时间:2023-06-01 09:32:46
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇防火墙解决方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
针对云计算时代的安全需求,3月27日,东软集团了基于云计算应用的交付安全网关(ADSG)、下一代应用防火墙(NISG-NG)、高性能防火墙(FW-ROCKET)等9款网络安全新产品,在网络安全防护方面打出了组合拳。
组合产品保驾网络安全
“在所有关于云技术的理念中,我们更应该关注的是安全,即云安全怎样处理,包括云端、不同设备之间、虚拟机之间的安全。”东软集团股份有限公司网络安全产品营销中心副总经理巴连标认为,“对于云的安全防护,不应该用传统的方法,对某部手机或某台网络设备进行网络控制,要形成一个云的保护理念,形成统一的防护层。”这正是东软之所以同时推出九大产品,从各个层面保护网络安全的原因。
据东软介绍,此次的东软NetEye应用交付安全网关(ADSG)产品,是部署在云的边界、解决云安全问题的信息安全产品,它支持多种云计算平台,可采用企业部署、IaaS提供商部署、应用部署、订阅部署和云部署等五种部署模式。NetEye下一代应用防火墙(NISG-NG)着眼于应用层的防护和优化应用流量,采用基于NEL核心技术的入侵检测和世界领先的云安全技术,具备更细粒度的应用层安全控制。NetEye Rocket系列高性能防火墙产品集防火墙、VPN、DoS/DDoS攻击防御、入侵防御、防病毒、反垃圾邮件、URL过滤、应用协议识别与控制等多项尖端安全技术于一身,并且具有万兆的吞吐量,能满足大型企业、教育网络等用户的安全需求。
除了以上三款产品外,东软同时的还包括东软NetEye数据库统一访问控制系统、统一身份管控系统、安全审计堡垒机、上网管理系统、统一身份认证系统、应用安全集成网关攻击等系列新品。
针对防火墙和UTM的概念和界限越来越模糊,在防火墙方面有16年开发经验的东软坚持走高端专业化防火墙的道路,其新的下一代防火墙产品也与这一思路相一致――用FPGA芯片技术做硬件的网络带宽加速,通过软件和硬件的优化提升防火墙的性能。“UTM会逐渐淡出市场,被下一代防火墙取代。未来东软的防火墙将坚持更深入、更快和更专业的发展思路。”东软网络安全产品营销中心总经理赵鑫龙表示:“与其他安全厂商在下一代防火墙方面的做法不同,东软将专业的防火墙硬件和UTM的多核软件叠加在一起,以满足用L2-L7层的所有安全防护、检测和性能的需求。”
目前,东软NetEye应用交付安全网关(ADSG)已经在通过亚马逊服务平台向国外的用户提供服务。现在,通过亚马逊平台让用户租用自己的解决方案的模式,在国外的安全厂商之间逐渐流行起来,赛门铁克、Check Point的云解决方案通过亚马逊云平台向用户提供服务。之所以选择这种模式,赵鑫龙称是因为鉴于国内安全厂商同质化竞争激烈的状况,东软将市场拓展的重点转向了海外市场。
重点拓展海外市场
在市场策略方面,东软将其客户分为三类:一是针对存储量要求高的专业级用户,例如通信行业用户,强调绿色节能,通过软硬件的优化降低能耗;二是在中低端市场主推UTM产品,提供小而全但性能不高的综合防护产品;三是针对介于两者之间的中高端市场,依靠多核硬件加软件,提供具有足够性能和检测深度的综合防护解决方案。
通过几十次大大小小的收购,戴尔软件这个曾经的短板现在羽翼丰满,特别是在戴尔软件集团成立后,软件产品线的布局日趋完善。安全业务作为戴尔软件集团一个重要的业务分支,其重要性逐渐凸显出来。今年,戴尔还特意成立了安全解决方案事业部。
安全只会越来越复杂
“信息安全已经成了我们生活的一部分。”戴尔软件集团安全解决方案事业部大中华区总经理李若怡表示,“以前,我们要做的是反反复复地告诉大家,网络安全有多么重要。现在,我们不再需要向大家解释为什么网络安全如此重要。越来越多的企业和个人已经有了强烈的安全意识。我们要做的是,创造一个更安全的环境,解决企业发展的后顾之忧。”
数据泄露事故年年有,2015年特别多。而预测和防御新威胁的最好方法之一就是分析最近的数据泄露事故。《戴尔安全年度威胁报告》得出了4项重要调查结果:2015年,漏洞利用工具包不断改进,具有更快的速度、更高的隐藏性,以及新颖的变身能力;攻击者继续利用SSL/TLS加密,2015年导致至少9亿用户受到这种隐藏攻击的影响;与2014年相比,2015年针对Android生态系统的恶意软件持续增加,让Android智能手机的市场份额受到影响;恶意软件攻击几乎翻了一番,达到81.9亿次,而且恶意软件还在持续变身。
李若怡表示:“安全只会越来越复杂,而不会越来越简单。戴尔安全部门致力于为中国用户提供端到端的安全解决方案,保证用户在安全的前提下发展自己的业务。”
在过去3年中,戴尔安全中国的业务每年都有两位数的增长。在戴尔打造的“未来就绪”IT架构中,安全是不可或缺的一个环节,而且还是融合服务器、存储、网络等重要组成部分,形成一个整体解决方案的粘合剂。
戴尔目前拥有四大业务部门,产品线众多。对外,戴尔强调的是“One Dell”,以端到端解决方案提供商的形象示人。安全业务并不是单独、孤立的存在,而是要兼顾其他业务和应用,与其他产品线形成互动。
戴尔软件集团安全解决方案事业部亚太及日本地区总经理全汉升介绍说:“虽然戴尔软件集团安全解决方案部是戴尔安全业务的大本营,但是戴尔其他业务部门也有一些安全产品,比如面向个人消费者的EUC部门有终端加密产品DDEP,它就可以与软件集团安全解决方案部的防火墙产品进行整合。前不久,我们刚刚宣布,将戴尔网络产品与防火墙产品进行整合,通过一个统一的管理界面进行管理。戴尔的安全解决方案并不会因业务部门划分的不同而呈现割裂状态,而是在产品研发、销售和市场推广等层面形成一个整体。”
戴尔软件集团安全解决方案事业部大中华区高级售前经理蔡永生从技术的角度补充介绍说:“戴尔安全解决方案事业部会与戴尔其他业务部门实行联动。比如,DDEP终端加密软件与防火墙产品联动,企业内网的用户只要经过防火墙,防火墙就可以检测终端是否安装了DDEP加密软件,如果没有安装此加密软件,那么数据就不能流动到企业之外。这是企业强制加密的一种策略。”
端到端方案的优势
2012年, 戴尔大手笔收购了安全厂商SonicWALL,这让戴尔的安全业务有了强大的核心支撑。“戴尔是少数甚至可以说是唯一一个能够提供端到端安全解决方案的厂商。戴尔安全解决方案除了SonicWALL的网络安全产品以外,还有上文提到的终端加密,以及IAM身份认证、安全托管服务等。”全汉升表示,“提供端到端的安全解决方案既是戴尔开展安全业务的需要,也是客户的迫切需求。”
提供端到端的IT解决方案是戴尔的一大优势。但是,用户的需求多种多样,提供单独的安全解决方案,还是将安全产品与服务器、存储、网络等产品进行捆绑销售,要视客户的具体需求而定。李若怡介绍说:“很多客户长期使用戴尔的服务器、存储和网络产品。他们很有可能将原有IT系统的改造项目与新上的安全项目视为同一个项目。这时,安全部门就会与渠道部门紧密合作,为客户定制一个打包的解决方案。还有一些客户,单独升级网络安全系统,这样的项目相对简单。我们有专门的技术、解决方案和渠道人员为客户提供一个全面的安全解决方案。”
有一些集团型和拥有多个分支机构的客户,他们一开始可能只想部署防火墙,但是他们拥有多家门店或分支机构,需要让网络设备互联。在这种情况下,戴尔会将安全产品与网络系统进行有机的整合,为用户提供端到端的解决方案。
蔡永生举例说:“通常情况下,连锁零售机构既需要高速的网络连接,也需要包括防火墙等在内的网络安全设备,还可能需要加密的终端设备。这时,戴尔作为端到端解决方案提供商的优势就可以得到充分施展。假设用户选择了戴尔X系列交换机,只要将X系列交换机与戴尔的防火墙产品相连接,戴尔的防火墙产品便可以自动识别X系列交换机的存在,在防火墙产品的管理界面中会出现X系列交换机,交换机的每个端口变成了防火墙的扩展接口,两个设备的管理合二为一,从用户的角度看,就像是管理一台设备。戴尔的网络产品与安全产品从底层技术上已经打通了。”戴尔安全解决方案与戴尔其他业务部门的方案正在进行广泛的整合,这已经是一种常态。
如今,安全威胁无处不在。比如,你在参加一个会议时,会议主办方会建议你下载一个会议指引App。你可能不假思索就下载了这个App。殊不知,危险可能已经找上了你。随着BYOD的流行,越来越多的员工将手机用于办公,这时潜伏在个人手机上的安全威胁就可能变成影响企业安全的风险因素。面对这些安全威胁,人们应该怎么办?“我们一直在与客户进行沟通,提醒他们不断完善业务流程,提高安全意识,在日常的业务运营过程中注意安全防护。”全汉升表示,“企业可以把安全计划想象成建筑结构中最稳固的形状之一拱形,如果拱形的所有部件都部署到位,那么整个架构将不可动摇;如果拱形的某个部件缺失或有不足,那么无论其他部件多么坚固,整个架构将不堪一击。”
戴尔成立专门的安全解决方案部门,就是为了能在任意一个环节帮助用户进行有效的防御,构建一个稳固的安全生态链。
安全,为中国
企业对安全系统的需求首先来自合规性的需要,其次是为了避免或减少受攻击后的损失,最后是让一些与企业安全相关的脆弱环节变得更加强壮。“合规性非常重要。”全汉升表示,“世界是平的。即使是一家中国的中小企业,它也可以把产品销售到全球各地。因此,这家企业不仅要遵守中国的相关法律,而且要遵守其他国家的法律。合规性保证企业可以在一个安全的生态链上做生意。”
不同国家的法律法规有差异,企业用户的安全需求也各不相同。对于安全厂商来说,它必须具备为不同国家的用户提供定制化安全解决方案的能力。“亚太和中国的安全市场竞争十分激烈,同时增长也非常快。为了满足这一市场快速多变的安全需求,我们成立了专门的安全解决方案部门。”全汉升表示,“中国的安全市场是一个非常特殊的市场。中国用户具有最复杂的安全需求。为此,我们从售前、售后、研发等部门选配了精兵强将,为中国用户提供支持。在上海,戴尔有一个庞大的安全研发中心。未来,我们会持续在亚太和中国市场进行投资。”
