（Network Virus Wall）實施同樣的企業信息安全策略。

企業可以同時選擇部署趨勢科技的爆發預防服務（OPS—Outbreak Prevention Services），該服務可以在高危病毒出現，而對應的病毒特征碼尚未發布之前，為企業提供額外的控制能力，在保證業務系統繼續運行的阿時，預防或阻止病毒疫情的蔓延。憑借趨勢科技的損害清除服務（DCS-Damage Cleanup Services），則可以集中部署、升級針對高危病毒的專殺工具，幫助管理員高效率地清除網絡上的病毒殘余、問諜軟件及其它惡意程序。在項目中，我們也要利用所部署的網絡版防毒軟件作為客戶端的安全防御體系的一部分作為防御內部網絡威脅的部分。在本項目中網絡防毒體系在網絡防御系統中處在網絡最邊緣，與用戶的接觸最為密切，防毒軟件的功能的發揮直接影響到用戶的正常使用，同時擔負能否有效清除來自最內部的網絡威脅。

4 結束語

網絡安全問題日益嚴重，給網絡和信息系統帶來了嚴重威脅。究其原因，主要是網絡攻擊技術不斷發展變化，并呈現出一些新的特點，而原有的安全解決方案不能迅速地適應這些新特點，導致網絡的安全保障技術相對落后于網絡攻擊技術，從而出現防不勝防的尷尬局面。本文結合實際網絡安全項目建設，構建一個與現有的網絡設備，安全產品聯動的防御系統，在實際的應用中取得相關的項目經驗和使用效果是有意義的嘗試。

[1]高虹,王志國.企業網絡安全問題分析及應對措施[J].科技信息,2008,（23）.

[2]張海燕.企業網絡安全與發展趨勢[J].煤炭技術,2005,24（8）.

[3]魯海龍,劉淑芬,吳瑤睿,等.企業網絡安全關鍵技術研究[J].微計算機信息,2009,25（12）.

[4]章曉萌.淺談防火墻技術與企業網絡安全的解決方案[J].中國科技博覽,2009,12.