基于DCFW18005多核防火墻的校園網絡安全架構

王煒

摘要：在校園網設計中，防火墻直接連接外部網絡，是整個校園網絡的出口。此時，防火墻實際上是_個屏蔽主機防火墻，即一般而言，Internet上的主機能連接到內部網絡上的系統的橋梁。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統試圖訪問內部的系統或者服務將必須連接到這臺堡壘主機上。文章分析了堡壘主機需要擁有高等級的安全架構。

關鍵詞：防火墻；校園網安全；關鍵配置

0 引言

在本設計中，策略配置是DCFW-1800系列防火墻實施訪問控制的最重要和最關鍵的部分，在此用戶可以根據需要定義防火墻所在網絡中的各種資源的訪問控制，在這些策略中用到的資源就是在網絡配置中定義的各種對象。對流經防火墻的數據，它會按照用戶在此定義的各策略規則進行匹配檢查。

1 網絡基本功能配置

1.1 安全域配置

一個接口可同時加入PPTP/Tunnel域與其它某安全域。但對其中的untrust/trust/dmz域用戶可自行編輯，直至刪除。刪除之后用戶還可建立untrust/trust/dmz域，此時不再標為系統缺省。每個安全域中可配置多個物理接口和VLAN子接口，最多可配置的安全域數量為物理接口與VLAN接口的總和域內網絡對象的訪問控制。

本論文設計中，主要涉及命令為：

1.2 增加接口

用戶可以直接配置有關安全域的規則，也可配置針對端口的規則。而域外接口則可用于固定功能，用戶可自定義MGT管理接口，定義為MGT屬性的接口專用于管理防火墻使用，管理流量與其他網絡通訊流量分開。可自定義HA心跳口，定義為HA屬性的接口專用于HA心跳通訊使用。可自定義IDS流量鏡像接口，定義為IDS屬性的接口專用于流量鏡像使用。

在接口設置界面中，可以完成對安全域、網卡、網關、DNS、抗DoS選項以及上述的管理員。

IP的設置。其配置命令如下：

1.3 VLAN設置

多核防火墻DCFW1800關于VLAN管理的原理是：假設防火墻的if1接口收到了這個包，并發現是有tag的包，就會查找有否在其上定義的vlan接口，比如if1上定義了2個vlan接口，分別是vlan0和vlan1，因此防火墻會找到vlan0是處理tag 10的接口，會再把帶tag的數據包內部還原成普通的以太包，通過普通的路由查找算法找出目的地的路由，在例子中，假設這個目的地的接口是vlan1，而vlan1是定義在ifl上tag為20的接口，所以防火墻會在數據包上重新打上tag 20的包頭，并由if1接口發回交換機，交換機收到后去掉tag頭，發給目的主機B，這次通信就這樣連接完成。

其配置命令為：

2 反對入侵和攻擊功能配置

從IDS系統的安裝位置來看，可大致分為3類：HIDS，NIDS，NNIDS。HIDS安裝在被保護的主機上，主要分析主機的內部活動如系統日志、系統調用、文件完整性檢查等；NIDS安裝在被保護的網段中，以混雜模式監聽網絡中所有的數據包，進行實時檢測和響應；KIDS與網絡中運行的主機的操作系統無關，不需要在每臺主機上安裝，不會增加網絡中主機的負擔。其中其主要配置命令如下：

（1）安全策略。

3 安全策略有效性分析

綜上所述方案的關鍵技術，現將從網絡風險值的角度來衡本策略的理論安全防御效果。假設企業網絡中可以被黑客利用攻擊的漏洞數量為X個，為了方便計算，本文忽視這X個漏洞之前的危險程度的區別一致認為是中危漏洞。網絡中的安全設備并不能保證100%的防止安全攻擊，因此必然存在漏報率、誤報率和準確率的問題，對于這3個指標，本文定義為：

漏報率=成功繞過安全設備的攻擊數量/攻擊的總數量。

誤報率=安全設備錯誤檢測出的攻擊數量/攻擊的總數量。

準確率=安全設備成功檢測出的攻擊數量做擊的總數量。

準確率+漏報率=1。

為了方便計算，本文只使在設備合理誤報的情況下的漏報率數值。

假設漏洞掃描設備、攻擊防護設備、入侵檢測設備、安全審計設備的漏報率分別為d，p，m，a，單位時間內網絡發起的攻擊的總次數為N，攻擊的效率為n。

根據上面對網絡風險值的定義，網絡漏洞數量x、安全檢測漏報率d、安全防護漏報率p、安全監控漏報率m、攻擊效率n與網絡風險值成正比，黑客攻擊總次數N與網絡風險值成反比，因此網絡風險值R如下：

B=[（k×n×X）+N]×d×p×m 式（4-1）但是這個網絡風險值是基于靜態的網絡環境計算出來的，并不能反應實際的網絡風險值，現實網絡中漏洞數量x并不會一成不變，總會有新的ODay漏洞出現，而且總是通過不斷的分析和審計黑客的行為，根據審計結果修改網絡策略、修補漏洞，也能動態的減少漏洞數量。現假設網絡每個周期出現X個漏洞，由上知審計設備的漏報率為a，因此其準確率為1-a，得出：

因此通過式（4-2）和式（4-3）改進式（4-1）之后，可以得到

審計修補的漏洞數量=（1-a）×R×N 式（a-2）

動態攻擊總次數=N×（1+x'/x） 式（4-3）動態網絡風險值次R如下：

網絡穩定的情況下R=次R，這里假設本方案中的網絡設備的漏報率都為20%，網絡漏洞總數量X為100，次X為5，單位時間攻擊總次數N為100，攻擊效率為50%，設定K為1，通過帶入式（4-4）后計算可知次R為0.3%，即100次黑客攻擊中只有0.3次攻擊會對網絡產生威脅。

R=（（k×n×[X+x'-（1-α）×R×N]）/N×（1+X'+X））/×d×p×m 式（4-4）在改進之前網絡中只有防火墻，同上假設防火墻對攻擊的漏報率f為20%，修改公式二后可得網絡風險值次R為10%，即100次黑客攻擊中有10次攻擊會對網絡產生威脅。

因此通過以上計算可以知，本策略將網絡的安全威脅縮小了10%/0.3%=33倍，可以極大的提升網絡的安全性。

4 結語

本文先根據校園網絡的需求，詳細針對多核防火墻進行了各項關鍵環節的分析，并在此基礎上提出網絡安全防御的基本方法。然后對安全網絡環節逐一進行了配置，包括網絡接口、NAT轉換、DNS配置等最后通過抽象數據模型對本網格安全方案的有效性進行簡單計算，計算得出本策略理論上可以有效的降低網絡安全風險值。