时间:2023-06-12 14:46:22
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全网络策略,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:网络;安全;方案
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
1 网络安全评估分析系统
1.1 网络安全评估分析系统的必要性
面对用户网络的复杂性和不断变化的情况,依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,制定符合用户网络应用的安全策略显然是不现实的。解决的方案是,寻找一种能寻找网络安全漏洞、评估并提出修改建议的网络安全分析评估系统。
检测现有网络中的边界设备(如路由器交换机)、网络安全设备(防火墙、入侵检测系统)、服务器(包括内部网络系统的各种应用服务器)、主机、数据库等进行扫描,预先查找出存在的漏洞,从而进行及时的修补,对网络设备等存在的不安全配置重新进行安全配置。
目前大多数的病毒都已经不是简单的复制和占据资源的概念,其已经演变为通过利用系统漏洞和脆弱性,破坏和盗取信息为目的软件。所以,通过安全评估分析系统,在网络受到感染以前,及时地修补系统漏洞,从而更有效的保护局域网。
1.2 网络安全评估分析系统选型
安全评估系统(扫描对象包括网络设备、主机、数据库系统)使用户有机会在故障出现之前将其修复,而不是对一项已经进行的入侵或误用情况做出反应。漏洞扫描可以让用户首先防止入侵。漏洞扫描也许对那些没有很好的事件响应能力的用户会有帮助。
在用户网络系统中,部署一台百兆硬件网络安全评估分析系统,它通过对网络安全弱点全面和自主地检测与分析,能够迅速找到并修复安全漏洞。能同时对网络中的网络设备(如路由器、交换机、防火墙等)、小型机、PC SERVER和PC机操作系统(如Windows)和应用程序(如IIS)由于各种原因存在一些漏洞(包括系统漏洞、脆弱口令等),将风险分为高,中,低三个等级并且生成大范围的有意义的报表,从以管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。
(1)全面的产品资质认定
网络安全评估系统具有如下的产品资质认证,为用户提供满意的产品:
公安部《计算机信息系统安全专用产品销售许可证》
国家保密局《科学技术成果鉴定证书》
国家信息安全测评认证中心《国家信息安全产品认证产品型号证书》
(2)易用性
网络安全评估分析系统应该充分考虑了中国人的使用习惯,具有良好的易用性。安装和使用界面全中文化,操作使用符合标准的WINDOWS风格,用户大部分只要通过电击鼠标就可以达到目的。管理工作更加方便,其输出也更加有价值。
(3)产品扩展性
网络安全评估分析系统的测试方法库采用插件方式,升级极为容易,添加新的插件就可以使软件增加新的功能,扫描更多漏洞。同时这种技术使软件的升级维护都变得相对简单,并具有非常强的扩展性。
1.3 网络安全评估分析系统部署
网络安全评估分析系统可以定期连入管理中心网络的网管交换机或者中心交换机上,对网络设备进行网络安全评估,比如小型机、PC SERVER、网络设备(交换机、路由器等)、安全设备(如防火墙)及内网各工作站系统,进行周期性的安全评估,得出安全评估分析报告,然后进行相应的漏洞修补或重新设计安全策略,以达到网络中硬件设备系统和应用平台的安全化。
1.4 网络安全评估分析系统部署后作用
(1)安全评估是本系统的主要功能,也称为“脆弱性分析”或者“网络安全扫描”,通过本网络安全评估分析系统的部署,可以对网络内计算机系统或者网络设备进行安全测试与评估,获得相关安全信息,找出安全隐患和可被黑客利用的漏洞。
(2)设备可以结合CVSS(通用脆弱性评级体系)和等级保护方法的理论,科学的给出相应的安全分析和可操作的修补处理建议,为网络管理人员提供修补漏洞的方法,使得管理可以及时修补网络隐患,做到防患于未然。
(3)自评估部分还可以协助管理员对设备进行问题的自动修补。
2 应用防护
2.1 Web应用防护系统的必要性
随着越来越多的应用系统以WEB的方式被部署,这些系统的敏感数据如用户信息等被黑客盗窃和篡改的潜在风险也越来越高。回顾当今成功的系统攻击,很多都是利用了WEB应用漏洞。实施这些攻击的人,既有来自外部的黑客,也有来自内部的不怀好意的用户。
因为基于WEB的应用系统可以通过任意浏览器进行访问,用户往往更容易访问到这些系统,从而在一定程度上可以通过这些系统绕过内部的安全控制。
对大多数公司来说,WEB应用系统已经成为安全的边界。使用WEB安全网关是确保这些系统安全的唯一途径。然而,考虑到WEB应用的多样性,WEB安全网关往往只有在针对具体的应用精心配置后才能有效地承担起应用保护的角色。没有正确部署的WEB安全网关往往会阻断合法用户对系统的正常访问,甚至没能起到应有的左右而让黑客长驱直入。
WEB安全网关是一种新型的可以保护WEB系统免遭攻击的网络及应用安全设备。它通过执行非常细粒度的安全策略来保证WEB应用系统自身以及系统数据免遭各种攻击。得益于WEB安全网关所使用的突破性技术,这些安全策略能够非常容易地适应各种WEB应用系统,从而满足所有的安全需要。
WEB 安全网关为WEB应用提供了全面的应用层保护,它不但能抵御目前已知的攻击及其变种,还能抵御未知的攻击。
需要特别指出的是,WEB安全网关通过自己独特的WEB对象混淆技术,大大提高了攻击者的技术门槛,甚至能使大部分的普通攻击者无从下手;独创的安全令牌技术则能彻底防止WEB应用对象被篡改和伪造。由于攻击者无法篡改和伪造WEB请求数据,攻击便无法实施。此外,通过与WEB应用紧密相连的安全策略的配合,WEB安全网关能严格限制合法用户的行为,避免了对系统受限资源非法的访问。
融合可靠的应用层过滤技术和先进的数据加密技术, WEB安全网关完全能为企业级的WEB应用提供完整的安全解决方案。
2.2 Web安全网关的选型
根据用户网络的应用需求,推荐使用Web安全网关产品可以满足了网络需求,很好的解决了对Web服务器的防护和管理功能。
具体功能如下:
2.2.1 基于黑名单的攻击过滤器能阻断目前大部分的常见攻击
(1)SQL注入
(2)跨站脚本攻击
(3)已知的蠕虫和系统漏洞
(4)对敏感资源和数据的非法访问
(5)其他系统溢出攻击
2.2.2 基于白名单的防御引擎能阻断任何非法的攻击
(1)伪造用户输入数据
(2)非法的应用访问流程
(3)Cookie滥用
(4)HTTP请求劫持
2.2.3 完备的网络层安全和服务提供整体防御
(1)状态检测防火墙
(2)IP/端口过滤
(3)应用层DDOS防护
(4)SSL 加速
2.2.4 灵活多变的伪装技术使系统逃避探测和攻击
(1)防止对服务器操作系统和WEB服务器的指纹探测
(2)自定义错误页面防止敏感信息泄露
(3)删除网页开发工具信息以及代码注释,使黑客无法获取重要的信息
(4)防止服务器端代码泄露
2.2.5 丰富的日志提供强大的报表和审计功能
(1)详细的系统日志和访问控制日志
(2)丰富的WEB资源访问统计报表
(3)详细的攻击统计报表
(4)支持标准的syslog日志服务器
(5)基于XML的日志数据便于与外部系统集成
