如何制定网络安全策略
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇如何制定网络安全策略范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
如何制定网络安全策略范文第1篇
随着Internet的普及,网络蠕虫、恶意攻击的日益猖獗,网络对安全的要求越来越高,只要稍有疏忽,灾难便如影随形。可见,对于管理员而言,网络安全工作尤其重要。如果网络中成百上千台计算机中的每台计算机都需要管理员单独防范,那将使管理员总是处于救火状态,疲于奔命,而效率却很低,效果也很差。我们必须认识到,影响网络安全的因素除了硬件之外,最主要的是病毒、恶意代码、黑客、漏洞等。
阻止病毒和木马主体
在主动防御病毒和木马之前,要先清楚病毒和木马的传播机制。了解其传输机制之后,才能进行针对性的防御,做到有的放矢。计算机病毒具有自我复制和传播的特点,能够进行数据交换的介质都可能成为计算机病毒的传播途径,常见的如可移动设备,包括软盘、光盘、磁带、U盘等。互联网的大量应用也为计算机病毒的传播提供了新的渠道。现在,互联网已经成为病毒和木马的重灾区。
病毒和木马在计算机中以应用程序的方式体现,只有病毒和木马程序主体文件在计算机中运行才能影响到计算机的正常运行。因此,阻止病毒和木马程序主体文件进入网络也是有效的防御方法。
清楚了病毒和木马的传输机制,就可以在网络边界处设置一面墙,截断病毒和木马程序的传播渠道,同时过滤掉病毒和木马程序主体文件。这样,网络中的计算机就处于安全的状态,从而达到自动防御的目的。
防止病毒和木马主体进入网络,建议使用防火墙产品,如ISA Server。将ISA Server部署在网络的边界处,安装完成后,默认禁止任何用户访问外部网络。简而言之,在ISA Server默认状态下,病毒和木马不能进入网络,网络中的任何人也不能访问互联网。这是最安全的防护体系。如果用户要访问互联网,可以使用ISA Server的新建访问规则向导,创建一条“允许内部用户访问互联网”的访问规则,指明允许何人(用户或者用户组)在何时(工作时间或者非工作时间)访问何种网站(网站集合)。规则创建完成并应用后,授权的用户即可访问互联网。
在互联网中,病毒或者木马主要通过网页挂马的方式进行传播。网页病毒或者木马完全不受计算机用户控制,一旦浏览含有该病毒的网页,在没有防护措施的情况下计算机会立即被感染,给用户系统带来不同程度的破坏,同时访问网页的速度变慢,甚至带来惨重的损失。
利用ISA Server访问规则的http过滤器单功能,启用禁止文件扩展名访问功能,例如禁止下载exe、com、bat、pif、scr以及vbs等后缀格式文件,将禁止病毒和木马主体程序进入到网络中,禁止浏览器插件dll和ocx的下载,将禁止恶意的浏览器插件安装到用户系统中。这样病毒和木马程序主体文件不能通过互联网访问模式进入网络中,像一面虚拟的墙阻挡病毒主体的进入。对病毒和木马来说,相当于关上了大门。
在ISA管理控制台的防火墙策略窗口中,选择创建的“允许内部用户访问互联网”访问规则,右击该规则并选择“配置http”选项,打开“为规则配置http策略”对话框并选择“扩展名”选项卡,在“指定对文件扩展名要执行的操作”下拉列表框中选择“阻止指定的扩展名”选项。
单击“添加”按钮,显示“扩展名”对话框,在“扩展名”文本框中输入需要禁止的文件扩展名,如“.exe”;在“描述”文本框中输入说明信息,例如禁止从互联网下载exe文件。
按照同样的方法,可以添加需要禁止的文件类型。在“扩展名”选项卡中,选择“阻止包含不明确的扩展名的请求”选项,这样当访问陌生的文件类型时,ISAServer将自动禁止该类型的访问,完成安全防护的目的。
部署密码策略