因为有了上海安全研发中心的存在,当中国客户提出特殊的安全需求时,戴尔就可以通过本地的研发中心提供更快速、及时的响应。全汉升表示:“在中国设立安全研发中心只是戴尔安全业务部门加强在中国投资的开始。我们还会推出系列化的针对中国用户的安全解决方案和服务。我们即将在中国推出一个名为Safe Guard的新产品。”
在刚刚结束的第十七届中国信息安全大会上,长亭科技的企业级网络安全防御产品――长亭雷池Web应用防火墙荣获“2016年度中国信息安全领域优秀产品奖”。
长亭科技国内真正将智能语义分析技术应用于Web应用安全防护领域的公司,长亭雷池Web应用防火墙打破了十多年来Web应用防护设备(WAF)一直依靠规则(即正则表达式)进行防护的局面,开启了Web防护的智能时代。因为使用了基于智能语义分析的核心技术引擎和并行数据分析框架,雷池具有快、准、省三大特点。即运行速度快、检测效果准,省时、省力、省心。最终给客户呈现的结果是防御效果更好,对企业的原有业务影响较传统WAF更小。
由于不存在规则叠加,雷池Web应用防火墙的平均处理时间是0.017ms,99%的处理时间都在0.1ms以下,远快于传统WAF。
目前,市面上的WAF依靠规则进行威胁识别与防御,判断用户输入是否为威胁的过程较机械,除了容易造成漏报以外,误报是另一个更严重的问题。因为误报可能导致将正常的用户输入拦截,会对企业的业务造成直接的影响,因此,解决误报问题也是新一代WAF的研究目标。雷池Web应用防火墙采用了基于智能语义分析技术的技术引擎,对攻击数据的识别有智能解读的过程,非常有效地降低了误报率和漏报率。经过真实的数据测试,雷池目前的误报率在千分之一以下,漏报率在3%以下,较传统WAF有了不小的进步,真正实现了让企业业务的Web应用安全防御的无感知但有效。
除此之外,长亭雷池Web应用防火墙会对用户输入进行分析,识别其输入内容是否存在攻击意图,这个过程中能有效识别未知威胁(0day),因此,长亭雷池Web应用防火墙真正地实现了对未知威胁的防御能力,这也是基于规则的传统WAF无法实现的。
长亭科技已为该项技术申请了多项专利保护。
目前,长亭雷池Web应用防火墙已应用在金融、视频、打车等领域,推出仅两个月时间,已有20家行业标杆客户。
在长亭科技等新兴网络安全公司的不断创新推动下,Web安全防护将逐渐走向智能时代。
长亭科技是一家以技术为导向的新兴网络安全公司,专注于为企业提供网络安全问题解决方案。公司成立于2014年7月,2015年7月正式开展业务。到2016年7月,长亭科技顺利推出两款企业级产品,长亭科技的业务主导也从单一的安全服务组件转型为集安全产品和服务为一身的网络安全解决方案体系,为企业提供更全面的网络安全防御。
未知攻、焉知防,除了产品的开发能力,长亭科技还拥有超强的攻防技术实力。成立两年时间,长亭科技已为91家企业提供了安全服务,其中包含电商、互联网金融、银行、学校等机构。长亭科技在服务过程中会帮助客户找到了网络安全薄弱点,并竭力为客户提供有效的网络安全解决方案,帮助客户有效地提升了网络安全防御能力。正是这种在安全服务中建立的信任感,为长亭科技产品的推广铺垫了良好的基础。
在未来,长亭科技将建立完善的安全体系,而单点产品的逐步实现让这个强大的安全体系初具雏形。本次获奖也证明了长亭科技产品开发的实力、提供网络安全解决方案的实力和打破传统单点被动防御的决心。
关键词:
中图分类号: TP391;TN911.73文献标识码:A文章编号:2095-2163(2011)03-0035-05
Design and Implementation of the Embedded Linux Firewall
RAO Ming, DU Zhonghui, HAN Qi, LI Qiong
Abstract: In this paper, a project is designed and tested for embedded Linux firewall. Firstly, a system framework of embedded Linux firewall based on ARM processor is proposed and a scheme of Linux kernel reducing is designed. Secondly, considering the poor performance of Netfilter/Iptables in large number rules set, a method of Iptables combining with NF-hipac and Ipset is introduced, and it is transplanted successfully. Finally, with the accomplished system, the integrated and detailed function and performance tests are provided. The function experiments show the rationality and efficiency of the system design and the performance tests indicate the key parameters influencing the system performance, which provides the reference and basis for further optimizing the system.
Key words:
0引言
互联网已经发展成为当今世界上最大的信息库,但是Internet从建立开始就缺乏安全的总体构想和设计,所以互联网的安全性就存在众多缺陷和隐患,由此防火墙的概念应运而生。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,从而保护内部网免受非法用户的侵入。但是,传统意义上的防火墙存在网络应用受到结构性限制、内部安全隐患、效率较低和故障率高等缺点,所以人们又提出了分布式防火墙的概念。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护。分布式防火墙的具体实现方式可以归结为基于软件和基于硬件两种,一般将基于硬件实现的分布式防火墙称为嵌入式防火墙[1]。嵌入式防火墙是一种基于嵌入式技术的新型防火墙,同时将安全策略延伸到了网络末端,安全措施由硬件系统实施,从而有效地克服了传统边界防火墙的局限,并结合了硬件解决方案的强健性和集中管理式软件解决方案的灵活性,从而创建了一种更为完善的安全防护架构。
1999年,Bellovin[2]提出了一种分布式的解决方案,将策略的执行分布到各端结点,同时保持集中式的策略管理。2000年,Loannids等人[3]按照Bellovin 1999年提出的观点实现了一个分布式防火墙的原型系统。2001年,Payne和 Markham[4]实现了一种基于硬件的分布式防火墙,并指出基于硬件的分布式防火墙具有更高的可靠性。国内学者也先后实现了基于嵌入式Linux以及Netfilter/Iptables架构的防火墙系统[5,6],并对嵌入式防火墙中Linux内核裁剪进行了研究[7,8]。在商业产品方面,华为3Com公司也研发出PCI卡和PC卡形式的嵌入式防火墙,这类防火墙不受网络拓扑控制,完全独立于主机操作系统,强化整个网络台式机、服务器和笔记本,配合适当的安全策略,控制每个端点的网络访问,并能快速响应检测到的攻击。但是这些研究和产品大多都基于Iptables工具,当规则数量达到一定程度时,Iptables进行规则过滤的速度大大下降,从而严重影响防火墙的整体性能。
本文基于ARM9嵌入式平台, 提出并实现了一种Iptables结合NF-hipac、Ipset的嵌入式防火墙方案,首先使用交叉编译技术将运行于x86体系Linux上的Netfilter/Iptables防火墙系统移植到基于ARM体系处理器的平台上,同时对Linux操作系统的内核进行裁剪。通过测试发现Iptables在某些条件下的性能局限,所以结合NF-hipac、Ipset实现三者优势的互补,进一步提高防火墙的性能。
1基于Netfilter/Iptables的防火墙分析
1.1Netfilter架构与Iptables
本小节将对Linux下的Netfilter/Iptables防火墙体系做整体的分析以及介绍,并指出Iptables的不足及其改进方案。
Netfilter是Linux内核实现数据包过滤、网络地址转换(NAT)、数据包处理等的功能框架。之所以说Netfilter是一种架构,是因为Netfilter可以被多种协议族所用。利用Netfilter架构,各种协议都可以在Linux内核级实现自己的防火墙。Netfilter的设计为内核中其它模块动态参与IP层中的数据包处理提供了途径。
Netfilter在内核中建立了一个函数指针链表,称为钩子函数链表,加入到链表中的函数指针所指的函数称为钩子函数(Hook Function)。一个数据包按照如图1所示的过程通过Netfilter系统,图中的5个钩子函数分别为:(1)NF_ IP_PRE_ROUTING;(2)NF_IP_LOCAL_IN;(3)NF_IP_FO-WARD;(4)NF_IP_POST_ROUTING;(5)NF_IP_LOCAL_OUT。
Iptables是基于Netfilter框架的数据报处理子系统[1],有很强的扩展性。内核模块可以在原有基础上注册一个新的规则表(table),并要求数据报流经指定的规则表,可以选择用于实现数据报过滤的filter表、网络地址转换的NAT表及数据报处理的mangle表。Linux2.6内核提供的这三种数据报处理功能都基于Netfilter的钩子函数和Iptables;而且还是互相之间独立的模块,完美集成到由Netfilter提供的框架中。Iptables实现对规则的管理和访问,ipt_entry,ipt_match,ipt_target,ipt_table等数据结构用于构造规则表, ipt_do_table函数用于遍历规则表并处理规则表上的结构。