2.3 Web安全网关的部署
WEB安全网关能根据用户的需要采用多种部署方式。标准的设备部署在Web服务器前面,配置过程可以在几个小时内完成,WEB安全网关可以抵抗绝大部分常见的攻击。通过在标准部署基础上进行高级的安全策略调整,可以根据需要提供最高级别的安全,彻底杜绝攻击发生的可能。
2.4 Web安全网关的作用
2.4.1 最大可能地减少针对WEB的攻击
随着越来越多的基于WEB的应用系统投入使用,越来越多的敏感数据被暴露在当前的系统无法解决的安全威胁之下。一旦攻击得逞,损失便大的无法接受。使用WEB安全网关能最大可能地减少针对WEB应用的攻击。
2.4.2 避免敏感信息被盗,符合行业安全规范
当今很多行业如银行和电子商务等行业都有自己的安全规范,符合这些安全规范是业务正常开展的基础。目前WEB应用系统是黑客们为了获取诸如客户信息等敏感数据而寻找的最主要的攻击目标,每年因为针对应用层的攻击而导致的损失都高达己亿美元。WEB安全网关是解决敏感数据经由WEB系统被盗窃这一棘手的安全问题的最重要也是最有效的途径。
2.4.3 无须安全补丁,保护已有投资
因为知道应用系统容易遭受各种攻击,IT部门需要不间断地监控各站点并且安装各种最新的补丁。因为如前所述,WEB安全网关能阻止各种针对WEB应用和WEB服务器的攻击,从而大大降低了系统对补丁的依赖性。此外,对于存在安全漏洞但是因为其他原因无法进行升级的旧有系统,WEB安全网关也能保证系统能安全地运行,从而保护了客户的投资。
2.4.4 安全便捷,使用简单
WEB 防火墙部署非常容易,通过向导可以很快地完成设备的初次安装。因为WEB安全网关是网络层的设备,因此可以和任何WEB服务器配合使用,并且对WEB应用是透明的。
关键词:m0n0;安全网关;多功能
1 引言
目前,对于小区宽带、网吧、学校、宾馆等众多中小型企业用户而言,多功能安全网关已成为企业用户网络环境正常运行的重要网络设备之一,这些企业用户购买的Internet接入设备不仅能够有效的使用Internet网络资源,而且还需要具有一定的安全性和稳定性,以保证企业内网的高效有续运行,此外可管理和多用途也是近年来随着企业用户的实际需求发生而产生的新的设备发展方向。比如小区宽带用户需要高速网络接入、带宽独占而且最好是资费较低,在这种情况下,如果每家都使用ISP的ADSL拨号上网,虽然能够保证高带宽和带宽独占,但是接入成本相对较高,而且更多的时候用户不上网的时候带宽是被浪费的。在这种情况下,如果以小区为单位建立小型的ISP,使用这类多功能安全网关,申请一定量的高速网络带宽,然后按照小区ADSL的形式提供用户端接入,这样就可以很好的解决前面提到的问题,关键是这类产品带来的最大实惠就是极大的降低了网络接入的资费。m0n0是一款优秀的开源防火墙系统,基于该系统开发,按照用户需求,构建一款多功能的安全网关产品,这就是本文的出发点所在。
2 m0n0防火墙系统简介
m0n0开源安全网关最初由瑞士人Manuel Kasper开发的基于X86平台的嵌入式安全网关系统,目的是构建一个简单、高效、自由、安全的嵌入式安全网关,实现使用较小成本就可以得到和昂贵的商业安全网关相同或相近的功能特性。该开源项目经过多年的发展和壮大,到目前为止全球已有数以万计的人员参与项目的开发和推广工作,安全网关已具备大部分商业安全网关的网络功能,并且越来越受到中小型企业用户的欢迎。
但由于m0n0是传统的网络层安全网关,应用层功能较弱,还有很大的扩展空间,特别是基于插件管理平台进行功能模块扩展的思想对于该开源安全网关的应用和推广有着极其重要的意义。
3 多功能安全网关的整体设计
多功能安全网关的设计是在原有系统的基础上通过多功能模块管理平台进行功能模块管理,系统整体设计如图1所示。
如上图所示,本防火墙系统是在M0n0的原有功能基础之上进行的二次开发,除进一步增加和完善必要的功能模块之外,还应用多功能模块管理平台统一进行模块的管理和维护,而且各个子系统和基本防火墙系统分处于不同的文件系统当中,以实现对基本系统的保护和第三方功能模块的灵活扩充。
M0n0原有平台的基本功能模块有访问控制、VPN、NAT/PAT、日志审计、流量控制、SNMP、DHCP中继、动态DNS、上网认证、静态路由、VLAN中继等。
在上述基本平台的基础之上开发多功能模块管理平台,负责上传新开发或者修改好的功能模块,生成模块对应的运行空间(独立文件系统),自动进行系统文件布局和配置文件的保存备份,以及功能模块的修改删除等操作。该系统的实现使得安全网关的模块管理成为一种可能,而且通过生成独立运行空间,使得各个子系统和主系统可以各自独立稳定运行。
在该安全网关当中,所谓的多功能就是通过各个模块实现的,结合目前企业的实际需求设计的应用模块主要为如下四种(由于各个模块又是一个独立的小系统,所以下文中我们将其称之为子系统),各个模块的功能特性如下。
模板式流控模块:模板式流控模块子系统是在dummynet+IPFW流量控制的基础上提出的一种模板式流控解决方案,按照网吧网络、办公环境、集体网络、家庭网络等几种不同的网络类型各自特点开发与之对应的系列流量模板,最终实现针对某一网络环境的流量管理策略,避免手工安排规则、管道、队列等复杂流控元素的困扰。
双线接入模块:双线接入模块子系统是在原有防火墙单线接入的基础上引入的双线解决方案,实现网吧、学校等特殊网络环境对双线网络接入的实际需求。通过该子系统可以实现两条线路的流量负载均衡、主从线路设置以及线路备份等功能,增加企业网络的稳定性。
网络计费模块:网络计费模块子系统是为了满足网吧、学校、宾馆的特殊需求开发的一个计费模块,该系统可根据共享账号、独立账号等不同的角色开展计费工作;而且独立账号还可以按照特权账号、包月账号、计时账号等属性进行计费,实现对网络使用者的管理和控制。
上网行为管理模块:此外将第三方软件Panabit制作成为一款功能模块集成到系统当中,也是该安全网关的一个创新所在。该软件是一款FreeBSD下的优秀上网行为管理软件,通过该软件实现对所有用户的网络访问、流量控制、日志审计融为一体,为实现全面的网络管理和监控奠定基础。
[参考文献]
随着业务的不断发展,马应龙药业集团公司湖北武汉总部(以下简称马应龙)办公网络已从原有的不到100台终端扩展到数百台终端,通过20Mb电信、30Mb联通线路访问互联网,另有供互联网访问的多台公司服务器集群托管在IDC机房。马应龙原有的出口安全设备已不能满足现有需求。
多核安全保护IDC
马应龙经过前期细致的产品选型、性能评测、功能模拟测试、实际应用环境稳定性测试等工作,最终选择了Hillstone山石网科提供的解决方案,由Hillstone SG-6000-G2110高性能多核安全网关作为集团办公网出口及IDC托管服务器区的安全设备。
马应龙在办公网出口部署了Hillstone SG-6000-G2110高性能多核安全网关,开启防火墙、流量控制、ISP路由功能,对办公内网访问互联网用户进行高效转发,并开启相应的带宽管理策略,保障了关键办公业务,限制了非正常流量,并通过使用ISP路由功能实现了电信、联通互访,有效地完成了马应龙正常业务办公的支撑任务。