黑客出现的历史已经有多年,黑客技术对许多人来说已经不再高深莫测,逐渐被越来越多的人所掌握。黑客以获取系统管理权限为目的,大多是通过各种系统和设置漏洞,以获得管理员密码来获得管理员的权限,然后再实现对系统的恶意攻击。弱密码会让黑客很容易破解从而顺利访问计算机和网络,而强密码则难以破解,即使是密码最终可能被破解,那也难以在短时间内实现。
密码是用户登录网络的钥匙。无论入侵者采用何种远程攻击,如果无法获得管理员或超级管理员的用户密码,就无法完全控制整个系统。如果密码十分简单,黑客即可轻易地进入目标系统,从而控制网络,因此,部署强密码是基本防护准则。验证网络用户的用户名和密码是防止非法访问的第一道防线。用户在注册网络时,需键入用户名和密码,服务器将验证其合法性。其中,密码是问题的关键所在。据统计,大约80%的安全隐患是由于密码设置不当引起的。
为了防止黑客的攻击,最基本的安全方法就是强迫用户使用强密码,禁止常用网络命令行工具的使用。强密码具备以下特征:长度至少有7个字符,不包含用户的生日、电话、用户名、真实姓名或公司名等,不包含完整的字典词汇,应该包含大写字母、小写字母、数字、非字母字符等。
密码策略需要和账户锁定策略配合使用,如果仅部署了密码策略而没有部署账户锁定策略,那么黑客就可以使用暴力破解的方法无限制地尝试密码,从而达到得到正确密码的目的。因此,在账户锁定策略中,建议设置为用户密码无效登录3次后,账户锁定生效。锁定账户的时间为30分钟,30分钟之后自动进行解锁,从而达到保护账户的目的。
密码策略和账户锁定策略需要对网络中的所有用户进行部署,在域控制器上启动组策略管理控制台,在域站点找到“Default Domain Policy”策略,不能在组织单位的层次上部署。
如何制定网络安全策略范文第2篇
【关键词】防火墙;网络;安全技术
如何更好地促进网络的有效运行,保障网络的安全环境,在很大程度上取决于防火墙的设置。网络安全问题成为了人们关注的焦点,防火墙可以说是解决网络安全问题最有效方式。
1.防火墙的概念
防火墙指的是在外界网络与本地网络之间的一道隔离防御系统。应用防火墙最重要的目的就是通过对网络入、出环节的控制,促使各项环节都需要经过防火墙检查,进而有效预防网络遭到外来因素的破坏与干扰,进一步达到保护内部网络不受非法访问的目的。在本质上来讲,防火墙就是一种控制、隔离技术,在不安全的网络环境中积极构建相对安全的网络内部环境。站在逻辑层面来分析,防火墙不仅是一个限制器,还是一个分析器,防火墙要求所有网络数据流必须经过安全计划或策略确定,与此同时,在逻辑上对内外网络进行分离。目前来说,有的防火墙通过软件的方式在计算机上运行,有的防火墙以硬件形式固定在路由器中。从整体上来说,常用的防火墙分为三种:①包过滤防火墙。②服务器。③状态监视技术。
防火墙功能具有如下功能:①提高网络安全性能,防火墙的应用,能大幅度提升内部网络的安全性能,降低安全风险。防火墙还能够保护网络避免来自路由的攻击。防火墙能够拒绝各种不安全因素,并通知管理员。②强化网络安全,相对于传统的将安全问题分散到不同主机上的方式相比较,这种集中安全管理的防火墙更加经济、安全。③监控网络访问与存取,防火墙的应用,能够有效记录各种网络活动的开展,并且,对于可疑性的网络活动进行报警。能够为网络管理员提供全面的信息。一旦防火墙监控到可疑动作,就会自动报警,并提供攻击与监测的具体信息。④保护内部信息不被泄露。通过防火墙对内部网络的保护与划分,能够实现对内部重点网络的保护与隔离,进一步降低重点局部网络安全问题对于整个局域网内部的影响,有效保护内部信息不被泄露。
2.基于防火墙技术的网络安全架构
2.1选择防火墙
作为一种网络完全的有效防护方式,防火墙有多种类型的实现方式。在合理选择防火墙之前,需要全面的进行风险分析、需求分析,并进一步制定安全防范策略,针对性的选择防护方式,尽可能保持安全政策与防护方式的统一性。
2.2全面考虑防火墙失效并进行动态维护
