網(wǎng)絡(luò)安全技術(shù)與設(shè)計6

網(wǎng)絡(luò)安全技術(shù)與設(shè)計一、計算機網(wǎng)絡(luò)安全方案設(shè)計與實現(xiàn)概述影響網(wǎng)絡(luò)安全的因素很多，保護網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來說，保護網(wǎng)絡(luò)安全的主要技術(shù)有防火墻技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份認證技術(shù)，等等。為了保護網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施進行整合，建立一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，這樣一個全面的網(wǎng)絡(luò)安全解決方案，可以防止安全風(fēng)險的各個方面的問題二、計算機網(wǎng)絡(luò)安全方案設(shè)計并實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)體系通常是在安全策略指導(dǎo)下合理配置和部署：網(wǎng)絡(luò)隔離與訪問控制、入侵檢測與響應(yīng)、漏洞掃描、防病毒、數(shù)據(jù)加密、身份認證、安全監(jiān)控與審計等技術(shù)設(shè)備，并且在各個設(shè)備或系統(tǒng)之間，能夠?qū)崿F(xiàn)系統(tǒng)功能互補和協(xié)調(diào)動作。網(wǎng)絡(luò)系統(tǒng)安全具備的功能及配置原則網(wǎng)絡(luò)隔離與訪問控制。通過對特定網(wǎng)段、服務(wù)進行物理和邏輯隔離，并建立訪問控制機制，將絕大多數(shù)攻擊阻止在網(wǎng)絡(luò)和服務(wù)的邊界以外。漏洞發(fā)現(xiàn)與堵塞。通過對網(wǎng)絡(luò)和運行系統(tǒng)安全漏洞的周期檢查，發(fā)現(xiàn)可能被攻擊所利用的漏洞，并利用補丁或從管理上堵塞漏洞。入侵檢測與響應(yīng)。通過對特定網(wǎng)絡(luò)（段）、服務(wù)建立的入侵檢測與響應(yīng)體系，實時檢測出攻擊傾向和行為，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接和服務(wù)、記錄攻擊過程、加強審計等）。加密保護。主動的加密通信，可使攻擊者不能了解、修改敏感信息（如VPN方式）或數(shù)據(jù)加密通信方式；對保密或敏感數(shù)據(jù)進行加密存儲，可防止竊取或丟失。備份和恢復(fù)。良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。監(jiān)控與審計。在辦公網(wǎng)絡(luò)和主要業(yè)務(wù)網(wǎng)絡(luò)內(nèi)配置集中管理、分布式控制的監(jiān)控與審計系統(tǒng)。一方面以計算機終端為單元強化桌面計算的內(nèi)外安全控制與日志記錄；另一方面通過集中管理方式對內(nèi)部所有計算機終端的安全態(tài)勢予以掌控。邊界安全解決方案在利用公共網(wǎng)絡(luò)與外部進行連接的“內(nèi)”外網(wǎng)絡(luò)邊界處使用防火墻，為“內(nèi)部”網(wǎng)絡(luò)（段）與“外部”網(wǎng)絡(luò)（段）劃定安全邊界。在網(wǎng)絡(luò)內(nèi)部進行各種連接的地方使用帶防火墻功能的VPN設(shè)備，在進行“內(nèi)”外網(wǎng)絡(luò)（段）的隔離的同時建立網(wǎng)絡(luò)（段）之間的安全通道。防火墻應(yīng)具備如下功能：使用NAT把DMZ區(qū)的服務(wù)器和內(nèi)部端口影射到Firewall的對外端口；允許Internet公網(wǎng)用戶訪問到DMZ區(qū)的應(yīng)用服務(wù)：http、ftp、smtp、dns等；允許DMZ區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問Internet公網(wǎng)；允許內(nèi)部用戶訪問DMZ的應(yīng)用服務(wù)：http、ftp、smtp、dns、pop3，https；允許內(nèi)部網(wǎng)用戶通過代理訪問Internet公網(wǎng)；禁止Internet公網(wǎng)用戶進入內(nèi)部網(wǎng)絡(luò)和非法訪問DMZ區(qū)應(yīng)用服務(wù)器；禁止DMZ區(qū)的公開服務