马应龙通过在IDC托管服务器群前部署Hillstone SG-6000-G2110高性能多核安全网关,开启防火墙、IPS入侵防御功能。马应龙通过设置严谨的防火墙过滤规则,配合精确的流并行检测引擎,有效地保证了IDC托管服务器群的安全。
四大特点提升安全指标
1. 高性能安全防护抗攻击能力。Hillstone SG-6000-G2110高性能多核安全网关采用业界领先的多核Plus G2硬件架构,可提供相当于数倍传统设备的吞吐率、每秒新建会话数及最大并发会话数,能够满足马应龙网络中所有对网络环境的吞吐要求。Hillstone SG-6000-G2110高性能多核安全网关在性能方面可以达到每秒处理20万TCP或50万UDP的攻击请求,在极限背景流量情况下仍可以对攻击流进行识别和阻断,而且系统还将源地址、发起的攻击类型、时间等信息都保存到日志,方便日后审计。
2. 先进的防火墙安全防护功能。Hillstone SG-6000-G2110高性能多核安全网关可以支持防火墙功能,能够在深度应用识别的基础上对数据包进行过滤,重点针对重要的Web服务器进行细粒度的控制;此外,Hillstone SG-6000-G2110高性能多核安全网关还支持基于用户的访问控制,部署在马应龙网络后,与系统的认证系统整合起来,并根据不同的访问用户类型,来执行不同的访问控制规则,加强了对应用层的防护。
3. 高效的入侵防护功能。Hillstone SG-6000-G2110高性能多核安全网关全面支持入侵防护技术,并在深度应用识别技术上,对当前常见的安全攻击手段进行报警和阻断。同时Hillstone SG-6000-G2110的IPS功能支持超过3000种的攻击检测和防御,支持透明模式部署,用户可以迅速将IPS部署在网络中,大大降低了IT人员的工作量,也为企业争取了防御攻击的宝贵时间。
4. 便捷快速的管理维护功能。Hillstone SG-6000-G2110高性能多核安全网关提供可快速配置的传统命令行接口及直观、易于管理的Web接口,中英文页面便于不同用户对其管理。同时Hillstone山石网科的集中管理平台――HSM可对多台设备进行集中管理、运行状况监控和日志收集,方便用户进行快速、便捷、高效管理。
第一输油处是长庆油田分公司下设的二级生产单位,下属共有10个场站,跨越5个地(市)16个县(区),是公司目前输量最大的管道之一。据了解,其IT部门于2010年11月对内进行了升级改造,以处机关的千兆接入为汇聚层,百兆连接至下属的各输油场站,使全网从三层架构更改成二层架构。
改造之后,终端设备数量达到近500台,服务器超过20台,再加之机关附属、基层场站、培训中心、宾馆等多业务模式下频繁的负责的信息交换需求环境,其内网安全问题日益严峻,内部病毒感染事件的频发体现了三大集中的网络安全防护需求。
云安全让IWSA3000脱颖而出
在网络安全系统升级前,第一输油处慎重周密地拟定了多家备选网络安全厂商。由于网络出口得到了统一,第一输油处很快明确了采购需求:在互联网出口处针对基于Web方式的威胁提供保护,保证恶意程序在进入内部网络前就被清除掉。
由于第一输油处升级前的网络拓扑构造为部署Web安全网关、统一安全管理提供了有利的基础条件。第一输油处对安全网关主要提出了三点需求:能够防御未知及新病毒,不影响网络系统性能,提供可量化的安全管理。
虽然测试了多款安全网关产品,但第一输油处发现这些产品依然在使用防毒中的“老路数”:网关上下载最新的特征码、URL地址库,然后对流量进行过滤比对。在实际测试过程中,这些产品本质的缺陷和“亡羊补牢”落后策略均无法满足防御最新病毒的要求,特别是在遇到0Day(零日)攻击的情况下。在测试中,由于趋势科技安全网关IWSA3000支持透明模式,采用透明部署方式,产品运行时不会对用户日常使用习惯带来任何的影响。最终,这款产品得到了用户的认可。第一输油处的相关领导表示:“在选择网络安全设备时,我们看重的是对网络威胁实际的防范效果。经过深层次的技术沟通,在充分了解趋势科技产品云技术的实际效果和价值,并且充分了解IWSA测试评估报告后,我们最终还是决定选择趋势科技的IWSA3000。”
准确分析动态恶意威胁
据了解,由于趋势科技IWSA3000采用了“云安全”技术,它能够进行动态性质的恶意威胁分析,生成动态的信誉库,而非“死代码”。采用这一先进模式的趋势科技IWSA网关,还拥有云计算毫秒级的运算速度,可在几分钟内成功拦截恶意攻击网址。在一些破坏性较大的病毒尚未被媒体关注前,第一输油处就因为已经部署了趋势科技IWSA 3000,而提前发现并成功拦截了这些病毒。此外,趋势科技IWSA在云端数据库中建立了该URL的病毒属性,能帮助企业内的分支机构或者用户避免再次遭受同样的URL的侵害,从而实现零秒差阻挡病毒的防护效果。
部署半年以来,趋势科技IWSA3000为长庆第一输油处实现了主动拦截的恶意URL链接,桌面防毒系统发现病毒的比率下降也很明显,极其显著地缓解了终端的防毒压力。
第一输油处通过趋势科技IWSA 3000报表功能的深化应用,还实现了安全工作量化的管理目标。通过收集到的Top10病毒、Top10网站、Top10违规IP等重要数据,准确定位了网络内部高风险的客户端,为终端用户的教育和培训等具体工作及正在推进的标准化运维工作,提供了可靠的支撑。据第一输油处的工程师介绍,趋势科技IWSA的管理功能帮助他们确保了信息化系统对核心业务的稳定运行。
趋势科技IWSA3000被部署在第一输油处的内网核心交换机和出口防火墙之间,这类网络拓扑在大型网络中是非常常见的结构。而IWSA3000可以用透明的方式进行架设,不需要更改原有网络拓扑结构。根据企业需求,IWSA3000还提供了强大的图形化报表功能。第一输油处的网络安全管理员表示,趋势科技IWSA3000大大缓解了网络安全管理人员的压力。
【关键词】网络安全;动态防护体系;设计;实现
在信息高速发展的今天,全球化的网络结构已经打破了传统的地域限制,世界各地应用网络越来越广泛。但是随着通过对网络内部数据访问的不断增加,其不稳定因素也随之增加,为了保障网络环境的动态安全,应采用基于动态监测的策略联动响应技术,实现在复杂网络环境下的网络交换设备的实时主动防御。
1 动态安全防护机理分析
要实现网络交换设备的动态安全防护,必须能够在保证设备本身安全的前提下对进入设备的数据流进行即时检测和行为分析,根据分析结果匹配相应的响应策略,并实时将策略应用于网络交换设备访问控制硬件,达到阻断后续攻击、保护网络交换设备正常业务运行的目的。
2 设计与实现
2.1 安全主动防御模型设计
网络安全主动防御通过采用积极主动的网络安全防御手段,和传统的静态安全防御手段结合,构筑安全的防御体系模型。网络安全主动防御模型是一个可扩展的模型,由管理、策略和技术三个层次组成:
1)管理层是整个安全模型的核心,通过合理的组织体系、规章制度和措施,把具有信息安全防御功能的软硬件设施和使用信息的人整合在一起,确保整个系统达到预定程度的信息安全。
2)策略层是整个网络安全防御的基础,通过安全策略来融合各种安全技术达到网络安全最大化。
3)技术层主要包括监测、预警、保护、检测、响应。
监测是通过一定的手段和方法发现系统或网络潜在的隐患,防患于未然。预警是对可能发生的网络攻击给出预先的警告,主要是通过收集和分析从开放信息资源搜集而获得的数据来判断是否有入侵倾向和潜在的威胁。保护是指根据数据流的行为分析结果所提前采取的技术防护手段。检测是指对系统当前运行状态或网络资源进行实时检测,及时发现威胁系统安全的入侵者。响应是对危及网络交换设备安全的事件和行为做出反应,根据检测结果分别采用不同的响应策略。