在评价防火墙安全性以及性能过程中,一方面需要看防火墙工作是否正常,一方面需要看起能否阻挡非法访问或恶意攻击。如果防火墙被攻破,其状态是怎样的。按照一定的级别来划分,失效有四种情况:①在没有受到攻破时能进行正常工作。②在受到伤害时可以重新启动,并恢复到之前的工作界面。③禁止与关闭所有通行的数据。④关闭且允许数据继续通行。第一种与第二种状态比较理想化,第四种状态最不安全。在选择防火墙过程中,需要验证其失效状态,并进行准确评估。在安装防火墙以及防火墙投入以后,需要对其运行状态进行动态性维护,对其发展动态进行维护与跟踪,时刻保持商家动态并与之保持联系。一旦商家发现安全漏洞,就会积极推出补救措施,及时更新防火墙。
2.3全面指定防火墙可靠规则集
可靠规则集的制定是实现安全、成功防火墙的关键性步骤。如果防火墙的归集不正确,再强大的防火墙也起不到任何作用。第一,制定安全性策略,上级管理人员制定安全防范策略,防火墙是实施这一安全防范策略的工具。在制定规则集之前,必须全面掌握安全策略。建设其包含以下内容:①内部员工访问网络不受限制。②外部用户能够使用email服务器与web服务器。③管理员能远程访问其系统。在实际上来说,大部分部门的安全策略要远远超过上述内容。第二,积极构建安全体系,要想将一项安全策略积极转化成技术。第一个内容比较容易实现,内部网络中的所有数据信息都允许在网络上传输。对于第二项的安全策略来说比较麻烦,需要建立email服务器与web服务器,因为所有的人都能访问email服务器与web服务器,因此,不能信任他们。鉴于此,可以将email服务器与web服务器放到DMZ中去实现。DMZ作为一个孤立的网络,经常存放不被信任的系统,该网络中的系统无法连接、启动内部网络。第三项是必须让管理员远程控制他人的访问系统,要想实现这一功能,可以通过加密服务的方式进行。笔者建议在这一过程中需要加入DNS。在上述安全策略中虽然未陈述此项内容,但是,在实际运营过程中需要积极提供该服务。第三,规则次序的制定,规则次序的制定非常重要。不同的规则次序排列相同的规则,可能会深刻改变防火墙的运行情况。比如说,大部分防火墙按照顺序对数据包进行检查,收到第一个数据包与第一条规则相对应,收到第二个数据包与第二条规则相对应,一直进行对应。如果检查到匹配选项,就会停止检查。如果没有找到相匹配的规则,就会拒绝这个数据包。一般来说,比较特殊的规则应该放在前面,比较普通的放在后面。通过这样的方式,能有效避免防火墙的错误配置。第四,落实规则集,一旦确认了规则次数与安全防范策略,就要对规则集中的每条规则进行落实。在实际落实过程中,需要注意以下几个关键点。①将不必要的防火墙默认服务切断。②内部网络的所有人都能出网,任何服务都被允许,与安全策略规定相吻合。③增添锁定规则,除了管理员之外,其他人员都不能访问防火墙。④将不匹配的数据包丢弃,且不记录。⑤可以允许网络用户访问DNS。允许内部用户以及网络用户通过邮件传递协议访问邮件服务器。不允许内部用户对DMZ进行公开访问。允许内部进行POP访问。⑥拒绝、警告同时记录DMZ到内部用户之间的通话。⑦管理员能够通过加密方式进行内部网络的访问。⑧将最常用规则尽可能放到规则集上部,进一步提升防火墙安全性能。
3.结语
新形势下,加强给予防火墙墙技术的网络安全架构探析,对于提高网络安全具有重要意义,为此,还需要对防火墙技术进行深入探究,提高防火墙关键技术,保障网络环境安全。[科]
【参考文献】
[1]黄登玺,卿斯汉,蒙杨.防火墙核心技术的研究和高安全等级防火墙的设计[J].计算机科学,2011(02).
如何制定网络安全策略范文第3篇
我们在去年看到众多端点安全产品进入市场,它们试图消除企业网络面临的非常严重的威胁。那么企业的IT管理人员该如何评估这种产品呢?本文就提供了一份路线图,并且介绍了对所有产品进行筛选的方法。以下是你在购买端点解决方案之前先要弄清楚的六个问题。
一、哪几个部分最重要?