1.2Iptables的不足及衍生工具Ipset、NF-hipac
在利用Iptables向系统添加防火墙规则时,如果没有特殊指定,Iptables会将新规则添加至规则链(线性表)的尾部;而当协议栈中有新数据包达到时,内核会调用ipt _do_table()逐条将规则与数据包的属性相对比,如果匹配成功则转入相应的处理行为。也就是说,几乎所有未命中规则的数据包的匹配复杂度为O(n)(n为规则的数目),这样在小规则集的情况下,性能削减不会很大,但是如果在庞大规则集的情况下,性能就会因规则条目的增长而大幅削减。
Ipset工具在这个方面做了很大的改善,最主要的是在结构和规则的查找上面做了很大的改善。Ipset的思想就是将相同处理规则的匹配条件放到一个集合中,一般采用hash方法。一个报文查询规则的时候,只需要判断IP地址是否在这个集合中就可以了;如果满足对应的匹配条件,就执行相应的处理操作。由于将查找从线性表遍历改为了hash查找,时间复杂度从O(n)降到了O(1)。根据提供的测试结果表明,当规则数目在300-1 500之间的时候,其对性能的影响基本是水平线。
NF-hipac是Netfilter项目中的一个子项目,NF-hipac提供了一个新颖包分类的架构,将规则集呈现树状分布以代替原有Iptables的线性分布,从而将时间复杂度从O(n)降到了O(logn)。但是相比于Ipset,NF-hipac具有更大的灵活性。当查找每一个包的时候,使用一个高级算法来减少内存占用。在一个有特别多的规则和高带宽的网络中,NF-hipac表现出色。NF-hipac的特点就是其语法完全兼容iptables -t filter选项,并且NF-hipac可以调用Iptables的匹配行为以及连接跟踪机制,这些特点使NF-hipac可以完全取代Iptables的过滤子功能。
2嵌入式防火墙方案设计及实现
2.1基于Iptables-Ipset-NF-hipac的防火墙方案
Iptables的优势在于具有足够的灵活度,并且功能强大,面面俱到;劣势是在数量巨大的规则集时性能低下。而Ipset虽具有很好的性能,将Iptables的时间复杂度从O(n)降到了O(1),但是却缺乏灵活性,集合里所有的IP对应到同一个处理操作,在面对并非一次性更新的规则集合时,显得用处不大。NF-hipac的灵活性和性能处于前二者之间,但是只能代替Iptables-t filter选项。因此,综合三个工具的优势,设计出一个更加优秀的防火墙方案:
(1)Ipset负责一次性大规模更新同一处理操作的IP集合;
(2)NF-hipac负责独立零散的过滤规则的更新;
(3)Iptables用来进行其他子功能(数据包转发、数据包地址伪装等)操作。
这样既保证了系统运行的高性能,又能覆盖所需的全部功能。
本文设计的嵌入式Linux防火墙的整体体系架构如图2所示。硬件层为ARM9的处理器,操作系统内核为经过移植的Linux(版本2.6.13)内核,并且支持NetFilter。用户态则移植了三款防火墙工具,并且都是在Netfilter架构的基础上进行开发的,包括Iptables、Ipset以及NF-hipac。
2.2开发平台及编译环境
本文设计的嵌入式Linux防火墙方案是在HIT-ESDK01平台上实现的,HIT-ESDK01是哈工大自主研制的嵌入式实践教学平台。该平台采用ATMEL公司AT91RM9200(ARM920T)嵌入式处理器,这是一款ARM920T内核的工业级产品,主频180MHz,带有MMU存储器管理单元,内嵌10M/100M自适应以太网。开发板上还包括64MB SDRAM、 256MB/1GBNand Flash和16MB Nor Flash,板上集成4线电阻式触摸屏接口、TFT液晶屏接口,最大支持16BPP模式800?}600分辨率,板载RS232、RS485、RJ45、USB等接口以及CAN总线接口及多种存储卡接口。实验平台的接口布局如图3所示。
所谓交叉编译就是在一个平台上生成可以在另一个平台上执行的代码,本文使用基于gcc 3.4.1的工具链,在x86架构的Linux主机上使用ARM架构的编译工具链对系统内核和工具进行编译,生成可以在目标板上运行的内核,烧写到Flash中,便可在嵌入式平台上运行经过裁剪的系统和相关工具。交叉编译内核的详细步骤本文不再赘述,只是简要介绍三个防火墙工具编译与移植的关键环节。
Iptables是Linux内核的一部分,因此与交叉编译内核一起考虑Iptables的编译,需要注意的是,Iptables最好编译为built-in模式,而不要选择模块模式,这主要是考虑到嵌入式系统单内核方便管理、使用及大规模的工业复制。NF-hipac是通过内核补丁的方式编译的,下载到其源码后为内核打补丁,然后与内核一起编译。另外,还需要对源码进行一定的修改,为编译移植用户层NF-hipac工具做准备,修改的文件包括Makefile、nf-hipac-core.c等。Ipset也是通过内核补丁的方式编译的,操作方法类似。
3功能与性能测试
本文测试部分包括防火墙的功能测试和性能测试,使用到的测试工具Netperf。Netperf是一款网络性能的测量工具,主要针对基于TCP或UDP的传输。Netperf根据应用的不同,可以进行不同模式的网络性能测试,即批量数据传输(bulk data transfer)模式和请求/应答(request/reponse)模式。Netperf测试结果所反映的是一个系统能够以多快的速度向另外一个系统发送数据,以及另外一个系统能够以多快的速度接收数据。
本文测试用例包括两种网络拓扑,如图4、图5所示。测试网络拓扑1主要模拟了从外网的客户端访问被防火墙保护的内网服务器(Web服务器、测试软件netserver服务器等),外网IP用192.168.5.0/24模拟,内网IP用10.50.10.0/24模拟。由于嵌入式Linux防火墙本身也为一台计算机,所以将其内部假设服务器,测试网络拓扑2(下文简称拓扑2)如图5所示,完成拓扑1所不能完成的一些性能上的测试,将测试结果进行进一步分析对比。
3.1功能验证与测试
功能验证与测试包括Iptables功能测试、NF-hipac功能测试和Ipset功能测试,在各种单项测试通过后,进行了ftp、telnet、NAT、针对SYNFlood攻击的防御等应用场景测试,图6、图7是NAT测试的数据流示意图和测试结果,表1给出了针对SYNFlood攻击的防御的测试结果,测试结果表明了该防火墙功能的有效性。
3.2性能测试
本文对防火墙进行的性能测试包括:内核精简前后性能对比测试、MTU值对性能影响测试、Iptables/NF-hipac/Ipset大规则集下的压力测试以及网络套接字缓冲区大小对系统性能的影响测试。
内核精简前后性能对比测试主要是为了验证本文所做内核裁剪的有效性,本文对精简前后的内核做众多性能方面的测试,对比了批量数据传输速率、请求/应答模式(即TCP_RR模式)交易率、连接/请求/应答模式(即TCP_CRR模式)交易率三方面给出测试结果,如图8-图10所示。
从测试结果可以得出,TCP_CRR模式下的交易率的数值变化较为明显。由于TCP_CRR模式为每次交易建立一个新的TCP连接,对系统消耗最为严重,从图10可以看出,未精简的内核的交易率变得十分不稳定。但无论是三项测试数据当中的哪一项,内核精简后对比精简前均有不同程度的性能上的提升,证明对内核进行精简可以对系统性能的提升起到作用。
MTU值(Maximum Transmission Unit最大传输单元)[1]是指一种通信协议的某一层上面所能通过的最大数据包大小(以字节为单位),在大流量的网络当中,增大MTU的值可以很好地改善网络性能。本文测试拓扑2,从批量数据传输速率、请求/应答模式交易率两方面进行测试,结果如表2、表3所示,其中,嵌入式防火墙eth0接口连接至服务器的网络接口,eth1接口连接至客户端的网络接口。
通过测试结果可以观察到,在较大MTU值的情况下,无论是数据传输速率还是交易率均得到了提升,但是也取决于整个网络中的瓶颈MTU值。
接下来进行了Iptables、NF-hipac、Ipset三个工具在大规则集下的压力测试,测试结果如图11、图12所示。由测试结果可以看出,Iptables在300条规则之内的性能对比NF-hipac与Ipset并没有明显的劣势,但是当规则的数量超过这一数值的时候,其性能表现就会大打折扣。而NF-hipac与Ipset的性能表现则几乎与规则的数目无关,NF-hipac的表现要稍好于Ipset。
4结束语
本文在HIT-ESDK01嵌入式教学平台之上设计并实现了嵌入式Linux防火墙系统。首先,根据嵌入式及防火墙的基本知识,设计了系统的总体结构,针对嵌入式系统的特点,给出了一种Linux内核的裁剪理由及方案,并针对该方案给出了测试结果,证明对其实施裁剪的必要性;其次,指出了Netfilter/Iptables架构在大数量规则集下性能低下的缺陷,提出了Iptables结合NF-hipac、Ipset使用的解决方案,并针对方案给出了详细的移植方法及步骤;最后,对实现的系统进行了详细的功能及性能测试。功能测试完成了整个系统各项功能的测试,证明了系统的可用性;性能测试主要给出了影响系统性能的参数,包括内核精简程度、MTU值、套接口缓冲区大小、防火墙规则的数量等等,通过改变参数并加以测试,对得到的测试结果加以分析,给出优化系统的途径。
参考文献:
[ 1 ] PAYNE C,MARKHAM T. Architecture and Applications for a
Distributed Embedded Firewall[C]// Proceedings of the Comp-
uter Security Applications Conference,2001:329-336.
