孙玉秀，翟素娟

SUN Yu-xiu，ZHAI Su-juan

（河北交通职业技术学院，石家庄 050035）

0 引言

企业局域网的建立，为企业的资源和信息的共享提供了方便，大大地提升了企业的管理和决策水平，提高了工作效率。随着企业信息化进程的推进，这些企业局域网通过各种连接方式连接到因特网，由于TCP/IP协议的一些缺陷，网络系统的缺陷和漏洞，使到网络安全成了中小企业必须重视并加以有效防范的问题[1,2]。本文主要针对上述问题，重点分析了计算机网络联动安全策略及系统架构相关问题。

1 系统数据的组织和收集方式设计

在现有的网络设备的联动上，需要多种安全协议和安全策略的有效配合。在保证现有企业网络中已有的设备投资中，不同设备，不同厂商之间的产品进行相互协调，系统设计综合安全与效率方面，主要使用以下数据组织和收集方式[3,4]：

1）作为互联网的主要管理模型

SNMP可以提供一种访问不同厂商的网络设备的标准方法，具有简单、实用、传送处理效率高等优点。控管中心通过定时轮询程序收集已有的部署在各网络工作交换机，服务器中的Agent提供的可收集信息。

在交换机与控管中心使用SNMP协议。目前SNMP主要包括三个版本：SNMPvl，SNMPv2以及最新的SNMPv3。相对而言，SNMPv3增加、完善了安全和管理机制，其主要特点在于适应性强，可适用于多种操作环境，能满足复杂网络的管理需求。使用时，应对效率与安全进行综合考虑，在不同的安全区域，灵活采用相应的SNMP版本。兼顾考虑网络设备的兼容性，大部分采用SNMPv2，保证通信的安全。例如，管理数据流经过不安全可信区域时，可考虑使用SNMPv3进行管理，并且最好采用分布式管理，将管理负荷由多台网管工作站共同负担，网络管理才能正常有效地运行下去。

2）基于XML的通用数据格式

控管中心与网络防火墙，网络防毒系统的交互通信，采用XML的通用数据格式安全策略中心与IDS的信息交互格式，将参照IDWG提出的入侵检测消息交换格式（DMED和基于XML格式的实现（IDWG）提出的IDMEF使得各种网络安全产品之问的通信成为可能。IDMEF定义了面向对象的可扩展的数据模型；而且基于XML的IDMEF的实现消除了由于内容和形式导致的语义理解差异，可以从多个不同的层次描述入侵事件。扩展标记语言XML是一种简单的数据存储语言，使用一系列简单的标记描述数据，而这些标记可以用方便的方式建立，XML的简单使其易于在任何应用程序中读写数据，这使XML很快成为数据交换的唯一公共语言，在异构系统中数据交换最方便的途径，在现有的网络系统中，需要控管中心收集网络防火墙，网络防毒软件输出的数据，运用XML数据格式的成本最少，对现有系统影响最小。

3）传输使用SSL协议

安全套接层协议（SSL）是在Internet基础上提供的一种保证私密性的安全协议．它能使客户，服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。SSL协议要求建立在可靠的传输层协议（例如：TCP）之上SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议（例如：HTTP，FTP，TELNET……）能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

通过以上叙述，SSL协议提供的安全信道有以下三个特性：1）私密性。因为在握手协议定义了会话密钥后，所有的消息都被加密。2）确认性。因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。3）可靠性。因为传送的消息包括消息完整性检查（使用MAC）。

2 系统架构设计

数据引擎负责收集入侵检测的数据，网络防火墙、网络防毒系统的日志和数据。转换成统一数据格式，记录所有进出网络的数据，为其他功能提供原始的数据材料。并生成日志记录，及时备份记录，保证在事后取证调查。系统防御机制的实现是由数据分析，检测策略规则，识别不同的入侵行为，判断对网络不同的危害程度，采取不同的防御手段。

系统核心为部署在不同级别上的防御控管中心，收集来自于本级别上的网络接入交换机中各主枫的网络防毒软件的客户端报告和接入交换机的流量信息，在数据分析中综合处理分析，运用策略评判系统，做出防御控制命令，严格对本级别中的主机的入侵危害进行监控，在发生严重的网络危害爆发时及时从本级别的交换机解决处理，实现分区域分管网络的目的，自动将网络系统与网络安全系统之间有效地联动起来，自动监控网络的危害爆发，将网络分而治之，即使网络发生严重的入侵，病毒危害发生，也将网络有效的隔离，将影响和损失减少到最低的程度。