(wù)器訪問內(nèi)部網(wǎng)絡(luò)；防止來自Internet的DOS一類的攻擊；能接受入侵檢測的聯(lián)動要求，可實現(xiàn)對實時入侵的策略響應(yīng)；對所保護的主機的常用應(yīng)用通信協(xié)議（http、ftp、telnet、smtp）能夠替換服務(wù)器的Banner信息，防止惡意用戶信息刺探；提供日志報表的自動生成功能，便于事件的分析；提供實時的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能，能夠?qū)崟r的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)（當前有那些連接、正在連接的IP、正在關(guān)閉的連接等信息），通信數(shù)據(jù)流量。提供連接查詢和動態(tài)圖表顯示。防火墻自身必須是有防黑客攻擊的保護能力。帶防火墻功能的VPN設(shè)備是在防火墻基本功能（隔離和訪問控制）基礎(chǔ)上，通過功能擴展，同時具有在IP層構(gòu)建端到端的具有加密選項功能的ESP隧道能力，這類設(shè)備也有SVPN的，主要用于通過外部網(wǎng)絡(luò)（公共通信基礎(chǔ)網(wǎng)絡(luò)）將兩個或兩個以上“內(nèi)部”局域網(wǎng)安全地連接起來，一般要求SVPN應(yīng)具有一下功能：防火墻基本功能，主要包括：IP包過慮、應(yīng)用代理、提供DMZ端口和NAT功能等（有些功能描述與上相同）；具有對連接兩端的實體鑒別認證能力；支持移動用戶遠程的安全接入；支持IPESP隧道內(nèi)傳輸數(shù)據(jù)的完整性和機密性保護；提供系統(tǒng)內(nèi)密鑰管理功能；SVPN設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認證的能力。入侵檢測與響應(yīng)方案在網(wǎng)絡(luò)邊界配置入侵檢測設(shè)備，不僅是對防火墻功能的必要補充，而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防御體系。通過入侵檢測設(shè)備對網(wǎng)絡(luò)行為和流量的特征分析，可以檢測出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量，與防火墻形成某種協(xié)調(diào)關(guān)系的互動，從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成保護體系。入侵檢測系統(tǒng)的基本功能如下：通過檢測引擎對各種應(yīng)用協(xié)議，操作系統(tǒng)，網(wǎng)絡(luò)交換的數(shù)據(jù)進行分析，檢測出網(wǎng)絡(luò)入侵事件和可疑操作行為。對自身的數(shù)據(jù)庫進行自動維護，無需人工干預(yù)，并且不對網(wǎng)絡(luò)的正常運行造成任何干擾。采取多種報警方式實時報警、音響報警，信息記錄到數(shù)據(jù)庫，提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日志報警、Windows消息報警信息，并按照預(yù)設(shè)策略，根據(jù)提供的報警信息切斷攻擊連接。與防火墻建立協(xié)調(diào)聯(lián)動，運行自定義的多種響應(yīng)方式，及時阻隔或消除異常行為。全面查看網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用和連接，完整的顯示當前網(wǎng)絡(luò)連接狀態(tài)?？蓪W(wǎng)絡(luò)中的攻擊事件，訪問記錄進行適時查詢，并可根據(jù)查詢結(jié)果輸出圖文報表，能讓管理人員方便的提取信息。入侵檢測系統(tǒng)猶如攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預(yù)警，在攻擊行為發(fā)生時有報警，在攻擊事件發(fā)生后能記錄，做到事前、事中、事后有據(jù)可查。漏洞掃描方案除利用入侵檢測設(shè)備檢測對網(wǎng)絡(luò)的入侵和異常流量外，還需要針對主機系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機漏洞掃描可以主動發(fā)現(xiàn)主機系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對該缺陷和漏洞進行修補或堵塞。