3. 对网络存取和访问进行监控审计
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4. 防止内部信息的外泄
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
5. 精确流量管理
通过部署防火墙设备,不仅可以实现精准访问控制与边界隔离防护,还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护,严格控制节点之间的网络数据流。
8.3.3.2 边界完整性检查
边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查,维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。
终端安全管理系统其中一个重要功能模块就是非法外联控制,探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理,可以防止用户访问非信任
36
网络资源,并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。
? 终端非法外联行为监控
可以发现终端试图访问非授信网络资源的行为,如试图与没有通过系统授权许可的终端进行通信,自行试图通过拨号连接互联网等行为。对于发现的非法外联行为,可以记录日志并产生报警信息。
? 终端非法外联行为管理
可以禁止终端与没有通过系统授权许可的终端进行通信,禁止拨号上网行为。
8.3.3.3 边界入侵防范
在各区域边界,防火墙起到了协议过滤的主要作用,根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为,防火墙并不擅长处理应用层数据。
在网络边界和主要服务器区安全域均已经设计部署了防火墙,对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析,需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合,共同防御来自应用层到网络层的多种攻击类型,建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵防护系统(IPS)就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。
IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程,并且执行阻断的硬件产品。
将IPS串接在防火墙后面,在防火墙进行访问控制,保证了访问的合法性之后,IPS动态的进行入侵行为的保护,对访问状态进行检测、对通信协议和应用
37
协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。
对于互联网边界,IPS需提供完整的上网行为管理功能,可针对于内网对于外网的存取应用进行管理。可辨识多种类别如 IM / VoIP / P2P / FTP 等已知的网络应用软件,进而根据多种条件如 IP群组、VLAN ID等范围条件制订各种不同的管理策略,限制内网用户使用诸如:IM软件、P2P软件、在线游戏等互联网应用,通过技术手段规范上网行为,防止带宽滥用,阻止内网泄密。
由于IPS对访问进行深度的检测,因此,IPS产品需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。
8.3.3.4 边界安全审计
各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界(重要服务器区域、外部连接边界)需要设置必要的审计机制,进行数据监视并记录各类操作,通过审计分析能够发现跨区域的安全威胁,实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块,根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理,为安全管理中心提供必要的边界安全审计数据,利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。
8.3.3.5 边界恶意代码防范
一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案,以抵御来自黑客和病毒的威胁。
在XX用户网络边界部署防病毒网关,采用透明接入方式,在最接近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中的各类网络病毒进行过
38
滤,可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散,将经网络传播的病毒阻挡在外,可以有效防止病毒从其他区域传播到内部其他安全域中。通过部署AV防病毒网关,截断了病毒通过网络传播的途径,净化了网络流量。
部署的防病毒网关应特别注意设备性能,产品必须具备良好的体系架构保证性能,能够灵活的进行网络部署。同时为使得达到最佳防毒效果,AV防病毒网关设备和桌面防病毒软件应为不同的厂家产品,两类病毒防护产品共同组成XX用户的立体病毒防护体系。
为能达到最好的防护效果,病毒库的及时升级至最新版本至关重要。对于能够与互联网实现连接的网络,应对背带裤升级进行准确配置;对与不能与互联网进行连接的网络环境,需采取手动下载升级包的方式进行手动升级。
8.3.4 通信网络安全设计 8.3.4.1 网络结构安全
网络结构的安全是网络安全的前提和基础,对于XX网络,选用主要网络设备时需要考虑业务处理能力的高峰数据流量,要考虑冗余空间满足业务高峰期需要;网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要;按照业务系统服务的重要次序定义带宽分配的优先级,在网络拥堵时优先保障重要主机;合理规划路由,业务终端与业务服务器之间建立安全路径;绘制与当前运行情况相符的网络拓扑结构图;根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接,需要和其他网段隔离,单独划分区域。
8.3.4.2 网络安全审计
网络安全审计系统主要用于监视并记录网络中的各类操作,侦察系统中存在
39
的现有和潜在的威胁,实时地综合分析出网络中发生的安全事件,包括各种外部事件和内部事件。
在XX网络交换机处并接部署网络行为监控与审计系统,形成对全网网络数据的流量监测并进行相应安全审计,同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。
网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上,对网络中的数据包进行分析、匹配、统计,通过特定的协议算法,从而实现入侵检测、信息还原等网络审计功能,根据记录生成详细的审计报表。
网络行为监控和审计系统采用旁路技术,不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动,将各自的监控记录送往安全管理安全域中的安全管理服务器,集中对网络异常、攻击和病毒进行分析和检测。
8.3.4.3 网络设备防护
为提高网络设备的自身安全性,保障各种网络应用的正常运行,对网络设备需要进行一系列的加固措施,包括:
? 对登录网络设备的用户进行身份鉴别,用户名必须唯一; ? 对网络设备的管理员登录地址进行限制;
? 身份鉴别信息具有不易被冒用的特点,口令设置需3种以上字符、长度
不少于8位,并定期更换;
? 具有登录失败处理功能,失败后采取结束会话、限制非法登录次数和当
网络登录连接超时自动退出等措施;
? 启用SSH等管理方式,加密管理数据,防止被网络窃听。
? 对于鉴别手段,三级要求采用两种或两种以上组合的鉴别技术,因此需
采用USBkey+密码进行身份鉴别,保证对网络设备进行管理维护的合法
40