根据以上要求，设计的系统分析如下。本系统采用了三级安全防御体系。端接在汇接交换机上的主机上的网络防毒客户端收集主机的信息，它带有主机入侵检测系统构成一道最低级安全防御体系。该级别的防御体系主要保护对象是用户主机资源和检测网络的末端接入设备。端接在核心交换机上的安全控管中心与各级网络接入级交换机成的核心安全防御体系．该级安全防御体系既要抵御来自外部网络的入侵和攻击，又抵御来自内网的攻击。本系统核心就是让交换机的端口在系统核心的安全控管中心的指挥下成为一道安全的防御出入口，解决在中间层中安全的薄弱问题。网络交换机不同的端口位置相对应在网络的位置是不尽相同的，通过联防控管中心的识别和策略评判对不同位置的网络交换机端口的控制，达到中断入侵危害网络的网络行为。最外层的是控管中心监控联动的网络防火墙。对于来自外网的入侵和攻击，要想成功攻击企业网络的网络中心的应用服务器，必须攻破三层安全防御体系。对于来自内网的入侵和攻击，要想成功攻击企业网络中心的应用服务器，则必须攻破二层安全防御体系，从而实现网络联动防御。

3 网络联防的网络设备和系统功能

为了更好理解上述分析，这里以网络联防的网络设备和系统功能为例进行说明分析。

3.1 网络边界防火墙

本次项目所采用访火墙为现有的Fortigate 400与Fortigate 50，将通过冗余方式进行高可用设计，防火墙的综合安全性能要满足千兆交换要求，无需工作模式切换就能同时实现在透明模式和路由模式下的全部功能，包括双链路冗余、多层访问控制、多种安全管理方式、信息内容过滤、网络入侵检测、日志审计系统等多种安全策略下的综合应用。在集防黑、防毒、防黄等安全功能为一身的同时，在网络性能上依然表现出色，其吞吐量、最大并发连接数、时延等性能指标均应满足相关性能要求。同时还需提供集中式安全管理，可以用统一的策略和集成的平台对受控网络进行安全配置和管理。本项目中网络防御系统控管中心通过sN^lP协议与Fortigate进行相互通信，收集fortigate日志，异常发生的数据，策略命令对fortigate添加修改防火墙策略。Fortigate在网络防御系统中担当企业内外重要的关口，具有重大的安全意义和影响。

3.2 网络防毒软件

项目中采用已有得网络防毒软件体系，趋势科技的OfficeScan的网络版防毒系统软件，针对企业网络上的桌面PC和服务器的综合性信息安全解决方案趋势科技防毒墙网络版OfficeScan是一套集成了多种安全功能的综合性信息安全管理系统，能够全面保护企业网络免受病毒、特洛伊木马、蠕虫、网络黑客、网络病毒、间谍软件及混合攻击的威胁。

该解决方案同时支持网络准入控制方案一'NAC（Network Admission Control），为企业提供了一个在Cisco自防御网络环境中实施安全政策的最有效方法。如果网络中没有支持NAC功能的设备，也同样可以利用趋势科技的网络防毒墙NVW（Network Virus Wall）实施同样的企业信息安全策略。

企业可以同时选择部署趋势科技的爆发预防服务（OPS—Outbreak Prevention Services），该服务可以在高危病毒出现，而对应的病毒特征码尚未发布之前，为企业提供额外的控制能力，在保证业务系统继续运行的阿时，预防或阻止病毒疫情的蔓延。凭借趋势科技的损害清除服务（DCS-Damage Cleanup Services），则可以集中部署、升级针对高危病毒的专杀工具，帮助管理员高效率地清除网络上的病毒残余、问谍软件及其它恶意程序。在项目中，我们也要利用所部署的网络版防毒软件作为客户端的安全防御体系的一部分作为防御内部网络威胁的部分。在本项目中网络防毒体系在网络防御系统中处在网络最边缘，与用户的接触最为密切，防毒软件的功能的发挥直接影响到用户的正常使用，同时担负能否有效清除来自最内部的网络威胁。

4 结束语

网络安全问题日益严重，给网络和信息系统带来了严重威胁。究其原因，主要是网络攻击技术不断发展变化，并呈现出一些新的特点，而原有的安全解决方案不能迅速地适应这些新特点，导致网络的安全保障技术相对落后于网络攻击技术，从而出现防不胜防的尴尬局面。本文结合实际网络安全项目建设，构建一个与现有的网络设备，安全产品联动的防御系统，在实际的应用中取得相关的项目经验和使用效果是有意义的尝试。

[1]高虹,王志国.企业网络安全问题分析及应对措施[J].科技信息,2008,（23）.

[2]张海燕.企业网络安全与发展趋势[J].煤炭技术,2005,24（8）.

[3]鲁海龙,刘淑芬,吴瑶睿,等.企业网络安全关键技术研究[J].微计算机信息,2009,25（12）.

[4]章晓萌.浅谈防火墙技术与企业网络安全的解决方案[J].中国科技博览,2009,12.