这几个部分相辅相成,相互依托,共同构建集主动、被动防御于一体的网络交换设备安全立体防护模型。
网络安全预警模块通过网络主动扫描与探测技术,实现网络信息的主动获取,建立起相对于攻击者的信息优势。网络安全预警模块根据数据流行为分析的具体结果,针对有安全风险的设备采用通用的网络交换设备扫描与探测技术进行实时监控,随时掌握这些设备的当前状态信息,并根据其状态的变化实时更新网络安全防护系统的相关表项,使网络安全防护系统进行模式匹配时所使用的规则符合当前网络中的实际情况,有效地提升系统的安全防护能力和效率。
安全管理平台主要由安全策略表、日志报警管理和用户操作管理组成。其中,安全策略表是网络数据流处理的依据,数据流访问控制模块和行为安全分析模块根据安全策略表中定义的规则对匹配的数据流进行相应的控制和处理。日志报警管理通过查询数据流行为安全分析、网络安全预警等模块产生的工作日志,对其内容进行动态监视,根据预设报警级别和报警方式产生相应的报警信息并通知系统维护人员进行相应处理。用户操作管理实时接收用户输入命令,完成命令解释,实现对安全防护系统的相关查询和配置管理。
2.2 动态策略联动响应设计
(1)数据流分类
网络数据流进入时,首先根据访问控制规则对数据流进行过滤,过滤通过的报文在向上递交的同时被镜像到数据流识别及分类处理模块,该模块首先通过源IP、目的IP、源端口、目的端口、协议类型五元组对数据流进行分类,然后根据流识别数据库的预设规则确定数据流的分类结果。在分类处理过程中,为提高处理效率,首先将五维分类查找问题分解降维为二维问题,利用成熟的二维IP分类算法进行初步分类。由于协议类型仅限于几个值,所以可以压缩所有分类规则中协议类型字段,将其由8位压缩为3位,节省数据库空间。由于规则实际所用到的端口号为0-65535中极少一部分,协议值和端口值不同情况的组合数目远远小于最大理论值。
(2)深度特征匹配
数据流在进行分类识别后,送入并行检测器进行深度特征匹配,匹配结果送入行为安全分析模块进行综合分析和判断,并根据具体分析结果进行相应的策略响应。检测器通过预设在数据库中的攻击流检测规则对应用报文中的多个相关字段进行特征检查和匹配,最终确定该数据流的属性。
为了保证检测器处理入侵信息的完整性,每个检测器只负责某一类(或几类)具体应用网络流量的检测,检测器之间采用基于应用的负载均衡算法,该算法根据各检测器的当前负载情况和可用性状况来动态调节各检测器负载,具体原则为:同一类型应用报文分配到同一类检测器,同类型应用报文基于负载最小优先原则进行检测器分配。
(3)策略联动响应
检测到网络攻击时,数据流行为安全分析模块根据攻击的危险等级采取相应的攻击响应机制,对普通危险等级的攻击只报告和记录攻击事件,对高危险的攻击使用主动实时响应机制。主动响应机制能有效提高系统的防御能力,为了避免产生误联动,主要是为一些关键的敏感业务流提供更高等级的保护。主动响应机制将与安全策略直接联动,阻止信息流穿越网络边界,切断恶意的网络连接操作。
3 应用验证
通过设计一台基于动态策略联动响应的网络安全防护技术的安全网络交换设备来验证该技术在实际网络应用环境中的安全防护能力。安全网络交换设备的硬件逻辑由数据处理模块,安全监测模块和管理控制模块组成。
该应用验证环境在设计上的主要特点在于:
1)该系统以可自主控制的高性能网络交换芯片为硬件核心,并针对网络攻击特点对网络交换设备系统软件进行修改和完善,从根本上保证了网络交换设备本身的安全性。
2)安全监测模块与网络交换设备系统软件相对独立,保证了网络交换设备在遭受攻击时安全监测和处理任务不受影响。
3)安全监测模块可根据实时网络数据行为分析结果对网络交换设备硬件进行实时安全防护设置,实现动态策略联动应对。
4 结论
为了解决网络交换设备的动态安全问题,采用基于动态监测的策略联动响应技术,可实现在复杂网络环境下的网络交换设备的实时主动防御。通过Snort等常用攻击软件对安全网络交换设备进行测试,结果表明,该安全网络交换设备能够有效地抗击包括泛洪攻击、IP碎片、拒绝服务攻击等多种网络攻击形式,保证网络交换设备的正常业务不受影响,同时能够正确产生安全日志和相应的报警信息。并且基于该技术实现的网络交换设备已应形成产品,实际使用情况良好。
参考文献:
“三大陷阱” 骗君入瓮
利用云计算,我们可以有效地提升系统效能、降低成本,凸显业务的价值。正是看到了云计算的诱人前景,几乎所有的IT企业都极为重视云计算技术的研究及应用。云安全技术从概念发展到产品,展现出了强大的应用潜力:通过部署在云端的大量客户端,云安全系统可以将搜集到的威胁信息传送到服务器端进行自动分析和处理,再把防护策略分发到每一个网站节点上,达到提前一步化解威胁入侵能力。
但是,市场上很多“云安全网站防护系统”只是打着“云安全”的幌子,本质还是传统的安全防护架构和技术,其应用效果也和传统产品相差无几。我们通过对一些被骗企业的走访发现,用户不但反映“药效”一般,还有可能造成无法挽回的财产损失:
? 陷阱一:挂羊头买狗肉
很多网站防护系统的云概念其实只是在传统产品的基础上增强了网络应用,所做的也仅是将部分安全威胁信息上传到服务器上,然后由服务器对信息进行简单的搜集、处理,而没有构建一个基于云端的安全体系。由于技术实力根本达不到云安全的门槛,他们只能采用“传统安全产核心+表层网络应用”的内部工作模式。当然,这还算对得起用户的,有些产品对外却宣称是云安全架构,用户使用之后才发现,这不就是原来的防火墙和入侵检测系统吗?脸都不洗就出来见人了。
? 陷阱二:手工作坊兑假酒
市场上的假酒泛滥,一不小心就容易买到假酒,假酒可谓是害人不浅,轻则伤身、重则丧命。一些所谓的云安全产品部分、或者完全不能为企业网站提供云端接入方式。如果用户冒然采用这些产品,稳定性将会成为更令人头疼问题,比如:无法在国内提供接入节点、企业在接入后会出现2~3小时的中断等等,最终用户无法访问网络资源,直接造成IT投资失败等重大损失。
? 陷阱三:黑客攻击“与我们无关”
一位来自河北某市的网站站长在微博中公开留言道自己的网站有13万注册用户,在各大搜索引擎中都是当地排名第一的。虽然购买了云安全产品进行保护,但在受到了不明黑客的DDoS攻击之后,商家却告诉他这个需要自己联系信息安全部门解决。虽然这位站长最终用安全宝所提供的网站安全解决方案解决了问题,但在追讨之前的损失时,商家仍然表示“这与我们无关”。
辨别“真”云安全有妙招
作为国内第一家采用零部署的云安全技术的企业,安全宝联合产品副总裁吴翰清曾公开表示:“辨别真正的云安全产品对于用户来说并非易事,这是因为,很多技术对于普通的企业用户来说会先的非常神秘。但如果从云产生的背景中进行分析,就可以清晰的辨别出真假,这包括:无处不在的服务、无所不能的服务。”
如果无法从技术细节上考察所购买的产品,那么如何才能辨别云安全产品的真伪呢?吴翰清为我们提供了两条最简单的方法:对比、试用。