[ 2 ] BELLOVIN S M. Distributed Firewalls[J]. Journal of Login,19-
99:39-47.
[ 3 ] LOANNIDS S,SMITH J,KEROMYTIS A D,et al. Implementing
a distributed firewall[C]// Proceedings of the 7th ACM Conferen-
ce on Computer and Communications Security, Athens, Greece,
2000-11.
[ 4 ] PAYNE C,MARKHAM T. Architectures and applications for a
distributed embedded firewall[C]// Proceedings of the Computer
Security Applications Conference,2001:329-336.
[ 5 ] 刘正海. 基于嵌入式Linux防火墙的研究与实现[D]. 重庆:重庆
大学硕士学位论文,2007.
[ 6 ] 郑培群. 嵌入式防火墙过滤规则的设计与算法优化[D]. 武汉:
武汉理工大学硕士学位论文,2010.
[ 7 ] 罗奕. 嵌入式Linux裁剪及其系统构建的研究与实现[D]. 长沙:
中南大学硕士学位论文,2005.
1.1核心技术难点
在本方案中,最大的难点有3个:
1)如何将大量的流量分流到各个互联网出口上,并且根据出口的状态(通或不通)动态的调整各个出口的流量;
2)如何将访问互联网的流量按开通的带宽大小均匀分配到各个出口;
3)分配到各个出口上的流量,如何能准确的送到各个出口,不会被途中的路由器转发到其他地方。
1.2核心技术解决方案
1.2.1难点一解决方案
到目前为止,互联网接入点和核心机房的VPN通道已经建立,每个出口的流量也由负载均衡器做了限制,但现在VPN通道仅仅是防火墙和边缘路由器之间建立,如果智能负载均衡设备不知道目前已接通的VPN通道,那就无法正确地将流量指向各个出口,无法实现将大流量分散到各个出口上。为解决这个难题,我们通过IPSec中保护数据流的方式来实现,为每一个小出口定义一个需保护的数据流。我们单独规划一段私网地址,每个出口一一对应一个私网地址,在边缘路由器配置时,通过创建ACL(访问控制列表)来定义保护的数据流,即该ACL中匹配该出口对应的私网地址,同时在IPSec的安全策略中引用该ACL。这样当边缘路由器和核心防火墙建立IPSec的VPN通道时,防火墙就能得知每个出口需保护的数据流,即数据流的地址是规划的私网地址时,就把数据流送到对应的VPN通道中。在负载均衡器上配置每个出口数据,同时对每个出口的做源地址NAT(网络地址转换),将原有数据包的源地址转换成每个出口定义的私网地址,再将该数据包送到防火墙上。防火墙根据每个数据包的私网地址送入不同的VPN通道,经过加密传输到边缘路由器上,从而实现了访问外网的数据分散到多个出口之上。同时一般的负载均衡器都能配制线路的健康检测,针对每个出口都配置一个健康检测,都是以私网地址为源地址去做每个出口的健康检测,实现对每个出口业务情况的掌控。
1.2.2难点二解决方案
局域网边缘的互联网接入点在接入互联网时,受接入方式的不同或成本的限制,有可能开通的带宽各不相同,如何才能保证各出口的流量不会超过出口的接入带宽。为解决这一难点,在智能负载均衡设备上,配置每条出口时指定最大带宽,限制了智能负载均衡设备将数据转发到每个出口的最大值,保证小带宽出口不会因为流量过大造成拥塞。
1.2.3难点三解决方案
大型局域网是指有多台路由器组成,彼此之间通过动态路由协议交互路由信息,每台设备均维护各自的路由表项。在这种网络环境下,访问互联网的流量途径任意一台路由器时,都有可能被路由器转发到错误接口上。为了解决这一难点,必须在局域网边缘的互联网接入点和核心机房之间建立端到端的连接,保证流量能被准确的送到互联网接入点。经过研究比对,推荐由互联网接入点的宽带路由器和核心机房内的防火墙使用IPsec来建立VPN通道解决这一难点,同时为简化后期维护压力,建议由互联网接入点的小型宽带路由器主动发起IPSec建立请求。
2实际应用效果
1)使用效果:分别使用电信、联通大小带宽测试网站打开情况,从测试结果来看,小带宽访问网站质量与大带宽近似,使用小带宽出口后访问效果并没有下降。
2)流量使用情况:目前已试点使用了600Mb/s电信、联通小带宽出口,流量使用比较稳定,可以承载部分大带宽出口流量。
3)经济效益:仅以电信20Mb/s大小带宽比对相关费用,目前电信大带宽为2000元/月,一年费用为2.4万元/年,而家庭宽带20Mb/s费用为0.2万元/年,加上每个接入点的路由器0.2万元,每个20Mb/s总计需费用为0.4万元,两者宽带租用费用相差6倍。使用该方案可以大大减少集团用户互联网费用的支出。
3结论
信息社会中,传统的防火墙一般只能完成3~4层网络的访问控制,已经不能满足用户的需求。
首先,对于DHCP(Dynamic HostConfiguration Protocol,动态主机地址分配协议)用户,计算机的IP地址是动态变化的,防火墙无法准确控制。其次,如果多个用户经NAT(Network AddressTranslation,网络地址转换)访问服务器应用,由于服务器前的防火墙只能看到转换后的IP地址,因此也无法完成访问控制。再次,当用户计算机处于不安全状态,如未安装防病毒软件或病毒库未及时更新时,防火墙应该禁止此类用户访问关键服务器或接入公司内部网络,但目前的防火墙还不能支持此类控制。最后,传统防火墙日志一般只记录基于IP地址的连接行为和简单的流量信息,不能具体到用户名,也无法记录用户上网后的关键行为,这使日志无法在事故追查、分析等方面发挥作用,形同虚设。
综上所述,用户需要一个更加完善的网关安全解决方案,可以对网络用户进行全面的认证鉴权、访问控制、安全审计和帐号管理,基于用户的这些需求,联想网御倾力打造了基于4A(Authentication,Authorization,Audit,Administration,认证、授权、审计、管理)安全网关系统的解决方案。
以某省移动为例,该省移动共计使用了118台4A安全网关,每个网关同时在线用户达到上千名,通过密码进行认证,同时,系统中还部署了用户监控与管理平台,这套解决方案的实施,更加严格地控制和审计了营业厅、代办点工作人员接入电信内部网络的行为,比传统的防火墙设备提供了更高的安全性保障,加强了网络管理,保障了信息安全,提高了工作效率。
整个网关系统由客户端软件及USBKEY、4A安全网关、认证服务器及用户监控与管理系统四部分组成,4A安全网关是系统的核心,能对用户进行强制认证、访问控制和安全审计,用户只有经过认证才能通过。同时,系统能基于用户名、时间等要素,对用户上网后的应用进行内容审计和流量控制,还可以对用户进行集中管理。整个系统构成如下:
