计算机网络安全防御与漏洞扫描技术分析

2020-04-13◆韩溥

网络安全技术与应用 2020年4期

关键词：访问控制防火墙漏洞

◆韩溥

（鄂尔多斯市第一中学网络信息中心内蒙古 017010）

随着《网络安全法》的实施，各单位面对网络安全风险的防御压力进一步加大。很多安全设备确实能找出问题，但是如何解决问题却还是经常让用户烦恼，科学的制定安全策略以及处置方案迫在眉睫。

1 影响计算机网络安全的因素

1.1 计算机网络体系因素

计算机网络安全的影响因素是多方面的，网络体系结构本身是影响网络安全的一个因素。计算机网络的开放性特点决定了其面临的安全挑战。文献[1]中提出缺乏信息安全可控性是目前互联网面临的一个关键问题，而这个问题的源头在于TCP/IP 网络体系结构制约了安全应对策略的主动性。

1.2 软件应用漏洞

网络安全问题广义上讲还是基于网络上各个应用的安全漏洞问题，各项业务的开展依托于各种应用软件，而应用软件、操作系统的安全性直接影响到整体网络安全、业务安全。所以应用系统的安全漏洞是影响网络安全的一个重要因素。

1.3 人为因素

文献[2]提出，计算机网络实际应用过程中，由于网络安全设置不科学，出现了漏洞，没有及时进行漏洞修复操作，系统没有进行优化，从而就比较容易发生安全问题。

诸如黑客多种形式、途径的主动攻击和系统被动攻击会导致类似信息篡改、泄露甚至更加严重的后果。黑客攻击也被认为是诸多影响网络安全因素中最主要的因素。

2 计算机网络安全防御技术

文献[3]提到，只有加强计算机网络安全管理的水平，才能保障计算机网络的整体安全。科学合理的安全防御措施是保障网络安全的前提。

2.1 防火墙技术

防火墙本质上是通过合理的部署，执行预先制定的访问控制策略，来实现内外网安全隔离，满足深层次的安全防护体系要求的一个系统。防火墙技术是网络安全防御中最基础的技术手段，在保障计算机网络的应用安全中发挥着非常重要的作用。它会根据预先制定的安全策略对经过它的数据流进行监审，按照过滤规则过滤掉所有不合规的数据流量，以达到保障内部网络安全的目的。

该热平衡方程为非齐次微分方程的形式，根据非齐次微分方程的通解形式和已知初始条件t=0,ΔT=ΔT0可求出微分方程的解如式(3)。

2.2 访问控制技术

文献[4]论述了访问控制的目的是通过限制用户对数据信息的访问能力及范围，保证信息资源不被非法使用和访问。网络访问控制的主要任务是有效控制访问活动，对信息资源尤其是计算模式和存储模式都发生了很多变化的大数据分析、云计算场景下的信息资源进行有效的保护。按照访问控制的节点可以分为入网访问控制、网络权限控制以及服务器安全控制。入网访问控制时，对用户访问资源的身份合法性进行识别控制。用户访问资源时访问控制规则会对用户使用目录以及文件资源的权限实施有效控制，保障网络的安全。

2.3 身份认证技术

所谓身份认证，就是判断一个用户是否为合法用户的处理过程。通常分为四个阶段：

（1）身份供应，通常使用自主供应模式，保护用户的凭证信息、身份标识符等隐私信息。

（2）认证，对于不同安全级别的服务采用不同力度的认证方式。文献[5]提出，有传统的基于“用户名 + 口令”安全性较低的弱认证方式，也有基于云服务网络认证的因子强认证方式。

（3）访问授权，要进行访问授权，需要基于不同网络的特点，选择合适的访问控制模型，做好授权与应用统一规划。

（4）身份联合，尤其是服务访问跨越多个域的云环境下，身份联合可以实现统一的身份供应、认证，从而实现身份管理和访问控制，使用户访问变得简单化。

2.4 数据加密技术

数据加密技术是一种保密技术，通信双方按约定的法则进行信息的特殊变换，在网络安全防御中更多的是基于诸如语音、图像、数据等信息资源本身的安全防护的技术。

2.5 漏洞扫描技术

漏洞扫描是通过网络漏扫、主机漏扫等手段对指定计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。如果说防火墙、身份认证、授权访问是被动的防御手段，那么安全漏洞扫描就是一种主动的在黑客攻击前进行防范的措施，能有效降低黑客攻击成功率，做到防患于未然。