首先,是与传统安全防护模式的对比。智能学习、资源灵活是云安全模式的典型特点,也是其相对于传统安全产品的最大区别。实时更新的规则可以帮助用户网站更快速、更有效的应对最新的安全威胁,并采取相应的防护手段。但是,伪云安全网站防护系统由于没有构建基于云端的安全体系,因此只有固定的防护规则,无法迅速应对新型安全风险。安全宝为网站提出了革命性的替身安全模式,这是传统的被动防护模式所不能具备的。以用户网站替身的形式为用户抵挡网站渗透和DDoS攻击等安全威胁,这样就有了关键时刻能够替你“挡子弹”的保镖,真正保护用户原始服务器。
其次,用户可以采用试用形式接入云安全网络。云计算并非只是简单的一个概念,真正落地需要厂商投入大量的资金在“云”的建设上,而试用环节,则是考察产品和厂商能力最简便的途径。具体在云安全网站防护系统中,厂商就需要在各地配备大量的节点,并通过这些节点来搜集、处理相关信息,以保证良好的效果。
近年来,在网络安全市场需求从单一化向多元化转变的过程中,综合安全网关是发展最迅猛的产品之一,它把多种技术相互融合,保护范围从单一性扩展到更复杂的应用层面,近期,卫士通向大型企业市场及各级行业市场推出新一代多功能综合安全网关――CG―USG3000系列,共包括USG3010、USG3020、USG3030、USG3040、USG3050、USG3060六款产品,就该系列产品的技术特点,记者近期采访了卫士通公司产品经理罗慧,对其产品进行了详细的解读。
罗慧介绍,虽然“综合”是安全网关的共性,但各厂商会根据各自的技术特长与行业经验积累,推出具有自己核心优势的综合网关产品。
相对于中小用户关注性价比,而高端用户重视防御效果、可管理性,USG3000系列在这两方面有优异的表现。
基于卫士通公司在安全行业数十年的技术积累,结台了行业发展特征和客户的广泛需求,USG3000系列在支持防火墙、IPS、VPN、防病毒的基础上,更加注重内容安全及信息过滤,在应用层进行了安全技术融合,支持内容过滤、反垃圾邮件、P2P阻断和限流、IM软件控制等,使该款产品真正达到了多功能、超实用、易管理的至高境界,可以帮助企业用户解决多方面的安全困扰。
中华卫士USG3000系列集防火墙、VPN、入侵防御(IPS)、防病毒、内容过滤、反垃圾邮件、P2P阻断和限流、IM软件控制等多种功能于一体,并创新突出了流量管理、DDoS防护和可视化系统查看工具等功能,可谓集“万千宠爱于一身”,为大中企业、分支机构、大型行业用户提供了多方位、深层次的内外安全防护。它的出现将全面提升各级用户的安全防护能力,避免用户采购及管理多种设备的各项成本,进而大大节省了投资。
随着信息安全业的发展,安全需求开始逐步呈现出网络化和复杂化的态势。
卫士通在多年ASIC防火墙的基础上,创新性地引入了Soft ASIC的架构,把ASIC中的精华部分通过可编程的逻辑或优化过的基层软件来实现。此举不仅提升了产品性能,同时还解决了ASIC硬件芯片开发周期长、升级困难等问题,并结合多核处理器和硬件加速器,使USG3000系列的内容处理性能大幅提升,满足了用户对产品日益增加的扩展性需求。
此外,产品还具有超强的网络适应性,可支持路由、透明和混合三种模式的部署。无论是静态路由、策略路由、ISP路由、动态路由等各种状态,USG3000系列都可从架构的底层支持IPv6,具备极好的网络兼容性。
值得一提的还包括,USG 3000系列可针对HTTP、FTP、SMTP和POP3协议进行防病毒操作。除了对HTTP/FTP支持URL黑白名单、命令过滤、文件类型过滤外,该系列产品还可自动控制文件,多线程下载内容,进而有效管理IM、P2P、游戏、股票等应用程序。
不仅如此,USG3000系列产品还集中监控企业网络中的安全设备。通过实时监控、日志分析、性能跟踪、事件关联帮助管理员多角度透析网络状态,从而采取措施来维护网络健康和提高运行效率。USG3000系列特别提出由集中配置、批量配置、策略配置构建成的立体配置模型,使得多机部署轻松完成,极大简化了管理员的工作。
作为一个大型的金融企业,中国长城资产管理公司(以下称长城资产管理公司)深知信息技术和网络技术对公司发展的重要性,公司总部与各省分支机构之间已经有2M链路相连,总部与各省分支机构均与Internet连接。
“双刃剑”困扰公司发展
随着金融科技的发展,现代金融企业的业务开展越来越依赖于网络。但网络是一柄双刃剑,在帮助公司发展业务的同时也带来了一系列的安全问题。长城资产管理公司意识到网络安全的重要性,并决定建立网络安全体系。
长城资产管理公司总部的安全建设已经部署了防火墙FW、防病毒AV、入侵检测IDS和补丁管理系统。但各省分支机构在安全建设方面几乎是一片空白,技术力量弱,IT技术人员缺乏。
关注“短板”的建设
长城资产管理公司信息技术部安全处处长曾德超表示,长城资产管理公司的关键和核心数据存储在总部,分支机构的服务器没有存储重要数据。针对目前的这个现状,把总部的安全建设作为工作重点的做法是比较可取的,也是比较经济的。但是分支机构的安全建设与总部之间存在着严重的不平衡,这种不平衡会使总部的安全建设的成果和效果大打折扣。因为信息安全建设的总体效果不是取决于最坚固的环节,相反是取决于最薄弱的链条,这就是著名的“木桶原理”。因此,分支机构的基本安全保障建设就显得尤为重要。
细粒度的访问控制、病毒和蠕虫的防护以及总部与分支机构之间数据的加密传输和身份认证等等,都是来自分支机构的安全需求,因此对于分支机构来讲,选择一种包含防火墙、VPN和病毒防护等多种功能的安全产品,即UTM(统一威胁管理)是满足上述要求的最佳解决方案。
长城资产管理公司总部与分支机构之间通过单一链路很容易出现单点故障,因此,需要增加冗余链路作为备份。另外,就当前网络现状和应用功能,该公司的安全建设和管理,比较适合采用总部统一安全管理策略,对分支机构进行集中管理的方式。
经过仔细的调研和分析之后,长城资产管理公司决定实施如下的安全战略:采用集中管理策略,并使用UTM产品 ,在公司总部和各个分支机构进行统一部署。
一方面,集中管理可以从最大程度上节约公司的安全成本,特别是安全管理成本。同时利于总部及时掌握各个分支机构的安全状况,对整个公司的安全状况了然于心,也便于进行安全检查和安全审计。
另一方面,选择UTM产品进行统一实施,可顺利解决分支机构的基本安全保障问题,在所有的分支机构全部部署UTM产品,一揽子解决所有分支机构的安全问题。此外,UTM产品具有如下功能上和管理上的优势:支持点对点VPN连接,实现集中式管理;建立总部与各省分支机构之间的VPN连接,作为现有专线的备份链路;保护各省分支机构免受来自Internet的恶意攻击或者蠕虫/病毒感染;实现移动用户的安全接入;实现统一威胁管理,构成立体防御体系,避免多种安全产品各自为政,条块分割等。
择UTM铸造网络长城
“长城资产管理公司对市场上的多功能安全网关产品进行逐一比较和分析后,最终选择了天清汉马多功能安全网关,它集成了多种强大的功能,不仅提供防火墙、病毒过滤功能,还提供TCP技术防范拒绝服务攻击、连接数限制、灵活的策略路由、AAA认证、准确的BT封锁功能及完备的NAT功能等,能够很好地满足长城资产管理公司的安全需求。” 曾德超如是说。
该项目实施后,长城资产管理公司总部与各分支机构IT系统的安全性得到大大加强,公司运营效率和管理效率也得到了很大的提高。
编辑点评:现代金融企业的业务开展越来越依赖于网络已是不争的事实,而与之相应的安全问题亦越来越突出。对金融行业来说,安全问题往往是致命的,网络安全的建设任重而道远!
