摘 要:网络安全威胁的日益严重,网络系统的缺陷和漏洞,使网络安全成了中小企业必须重视并加以有效防范的问题。本文在分析了主流网络安全防御技术优缺点的基础上,结合项目实际情况和网络安全需求,以SNMP协议为基础.通过把现有的不同的网络设备和网络防毒体系基于安全策略联动协作起来,实现了企业网络由静态的防护转变为动态安全的防护体系。
关键词:计算机网络安全;联动安全;系统构架
1 引言
企业局域网的建立,为企业的资源和信息的共享提供了方便,大大地提升了企业的管理和决策水平,提高了工作效率。随着企业信息化进程的推进,这些企业局域网通过各种连接方式连接到因特网,由于TCP/IP协议的一些缺陷,网络系统的缺陷和漏洞,使到网络安全成了中小企业必须重视并加以有效防范的问题[1,2]。本文主要针对上述问题,重点分析了计算机网络联动安全策略及系统架构相关问题。
2 系统架构设计
系统设计目标: 在保证现有网络软硬件投资的情况下,对原来的网络拓扑,网络设备的配置最少变动的情况下,设计控臀中心,根据上述的数据交换形式,数据处理机制,实现完全策略模型。系统可以分为两大部分:控管中心和数据引擎,控管中心是全网防御的核心指挥中心,将数据引擎处理的数据进行深度分析,策略检测,计算触发阀值,下发策略命令。
数据引擎负责收集入侵检测的数据,网络防火墙、网络防毒系统的日志和数据。转换成统一数据格式,记录所有进出网络的数据,为其他功能提供原始的数据材料。并生成日志记录,及时备份记录,保证在事后取证调查。系统防御机制的实现是由数据分析,检测策略规则,识别不同的入侵行为,判断对网络不同的危害程度,采取不同的防御手段。
系统核心为部署在不同级别上的防御控管中心,收集来自于本级别上的网络接入交换机中各主枫的网络防毒软件的客户端报告和接入交换机的流量信息,在数据分析中综合处理分析,运用策略评判系统,做出防御控制命令,严格对本级别中的主机的入侵危害进行监控,在发生严重的网络危害爆发时及时从本级别的交换机解决处理,实现分区域分管网络的目的,自动将网络系统与网络安全系统之间有效地联动起来,自动监控网络的危害爆发,将网络分而治之,即使网络发生严重的入侵,病毒危害发生,也将网络有效的隔离,将影响和损失减少到最低的程度。
根据以上要求,设计的系统分析如下。本系统采用了三级安全防御体系。端接在汇接交换机上的主机上的网络防毒客户端收集主机的信息,它带有主机入侵检测系统构成一道最低级安全防御体系。该级别的防御体系主要保护对象是用户主机资源和检测网络的末端接入设备。端接在核心交换机上的安全控管中心与各级网络接入级交换机成的核心安全防御体系.该级安全防御体系既要抵御来自外部网络的入侵和攻击,又抵御来自内网的攻击。本系统核心就是让交换机的端口在系统核心的安全控管中心的指挥下成为一道安全的防御出入口,解决在中间层中安全的薄弱问题。网络交换机不同的端口位置相对应在网络的位置是不尽相同的,通过联防控管中心的识别和策略评判对不同位置的网络交换机端口的控制,达到中断入侵危害网络的网络行为。最外层的是控管中心监控联动的网络防火墙。对于来自外网的入侵和攻击,要想成功攻击企业网络的网络中心的应用服务器,必须攻破三层安全防御体系。对于来自内网的入侵和攻击,要想成功攻击企业网络中心的应用服务器,则必须攻破二层安全防御体系,从而实现网络联动防御。
3 网络联防的网络设备和系统功能
为了更好理解上述分析,这里以网络联防的网络设备和系统功能为例进行说明分析。
3.1 网络边界防火墙
本次项目所采用访火墙为现有的Fortigate 400与Fortigate 50,将通过冗余方式进行高可用设计,防火墙的综合安全性能要满足千兆交换要求,无需工作模式切换就能同时实现在透明模式和路由模式下的全部功能,包括双链路冗余、多层访问控制、多种安全管理方式、信息内容过滤、网络入侵检测、日志审计系统等多种安全策略下的综合应用。在集防黑、防毒、防黄等安全功能为一身的同时,在网络性能上依然表现出色,其吞吐量、最大并发连接数、时延等性能指标均应满足相关性能要求。同时还需提供集中式安全管理,可以用统一的策略和集成的平台对受控网络进行安全配置和管理。本项目中网络防御系统控管中心通过sN^lP协议与Fortigate进行相互通信,收集fortigate日志,异常发生的数据,策略命令对fortigate添加修改防火墙策略。Fortigate在网络防御系统中担当企业内外重要的关口,具有重大的安全意义和影响。
3.2 网络防毒软件
项目中采用已有得网络防毒软件体系,趋势科技的OfficeScan的网络版防毒系统软件,针对企业网络上的桌面PC和服务器的综合性信息安全解决方案趋势科技防毒墙网络版OfficeScan是一套集成了多种安全功能的综合性信息安全管理系统,能够全面保护企业网络免受病毒、特洛伊木马、蠕虫、网络黑客、网络病毒、间谍软件及混合攻击的威胁。
企业可以同时选择部署趋势科技的爆发预防服务(OPS),该服务可以在高危病毒出现,而对应的病毒特征码尚未发布之前,为企业提供额外的控制能力,在保证业务系统继续运行的阿时,预防或阻止病毒疫情的蔓延。凭借趋势科技的损害清除服务(DCS-Damage Cleanup Services),则可以集中部署、升级针对高危病毒的专杀工具,帮助管理员高效率地清除网络上的病毒残余、问谍软件及其它恶意程序。在项目中,我们也要利用所部署的网络版防毒软件作为客户端的安全防御体系的一部分作为防御内部网络威胁的部分。在本项目中网络防毒体系在网络防御系统中处在网络最边缘,与用户的接触最为密切,防毒软件的功能的发挥直接影响到用户的正常使用,同时担负能否有效清除来自最内部的网络威胁。
4 结语
网络安全问题日益严重,给网络和信息系统带来了严重威胁。究其原因,主要是网络攻击技术不断发展变化,并呈现出一些新的特点,而原有的安全解决方案不能迅速地适应这些新特点,导致网络的安全保障技术相对落后于网络攻击技术,从而出现防不胜防的尴尬局面。本文结合实际网络安全项目建设,构建一个与现有的网络设备,安全产品联动的防御系统,在实际的应用中取得相关的项目经验和使用效果是有意义的尝试。
参考文献:
[1]高虹, 王志国. 企业网络安全问题分析及应对措施[J]. 科技信息, 2008,(23).
[2]张海燕. 企业网络安全与发展趋势[J]. 煤炭技术, 2005,24(8).
[3]鲁海龙, 刘淑芬, 吴瑶睿, 等. 企业网络安全关键技术研究[J]. 微计算机信息, 2009,25(12).
[4]章晓萌. 浅谈防火墙技术与企业网络安全的解决方案[J]. 中国科技博览, 2009,12.