中小型公司网络安全方案(3)

第四章 安全产品的配置与应用

4.1防病毒及特洛伊木马软件

为了实现在整个局域网内杜绝病毒的感染、传播和发作，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。网络采用上机机房与办公区相分离的结构。1.在学校机房的 WindowS2000服务器上安装瑞星杀毒软件网络版的系统中心，负责管理2000多个学生主机网点。2.在各办公室分别安装瑞星杀毒软件网络版的客户端。3.安装完瑞星杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。4、网络中心负责整个校园网的升级工作。为了安全和管理的方便，由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等)，然后自动将最新的升级文件分发到其他2000多个主机网点的客户端与服务器端，并自动对瑞星杀毒软件网络版进行更新。在安全级别较高的子网采用的防病毒措施为：

1.客户端防毒：采用趋势科技的Officescan[16]。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受WindowS域管理模式的约束，除支持SMS，登录域脚本，共享安装以外，还支持纯W己b的部署方式。2.邮件防毒：采用趋势科技的 SacllMailforNoteS。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNoteS的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。3.服务器防毒：采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新，另一方面减少了整个防毒系统对原系统的影响，。Serve少rotect产品支持WindowsNT/2000、NovellNetware，同时ServerProtect是业界第一款支持Lin叭平台的防病毒产品。

4.2动态口令身份认证方案

动态口令身份认证具有随机性、动态性、一次性、不可逆等特点，不仅保留了静态口令方便性的优点，而且很好地弥补了静态口令存在的各种缺陷。动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精心修改，通过数十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。在此基础上，采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性[17]。特点如下：1、动态口令系统的抗截获攻击能力在动态口

令认证系统的设计中，每个正确的动态口令只能使用一次。因此，不用担心口令在传输认证期间被第三方监听到。因为正确的口令在认证服务器上被认证之后，在数据库中会有相应的日志记录，这时即使再有使用这个正确口令的用户提交认证，也不能通过。动态口令系统的这个特点使得截获攻击无法实现。2、动态口令系统的抗实物解剖能力动态口令卡采用了带加密位的数据处理器，防止有人企图解算法程序从其中读出，具有很高的抗实物解剖能力。另外，由于每个用户的密钥都不相同(在初始化时随时生成)，并且密钥与同口令计算有关的信息存贮在动态RAM中，当有人对其进行分析时，数据处理一旦掉电，这些密钥将消失。即使有人破译了其中的程序，由于不知道用户的密钥，以及初始化时间等相关信息，也无法正确地计算出用户实时的口令。3、动态口令系统的抗穷举攻击能力穷举攻击是破解口令时常用的攻击手段之一。这种攻击手段的特点就是大量频繁地对一个用户的口令进行反复认证。针对这一特点，在动态口令认证系统中对每一个用户在一个时段内的认证结果设计了日志记录，当发现一个用户的认证记录为多次失败时，系统将锁住这个用户的认证行为。这样也就杜绝了穷举攻击的可能性。4、系统的密钥管理和安全数据库的加密。系统安全数据库保存用户信息、用户密钥等等，这些敏感数据如果泄露，将使第三者获得合法用户的身份，因此是绝对需要保密的。我们对安全数据库均进行加密后存放在服务器上，绝对不以明码的形式出现。系统主密钥存放在系统维护员的IC卡上，只有掌握系统维护员的IC卡的人才能对这些敏感数据库进行操作。因此不掌握系统密钥的话，即使有机会接触到服务器，也无法取得各用户密钥。

本网络系统采用南京众力科技有限公司生产的VPN动态口令身份认证系统。VPN动态口令身份认证系统主要由以下几个主要模块组成[18]：认证系统管理员界面、帐号管理服务器(UAM)、RADIUS认证服务器、NAS(网络接入服务器采用带VPN功能的防火墙，例如：NOKIAIP380)、ORACLE数据库管理系统、VPN客户端、防火墙管理软件(例如：NOKIA防火墙软件CheekPointExpress)。VPN用户从顶temet远程访问内部网络，需要对用户身份进行认证，允许合法的用户访问网络，不合法的用户不允许访问。密码通过远程网络传输有被黑客拦截的危险，而采用动态口令作为密码，真正做到一次一密，即每次用户通过身份认证后本次密码立即失效。用户下次登录时，通过VPN客户端获得新的密码，并通过手机短信将新密码发送给用户。

图4.1 动态口令身份认证系统部署方案图

采用该方案后，在中小型公司的认证系统中能够实现： 1、密钥/时间双因素的身份认证机制; 2、登录口令随时间变化;

3、口令使用次数和时效自由控制，有效抵御重播攻击行为; 4、开放的应用程序接口，与应用系统方便集成;

5、使用经过国家认可的自主密码算法，具有优秀的安全性;

6、提供客户端设备与认证服务器之间的时间补偿机制，提高系和可用性 7、用户端设备设计小巧，性能稳定，使用方便; 8、提供完善灵活的安全事件日志审计和查询功能。 避免了静态口令中的不足，譬如： 1.网络数据流窃听(Sniffer)

2.认证信息截取/重放(Reeord/Rplay) 3.字典攻击

4.穷举尝试(BruteForee)