・业界动态・
McAfee发现第20万个恶意威胁
McAfee 近期宣布McAfee Avert实验室把第10万个威胁添加到其2004年9月份的数据库当中,并已经发现第20万个恶意威胁。 (李)
SONICWALL公布UTM设备市场报告
7月25日,SonicWALL宣布连续第五季度保持全球统一威胁管理(UTM)安全设备市场领导地位。根据今年7月IDC的全球安全设备跟踪报告,于第一季度SonicWALL在销售数量和工厂营收方面处于总体领导地位。 (刚)
联想网御开启全国技术巡礼
近日,联想网御正式在广州开启主题为“蓝海”的“2006年联想网御全国技术巡礼”。本次巡礼历时3个多月,覆盖了包括华东、华南、西北等在内的全国上百个城市,是目前业界覆盖范围最大的一次信息安全技术巡礼。 (何)
论文关键词:安全审计 日志 数据挖掘
论文摘要:该文提出了无线网关安全审计系统的系统模型,详细介绍了该系统的设计思想和流程。在系统中通过改进syslog机制,引入有学习能力的数据挖掘技术,实现对无线网关的安全审计。
无线网关作为无线网络与布线网络之间的桥梁,所有的通信都必须经过无线网关的审计与控制。在无线网络中,无线网关放置在无线网络的边缘,相当于无线网络的大门,当无线网关遭到攻击和入侵时,灾难会殃及整个无线网络,使无线网络不能工作或异常工作,由此可见,对无线网关进行安全审计是十分有意义的。
一、系统概述
本文研究的安全审计系统是北京市重点实验室科研项目智能化无线安全网关的一部分。智能化无线安全网关在无线网关上集成具有IDS和防火墙功能的模块,以及控制和阻断模块,这些功能模块在统一操作系统的基础上,既各司其职,又密切合作,共同完成防范、预警、响应和自学习的功能,构成一个有机的安全体系。
无线网关的安全审计系统,其主要功能就是在事后通过审计分析无线安全网关的日志信息,识别系统中的异常活动,特别是那些被其他安全防范措施所遗漏的非法操作或入侵活动,并采取相应的报告,以有利于网络管理员及时有效地对入侵活动进行防范,确保网络的安全。无线网关安全审计系统是针对无线网络的安全运作而提出的,主要包括数据控制、数据采集、日志归类、日志的审计与报警等几大基本功能。
首先,审计系统的数据控制模块对进出的数据信息进行严格的控制,根据预定义的规则进行必要的限制,适当地降低风险。其次,安全审计系统的数据采集模块收集无线安全网关的网络日志、系统日志、及用户和应用日志。随后,采集部件收集到的日志记录被送到日志归类模块,根据日志记录行为的不同层次来进行分类。最后,使用审计与报警模块对日志记录进行审计分析。这时可以根据预先定义好的安全策略对海量的日志数据进行对比分析,以检测出无线网关中是否存在入侵行为、异常行为或非法操作。管理员可以初始化或变更系统的配置和运行参数,使得安全审计系统具有良好的适应性和可操作性。
二、系统设计
1、系统结构组成
2、设计思想
系统从数据采集点采集数据,将数据进行处理后放入审计数据库,采用有学习能力的数据挖掘方法,从“正常”的日志数据中发掘“正常”的网络通信模式,并和常规的一些攻击规则库进行关联分析,达到检测网络入侵行为和非法操作的目的。
3、系统的详细设计
(1)数据的控制
数据控制模块使用基于Netfilter架构的防火墙软件iptables对进出的数据信息进行严格的控制,适当地降低风险。
(2)数据的采集
数据采集模块,即日志的采集部件,为了实现日志记录的多层次化,即需记录网络、系统、应用和用户等各种行为来全面反映黑客的攻击行为,所以在无线安全网关中设置了多个数据捕获点,其主要有系统审计日志、安全网关日志、防火墙日志和入侵检测日志4种。
(3)日志的归类
日志归类模块主要是为了简化审计时的工作量而设计的,它的主要功能是根据日志记录行为的不同层次来进行分类,将其归为网络行为、系统行为,应用行为、用户行为中的一种,同时进行时间归一化。进行日志分类目的是对海量信息进行区分,以提高日志审计时的分析效率。
(4)日志审计与报警
日志审计与报警模块侧重对日志信息的事后分析,该模块的主要功能是对网关日志信息进行审计分析,即将收到的日志信息通过特定的策略进行对比,以检测出不合规则的异常事件。随着审计过程的进行,若该异常事件的可疑度不断增加以致超过某一阈值时,系统产生报警信息。该模块包括日志信息的接收、规则库的生成、日志数据的预处理、日志审计等几个功能。
三、系统的实现
1、系统的开发环境
智能无线安全网关安全审计系统是基于linux操作系统开发的B/S模式的日志审计系统。开发工具为前台:Windows XPprofessional+html+php后台:Linux+Apache+Mysql+C++。
2、系统的处理流程
前面已经详细介绍了该系统的设计思想,系统的处理流程如图2所示:
3、日志归类模块的实现
无线网关的日志采用linux的syslog机制进行记录,syslog记录的日志中日期只包含月和日,没有年份。在本模块中,对日志记录的syslog机制进行一些改进,克服其在日志中不能记录年的问题。
下面以无线网关的日志为例,说明其实现过程。网关日志的保存文件为gw.log,用一个shell脚本,在每月的第一天零点,停止syslogd进程,在原来的文件名后面加上上一个月的年和月,如gw.log200603,再新建一个gw.log用于记录当月的日志,再重启syslogd记录日志。这样就把每月的日志存放在有标志年月的文件中,再利用C++处理一下,在记录中加入文件名中的年份。
4、日志审计与报警模块的实现
(1)日志审计模块的处理流程
(2)规则库生成的实现
安全审计系统所采用的审计方法主要是基于对日志信息的异常检测,即通过对当前日志描述的用户行为是否与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或者越权操作的存在。该方法的优点是无需了解系统的缺陷,有较强的适应性。
这里所说的规则库就是指存储在检测异常数据时所要用到的正常的网络通信及操作规则的数据库。规则库的建立主要是对正常的日志信息通过数据挖掘的相关算法进行挖掘来完成。首先系统从数据采集点采集数据,将数据进行处理后放入审计数据库,通过执行安全审计读入规则库来发现入侵事件,将入侵时间记录到入侵时间数据库,而将正常日志数据的访问放入安全的历史日志库,并通过数据挖掘来提取正常的访问模式。最后通过旧的规则库、入侵事件以及正常访问模式来获得最新的规则库。可以不停地重复上述过程,不断地进行自我学习的过程,同时不断更新规则库,直到规则库达到稳定。
(3)日志信息审计的实现
日志审计主要包括日志信息的预处理和日志信息的异常检测两个部分。在对日志进行审计之前,我们首先要对其进行处理,按不同的类别分别接收到日志信息数据库的不同数据表中。此外,由于我们所捕获的日志信息非常庞大,而系统中几乎所有的分析功能都必须建立在对这些数据记录进行处理的基础上。而这些记录中存在的大量冗余信息,在对它们进行的操作处理时必将造成巨大的资源浪费,降低了审计的效率。因此有必要在进行审计分析之前尽可能减少这些冗余信息。所以,我们在异常检测之前首先要剔除海量日志中对审计意义不大及相似度很大的冗余记录,从而大大减少日志记录的数目,同时大大提高日志信息的含金量,以提高系统的效率。采用的方式就是将收集到的日志分为不同类别的事件,各个事件以不同的标识符区分,在存放日志的数据库中将事件标识设为主键,如有同一事件到来则计数加一,这样就可以大大降低日志信息的冗余度。
在日志信息经过预处理之后,我们就可以对日志信息进行审计了。审计的方法主要是将日志信息与规则库中的规则进行对比,如图3所示,对于检测出的不合规则的记录,即违反规则的小概率事件,我们记录下其有效信息,如源,目的地址等作为一个标识,并对其设置一怀疑度。随着日志审计的进行,如果属于该标识的异常记录数目不断增加而达到一定程度,即怀疑度超过一定阈值,我们则对其产生报警信息。
四、数据挖掘相关技术
数据挖掘是一个比较完整地分析大量数据的过程,它一般包括数据准备、数据预处理、建立数据挖掘模型、模型评估和解释等,它是一个迭代的过程,通过不断调整方法和参数以求得到较好的模型。
本系统中的有学习能力的数据挖掘方法,主要采用了三个算法:
(1)分类算法 该算法主要将数据影射到事先定义的一个分类之中。这个算法的结果是产生一个以决策树或者规则形式存在的“判别器”。本系统中先收集足够多的正常审计数据,产生一个“判别器”来对将来的数据进行判别,决定哪些是正常行为,哪些是入侵或非法操作。
(2)相关性分析 主要用来决定数据库里的各个域之间的相互关系。找出被审计数据间的相互关联,为决定安全审计系统的特征提供很重要的依据。
(3)时间序列分析 该算法用来建立本系统的时间顺序模型。这个算法帮助我们理解审计事件的时间序列一般是如何产生的,这些所获取的常用时间标准模型可以用来定义网络事件是否正常。
本系统通过改进syslog机制,使无线网关的日志记录更加完善,采用有学习能力的数据挖掘技术对无线网关正常日志数据进行学习,获得正常访问模式的规则库,检测网络入侵行为和非法操作,减少人为的知觉和经验的参与,减少了误报出现的可能性。该系统结构灵活,易于扩展,具有一定的先进性和创新性。此外,使用规则合并可以不断更新规则库,对新出现的攻击方式也可以在最快的时间内做出反应。下一步的工作是进一步完善规则库的生成以及审计的算法,增强系统对攻击的自适应性,提高系统的执行效率。
参考文献
[1]Branch,JW,Petroni,NL,VanDoorn,L.,Safford,D.,Auto-nomic802.11WirelessLANSecurityAuditing,IEEESecurity&Privacy,May/June 2004,pp.56-65.