认证客户端软件及USB KEY
这是系统的认证前端。系统的认证客户端软件支持密码、证书、Secure-ID等多种认证方式,从证书认证方式而言,还可支持文件证书和硬件KEY证书两种,Secure ID也可支持硬件KEY、手机K-java、手机短信等多种接收方式。系统的客户端软件负责向认证防火墙或认证服务器提交用户认证信息,同时检查PC主机的安全配置,包括补丁升级和病毒更新是否及时,并可将关键信息提交给4A安全网关。
4A安全网关
这是系统的安全控制和审计策略执行单元。4A安全网关可以对本地用户进行认证,或将认证请求转发给认证服务器,在终端没有安装客户端的情况下,浏览器能自动弹出WEB认证窗口。4A安全网关能完成对认证用户的访问控制,包括地址、端口、域名、带宽、流量、应用内容等,除此之外,还能审计用户的访问内容,如URL、下载文件等,并将相关信息发送给用户监控与管理系统。
认证服务器
【关键词】 电力系统 信息安全 入侵检测
随着社会生产力的快速发展,新型电气设备层出不穷,人们对电的需求量和依赖性日益增长。电网规模逐年猛增,要给居民提供安全、可靠、持续稳定的电力供应,传统的信息监控方式已经不能适应时展的要求。现代信息化技术在电网系统中的应用,给电力系统的高效、快捷管理提供了良好的技术基础,同时也给电网信息的一致性、完整性和安全性提供了一定的保障。早期的电力系统仅局限于局域网,在安全技术方面存在的问题不是很大,但是目前电力系统信息化由局域网变成了广域网,因此在进行维护的过程中,必须要防止互联网上各种不安全因素给电力系统造成的破坏。笔者结合理论知识和实践经验对电力系统信息化的安全问题进行深入探讨。
1 电力系统信息化安全风险分析
根据电力系统的特征和网络现状,目前电力系统信息化方面主要存在以下几方面的风险:(1)物理安全风险:主要指多种不可预测的环境意外情况对电力系统造成的危害,例如:火灾、电源故障、设备被盗等。(2)网络边界安全风险:主要是指多种未经授权的恶意访问、病毒攻击等对电力系统造成的危害。(3)系统的安全风险:主要是指网络操作系统自身存在的安全漏洞、补丁更新不及时对电力系统信息化造成的破坏。(4)应用安全风险:主要是指电力信息化系统在应用过程中的资源共享、电子邮件系统等安全性被破坏对电力系统信息化造成的风险。(5)管理的安全风险:主要是指在使用互联网过程中由于管理制度的不完善及维护人员的不专业性对电力系统信息化造成的风险。
2 电力系统信息化的安全需求分析
通过上述电力系统信息化安全风险分析可知,此系统对于安全需求分析可以分为以下几种:(1)电力系统中的重要信息极易通过辐射或者干扰等方式泄露出去,因此需对系统机房进行必要的辐射干扰机、构建屏蔽等。在物理安全方面可以进行双机备份、防雷及接地等安全保护。(2)为了保证电力系统和外网连接的安全性,可以在内网和外网之间配置IP加密,建立隔离网络;在不同区域、不同网络之间进行数据传输时要配置相应的防火墙系统;为了进一步提高网络之间数据传输的安全性,还要在系统内配置入侵检测系统,以避免受到恶意攻击。(3)对电力系统配置两个安全系统:第一,安全评估系统。该系统的主要功能是定期对运行中的信息网络进行不安全因素扫描,及时发现系统中存在的漏洞并进行修复,增强系统的受攻击能力;第二,安全审计系统。该系统的主要功能是防御工作人员出现违规、违纪操作及滥用网络资源等对系统带来安全隐患。(4)电力系统需要配置防病毒系统,以保护系统数据、服务器等不受到病毒的破坏;提高电力系统运行平台的安全水平,对运行系统进行技术的升级、更新、打补丁等,提高系统安全性;提高系统应用程序的安全性,例如:电子邮件、www系统、数据库等降低系统的安全风险。(5)建立完善的身份认证系统,提供数字签名、认证服务等,保证系统中数据的完整性及限制性访问;建立数据恢复系统,防止意外出现;建立完善的管理制度和应急机制,防止人为风险及提高应急事件的快速响应。
3 电力系统信息化安全技术解决方案
3.1 解决方案之防火墙
防火墙是将局域网和广域网进行隔离的防御系统。在电力系统中使用防火墙可以对内网进行划分,对于内部系统中要网段进行隔离,通过限制性访问来降低外网造成的不良影响。但是防火墙也存在以下几个不足之处:第一,对于通向系统站点的后门无法阻止;第二,无法对内部系统进行保护;第三,无法防御数据驱动型的攻击。同时,防火墙本身没有较强的防攻击能力,极易成为被攻击的对象。
3.2 解决方案之入侵检测系统
为了弥补防火墙的不足之处,在电力系统信息化中应用入侵检测系统(IDS)是常用的措施。IDS的主要功能是对于入侵的病毒进行实时监测及防护,该系统能够主动探测到网络中的入侵和攻击行为,例如:能够记录数据异常现象、能够对危险方式进行实时报警、能够阻断攻击通讯等。但是IDS系统也存在着自身无法客服的缺陷,难以解决误报及漏报的问题,此问题的解决必须依靠安全评估系统来配合确认。
3.3 解决方案之漏洞扫描技术
随着攻击性手段的复杂化,对电力系统抵抗破坏的能力进行分析能够提高系统的安全性。安全扫描分析系统能够检测出系统存在的安全漏洞,评估系统的安全性能,是保证系统安全性的重要技术。工作原理是采用模拟攻击的方式对工作站、服务器、书库据等进行逐项检测检查,同时提供安全分析检测结果,为系统的修复提供技术依据。
防火墙、入侵检测系统及漏洞扫描技术三者配合起来能够较好的为电力系统提供安全保障。
3.4 解决方案之防病毒
随着信息技术的快速发展,网络病毒的种类和传播方式形式多样,同时网络病毒传播速度快、危害大、途径多,对整个电力系统的危害很大。其危害主要表现在以下几个方面:第一,数据丢失;第二,网络通信阻断;第三,打乱正常的工作秩序等,这些危害造成的损失往往无法估量,因此,防病毒侵害已经成为保护计算机安全的重中之重。针对目前病毒的特点,防病毒技术必须具有实时监控、支持多平台运行及多种应用程序对病毒进行不间断的监控和处理,目前常用的防病毒手段主要有特征代码法、行为检测法及感染实验法等。在电力系统信息化进行实际应用时,由于要考虑成本、网络综合性能等方面的原因,网络层多是基于Unix平台,服务系统通常为Linux、windows等,要真正实现防止病毒传播的目的,必须对这些系统采取全面统一的防病毒保护措施。
4 结语
现阶段,我国电力系统信息化网络采用的是TCP/IP技术,该网络极具开放性,导致它极易受到各种不安全因素的攻击和干扰;同时,随着网络应用的日益增多,电力网络的安全需求也与日俱增,如何能够更好的保证电力系统的信息安全是电力企业将要面临的重要课题,需要相关专业人员持续不断的分析和探究。
参考文献:
[1]雷炳晖,霍艳萍,基于IEC标准的配网管理信息系统集成和应用[J].高电压技术,2011(50):1160-1162.
[2]陈颂,王光伟,刘欣宇等.信息系统安全风险评估研究[J].通信技术,2012,45(1):135-137.
