網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)研究

宋歌

國(guó)網(wǎng)新源控股有限公司檢修分公司 北京 100068

引言

網(wǎng)絡(luò)邊界的穩(wěn)定性、安全性關(guān)系到公司數(shù)據(jù)保密的安全等級(jí)。由于公司信息網(wǎng)絡(luò)覆蓋范圍廣，涉及業(yè)務(wù)多、用戶多，出現(xiàn)邊界問題、安全問題將影響到公司各項(xiàng)業(yè)務(wù)和辦公的正常運(yùn)行。如果僅僅依靠第三方運(yùn)營(yíng)商承諾的專線安全，仍存在風(fēng)險(xiǎn)。本文根據(jù)公司提出的信息安全治理提升工作需求，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行網(wǎng)絡(luò)邊界安全優(yōu)化，加強(qiáng)網(wǎng)絡(luò)邊界安全穩(wěn)定。

1 網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)的實(shí)施方案

網(wǎng)絡(luò)設(shè)備內(nèi)嵌分層次一體化安全防護(hù)的設(shè)計(jì)，首先，需要兼顧考慮安全防護(hù)和網(wǎng)絡(luò)設(shè)備各自體系結(jié)構(gòu)的要求，將兩者進(jìn)行一體化融合設(shè)計(jì)；其次，由于網(wǎng)絡(luò)交換的吞吐能力通常大于安全防護(hù)同樣數(shù)據(jù)量的監(jiān)測(cè)分析能力，為了進(jìn)一步提升整體性能，需要突破高性能多核并行深度檢測(cè)等技術(shù)，充分發(fā)揮多核處理器的并行處理能力，實(shí)現(xiàn)數(shù)據(jù)包的快速深度安全檢查和轉(zhuǎn)發(fā)處理[1]。設(shè)計(jì)架構(gòu)如下：

如圖所示，第一層防護(hù)依托于業(yè)務(wù)模塊的硬件平臺(tái)（交換芯片），執(zhí)行規(guī)則匹配、ACL控制、策略匹配、數(shù)據(jù)包提取與分流等功能。該層次防護(hù)主要是針對(duì)原始大流量的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行初步檢測(cè)，將規(guī)則匹配符合判斷條件的數(shù)據(jù)包進(jìn)行過濾，并可按照上層策略配置，將特定流量或第一層無法匹配的異常包提交給第二層的防護(hù)模塊進(jìn)行深度檢測(cè)。該層次的檢測(cè)一般基于L2～L3層的網(wǎng)絡(luò)協(xié)議特征字段進(jìn)行匹配和統(tǒng)計(jì)，基于硬件處理，其轉(zhuǎn)發(fā)速度可達(dá)到線速，不影響網(wǎng)絡(luò)傳輸效率。第二層防護(hù)則在多核處理器中實(shí)現(xiàn)。網(wǎng)絡(luò)流量經(jīng)過第一層初步檢測(cè)和過濾后，存在部分規(guī)則無法匹配到的流量，或者根據(jù)上層需求需要對(duì)特定字段進(jìn)行檢測(cè)的數(shù)據(jù)報(bào)文，這些流量可通過策略配置，將其導(dǎo)流到第二層防護(hù)模塊中進(jìn)行處理。第二層防護(hù)包括三大安全功能模塊，分別是管理安全、網(wǎng)絡(luò)安全以及應(yīng)用安全處理模塊。網(wǎng)絡(luò)安全處理模塊結(jié)合網(wǎng)絡(luò)并行處理技術(shù)及應(yīng)用加速技術(shù)等，可根據(jù)處理器的核數(shù)和端口隊(duì)列數(shù)，將多個(gè)實(shí)例分別綁定到不同的核上獨(dú)立運(yùn)行，減少處理器競(jìng)爭(zhēng)，實(shí)現(xiàn)數(shù)據(jù)包的快速處理與轉(zhuǎn)發(fā)。同時(shí)根據(jù)安全策略的設(shè)置，網(wǎng)絡(luò)安全處理模塊將處理后的數(shù)據(jù)送到應(yīng)用安全處理模塊的實(shí)例，應(yīng)用安全處理模塊可以根據(jù)實(shí)際硬件情況和性能需求，運(yùn)行一個(gè)或多個(gè)實(shí)例。第二層防護(hù)能夠?qū)崿F(xiàn)L4～L7的自定義字段的檢測(cè)。