4.4访问控制：防火墙系统

防火墙是目前最为流行、使用最广泛的一种网络安全技术，它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙主要用来执行两个网络之间的访问控制策略，它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙是一种隔离控制技术，可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。通过在网络入口点检查网络通讯数据，根据预先设定的安全规则，提供一种安全的网间网数据通讯。防火墙主要有三种类型：包过滤型、代理服务器型、全状态包过滤型。防火墙的使用是非常灵活的，可以在以太网络的任意部位进行链路上分割，构成安全的网络范围。可以用于在单位内网同外界的广域网出口上，实现对单位内网的保护;可以在内部网络上进行划分，建立局部的安全区;可以单独设置在某一台或几台重要的服务器前，对这些服务器进行安全保护。中小型公司安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。本方案中，采用防火墙设备确保如科研部、财务部、教学部等重要安全域的相对独立。选购防火墙主要应从安全角度考虑，在这里效率不应成瓶颈问题，应该选购业界大公司或资深信息安全研制单位的成熟产品。在防火墙上通过设置安全策略增加对服务器的保护，同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构，使用日志来对非法访问进行监控，使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多。防火墙是近年发展起来的重要安全技术，在中小型公司系统中其主要作用是在网络边界处检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。

边界防火墙的配置：根据网络具体流量情况，采用型号为东软NeteyeFW4120一H一XE6型上联网通线路，下联外网交换机华为6506快速以太网交换机。标准配置三接口的防火墙，其最大并发连接数将近60万个，其中两个接口分别接

外网和内网两个网段，第三个口可以作为预留。内网保护服务器群防火墙的配置：而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键，分别与两个核心交换机相连。

核心交换机华为6505处配备一台高性能天融信网络卫士防火墙4000系统，用于对内部服务器群的访问和联动保护。此处采用型号为NGFW4000一S标准配置三个接口的防火墙，其最大并发连接数达到60万个，一个接口接核心交换机，一个接口接级联交换机，另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上，基于对网络安全的深刻理解，融合网络科技的最新成果，独创了系列安全构架和实现技术，经过多年的研究和近两年的开发所完成的最新一代防火墙产品。应能够配置成分布式和集中统一管理，由防火墙管理代理程序和管理器组成。管理安全、方便灵活，防火墙4000经过简单的配置即可接入网络进行通信和访问控制，GUI管理界面提供了清晰的管理结构，每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密(支持SSL和SSH)，并进行严格的审计，实现了真正的安全远程管理。同时，可以支持SNMP与当前通用的网络管理平台兼容，如HP即enview、Ciscoworks等，方便管理和维护。提供面向对象的服务模板功能，可以方便的定制过滤规则。支持双向地址路由功能，带宽管理功能，流量控制功能确保只允许符合网络安全策略的网络访问和网络服务，进出北京城市中小型公司系统，或进入相应安全域隔离带。防火墙能够支持HTTP、FTP、TELNET、SMTP、NOTES、Oraele数据库、Sybase数据库、SQL数据库等主流应用。当然，对不同的控制点，对防火墙的要求会不完全一样。有效地反映网络攻击，保证网络系统及其业务的可用性、可靠性。要适合中小型公司网络接入模式、接口规范、带宽要求，防火墙不能成为网络或业务的瓶颈。防火墙要符合国家相关标准和规范。防火墙要具有很高的可靠性，不会降低网络系统现有的可靠性。深层日志及灵活、强大审计分析功能，提供丰富的日志信息，用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。独创的网络实时监测信息，可详细审计命令级操作，便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性。更好地支持业界公认的TOPSEC协议，防火墙应具有联动功能，能够实现与入侵检测设备的通讯。采用独创的最新最先进核检测技术，即基于0S内核的会话检测技术，在0S内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲，不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能[19]。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。这样不仅保护了中小型公司服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自校园网内部其它部门的网络的攻击。如果有人闯进一个部门，或者如果病毒开始蔓延，网段能够限制造成的损坏进一步扩大。

防火墙根据系统管理者设定的安全规则保护内部网络，提供完善的安全性设置，通过高性能的网络核心进行访问控制。同时提供网络地址转换、透明的代理服务、信息过滤、内容过滤、双机热备份、流量控制、带宽管理，用户身份认证等功能

图4.2 防火墙系统部署方案

4.5入侵检测系统

入侵是指任何企图破坏资源的完整性、机密性及可用性的活动集合。一般而言，入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务，恶意使用六种类型。概括的说，入侵表示系统发生了违反系统安全策略的事件。

入侵检测是指通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危机系统安全的行为或活动，从而保护系统的资源不受攻击、防止系统数据的泄漏、篡改和破坏。入侵检测系统是指能够通过分析与系统安全相关的数据来检测入侵活动的系统，包括入侵检测的软件和硬件的组合[20]。

从系统所执行的功能上来考虑，入侵检测系统必须包括如下三个功能部件：提供事件记录流的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产生的响应部件。“入侵检测”是一种网络实时自动攻击识别和响应系统它通过多种途径收集单位内部网的主机和网络信息，对这些信息加以分析，查看网络安全体系结构是否存在漏洞，主机系统和网络上是否有入侵事件发生，如果发现有入侵事件，自动对这些事件响应，同时给出相应提示。中小型公司办公部门比较多，内部网根据部门划分不同的子网网段。每个部门或子网都有一个交换机，设置网络中心，有专门的网络管理员。各个子网汇总到网络中，自连接到高性能服务器群，高性能服务器群放置在防火墙的DMZ区。根据网络流量和保护数据的重要程度，选择IDS探测器配置在内部关键子网的交换机处放置，核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。