A10 Networks创始人兼首席执行官陈澧说:“ A10新的AX 5630和ACOS版本兑现了我们的承诺,提供世界一流的、以客户为导向的创新。高效和灵活的AX系列解决方案能提供高性能的应用、SSL加速和DDoS 处理能力及先进的安全功能。”
AX系列的新功能包括:
AX5630:三个机架单元(RU),40G端口的平台,专为高效能需求的运营商和企业应用而设计,能进行高密度部署,多厂商数据中心的整合。
全新业界纪录,突破600万每秒4层新建连接性能(L4 CPS)
新的SSL加速硬件提供1024和2048位密钥的超高处理性能。1024/2048位密钥的SSL处理能力分别为40(Gbps)/ 36 Gbps;SSL CPS分别为180,000 / 174,000;4096位密钥的支持,可提供更高的安全性,效能为58,000个SSL CPS和21 Gbps的SSL处理能力。
分布式阻断服务(DDoS)SYN flood攻击防护性能亦建立了全新业界纪录:每秒超过1亿的SYN Cookie的攻击防护性能。
全新硬件架构包括2个Intel Xeon八核处理器,4 个40G端口(QSFP +),24个10G端口(SFP +),4个1G端口(SFP),128 GB的ECC内存,固态硬盘(SSD),3个电源(双冗余电源,一台备用电源),可移动的智能风扇,篡改检测,Lights-Out管理(LOM / IPMI),L2 / 3网络ASIC,4个FTA-2ASIC,SSL扩充卡片最大功耗只有890瓦。
AX 3530:在一个机架单元(RU) 的机箱中,ACOS2.7提供卓越的ADC 4层CPS,SSL效能。
新的SSL加速硬件提供近1024和2048位密钥的超高处理性能。 1024/2048位密钥的SSL处理能力分别为24 Gbps/23 Gbps,SSL CPS分别为120,000 / 98,000。4096位密钥的支持,可提供更高的安全性,效能为15,000 SSL的CPS和17 Gbps的处理能力。
在一个机架单元(RU) 的机箱提供 130万L4 CPS和 115 Gbps的应用处理能力,使用8台aVCS集群时可高达920 Gbp处理能力。
SoftAX: SoftAX虚拟机除了支持现有的VMware vSphere的解决方案外,还支持Xen和KVM虚拟解决方案。
所有的SoftAX虚拟机默认使用ACOS 2.7版本,并支持在旧版本上进行升级。
SoftAX提供高达8 Gbps的吞吐量,提供了业界高效的虚拟机性能。
新的安全解决方案:
增强的2048和4096位密钥SSL处理性能: 全新Nitrox III的硬件选项为AX3000-11、3200-12、3400、5200-11、3530和5630提供了破纪录的SSL1024, 2048和4096位密钥处理性能。 AX 5630的性能超越了竞争对手的最高阶的设备
SSL拦截: AX系列启用TLS / SSL流量解密,网络安全设备(例如IPS、IDS、DLP、UTM、标准的防火墙等)能检查加密的内容,AX系列能再进行加密和流量转发。 AX系列采用ACOS系统,通过专用SSL处理硬件优化,提供了极具扩展性的超高性能硬件平台。
aFleX支持的DNS应用防火墙:A10的DNS应用防火墙通过完全的aFleX命令集的支持,能完成DNS相关的操作,并进行更多的检查和设定。
高扩展性DDoS攻击保护 :AX5630的DDoS FTA-2技术能实现极高扩展性的保护。
TLS 1.2支持 :TLS1.1和TLS 1.2。
DNSSEC :DNSSEC密钥签名功能强化和DNSSEC模板。
[关键词]短消息中心 安全 防护
一、背景
随着信息安全工作的重视,某通信运营商的短消息中心系统是上级公司和工信部信息安全检查的重点系统,其网络结构如图1所示。
在公司组织的安全自查中,共发现系统安全漏洞544个,经过升级操作系统,打软件补丁等方式解决512个,但有32个漏洞由于系统冲突,操作系统厂商停止服务和业务限制等原因无法进行根本性修复,给系统运行带来一定的安全风险。对于此类安全问题,可采取的其它方式进行规避。
通常的规避方法为采用防火墙的方式在边界进行控制,即EDM300防火墙上做防问策略,只允许其它网段特定的主机防问短消息中心特定的服务器。通过防火墙的限制,可以消除绝大部分的安全威胁,但当安全威胁来自短消息中心系统内部时,防火墙就无能为力,特别上级部门检查,要求避开防火墙接入内网进行漏洞扫描,因此,防火墙对系统的保护对于安全检查时无法发挥作用。因此需要从其它的途径寻找方法,消除漏洞给信息安全带来的风险。
经过对残存的系统漏洞进行统计,可以归纳为三类:
1.SSH远程登录
2.ORACLE数据库系统方面
3.Apache Tomcat JSP应用服务器程序
二、解决方案
2.1SSH远程登录方面解决方案
SSH是目前较可靠,专为远程登录会话的协议工具,以加密方式传送数据,在短消息中心系统中,用于远程登录维护服务器使用,短消息的业务实现本身不使用SSH协议。因此,短消息中心的SSH服务使用者仅限于系统维护人员。因为SSH为本身的服务,可以通过系统服务白名单的方式将允许登录的主机限定于系统维护人员的主机,拒绝其它主机的连接请求。
具体做法如下:
1、修改/etc/hosts.allow文件,添加如下内容:
sshd:192.168.1.2:allow
表示允许192.168.1.2地址连接系统的SSH服务。
2、修改/etc/hosts.deny文件,添加如下内容:
sshd:all:deny
此文件是拒绝服务列表,修改后文件内容表示拒绝了所有sshd远程连接。当hosts.allow和host.deny相冲突时,以hosts.allow设置为准,这样就通过IP地址精确的指定了可以防问短消息系统的主机。
3、重启系统的SSH服务
/etc/init.d/sshd restart
以此步骤,将系统维护人员机器的IP加入到短消息系统的各个主机,使之只允许维护人员远程登录,拒绝其它任何主机的SSH连接。
2.2ORACLE数据库系统方面漏洞的解决方案
经过向短消息中心厂商了解,短消息中心的Oracle数据主要在业务实现时各个服务器之间的相互调用,并不需要对其它外界的主机提供的服务。因此对Oracle的连接仅限于短消息中心各个服务器之间,对于其它的IP址,完全可以禁止连接。
由于Oracle数据库系统服务并非linux系统本身自带服务,因此不能通过操作系统黑白名单方式进行解决。Oracle提供限制与允许特定的IP或主机名通过Oracle Net来访问数据库。这个功能由sqlnet.ora配置文件来实现。该文件通常$ORACLE_HOME/network/admin/目录下,与tnsnames.ora以及listener.ora位于同一路径。通过监听器的限制,实现轻量级访问限制,比在数据库内部通过触发器进行限制效率要高。
根据安全服务厂商绿盟的提供的其它运营商的经验,并经过短消息中心厂商研发确认,决定采用配置sqlnet.ora的方法限制IP访问数据库。具体做法如下:
1、统计短消息中心服务的所有地址,包括服务地址、私网地址及双机浮动地址,并制成列表,避免遗漏以免造成系统之间的数据库访问失败从而影响短消息业务。
2、在数据库的主机上修改tnsnames.ora文件,将统计到地址全部加入到tnsnames.ora文件:
tcp.validnode_cheching=yes
tcp.invited_nodes=(172.50.XXX.1,172.50.XXX.2,172.50.XXX.3,ip4,ip5)
通过设置tnsnames.ora文件invited_nodes值,所有没有包含在invited_nodes值中的IP或主机将无法通过Oracel Net连接到数据库,不能使用数据库的服务。
3、重启监听器使之生效。
Isnrctl reload listener SMC11
2.3 Apache Tomcat应用服务器程序程序漏洞的解方案
Apache Tomcat提供一个动态网页服务和程序,在短消息中心中主要提供报表服务器的查询与浏览,给维护人员提供一个简单、友好的使用界面。此类程序因不是服务器系统的自身服务,无法通过系统黑名单进行访问控制。一般采用在边界防火墙进行限制,但如此不能解决在内网扫描出现漏洞的问题。经过查询资料,与安全厂商与短消息中心厂商沟通,通过启用主机防火墙iptables进行端口防问限制的方式进行解决。
iptables是与最新的3.5版本Linux内核集成的IP信息包过滤系统。netfiher/iptables IP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。根据主机在网络所起的作用不同,有三种包过滤包方式分别是INPUT,OUTPUT及FORWARD,对应下图A,C,B三个路径。
具体到我们的要求,需要的INPUT路径的过滤器添加规则,限制访问HTYP服务的地址。具体操作步骤如下:
1.清除原有规则.