對于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購標準產(chǎn)品問題的，應(yīng)及時升級換代或安裝補丁程序；屬委托開發(fā)的產(chǎn)品問題的，應(yīng)與開發(fā)商協(xié)議修改程序或安裝補丁程序；屬于系統(tǒng)配置出現(xiàn)的問題，應(yīng)建議系統(tǒng)管理員修改配置參數(shù)，或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢的必要輔助，對使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求?？紤]到漏洞掃描能檢測出防火墻策略配置中的問題，能與入侵檢測形成很好的互補關(guān)系：漏洞掃描與評估系統(tǒng)使系統(tǒng)管理員在事前掌握主動地位，在攻擊事件發(fā)生前找出并關(guān)閉安全漏洞；而入侵檢測系統(tǒng)則對系統(tǒng)進行監(jiān)測以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關(guān)系密切。本方案建議采購將入侵檢測、管理控制中心與漏洞掃描一體化集成的產(chǎn)品，不但可以簡化管理，而且便于漏洞掃描、入侵檢測和防火墻之間的協(xié)調(diào)動作網(wǎng)絡(luò)防病毒方案網(wǎng)絡(luò)防病毒產(chǎn)品較為成熟，且有幾種主流產(chǎn)品。本方案建議，網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)具備下列功能：網(wǎng)絡(luò)&單機防護一提供個人或家庭用戶病毒防護；文件及存儲服務(wù)器防護一提供服務(wù)器病毒防護；郵件服務(wù)器防護一提供LotusNotes,MicrosoftExchange等病毒防護；網(wǎng)關(guān)防護一在SMTP,HTTP,和FTPservergateway阻擋計算機病毒；集中管理一為企業(yè)網(wǎng)絡(luò)的防毒策略，提供了強大的集中控管能力。關(guān)于安全設(shè)備之間的功能互補與協(xié)調(diào)運行各種網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測、漏洞掃描、防病毒產(chǎn)品等），都有自己獨特的安全探測與安全保護能力，但又有基于自身主要功能的擴展能力和與其它安全功能的對接能力或延續(xù)能力。因此，在安全設(shè)備選型和配置時，盡可能考慮到相關(guān)安全設(shè)備的功能互補與協(xié)調(diào)運行，對于提高網(wǎng)絡(luò)平臺的整體安全性具有重要意義。防火墻是目前廣泛用于隔離網(wǎng)絡(luò)（段）邊界并實施進/出信息流控制的大眾型網(wǎng)絡(luò)安全產(chǎn)品之一。作為不同網(wǎng)絡(luò)（段）之間的邏輯隔離設(shè)備，防火墻將內(nèi)部可信區(qū)域與外部危險區(qū)域有效隔離，將網(wǎng)絡(luò)的安全策略制定和信息流動集中管理控制，為網(wǎng)絡(luò)邊界提供保護，是抵御入侵控制內(nèi)外非法連接的。但防火墻具有局限性。這種局限性并不說明防火墻功能有失缺，而且由于本身只應(yīng)該承擔(dān)這樣的職能。因為防火墻是配置在網(wǎng)絡(luò)連接邊界的通道處的，這就決定了它的基本職能只應(yīng)提供靜態(tài)防御，其規(guī)則都必須事先設(shè)置，對于實時的攻擊或異常的行為不能做出實時反應(yīng)。這些控制規(guī)則只能是粗顆粒的，對一些協(xié)議細節(jié)無法做到完全解析。而且，防火墻無法自動調(diào)整策略設(shè)置以阻斷正在進行的攻擊，也無法防范基于協(xié)議的攻擊。為了彌補防火墻在實際應(yīng)用中存在的局限，防火墻廠商主動提出了協(xié)調(diào)互動思想即聯(lián)動問題。防火墻聯(lián)動即將其它安全設(shè)備（組件）（例如IDS）探測或處理的結(jié)果通過接口引入系統(tǒng)內(nèi)調(diào)整防火墻的安全策略，增強防火墻的訪問控制能力和范圍，提高整體安全水平。目前，防火墻形成聯(lián)動的主要有以下幾種方式：與入侵檢測實現(xiàn)聯(lián)動目前，實現(xiàn)入侵檢測和防火墻之間的聯(lián)動有兩種方式。一種是實現(xiàn)緊密結(jié)合，即把入侵檢測系統(tǒng)嵌入到防火墻中，即入侵檢測系統(tǒng)的數(shù)據(jù)來源不再來源于抓包，而是流經(jīng)防火墻的數(shù)據(jù)流。