摘 要:通过研究统一威胁管理、流量控制和蜜罐等技术,提出了并设计了一种基于主动策略的校园网安全系统,该方案不仅加强了对外网攻击的防范,而且特别加强了对内部网络的防范和管理。结合整个校园网的入侵检测技术,对这些重要部门的防范达到了动静结合,主动和被动的结合,增强了安全性。
关键词:主动防御;统一威胁管理;流量控制;蜜罐
本文研究背景来源于校园网主动防御安全架构升级改造。通过对统一威胁管理、流量控制、蜜网联动实现安全控制资源的统一管理和响应。这样可以集中体现了整体、立体、多层次和主动防御的思想,提升安全管理效能。
一、校园网所面临的新威胁
在当前的校园网络中,随着网络技术的应用和发展,黑客攻击和病毒技术日益泛滥,方式日趋多样化、自动化,病毒的传播更快,危害更大。如各种蠕虫、间谍软件、网络钓鱼等威胁、移动代码结合,形成复合型威胁,可以在很短的时间内蔓延整个校园网,造成大面积断网,使威胁更加危险和难以抵御。此外,对校园网的滥用,在线音乐影视、P2P下载等流量非常大的网络应用占用大量的网络带宽,使校园网中正常的业务流量无法得到有效保证。而校园网是一个开放的、复杂的网络,存在很多不确定的因素,在管理上面临更大的挑战。回顾我院校院园10年来的建设过程主要完成了基础性建设,如带宽的扩容、多线路的负载均衡、网络节点的增加等。而在网络安全方面却没有引起足够的重视,一直以来,在历次网络安全问题出现时处于“头痛医头,脚痛医脚”的被动防御局面。虽然也逐步部署了安全认证服务、防病毒服务、防火墙、IDS等安全设备,但设备间各自为政,不能相互协作,使用效果并不理想。
二、主动防御安全技术研究
统一威胁管理(UTM)通过采用综合分析、分流处理的设计思想,对各种数据的分析是在一个综合分析引擎中实现,由综合分析引擎判断出数据的合法性与否,如果合法则正常流过,如果非法则交与独立的处理引擎进行处理。采用综合分析引擎进行数据分析比各个安全模块采用独立的分析引擎具有更高的效率和安全性。
流量控制可以把全网网络流量分布情况展现在我们面前。将第七层流量打回第四层,在流量检测过后,使用第七层防火墙来阻挡某些应用。并会把在第七层流量过滤,让其以第四层正常的端口号运行,帮助你原有的第四层防火墙得以用端口号作最基本的控制。另外,流量控制系统可以阻挡非标准的IM联机,可以识别应用程序的精细行为,针对每个使用者或组给予不同的权限。
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。蜜罐并不向外界用户提供任何服务,所有进出蜜罐的网络流量都可能预示着一次扫描、攻击和攻陷,蜜罐的核心价值在于对这些非法活动进行监视、检测和分析。蜜罐技术上逐步发展为诱捕网络,蜜网构成了一个诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。
三、主动防御安全系统部署
我们在校园网中部署能够捕获攻击者的攻击,收集攻击数据,分析和抑制攻击的基于主动策略的安全系统,结合统一威胁管理、流量控制和蜜罐技术,相互补充,进一步提高我院校园网络的防御能力。
1,外部统一威胁管理设备作为校园网络边界的第一道防线,将大部分的入侵行为进行隔离。该设备防火墙采用的策略是:对入境的通信严格控制,而对出境的通信则按安全策略放行。
2,内部流量控制设备作为内部流量管理控制设备,在应用层对校园网内部的流量进行分析检测,分析突发的大流量应用、异常流量监测,对P2P协议进行时间限制,有效的对非正常教学、办公流量进行阻挡,在现有带宽下保证网络的安全高效。
3,蜜网的设置与外部UTM恰巧相反,即对入境的通信放宽,以便收集更多的数据、证据;而对出境的通信则按安全策略严格控制,防止入侵者利用该系统作为跳板,对其它系统进行进一步的攻击。为了更进一步收集数据,在蜜网内部防火墙的内部安装嗅探器,对进入系统的每一个数据包都做记录。
4,主动防御管理收集各数据源,包括UTM阻挡日志、流量阻挡日志,蜜罐主机记录日志、嗅探器的数据,将收集到的数据按照统一的格式进行分类、归纳,以供分析利用。
5,将淘汰的网络设备、功能服务器经过虚拟和重定向处理应用到蜜网的部署中,由于这些系统和应用都是真实的,因此在蜜网中发现的漏洞和弱点就是真实存在的,需要改进的。
四、结束语
通过统一威胁管理、流量控制管理和蜜网的高效联动管理,网络管理有了新的理念,可以对数据流的分布做很准确的考察和管理,实时掌控网络的运行状况,及时将网络风险进行有效防御,这种前瞻式主动防御部署,节省了增加带宽的费用,解决了网络拥堵问题,同时实现了更好的网络安全管理。
参考文献:
[1]孙知信,杨加园.基于蜜罐的主动网络安全系统的研究与实现[J].电子与信息学报,2005,27(3):351-354.
[2]李小志,高校校园网安全分析及解决方案,现代教育技术,2008,18(3):81—106.