2 關(guān)鍵技術(shù)分析

2.1 入侵檢測(cè)技術(shù)的應(yīng)用

入侵檢測(cè)技術(shù)是一種常見的網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)，可以監(jiān)測(cè)出計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行中是否存在非法侵入或是濫用的情況。在實(shí)際應(yīng)用中，根據(jù)網(wǎng)絡(luò)監(jiān)測(cè)需求，包含統(tǒng)計(jì)分析法、簽名分析法，統(tǒng)計(jì)分析法主要是依托于統(tǒng)計(jì)學(xué)理論判斷計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行中的動(dòng)作模式，進(jìn)而推斷出計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行動(dòng)作是否超出安全范圍；簽名分析法主要是檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行薄弱區(qū)域的攻擊行為。通過入侵檢測(cè)技術(shù)，可以及時(shí)發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行中的漏洞和非法入侵行為，及時(shí)檢測(cè)出網(wǎng)絡(luò)病毒，防止黑客攻擊計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。

2.2 WEB應(yīng)用檢測(cè)技術(shù)

WEB應(yīng)用檢測(cè)技術(shù)是一種檢測(cè)防御WEB應(yīng)用攻擊的安全防護(hù)手段，可以實(shí)現(xiàn)對(duì)網(wǎng)站安全漏洞的掃描以及攻擊手段分析，并且實(shí)時(shí)監(jiān)測(cè)網(wǎng)站類應(yīng)用的頁面的可用性。同時(shí)還可以有效阻止SQL注入攻擊、XSS跨站攻擊、腳本木馬、緩沖區(qū)溢出攻擊等針對(duì)網(wǎng)站的特殊攻擊行為，可以看作是HTTP層面的深度檢測(cè)防御技術(shù)。

2.3 應(yīng)用防病毒技術(shù)

隨著計(jì)算機(jī)技術(shù)的成長(zhǎng)，其病毒也就變得更加的高級(jí)，對(duì)于用戶安全有著相當(dāng)大的威脅。因此面對(duì)防病毒軟件的大量出現(xiàn)，其功能多集中在網(wǎng)絡(luò)防病毒和單機(jī)防病毒。網(wǎng)絡(luò)防病毒的主要任務(wù)是防止網(wǎng)絡(luò)病毒，對(duì)于病毒傳染源進(jìn)行快速的切除；而單機(jī)防病毒大多數(shù)都是安裝在單臺(tái)電腦上面，對(duì)于其工作上的傳入信息進(jìn)行詳細(xì)的檢測(cè)，完成病毒查殺功能。

3 結(jié)束語

網(wǎng)絡(luò)設(shè)備由于其自身的安全防護(hù)手段比較單一，對(duì)性能要求比較高，目前網(wǎng)絡(luò)體系中往往采用了網(wǎng)絡(luò)設(shè)備與安全設(shè)備分離部署的方式，這種部署方式不僅增加了設(shè)備數(shù)量，提高了部署成本，而且性能不同步、也不利于實(shí)時(shí)監(jiān)測(cè)與處理策略的聯(lián)動(dòng)。本專題擬采用分級(jí)防護(hù)體系架構(gòu)，將安全防護(hù)功能嵌入網(wǎng)絡(luò)設(shè)備中，能夠兼顧性能和安全性，達(dá)到提高網(wǎng)絡(luò)設(shè)備安全防護(hù)能力的目的。