但由于入侵檢測系統(tǒng)本身也是一個很龐大的系統(tǒng)，從目前的軟硬件處理能力來看，這種聯(lián)動難于達到預(yù)期效果。第二種方式是通過開放接口來實現(xiàn)聯(lián)動，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方調(diào)用，按照一定的協(xié)議進行通信、警報和傳輸，這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。防火墻與入侵檢測系統(tǒng)聯(lián)動，可以對網(wǎng)絡(luò)進行動靜結(jié)合的保護，對網(wǎng)絡(luò)行為進行細顆粒的檢查，并對網(wǎng)絡(luò)內(nèi)外兩個部分都進行可靠管理。與防病毒實現(xiàn)聯(lián)動防火墻處于內(nèi)外網(wǎng)絡(luò)信息流的必經(jīng)之地，在網(wǎng)關(guān)一級對病毒進行查殺是網(wǎng)絡(luò)防病毒的理想措施。目前已有一些廠商的防火墻可以與病毒防治軟件進行聯(lián)動，通過提供API定義異步接口，將數(shù)據(jù)包轉(zhuǎn)發(fā)到裝載了網(wǎng)關(guān)病毒防護軟件的服務(wù)器上進行檢查，但這種聯(lián)動由于性能影響，目前并不適宜部署在網(wǎng)絡(luò)邊界處。與日志處理間實現(xiàn)聯(lián)動防火墻與日志處理之間的聯(lián)動，目前國內(nèi)廠商做的不多。比較有代表性的是Checkpoint的防火墻，它提供兩個API：LEA（LogExportAPI）和ELA（EventLoggingAPI），允許第三方訪問日志數(shù)據(jù)。報表和事件分析采用LEAAPI，而安全與事件整合采用ELAAPI。防火墻產(chǎn)品利用這個接口與其他日志服務(wù)器合作，將大量的日志處理工作由專門的服務(wù)設(shè)備完成，提高了專業(yè)化程度。內(nèi)部網(wǎng)絡(luò)監(jiān)控與審計方案上面的安全措施配置解決了網(wǎng)絡(luò)邊界的隔離與保護，網(wǎng)絡(luò)與主機的健康（防病毒）運行，以及用戶訪問網(wǎng)絡(luò)資源的身份認證和授權(quán)問題。然而，縣衛(wèi)生局網(wǎng)絡(luò)內(nèi)部各辦公網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)的運行秩序的維護，網(wǎng)絡(luò)操作行為的監(jiān)督，各種違規(guī)、違法行為的取證和責(zé)任認定，以及對操作系統(tǒng)漏洞引發(fā)的安全事件的監(jiān)視和控制等問題，則是必須予以解決的問題。因此有必要在各種內(nèi)部辦公網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)內(nèi)部部署集中管理、分布式控制的監(jiān)控與審計系統(tǒng)。這種系統(tǒng)通過在局域網(wǎng)（子網(wǎng)）內(nèi)的管理中心安裝管理器，在各臺主機（PC機）中安裝的代理軟件形成一個監(jiān)控與審計（虛擬網(wǎng)絡(luò)）系統(tǒng)，通過對代理軟件的策略配置，使得每臺工作主機（PC機）按照辦公或業(yè)務(wù)操作規(guī)范進行操作，并對可能經(jīng)過主機外圍接口（USB口、串/并口、軟硬盤接口等）引入的非法入侵（包括病毒、木馬等），或非法外連和外泄的行為予以阻斷和記錄；同時管理器通過網(wǎng)絡(luò)還能及時收集各主機上的安全狀態(tài)信息并下達控制命令，形成“事前預(yù)警、事中控制和事后審計”的監(jiān)控鏈。監(jiān)控與審計系統(tǒng)應(yīng)具有下列功能：管理器自動識別局域網(wǎng)內(nèi)所有被監(jiān)控對象之間的網(wǎng)絡(luò)拓撲關(guān)系，并采用圖形化顯示，包括被監(jiān)控主機的狀態(tài)（如在線、離線）等；支持對包含有多個子網(wǎng)的局域網(wǎng)進行全面監(jiān)控；系統(tǒng)對被監(jiān)控對象的USB移動存儲設(shè)備、光驅(qū)、軟驅(qū)等外設(shè)的使用以及利用這些設(shè)備進行文件操作等非授權(quán)行為進行實時監(jiān)視、控制和審計；系統(tǒng)對被監(jiān)控對象的串/并口等接口的活動狀態(tài)進行實時監(jiān)視、控制和審計；系統(tǒng)對進出被監(jiān)控對象的網(wǎng)絡(luò)通信(www,ftp,pop,smtp)數(shù)據(jù)包進行實時攔截、分析、處理和審計，對telnet通