端点安全对不同的人来说意味着不同意思。为了便于讨论,我们概述了端点解决方案应当包括的五个要素。你的需求可能有所不同,也许现在想实施其中一两个部分,打算将来时机成熟时再升级到其余几个部分。
策略定义: 你应当能够为不同的用户群、位置和机器群设定及维护各种安全策略,而且能够轻松修改。
用户检测: 不管你的用户是在本地总部还是从远地连接到企业网络,你的系统都应当能够检测到他们。这包括每个客户端上使用或者无的操作。
健康评估:你的最终系统应当能够扫描端点、确定符合策略的状况。理想情况下,应当在访问网络之前进行扫描,不过你的系统也应当允许登录之后进行其他检查。
策略执行:你的策略确定了应当保护哪些网络资源,包括交换机、虚拟专用网(VPN)和服务器等等。视策略而定,你应当能够隔离资源或者完全拒绝访问网络。
采取补救:如果客户端不符合策略,接下来会怎样?理想的系统会启动反病毒特征更新、给操作系统打上补丁,或者采取其他措施。记住:目的在于让每个人最终都能安全地连接到网络上。这恐怕是大多数IT管理人员希望最先看到实施的方面,却也是大多数解决方案最薄弱的方面。问题在于,补救起来很棘手,而且需要依赖许多单个的软件和硬件正常工作。
目前正在开发中的有三种总体架构方法:微软的网络访问保护(NAP)、思科的网络准入控制(NAC)以及可信计算组织的可信网络连接(TNC)。
思科的NAC是三者当中离实际实施最接近的。它的工作方式是通过把模块实施到面向Windows客户端和Linux客户端的交换机及路由器中,从而控制对网络层的访问。你需要混合搭配几家厂商的产品才能涵盖上述五个部分,因为思科并不提供一切。思科架构的强项在于执行和检测,补救是它的弱项。
TNC一开始是这种概念:使用Radius和802.1x等开放标准对特定的网络客户端进行验证,那样它们不会被任何一家厂商的产品线或者客户端操作系统所束缚。TNC专注于提供能够协同工作的解决方案,所以难怪其强项在于策略定义,弱项在于健康评估。
NAP还没有真正实施到微软的任何产品中,第一个应用实例将是预计今年晚些时候问世的Longhorn服务器。该架构的强项在于补救,弱项在于执行,对另外两种架构起到了很好的补充作用。最初,NAP会单单支持Windows XP和Vista客户端,把其他市场让给另外两种架构。
建议:
不是每个端点解决方案都能够有效地提供五个方面,大多数的强项在于健康评估或者策略执行等一、两个方面,在其他方面比较弱。认真阅读说明书,确定你最初关注的重心。
二、现有的安全和网络基础设施是什么?
下一步就是了解你现有的安全产品组合是什么,端点解决方案在什么地方会适合你现有的系统。你可能不想换掉任何旧设备,或者不想购买功能与现有设备重复的端点产品,这取决于你何时购买了防火墙、入侵预防设备和验证服务器。
有些产品(如Vernier)自身随带入侵检测和预防系统或者虚拟专用网络网关,这些是端点安全解决方案的必要部分;而另一些产品(如Lockdown Networks)可与现有的IPS、IDS和VPN产品协同工作。如果你准备选购这些产品,这可能是好消息,但要认识到:你的端点安全只能保护远程用户在使用的机器,却不能扫描任何本地网络用户的机器。为了同时保护本地用户和远程用户,你需要实施802.1x验证之类的机制。
思科的NAC假定你使用的所有思科产品都是最新版本:如果不是,那么就要考虑其他架构,除非你希望花钱进行全面升级。如果你花了大笔钱购买了思科以外的其他厂商的网络交换机和路由器,那么支持另外两种架构的产品更有意义。
建议:
如果你没有VPN,或者正在考虑实施VPN,那么Juniper和F5(其次是思科和Aventail)提供的SSL VPN具有相当可靠的端点健康扫描功能。至于已经有企业IPsec VPN的用户,比较适合实施端点安全解决方案,假定你在所有的本地机器上也能够运行这些安全IPsec协议。大多数端点产品支持这种方法。
如果你已经有了切实可行的VPN而现在又不想改动,不妨考虑自身随带802.1x验证服务的产品解决方案,譬如赛门铁克或者Infoexpress的方案。你需要加强验证机制,以便处理下面提到的端点健康评估工具。
如果你需要升级交换机,Nevis和Consentry都提供各自集成了端点安全功能的48端换机。
三、要保护网络上的哪些部分?
