宋歌

国网新源控股有限公司检修分公司 北京 100068

引言

网络边界的稳定性、安全性关系到公司数据保密的安全等级。由于公司信息网络覆盖范围广，涉及业务多、用户多，出现边界问题、安全问题将影响到公司各项业务和办公的正常运行。如果仅仅依靠第三方运营商承诺的专线安全，仍存在风险。本文根据公司提出的信息安全治理提升工作需求，对网络系统进行网络边界安全优化，加强网络边界安全稳定。

1 网络设备内嵌分层次一体化安全防护的实施方案

网络设备内嵌分层次一体化安全防护的设计，首先，需要兼顾考虑安全防护和网络设备各自体系结构的要求，将两者进行一体化融合设计；其次，由于网络交换的吞吐能力通常大于安全防护同样数据量的监测分析能力，为了进一步提升整体性能，需要突破高性能多核并行深度检测等技术，充分发挥多核处理器的并行处理能力，实现数据包的快速深度安全检查和转发处理[1]。设计架构如下：

如图所示，第一层防护依托于业务模块的硬件平台（交换芯片），执行规则匹配、ACL控制、策略匹配、数据包提取与分流等功能。该层次防护主要是针对原始大流量的网络数据进行初步检测，将规则匹配符合判断条件的数据包进行过滤，并可按照上层策略配置，将特定流量或第一层无法匹配的异常包提交给第二层的防护模块进行深度检测。该层次的检测一般基于L2～L3层的网络协议特征字段进行匹配和统计，基于硬件处理，其转发速度可达到线速，不影响网络传输效率。第二层防护则在多核处理器中实现。网络流量经过第一层初步检测和过滤后，存在部分规则无法匹配到的流量，或者根据上层需求需要对特定字段进行检测的数据报文，这些流量可通过策略配置，将其导流到第二层防护模块中进行处理。第二层防护包括三大安全功能模块，分别是管理安全、网络安全以及应用安全处理模块。网络安全处理模块结合网络并行处理技术及应用加速技术等，可根据处理器的核数和端口队列数，将多个实例分别绑定到不同的核上独立运行，减少处理器竞争，实现数据包的快速处理与转发。同时根据安全策略的设置，网络安全处理模块将处理后的数据送到应用安全处理模块的实例，应用安全处理模块可以根据实际硬件情况和性能需求，运行一个或多个实例。第二层防护能够实现L4～L7的自定义字段的检测。

2 关键技术分析

2.1 入侵检测技术的应用

入侵检测技术是一种常见的网络监测技术，可以监测出计算机网络系统运行中是否存在非法侵入或是滥用的情况。在实际应用中，根据网络监测需求，包含统计分析法、签名分析法，统计分析法主要是依托于统计学理论判断计算机网络系统运行中的动作模式，进而推断出计算机网络系统的运行动作是否超出安全范围；签名分析法主要是检测计算机网络系统运行薄弱区域的攻击行为。通过入侵检测技术，可以及时发现计算机网络系统运行中的漏洞和非法入侵行为，及时检测出网络病毒，防止黑客攻击计算机网络系统。

2.2 WEB应用检测技术

WEB应用检测技术是一种检测防御WEB应用攻击的安全防护手段，可以实现对网站安全漏洞的扫描以及攻击手段分析，并且实时监测网站类应用的页面的可用性。同时还可以有效阻止SQL注入攻击、XSS跨站攻击、脚本木马、缓冲区溢出攻击等针对网站的特殊攻击行为，可以看作是HTTP层面的深度检测防御技术。

2.3 应用防病毒技术

随着计算机技术的成长，其病毒也就变得更加的高级，对于用户安全有着相当大的威胁。因此面对防病毒软件的大量出现，其功能多集中在网络防病毒和单机防病毒。网络防病毒的主要任务是防止网络病毒，对于病毒传染源进行快速的切除；而单机防病毒大多数都是安装在单台电脑上面，对于其工作上的传入信息进行详细的检测，完成病毒查杀功能。

3 结束语

网络设备由于其自身的安全防护手段比较单一，对性能要求比较高，目前网络体系中往往采用了网络设备与安全设备分离部署的方式，这种部署方式不仅增加了设备数量，提高了部署成本，而且性能不同步、也不利于实时监测与处理策略的联动。本专题拟采用分级防护体系架构，将安全防护功能嵌入网络设备中，能够兼顾性能和安全性，达到提高网络设备安全防护能力的目的。