#iptables-F
#iptables-X
2.在INPUT链中添加规则
iptables-A INPUT-s 1 92.168.1.2-p tcp-dport 8080-jACCEPT
iptables-A INPUT-s 192.168.1.3-p tcp-dport 8080-jACCEPT
iptables-A INPUT-P tcp-dport 8080-j DROP
通过设置规则,允许特定的IP地址的主机访问短消息中心8080端口,未设置的IP则不能访问。
3.保存规则
/etc/rc.d/init.d/iptables save
【关键词】防火墙 网络安全 控制程序 测试方案
随着网络安全市场的打开,越来越多的公司加入到网络安全软件、硬件开发行列中,市场上就开始出现各类防火墙,其基本原理也就是通过源地址、目标地址互联安全控制来达到目的主机的安全。是否到达这个终极目标、以及防火墙在强力攻击之下能否还能稳定运行,规则判断能否准确而无误执行等,这些是需要经过严密的测试与检验才可以得出结论。只用通过严格检验,才能保证核心系统与主机的安全,所以测试对于产品检验来说是致关重要。
1 防火墙功简介
1.1 防火墙信息安全与属性
防火墙作为企业内外网中间安全监测点,为了实现数据通信安全审查与访问的隔离,防火墙就必须具备如下几个功能:
(1)通过地址访问控制,执行本地网络安全策略。
(2)防火墙自身的安全性保障,该功能是防火墙本身需要具备的重要一个原则。
(3)对网络中的各种行为提供日志和统计功能。
(4)防火墙的效率和可用性,其执行效率直接影响内外网的通信效率和。
(5)能提供统一、集中的网络安全和管理。
1.2 防火墙核心参数与测试方法
吞吐量:吞吐量主要体现防火墙数据转发能力,测试防火墙吞吐量主要通过试仪端口数量进行体现,测试中涉及的配置情况包括:透明模式,路由模式,配置NAT,配置policy,配置AV扫描,配置QoS等。一般情况下设备在配置大量policy的情况下的吞吐量不会有太大变化。在配置双向或者单向NAT后吞吐量大约是路由模式的98%左右。透明模式的吞吐量大约是路由模式吞吐量的80%左右。
时延:时延所测试的是系统处理数据包所需要的时间。防火墙的时延测试的是其存储转发(Store and Forward)的性能(另一种是Cut and Through)。时延的测试通常会选用测试仪所对应的RFC测试套件进行测试。
丢包率:丢包率是测试系统在一定负载的情况下丢包数量多少的测试。测试的意义在于通过过载的流量来考查对设备正常转发性能的影响。包率的测试通常会选用测试仪所对应的RFC测试套件进行测试。
系统恢复时间:系统恢复时间的测试包括:系统重起的时间测试,系统断电重起的时间测试,HA倒换时间测试,HA恢复时间测试,系统过载恢复测试(这个一般很少见),在HA倒换时间测试中测试包括主->备切换时间测试,备->主恢复时间测试。通用的测试方法为:使用测试仪发送恒定速率的流量穿过DUT,DUT进行reset,或者断电操作,直到流量恢复正常。恢复时间=丢包数量/发包速率。另外一种测试方法是通过ping包丢弃的数量来衡量倒换的时间
2 防火墙强测试方案设计
2.1 防火墙性能测试架构
性能测试部分主要利用SmartBits6000B专业测试仪,依照RFC2544定义的规范,对防火墙的吞吐量、延迟和丢包率三项重要指标进行验证。在性能测试中,需要综合验证防火墙桥接模式的性能表现,其拓扑图采用图1所示方案。
吞吐量测试是测试防火墙在正常工作时的数据传输处理能力的重要指标,更高的吞吐量使得防火墙更能适用于网络核心层对流量要求很高的网络环境,使防火墙不会成为网络的性能瓶颈,不会影响正常的业务通讯。单条规则,2GE,1G双向流量测试 无小包加速结果。(吞吐量测试结果)帧长(字节)分别为64,128,256,512,1024,1280,1518。分别得到桥接模式双向零丢包率吞吐率(%) 为14.48,25.87,45.10,87.50,100,100,100。
2.2 防火墙压力仿真测试
考虑到防火墙在实际应用中的复杂性,在本次的测试方案中,我们需要进行压力仿真测试,模拟实际应用的复杂度。考虑到测试时间及测试环境的限制,压力测试选取以下最为重要的几点进行,本次测试进行防火墙桥接模式的验证,拓扑图采取以下方案。本次测试以100条控制规则压力为前提进行,性能考虑吞吐量和延迟和丢包率。单机吞吐率(100条规则,2个GE口,1Gbps双向流量测试 无小包加速结果)。(单机吞吐量)帧长(字节)为64,128,256,512,1024,1280,1518;分别得到桥接模式双向零丢包率,压力吞吐率(%)为14.48,25.87,45.10,79.17,100,100,100。
3 结束语
防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制,系统测试从稳定性、可靠性、安全性及性能表现等多方面综合验证防火墙的技术指标。
参考文献
[1]沈伟峰,陈维均.基于防火墙的构建[J].微型电脑应用,2012,17(1):23-25.
[2]黄力,谢翠兰.多线程防火墙过滤模块的设计与实现[J].广西民族大学学报:自然科学版,2011(1):70-74.
[3]王永强,刘世栋,戴浩.入侵检测系统测试方法的缺陷与建议[J].信息网络安全,2013(12):24-26.
作者简介
朱军红,男,甘肃省平凉市人。现为中国石油东方公司研究院长庆分院工程师,从事计算机系统维护工作。
关键词:网络防火墙;配置;管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)25-0026-02
1 网络防火墙的部署问题综述
为保证内网所有数据流量均通过防火墙过滤,从而保护内网用户的安全,一般情况下防火墙均部署在网络出口位置,上接路由器或链路负载均衡设备,下接三层核心交换机。防火墙的接口一般分为三类:内网口、外网口和DMZ口,校园网中网络防火墙的部署如下图所示:
内网口用于连接内网交换机,通常是核心交换,负责转发内网数据;外网口用于连接外网,或是路由设备的接口;DMZ口用于连接内网服务器,这个区域的设备或服务对外网公开,但通过配置可以隐藏内部地址。
防火墙的管理方式有两种:命令行和WebGUI。通常情况下命令行管理模式的权限是最高的,防火墙厂商不对用户公开;防火墙用户采取分级管理,一般包含超级管理员、系统管理员和日志管理员。
2 网络防火墙常用的配置
2.1策略配置
防火墙策略是网络安全管理中最常用的方式。策略配置通常分为三个步骤:
(1) 定义对象
对象即需要控制的源地址和目的地址,通常代表用户或访问者,也可以代表某个城市或是主机,表示需要控制的范围。
(2) 定义服务
服务通常是需要控制的时间段、或是某些特殊的端口,用于精确控制对象的某个方面,如在某个时间段不允许访问某个固定地址等。
(3) 定义规则
规则即对象与策略的集合,将对象和服务结合在一起,定义允许和禁止某对象的特定服务,多个规则结合在一起构成策略。
规则的执行按照自上而下的顺序,如两条规则的所涉及的范围有重复,则跳过下一条规则中所规定的,因此在日常防火墙的管理中,新定义的规则一般放在最上面,保证被优先执行,而制定新规则之后若原有服务出现异常,则应该检查是否是新规则在制定时是否对原有策略产生了影响。例如定义内网中的网段10.0.1.1/24不能访问某网站http://需要两条规则(不考虑其他规则的条件下),定义规则如下:
策略生效后,如10.0.0.0网段用户访问的是http://,则匹配第一条规则,禁止访问;而访问其他的地址的网站或其他服务,则匹配第二条规则,允许通过。两条规则相结合生成了这一策略。
2.2网络地址转换配置
网络地址转换配置在防火墙中主要有两个作用:首先是隐藏内部地址,主要作用于内网服务器对外公开,通过网络地址转换将内网地址隐藏起来,起到一定的保护作用;其次网络地址转换用于解决共有IP地址不足的问题,将内网私有地址转换成互联网中通用的IPV4地址,也就是源地址转换和目的地址。
源地址转换一般用于内网用户访问外网时,防火墙统一将私有IP地址转换成指定的公网IP,例如学校的外网IP是218.95.46.65,则内网所有用户的访问Internet时都统一转换成该IP地址。目的地址转换则是当外网用户访问DMZ区中的某个服务器时,防火墙根据访问的服务请求,将数据包送至对应提供服务的主机。
2.3 其他功能配置
高校购买的防火墙通常都会有很多高级功能,如反垃圾邮件、内容过滤、入侵防御等,多数高校都只是应用了防火墙最基本的功能,而对这部分功能缺乏开发和应用的经验。实际上如果高校能够很好地配置使用这些功能,对整个校园网的安全提升会起到非常重要的作用。如利用反垃圾邮件系统过滤垃圾邮件、使用内容过滤屏蔽非法网站的关键字,进行入侵防御等都能大大提高校园网络安全。
3 网络防火墙后期的管理与维护问题
3.1 管理策略
3.1.1 不断完善安全策略
很多高校网络防火墙的安全策略都是产品购买时厂家工程师依据客户要求设置了,经过多年的使用,原有的策略已经不能满足安全的需要,对于最新发现的木马、蠕虫病毒也没有进一步的策略防护,因此需要管理员根据实际情况不断调整安全策略,及时封堵最新具有安全威胁的地址和端口。
3.1.2 建立日志系统
日志系统是安全防护的最后一道关卡,它在安全管理中占据十分重要的地位。但是很多高校并没有十分重视日志系统的建立,导致入侵发生后无据可查。实际上由于防火墙是整个网络的唯一出口,利用防火墙建立一个日志系统将会在管理工作中起到事半功倍的作用。具体的做法是指定一台专用的服务器,通过第三方软件在防火墙上采集相应的数据,通过局域网传送到日志服务器上。
3.2 维护策略
3.2.1 账号维护
账号维护是防火墙维护中的一项重要任务,主要包括权限维护和密码维护两个方面的内容。权限维护是指管理员账户应该分级管理,出现不同分工时应该及时调整账号权限;而密码维护则是要求各管理员至少每三个月就应更换一次密码,密码应包含字母、数字和字符串并且保证8位以上。
3.2.2 备份管理
防火墙的备份管理也是维护工作中的重要一环,当发生系统故障时可以及时通过备份迅速恢复配置,保证网络的顺畅运行。备份的频率是至少保证每月1次,配置发生变动时应及时备份,并且应该将备份文件放置在异地服务器上,避免防火墙硬件发生损坏时能及时从服务器中找回原有配置。
4 网络防火墙常见的故障及解决方案
4.1OS故障
网络防火墙的OS一般都比较稳定,出现故障的概率较小,但是系统升级时比较容易出现OS故障。笔者工作时使用的防火墙在系统升级时就曾经发生过系统故障,升级完成后不能正常工作,恢复原有系统后通讯正常,原因一般都是OS来源不当或是在传输过程中部分文件丢失,因此在升级时应该通过厂家进行并在升级前做好备份工作。
4.2配置故障
配置故障发生的主要原因是因为很多高校管理员将防火墙同路由器等同配置,虽然防火墙在某些功能上可以替代路由器,但其在转发效率上是远低于路由器的,并且很多配置也不尽相同,管理员只有充分掌握防火墙的原理和配置方法后才能在实际工作中尽量少失误。因此我们配置防火墙时如发生配置故障应迅速恢复原有配置保证网络通畅,再查找配置上的错误。
5 小结
本文从网络防火墙的部署、常用配置、管理与维护和常见故障与解决方案四个方面讨论了高校网络防火墙的配置与管理工作,网络管理员应充分掌握本校网络防火墙的管理方法,不断调整安全策略,尽量避免故障的发生,才能最大限度地保障校园网络安全的运行。
参考文献:
[1] 姚爽.计算机安全与防火墙技术[J].电子技术与软件工程,2016,(9)223.