接下来要确定你想把端点安全设备放在网络上的哪个部位,想保护企业计算资源的哪些部分。显然,网络上所要保护的部分越多,项目成本就会变得越高。有些设备应直接放在企业防火墙后面,保护整个网络。另一些设备放在分布交换机后面或者关键服务器前面比较好,或者部署用来保护某些子网或者部门级网络。
TNC架构似乎是三者当中最灵活的,适用于最广泛的部署及保护场景。NAP旨在保护微软服务器,而NAC是为思科网络交换机和路由器设计的。
有些设备(如Vernier、Consentry和Nevis Networks)采用嵌入式工作方式,这意味着位于这种设备后面的任何网络资源都会得到保护;只有健康的网络客户机才能通过进而访问这些资源。另一些设备(如Mirage、Forescout和AEP Networks)采用带外工作方式,通常经由网络跨接端口连接起来,监控某个子网上的所有网络流量;一旦用户通过活动目录或者VPN登录成功通过验证,它们就会把自己嵌入到网络数据流中。想知道把这些设备放在何处,就要知道每个设备能够处理通过它的相对吞吐量。有些解决方案比较有限,无法处理较大网络的较高吞吐量。
建议:
对于吞吐量需求较高的大型网络,不妨考虑Juniper的端点解决方案,它适用于75 Mbps到30 GBps的多种吞吐量。
如果无法确定使用嵌入式还是带外式,那么StillSecure和赛门铁克提供的产品能够与这两种方式兼容。
四、管理所有桌面系统吗?
下一个问题是你将如何管理及部署桌面系统上的保护软件。如果访问企业网络的员工比例较高(譬如说10%以上),合作伙伴或者承包商使用自己的计算机,或者远程员工不来总部办公室上班,那么你无法轻松接触外面的这些PC。如果你分发软件更新版,牢牢控制桌面PC,就能够更轻松地安装软件,进行健康评估,采取纠正措施。
每种设备都有可能使用三种基本类型的中的一种:
“胖”,也就是每个端点PC上永久安装的可执行文件。
按需,只有PC连接到网络时才存在,通常通过浏览器会话或者网络登录过程的一部分来提供。
无解决方案,不在端点上安装任何软件,但能够与PC上已有的软件协同运行。
问题在于,使用哪一种软件来处理实际工作,要看具体是哪一种浏览器版本和操作系统。有些需要初始的管理员权限才能安装到端点上。虽然大多数产品支持Firefox和IE浏览器版本,但也有一些例外,如果你使用的不是Windows操作系统更是如此。
微软的NAP在这方面的功能最弱,如果你仍在运行Windows XP之前的版本,功能将更弱。微软已承诺为Windows XP SP2和Vista推出支持其网络访问保护系统的。如果你使用的Windows版本比较旧,就要寻求第三方供应商。NAC和TNC都旨在更广泛地支持Windows、Mac和Linux等端点操作系统客户端。
有些厂商提供多个,不过有不同的功能及对操作系统的支持。譬如说,Nevis Networks为Windows提供的Active X控件可以执行健康评估。对于非Windows客户机,Nevis只能使用无连接,进行最基本的身份控制。
建议:
如果你需要Mac OS支持“胖”,不妨考虑AEP、Infoexpress和Lockdown Networks的解决方案。赛门铁克的按需可运行在Mac OS和Linux上,但“胖”只能运行在Windows 2000和XP上。赛门铁克和Consentry承诺今年晚些时支持Mac OS和Linux。
Lockdown和Mirage Networks更进了一步:两家公司都把端点放在了各自的专用虚拟局域网(VLAN)上,因而能够确保有风险的设备与其他设备隔离开来。
想获得完全无的方法,不妨考虑Forescout和Vernier。
五、非PC端点需要管理吗?