[2]李承,王伟钊. 基于防火墙日志的网络安全审计系统研究与实现.计算机工程 2002.6.
比如说,攻击者可以先攻击一台没有及时更新补丁的家庭计算机或公司内部的计算机,然后利用这台计算机连接到私有网络,发起攻击。在现实工作中,管理员通常缺乏足够的时间和资源来弥补这些漏洞。
Network Access Protection(NAP)for Windows Server 2008和Windows Vista提供了一个组件和应用程序接口,帮组管理员确保强制的安全健康策略得以贯彻。
开发人员和管理员可以创建一个解决方案,来检查连接到网络的计算机,并且提供所需要的更新资源(叫健康更新资源),对于不更新的计算机限制接人。同时,NAP的强制更新功能可以和其他厂商的软件整合,来帮助实现对接入计算机特定系统和软件进行检查。
其目的是为了最终实现:监视计算机访问网络是否符合健康策略要求,自动更新计算机,使其符合健康策略要求,或者,限制不符合安全策略要求的计算机,将其限制在受限制的网络中。
很多用户会认为NAP是防止恶意攻击手段,实际不尽然,虽然NAP确实能够辅助达到防范的目的,但NAP本身不是被设计用来防治恶意使用者破坏安全网络的。它被设计用于帮助管理员维护网络上的计算机的健康。它不能防治一个已经符合安全要求的计算机上的恶意用户释放攻击,或执行其他不适当的行为。
在Windows 2008的NAP环境,是一种典型的客户机/服务器架构,其基本结构如图1所示。
客户环境包括SHA(系统安全),QA(隔离)和EC(强制客户),各个组件的作用如下:
系统安全(SHA)检查和声明客户的健康状态(补丁状态、病毒签名、系统设置等),每一个SHA定义一个系统健康要求或一组系统健康要求。比如一个SHA定义防病毒签名,一个SHA指定操作系统更新等等。wind0WSVista和Windows Server 2008包含了一个Windows SecurityHealth Valuator SHA,其他的软件厂商或微软可以提供额外的SHA到NAP平台。
强制客户端运用强制执行的方法,每个NAP EC被定义为不同的网络接入或连接类型。
修补服务器用来安装需要的更新和设置以及应用程序,将客户计算机转化为健康状态,不符合SHA检查要求的计算机被路由到修补服务器。
网络接入设备是有智力判断赋予或拒绝客户访问网络的请求(防火墙,交换机或一台服务器)的设备。
系统健康服务器通过定义客户端上的系统组件的健康要求,提供客户端所要依从的策略。
NPS server包括Qs和Sys-tem Health Validator。Qs sits在IAS Policy服务器上,执行SHV检查下来相配的动作,SHV检查安全生成的声明。
很多人会觉得Windows 2008的NAP是一个全新的东西,但实际上,上文提到的四种客户端的强制方式,它们中的大多数都是以前某项技术的延续,了解这种技术发展的脉络,对于我们理解NAP的强制方式有很大的帮助。
首先,我们来看一看第一种强制方式:DHCP的方式:在Windows 2000和Windows 2003的DHCP服务器上,引入了一种分配IP地址选项(option)的方式,类(Class),我们可以在服务器上设置“用户定义类”或“厂商定义类”,并为这些类设置独特的Options。
当时就有很多的用户自己尝试着用这个class类技术,让企业内部的私有计算机属于一个类,外来访客的计算机得到的IP地址的选项将和企业内部计算机得到的地址选项不同,这样来控制访客计算机的行为。
而Windows 2008的基于DHCP的NAP可以看成该项技术的发展和延伸。其基本思想就是将不符合健康检查要求的计算机归属于一个类,给这个类的计算机特殊的Options,用路由器的默认网关等选项来约束,这样,这些计算机就被限制在特定的网络中了。
其次,第二种NAP的强制方式是用IPSEC,这种方式算是最具有微软特色的NAP的解决方案了,其他厂商的类似产品,往往需要网络基础架构的支持,比如Cisco的NAC等等,但采用IPSEC解决方案的NAP,可以完全摆脱网络基础架构的束缚,在主机层面上实现网络的接入保护。
其实,这种方式的NAP实际上也是传统的windowS上的IPSEC技术延伸,在传统的Windows IPSEC的验证方式上,有三种方式,分别为AD、CA和预共享密钥。在验证通过后,可以通过设定“客户端”、“服务器”、“安全服务器”的策略来控制计算机之间的通讯。
其中,最自由的方式毫无疑问是采用CA认证中心所颁发的证书来进行验证,我们可以很自然的想到,只要由一个CA自动给符合健康要求的计算机办法健康证书,就可以实现限制非健康计算机通讯的要求。
而windows,2008基于IPSEC的NAP的基本思想就是建立在颁发健康证书的基础上的。
基于IPSEC的强制NAP将物理网络分割为3个逻辑网络,一台计算机在一个时刻只能在三个逻辑网络之一之中。
安全网络是有健康证书的计算机集合,要求接人的计算机采用IPSEC验证,并采用健康证书。(在一个被管理网络,大多数服务器和客户机属于AD域,在安全网络中。)
边界网络有健康证书,但不需要接人到私有网络,进行IPSEC验证尝试,在边界网络中的计算机必须能访问整个网络的计算机,边界网络通常只由HCS和NAP修复服务器。
受限网络没有健康证书,包含不符合NAP规范的客户计算机的集合。
大家会很自然的,将这种对网络的逻辑划分的方法,和传统IPSEC的client,server,securerserver三个预定策略进行对比,会发现两者非常相似。
第三种NAP的强制方式是针对VPN接人的客户的,不受管理的家庭计算机对网络管理员又是一个挑战,因为IT人员不能直接物理访问到这些计算机。
使用NAP,当用户使用VPN连接的时候,管理员可以检查需要的程序,注册表设置,文件,家庭计算机会被限制在受限网络中,直到健康状态符合要求。
关键词:数据机密;数据完整;数据认证
中图分类号:TP391文献标识码:A文章编号:1009-3044(2009)32-8879-02
Use IPSEC to Ensure Data Security Analysis on Windows Server 2003
GE Wei, ZHU Jing
(Network Academy of Ahead Software Vocational College, Nanchang 330041, China)
Abstract: IPSec (IPSecurity Protcol, IP security protocol) is a set of open standards, they are to work together to ensure the right data between devices such as confidentiality, data integrity and data authentication. These pairs of such entities may be a pair of hosts, or a pair of security gateways (routers, firewalls, VPN concentrators, etc.), or they may be a host and a security gateway between the remote access VPN like this kinds of situations. Entities such as IPSec to protect the right between the multiple data streams, and a single gateway can support the different pairs of the multiple partners, concurrent IPSec tunnels safe.