3 网络安全防御方案

许多情况下我们会遇到一些业务安全痛点，比如：在DHCP分配地址的网络中，基于IP 的日志审查无法找到对应的人，上网日志审计系统如同虚设；员工上网行为难以统一管控；由于业务的特殊性，需要实现内外网安全隔离，来满足深层次的安全防护体系以及链路稳定性要求；数据中心承载的业务尤其是对外发布区的业务安全无法保障；无法及时掌握网络中漏洞情况。基于此，根据业务需求合理规划网络安全防御方案显得尤为重要。

3.1 流量优化与规则过滤

如果涉及多个运营商出口，可在互联网出口部署流量优化设备来优化访问不同运营商的数据流量，实现全局负载均衡、多链路负载均衡、服务器负载均衡三位一体，提高网络访问效率。内网出口部署具备L2-7 层的攻击防护技术，不仅可以防护外部攻击，还能检查服务器、终端外发流量是否有风险的下一代防火墙。

3.2 上网行为管理

在内网干路部署上网行为管理设备，实现访问控制以及日志审计、行为管理、安全防御的目的。对于信息传输延时敏感，对网络稳定性要求较高的情况，可以考虑将上网行为管理设备旁路部署在核心交换设备上，同样可以对镜像过来的流量进行记录、分析，但是如果这样部署，对管理员的维护频次要求相对较高。

3.3 入侵检测

入侵检测系统绝不是防火墙的替代，而是防火墙的有效补充和附加，可以实现与防火墙、上网行为管理等安全设备的联动，确保网络安全。当然入侵检测功能可以是由单独的设备来实现，也可以通过防火墙或者其他安全设备的模块形式实现，这取决于实际业务中对于网络安全以及数据处理能力的要求。

3.4 数据中心防护和漏洞扫描

在数据中心或服务器区等重点业务区域部署基于业务系统的漏洞扫描设备可以发现基于业务的漏洞，防患于未然。堡垒设备实现则可以实现用户校验代理等业务，满足数据中心安全及业务需求。

图1 方案网络拓扑

整体方案的价值主要体现在对内网用户访问互联网流量严格审计，有效避免了不良信息外发行为，有效及时排查员工非法言论，并避免造成的法律风险；对外部不合规流量访问数据中心业务系统起到了防御作用；基于2 到7 层防御的下一代防火墙可以构建互联网出口防护边界与数据中心防护边界，阻断黑客等非法用户以及非法数据流量的入侵；为用户构建“预防+防御+检测+响应”的体系化安全方案，实现单位“体系化安全建设，持续性内网保护”的发展需要。

4 测试

通过测试主要对本网络安全防御方案规划的可行性进行验证，同时对上网行为管理设备直连和旁路部署模式下的安全防御功能和延时参数进行对比。

4.1 测试环境

实验环境为三条1000M 不同运营商带宽（联通、移动、教育网）、深信服AD-9000 应交付网关、深信服AF-9020（集成入侵检测）防火墙、深信服AC-10000 上网行为管理设备、蓝盾漏洞扫描设备、蓝盾堡垒机、H3C 交换机、HP 服务器。

4.2 测试方法

采用外网攻击和内网访问测试两种方式。其中外网攻击测试通过外网PC使用主流58 种攻击方式攻击内网服务器区业务服务器1，来测试方案中防火墙、入侵检测设备、堡垒机等安全设备的防御情况。

将上网行为管理设备直连和旁路部署，分别进行内网访问测试，通过内网PC 微博发布敏感词汇等79 种方式对上网行为管理以及防火墙（内部风险管理模块）的安全功能和访问延时进行测试。验证防御与审计功能，同时对比两种部署模式的时延参数。

4.3 测试结果

对于外网攻击，防火墙、入侵检测等设备可以按照功能100%识别，并且按照规则进行有效的告警和防御。其中，尝试不同方式破解业务服务器1 登录口令时，堡垒机做到了实时全部响应，防火墙（服务器保护功能）对于暴力破解方式做出了响应。

内网访问测试时，上网行为管理设备均作出了响应并且执行了安全审计策略。内容控制、终端控制、流量控制功三大类安全功能均有效。

在验证上网行为管理设备时，旁路部署模式的平均数据访问延时低于直连部署模式近22%。

通过测试结果可以看出，上述规划方案中网络安全设备发挥了应有的作用。该方案针对攻击链各环节均可持续检测，可以及时、准确的响应安全事件，将威胁影响面降到更低。该方案对数据中心安全进行了有效补充，解决仅规划防火墙，缺乏完善的安全防御和检测技术所带来的风险，可以在复杂业务环境下保障数据中心信息安全。在上网行为管理方面，用户、终端、应用、内容、流量可控，满足国家合规以及等级保护要求。值得一提的是，旁路部署模式一样可以对上网行为进行控制且具有更小的延时，对当前网络影响更小。