想弄清楚使用哪种,一方面要知道你的网络上还有什么,需要管理什么。“胖”无法管理企业网络上运行自身操作系统的非PC设备,譬如打印服务器、网络摄像机和PDA等。这些设备大多有IP地址,运行各自的操作系统,不容易由端点设备来管理。
处理非PC端点的最合适的架构就是TNC方案,它能够兼容类别最广泛的设备。NAC会在网络层实施支持非PC端点的功能;至于微软的NAP,你需要指定策略才能处理这些设备。
大多数厂商提供这种功能:把MAC或者IP地址加入白名单或者对它们进行预验证,那样它们仍可以连接到网络上完成任务。不过,把这些设备加入白名单只是临时解决方案,因为其中一些设备一旦被感染,安全就会受到危及,进而对网络造成危害。Forescout和Mirage Networks都能检测到来自这些专门设备的流量模式出现的变化,并且能够隔离设备。
建议:
你网络上的非PC端点数量可能比你想像的多得多,可能无法轻易把它们隔离到单一VLAN或者网段。要进行认真的现场勘查,确定这些端点与任何计划中的解决方案有着怎样的关系。
六、在何处制订及执行安全策略?
众所周知,任何端点解决方案都会影响到众多计算设备:客户机、服务器、网络交换机和连接基础设施以及网络上的应用软件。为了把这一切结合起来,你需要作出决定:存放端点策略的集中存储库放在何处;在整个网络上如何管理、改变及执行存储库。这可能是集中存放用户和验证数据的同一个物理场地,也有可能是全新的安全设备。
TNC倾向于使用802.1x验证协议作为存储库,不过这是其架构的可选部分,而不是必需要求。NAC比NAP更注重执行功能,至少目前是这样。
建议:
最自然的起步就是使用微软的活动目录作为这样一个策略存储库;而且,微软的NAP确实是为这种目的而设计的,最终会在今年晚些时候添加Longhorn服务器及另外几个产品。不过改造你自己的活动目录可能会很困难或者不可能,这看你是如何进行设置的。
另一个解决办法就是使用第三方厂商来完成这项任务,譬如Lockdown、Trusted Network Technologies或者Consentry,不过这可能需要时间来学会如何部署这些解决方案和进行合理配置。
如何制定网络安全策略范文第4篇
关键词:安防;防火墙;IPSec
中图分类号:TP393.08
我们常用硬件防火墙作为受控端把网络分割成内网和外网两部分,分别控制内网络与外部网络之间进行通信,防火墙处在内网与外网之间。当网络处在一局限定的拓扑时,这种模式可以起到较好的保护作用,但当网络规模及应用不断扩展后,比如应用远程通信或高速线路等,这样的方式就不能为网络提供优质的安全防护。分布式防火墙是基于IPSec的技术,它为终端驻留式的安全系统,可以保护局域网中的重要结点,比如:信息服务器、数据流及应用站点等不受到外部入侵的破坏,无论是外网,还是来自内部网络,分布式防火墙能对信息流进行限制与过滤,起到很好的网络防护作用。
1 硬件边界防火墙的特点及局限性
硬件边界防火墙用于限制被保护局域网络与外网之间的相互通信,它处在内外网之间,几乎所有先前应用的各种防火墙都是把内网用户看成是值得信任的,而把外网用户则视为潜在的攻击者来对待。网路安全设置的包过滤、应用层、自适应等都是基于这样的认识。
目前,计算机网络技术不断发展和各种新技术相继涌现,各种类型的新攻击情况更是不断更新,在以往边界式防火墙设计里,局域网非常容易受到恶意攻击和破坏,当接入局域网的用户终端,同时又得到终端控制权时,恶意攻击者就会将这台PC作为跳板,继续入侵其他系统。基于IPSec的DFW的作用,则是将防火墙分布到网络的各个子网、终端或及信息服务器上。DFW会让整个局域网内的用户方便地访问信息资源,网络的其他部分将不会被显露在攻击者面前。应用DFW的网络用户无论在局域、互联网、VPN网还是远程访问,其都能实现“没有区别的局域网互联,即是一种端到端的完全保护。除此之外,DFW还具有加强网络整体抗毁性能,以避免局域网由于部分系统的攻击而导致的全网络蔓延的状况产生,这样也限制了采用公共账号进入网络系统的用户无法进入受限的重要应用系统。
2 DFW的工作原理
DFW(Distributed Fire Wall),既分布式防火墙,这种安防系统的工作原理是:界定合法连接的安防策略集中定义,而安防策略的执行则由相关节点独自实施。
使用DFW的系统中,会为每个节点颁发不同的证书,即一个节点对应一个数字证书,安防维护人员、终端系统维护员并不是相同的人,网络安防维护人员可以在任何地方用数字证书登录,并不受网络拓扑结构限制。几乎与硬件防火墙相同,安防策略还是集中定义,但是,是分别在各节点实施。节点在处理数据流IP包时,必须符合安防策略文件规则,确保与整个系统的安防策略一致。由于是终端节点在执行安防策略,这样,就很自然的克服了以往防火墙的应用缺陷。
DFW由各个端点实施设置的策略,由中心定义策略。其主要依赖说明哪一类连接可以被允许或禁止的策略语言、一种系统管理工具和IP安全协议三个概念来实现。
3 DFW的结构设计