关键词: 网络安全;解决方案;建议
中图分类号:P231 文献标识码:A 文章编号:1671-7597(2012)0610171-02
0 引言
随着科学技术的发展,信息技术已经成为人们工作生活中必不可少的一个部分,而这种必要性使得计算机网络更呈现突飞猛进的发展趋势。而网络的发展以及其伴随而来的网络安全问题越来越受到人们的关注,由于网络安全所造成的严重损失已经有目共睹,所以如何在推广网络应用的同时提高网络的安全性打造安全网络成为广大计算机网络用户关心的话题,这不但关系着网络应用领域是否会受限,同时也关系着网络是否能够保持正常速度发展,以及是否能够在现代化建设中发挥应有的作用。
1 网络安全威胁概述
1)安全威胁的产生
主要是由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展,使得网络安全威胁从网络诞生就一直伴随着成长起来,而且随着网络发展速度不断加快,网络安全威胁问题也日益严重。而且随着互联网的应用领域日益广泛,如金融、政府部门以及电子商务的盛行,使得网络数据的安全重要性日益突出,如果网络安全无法保障,则互联网应用推广必将遇到致命的瓶颈问题。如果从安全威胁的来源来看,可以将安全威胁主要分为自然威胁和人为威胁,自然威胁如天气、环境、设备等;人为威胁如人为攻击,通过寻找系统的弱点,以便破坏、欺骗、窃取数据等。
2)网络安全面临的威胁
网络安全面临的主要威胁可分为四个方面:即中断、窃听、篡改和伪造。中断是对系统的可用性进行攻击,如破坏计算机硬件、线路和文件管理系统等;窃听是对系统的保密性进行攻击,如搭线窃听、对文件或程序的非法拷贝,包括获取消息的内容,进行业务流分析,获得消息的格式、通信双方的位置和身份、通信的次数和消息的长度等;篡改是对系统的完整性进行攻击,如修改数据文件中的数据,替换某一程序使其执行不同的功能、修改网络中传送的消息内容等,通常包括假冒合法实体通过防线、截获合法数据后进行拷贝或重新发送、通信数据在传输过程中被改变、删除或替代、业务拒绝即对通信设备的使用和管理被无条件的拒绝;伪造是对系统的真实性进行攻击,如在网络中插入伪造的消息或在文件中插入伪造的记录等。以上所划分的网络安全威胁的四个方面,其实可以从一个更加通俗地角度来说明,中断就是故意破坏对方之间的通信,而自己不需要获取这些信息,其目的就是让第三方也无法正确获得这些信息;而窃听就是不影响对方接收信息,但是希望获知对方的通信内容,所以对于窃听而言要讲究隐蔽性,即最好的情况就是第三方之间的通信丝毫没有觉察到他们之间的通信内容被己方所接收;篡改则更进一步,不但要窃听到对方的通信内容,而且需要将这些信息根据己方利益最大化的原则进行修改。
3)安全业务——安全防护措施
保密业务:保护数据以防被动攻击,保密业务流;加密机制,按照密钥的类型不同,对称密钥算法和非对称密钥算法两种,按照密码体制的不同,分为序列密码算法和分组密码算法两种;认证业务:保证通信的真实性,确保发送方或接收方的身份;完整性业务:防止对消息(流)的篡改和业务拒绝;不可否认业务:防止通信某一方对传输的否认;访问控制:防止对网络资源的非授权访问,使用认证。
2 网络安全解决方案建议
1)整体安全体系构建的几个方面
网络本身就是一个体系,是一个系统性的概念,在网络通信中也涉及到多个实体或者协议,所以网络安全涉及到多个方面,为了打造安全的网络,就需要构建网络安全的整体保护体系,只有这样才能够有效保护网络的安全性。一般来说,网络安全体系的构建可以从如下几个方面加以考虑,也就是保护、检测、响应、恢复,这四者构成了一个完整的体系,如果每一部分都能够做好,则打造一个安全的计算机网络不再是一句空话。保护是通过使用加解密技术、访问控制技术、数字签名技术,以及可验证的信息交换过程等到方面对数据及其网上操作加以保护,保护也可以理解为对故意中断网络或者破坏数据的一种防护措施。检测是对信息传输的内容的可控性的检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等等,如果有对网络通信的恶意窃听发生也需要及时检测到。及时响应是网络的一个重要指标,响应是在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供强有力的响应机制。无论防护措施多么严密,网络安全技术如何卓越,我们都无法承诺网络永远不会受到破坏,所以此时有效的恢复就显得尤为重要,恢复是指灾难恢复,在系统受到攻击的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。
2)保障物理安全
物理安全是最基本的,如果硬件发生故障或者被破坏,其他一切网络安全保护措施都成为无源之水,所以网络的物理安全保障是整个网络安全保障体系的基石。物理安全是用来保护计算机硬件和存储介质的装置和工作程序,物理安全防护包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁蔽三种类型。
3)整体部署
网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。在整个体系中的每一个部分,都是具有特定的功能需求,都是针对某一种安全需要而采取的安全措施。下面以一个实际的安全解决方案为例,建立网络安全防护体系。
在网关位置配置多接口防火墙,根据功能作用不同,将整个网络划分为外部网络、内部网络、DMZ区等多个安全区域,由于工作主机在整个网络中处于核心地位,而且主机如果发生安全问题将产生重要影响,所以将工作主机放置于内部网络区域可以更有效地保护主机的安全,将Web服务器、数据库服务器等服务器放置在DMZ区域,其他区域对服务器区的访问必须经过防火墙模块的检查,这就相当于在服务器区提供了加固的安全作用。在中心交换机上配置基于网络的IDS系统,监控整个网络内的网络流量,这是由于网络流量的异常也是网络是否安全是否受到攻击的一个重要特征。在DMZ区内的重要服务器上安装基于主机的IDS系统,对所有对上述服务器的访问进行监控,并对相应的操作进行记录和审计,这可以对故障诊断提供有效的辅助。
4)具体部署
下面对上一步中整个网络安全体系中各个部分的具体配置进行介绍。防火墙设备,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统。包括用于网络连接的软件和硬件以及控制访问的方案。这类防范措施可以只用路由器实现,可以用主机、子网、专用硬件来实现。所有在内部网络和外部网络之间传输的数据必须通过防火墙;只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;防火墙本身不受各种攻击的影响。在本方案中选用的防火墙设备是CheckPoint FireWall-1防火墙。FireWall-1功能特点有对应用程序的广泛支持;集中管理下的分布式客户机/服务器结构;远程网络访问的安全保障(FireWall-1 SecuRemote)。
防病毒设备。在本方案中防病毒设备选用的是趋势科技的整体防病毒产品和解决方案,包括中央管理控制、服务器防病毒和客户机防病毒三部分,这对于抵挡当前已知的绝大部分病毒已经非常有效,而且由于防病毒产品的更新服务,所以只要在实际应用中时刻保持病毒库版本为最新就可以保证系统的安全。
入侵监测设备就是为了当有入侵行为发生时系统可以及时获悉,在本方案中入侵监测设备采用的是NFR入侵监测设备,包括NFR NID和NFR HID。NFR把基于网络的入侵检测技术NID和基于主机的入侵检测技术HID完美地结合起来,构成了一个完整的,一致的实时入侵监控体系。
SAP身份认证设备对于任何系统的安全都是必不可少的,也是保障系统安全的基本措施。本方案采用的身份认证设备是Secure Computing的SafeWord。SafeWord具备分散式运作及无限制的可扩充特性。
3 结论
网络安全是一个常说常新的话题,随着攻防不断升级,网络攻击入侵手段和网络安全保护技术手段都更加先进,所以网络的安全防护是一场没有终点的战役,只有时刻保持对网络安全的高度重视,采用先进的网络安全防护技术才有可能打造一个安全的网络,本文对于网络安全保障的一些措施希望能够为网络安全防护提供一些借鉴。
参考文献:
[1]陈丹丹,网络钓鱼与网络安全初探,消费电子,2012年,第5期.
[2]王志刚,浅谈计算机网络安全现状及对策,今日财富(金融发展与监管),2012年,第4期.
[3]王丽云,初中校园网络安全分析和策略,今日财富(金融发展与监管),2012年,第3期.