key words: data confidentiality; data integrity; data authentication
随着网络技术的高速发展,网络已经普及到社会的各个方面,现在人们对网络信息系统的依赖程度越来越高,无论是网络数据的存储与访问,还是Internet上的电子商务应用等。但是它在提供开放和共享资源的同时,也不可避免地存在着安全隐患,系统漏洞的危害无疑都是十分巨大的,如何保障机密信息在网络中安全传输,成为人们日益关注的焦点。IPSec的提出正是为了有效地解决网络安全问题。本文内容主要阐述的是通过配置IPSec保证数据的传输安全。
1 IPSec协议概述
“Internet协议安全性(IPSec)”是一种开放标准的框架结构,通过使用加密安全服务以确保在Internet协议网络上进行保密而安全的通信。
在基于IP的网络中,如果没有安全设置,公用网络与专业网络就很容易遭受到攻击。IPSec有两个基本目标:保护IP数据包安全及为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两个目标,不仅能为企业局域网与拨号用户、域、网站、远程站点以及Extranet之间的通信提供强有力且灵活的保护,而且还能用来筛选特定数据流。IPSec基于一种端-对-端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有数据流的发送端和接收端,两者各自负责相应的数据加解密处理,而网络中其他只负责转发数据的路由器或主机无须支持IPSec。该特性有助于企业用户在下列方案中成功地配置IPSec。
2 IPSec解析
为了保证数据的传输,在windows server 2003的网络中,应该启用IPSec来抵御网络中出现的攻击。
在进行数据交换前,先相互验证双方的计算机的身份,验证身份之后,在这两台计算机之间建立一种安全协作关系,并且在进行数据传输之前将数据进行加密传送。经过这三个过程,可以保证网络的通信安全,即使数据中途被截获,因为截获者不知道加密的密钥也就无从了解数据的内容。
在计算机中启动IP安全策略管理,出现如图1所示的对话框。采用该策略,表示与这台计算机进行通信的计算机已经使用了IPSec安全策略,如果对方计算机没有采用安全策略,将不能与本机进行通信。
右击启动安全服务器配置策略,根据图2和图3分别设置好身份验证及加密算法,IPSec安全策略将被应用于计算机安全通信中,如果网络中所有的计算机都运行windows XP、windows server 2003,则将windows server 2003的IPSec安全策略设置为安全服务器级,这样可以保证网络中所有的数据传输都是安全的,如网络中有的计算机运行了较低的操作系统,如windows NT,这些计算机不支持安全通信,可以将windows server 2003的IPSec安全策略设置为服务器级,这样可以保证计算机间的相互通信。
3 结束语
TCP是面向连接的,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。
参考文献:
[1] 王心灵.IPSec实现保密数据传输的技术研究[J].计算机技术与发展,2006(8).
[2] 赖琼琪.基于IPSec的网络安全在校园网中的研究与设计[J].电脑与电信,2006(11).
【关键词】网络安全安防系统思科
一、网络安全
1、网络安全的概念。网络安全是指网络系统中的各个部件、软件以及数据的安全,它是通过对网络信息的存储、传输和使用的过程实现,包含两个方面,一是物理安全,即保障网络设备的安全,使其能够正常稳定地提供网络服务;二是逻辑安全,即保证在网络中存储和传输的信息的安全性。2、影响网络安全的因素。网络安全在现实生活会受到很多因素的影响,其中有人为的和自然的因素,包括系统配置不当,计算机病毒木马,软件漏洞等,均会对网络安全造成极大的危害。
二、网络安全防护
网络安全防护是一种网络安全技术,该技术致力于解决有效进行介入控制,保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
针对网络上各种安全问题和隐患,为了最大程度的减小损失,可以采用如下技术进行网络安全防护。
1、防火墙技术。防火墙是一种由软件和硬件结合构成的将内部网络与公用网络分隔开的隔离系统,用来在两个网络之间进行接入控制,从而可以防止非法用户访问和修改内部网络的数据,可以有效的将网络分隔开,确保内部网络安全。
2、数据加密技术。为了提高网络中传输的数据和信息的安全性,可以采用数据加密技术对重要的数据进行加密,防止机密信息被窃取泄露,其中常采用对称加密和非对称加密对信息进行加密算法,从而实现对数据信息的加密保护。
3、入侵检测技术。通过入侵检测技术,可以对网络系统中的几个节点进行检测,通过分析采集的数据信息,判断网络中是否有不安全操作行为及是否遭到攻击。入侵检测系统对网络的监测不会影响网络的正常运行,它能实时地对网络进行检测从而及时采取防护手段保护网络安全。
4、网络扫描技术。通过网络扫描技术,可以对复杂网络进行扫描从而发现网络系统中的安全漏洞,并及时对发现的漏洞进行相应的处理,采取必要的措施。网络扫描技术可以强化网络系统,是一种主动的防御策略,通过对网络系统的强化来防止网络安全受到侵害。
5、虚拟专用网。虚拟专用网(VPN)是一种在一定网络协议基础上,公网中逻辑上独立的专用网,通过虚拟专用网,用户可以通过公网中的虚拟专线实现数据的传输,从而保障了传输数据的安全性。
6、病毒防护技术。随着网络的发展,病毒的传播也变得更加迅速,对网络和计算机具有巨大危害。
三、思科网络安防系统
思科作为一家世界500强企业,作为一个在互联网解决方案提供领域的佼佼者,十分重视网络安全及防护,其用户遍及世界各地各大企业,领域涉及各个行业,可见其网络安防系统的安全可靠性。
1、思科的网络安全设计架构。安全域要在五个层次上隔离,即物理上隔离、逻辑上隔离、策略上隔离、应用上隔离、准入上隔离。而对网络安全域的划分需要对网络系统中各个设备进行集成化、模块化并实现阶梯式安全。
2、思科自防御网络。思科自防御网络是针对网络中的攻击和威胁进行识别、主动防御和应对的新型网络战略,通过三个阶段实现对网络的安全防护。(1)集成化的安全系统。(2)协作化的安全系统。(3)智能化的自适应安全系统。
3、思科SMB级安全网络平台。采用了思科自防御网络安全的组件,思科的SMB级安全网络平台还具备成本较低的优势,非常适合一些中小企业使用,这一经济有效的方案保证了连通性、简洁性、安全性以及可扩展性,能够帮助企业优化其运营,提升企业竞争力。
四、结语
计算机和网络的扩大与普及已成为不可逆转的趋势,而网络中影响网络安全和稳定的因素也必将随之不断增加,人们越来越开始重视网络中数据信息的安全可靠性,因此网络安全防护的重要地位将得到进一步显现。
参考文献
[1]戴红,王海泉,黄坚.计算机网络安全,2004