基于IPSec的DFW系统体系结构主要由:策略控制中心、策略执行器以及IPSec通信构成。策略控制中心的主要功能是设置被保护终端、为被保护终端设置安防策略、和向被保护终端发送策略文件;策略执行器是驻留在被保护终端的状态包过滤防火墙,解释并强制执行策略控制中心发放的安防策略;IPSec通信是对内部终端之间的通信进行加密保护以防止内部的窃探、欺骗以及重放等攻击破坏。被保护终端运行的是策略执行器,策略控制中心发放的安防策略的程序由其解释并强制执行,是保护端点终端的程序,完成的主要功能有:包过滤作用、实现与策略控制中心的通信、策略文件的接收、并负责将策略文件翻译成包过滤模块可识别的规则表达形式。
4 策略控制中心
策略控制中心的作用主要是注册被保护终端、向被保护终端设置安防策略、为被保护终端发送策略文件。为策略控制中心的体系结构,主要有终端注册模块、策略编辑模块以及策略发送模块。终端注册模块负责完成被保护终端在策略控制中心的注册,并为控制中心添加被保护终端,设置被保护终端的参数,例如终端名、地址、掩码和策略文件等。
策略编辑模块主要功能是为被保护终端设置安防策略,策略分别是指包过滤规则,包括源地址/端口、目的地址/端口、协议种类、网络端口、检测状态等数据。策略发送模块负责终端在策略控制中心的注册信息以及向被保护终端发送策略文件。
图1 策略控制中心体系结构
为防止内部攻击,对DFW系统内部终端间的通信进行保护是通过IPSec通信完成的。IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构,其中包括Authentication (网络认证协议)、(AH)Header、Encapsulation Security payload(ESP)封装安全载荷协议、密钥管理协议Internet Key Exchange(IKE)和一些加密、认证的算法等。其定义相关基础结构及IP包格式,使网络通信具有端到端、加强的身份验证、抗重播、保密性、和完整性等功能。
5 在构建网络安全解决方案中的应用
DFW的网络安防方案是在内网的主用管理服务器安装产品的安防策略管理服务,而配置管理组和用户分别分配给相应的从服务器和终端工作站,并设计对应的安防策略;将终端防火墙安装在内网和外网中的所有终端工作站上,被管理端与安防策略管理服务器采用SSL协议进行连接,并建立相互通信的安全通道,避免下载安防策略和日志通信的不安全性。在客户终端,防火墙的机器采用多层过滤、入侵检测、日志记录等手段,给终端的安全运行提供强有力的保证。远程终端系统,作为应用业务延伸部分,并不属于内网,但是,在系统中仍是内网终端,与内网之间的通信仍然可以通过VPN、防火墙隔离等技术来控制接入。因此,对DFW的网络安防方案而言,远程终端系统与物理上的内部终端没有任何区别。
6 结束语
本文主要阐述了基于IPSec技术的分布式防火墙系统,DFW是采用策略集中设计,然后再分发到各终端机执行,较好地解决了硬件防火墙单点故障、内部攻击等问题。在作用上,该技术具备了抵御内部攻击、外部攻击和穿越非信任的外部网络的能力。从应用及管理上说,其远超传统上应用的防火墙,管理和控制更加方便、易行。
参考文献:
如何制定网络安全策略范文第5篇
[关键词] 电子商务防火墙数字签名安全机制
电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。
作为一种全新的商务模式,它有很大的发展前途,同时,这种电子商务模式对管理水平、信息传递技术都提出了更高的要求,其中安全体系的构建又显得尤为重要。如何建立一个安全、便捷的电于商务应用环境,对信息提供足够的保护,是商家和用户都十分关注的话题。防火墙、VPN、数字签名等,这些安全产品和技术的使用可以从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面,如防火墙的最主要的功能就是访问控制功能,VPN可以实现加密传输,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。而对于网络系统来讲,它需要的是一种整体的安全策略,这个策略不仅仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么办呢?采取一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。
防火墙、VPN、数字签名等,这些安全产品和技术的使用可以从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面,如防火墙的最主要的功能就是访问控制功能,VPN可以实现加密传输,数字签名技术可以保证用户身份的真实性和不可抵赖性等等。而对于网络系统来讲,它需要的是一种整体的安全策略,在系统被攻击导致瘫痪时,以最快的速度使网络系统恢复正常工作是最主要的。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全架构。
一、整体架构
这里我们介绍一种电子商务安全整体架构,该架构可以概括为一句话“一个中心,四个基本点”,一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种架构机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,即使第一道大门被攻破了,还会有第二道、第三道大门,即使所有的大门都被攻破了,还有恢复措施,因此这种架构可以为用户构筑一个整体的安全方案。
安全管理是中心,它渗透到四个基本点中去,而这四个基本点各占据电子商务安全的四个方面,即保护、监控、响应和恢复。安全管理指导四个基本点的工作,四个基本点体现和完成安全管理的任务,它们相辅相成,构成一个完整的体系,满足电子商务安全的整体需求。
1.安全管理
安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护
保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,如在制定的安全策略中有一条,不允许外部网用户访问内部网的Web服务器,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网Web服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计
监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的。审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段、可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向,以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应
响应就是当攻击正在发生时,能够及时做出响应,如向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分。因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击的结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复
当入侵发生后,对系统造成了一定的破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复在电子商务安全的整体架构中也是不可少的一个组成部分。恢复是最终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
二、安全架构的工作机制
在这个安全架构中,五个方面是如何协调工作的呢?下面将以一个例子来介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客攻击得。
首先,当这个黑客开始向内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制就不用起作用,这时网络的安全得以保证。
随后,黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的任何事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,如立刻断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
最后,黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了。当系统恢复完后,又是新一轮的安全保护开始了。
而安全管理是如何体现出来的呢?安全管理在这个过程中一直存在,因为这四个基本点是借用安全工具来实现安全管理的,这四个基本点运行的好坏,直接和安全管理相关,比方说在保护这个基本点上,如果制定的安全保护策略周到详细,也许黑客就没有进入内部网的可能。所以安全管理是中心,四个基本点是安全管理的实施体现和实现。
这种架构是保护了从攻击的开始到结束的各个方面的安全的架构,它是依照攻击的顺序,在每个攻击点上都有保护措施,从而实现了电子商务安全的整体架构。
三、结束语
电子商务领域的安全问题一直是备受关注的问题,因此如何更好的解决这个问题是推进电子商务更好更快发展的动力。但是因为安全问题是不断发展变化的,所以解决安全问题的手段也会不断变化,但变化中有不变,这就是说要解决的根本问题是不变的,所以应用这种架构来保证电子商务的安全无疑是有效的。
参考文献
[1]陈月波:电子商务概论.北京:清华大学出版社,1998
[2]林涛:网络安全与管理.电子工业出版社,1999
[3]劳帼龄:电子商务的安全技术.中国水利水电出版社,2000
[4]黄允聪林东:网络安全基础.北京:清华大学出版社,1998
[5]樊成丰林东:网络信息安全&PGP加密.北京:清华大学出版社,1999
