云南电网有限责任公司信息中心 李寒箬

现今网络已经普及化，且带有开放性与复杂性的特征，随之而来的是计算机病毒技术、网络攻击技术的快速发展，导致外部网络环境存在较高的安全风险，单一的网络安全防御体系已经不适用于当下的网络大环境，需集成防火墙技术、入侵检测技术、漏洞扫描技术等，制定联动式的安全解决方案，才可促进网络安全系统防御水平的提升，保障用户的网络信息安全。

网络安全系统中的防御体系具有防范网络安全风险的作用，由于目前外部网络环境复杂，计算机病毒、网络攻击行为层出不穷，不安全因素增多，使得网络安全攻击呈现出频次多、技术水平高、隐蔽性等特点，简单的防御体系无法起到有效的防护效用。联动式网络安全系统的防御体系，联合采用了防火墙、入侵检测、漏洞扫描等技术，构建主机终端与网络之间的三层联动防御机制，可明显提升保护的效果。本文从该防御体系结构设计入手，打造联动控制台和终端主机系统，实现联动控制台各模块与主机防火墙系统、主机入侵检测系统、病毒检测系统、审计集中系统等的联动。

1 联动式网络安全防御体系结构设计

防火墙在网络安全系统中属于防御与保护措施，安装在内网与外网之间，建立计算机终端与网络之间的隔离屏障，在发生网络攻击后防火墙会启动运行保护机制。防火墙基于计算机终端的硬件与软件运行，可及时发现计算机在网络运行中的安全风险。但防火墙的功能不够全面，实现的保护作用有限，将其与入侵检测技术相结合，功能仅限于在防火墙中添加了入侵检测模块，只有在发生攻击后才可检测到攻击行为并进行拦截，安全防护前瞻性不够[1]。本文基于以上原因，进行联动式网络安全系统的防御体系设计。

1.1 防御体系结构设计

该防御体系结构使用分布式防火墙，构建网络安全防护的第一道防线；网络入侵检测系统与网络漏洞扫描系统并行，入侵检测系统负责检测来自于网络的攻击，漏洞扫描系统实现终端网络设备的全覆盖，查找自身网络安全漏洞，为防御体系中主动防范措施，实现网络安全工作的前移，做到防患于未然。Internet经过三道防线，最终促使安全的网络信息经过交换机到达主机终端。

图1 防御体系结构设计图

1.2 防御体系系统构成设计

防御体系主要由两个部分构成，一是联动控制台，设有策略管理、关联分析、事件收集三个模块；二是终端主机系统，联合运用防火墙技术、入侵检测技术、漏洞扫描技术，共设置防火墙、入侵检测、病毒检测、审计集中等四个系统，前三个系统通过检测后，以日志警告的方式将信息传递至审计集中系统，最后反馈给联动控制台。策略管理模块与防火墙系统之间通过软件、内网进行连接，实现两者之间的信息交互，由此形成防御体系的闭环，实现控制台各模块与终端主机各系统之间的联动。

图2 防御体系系统设计图

2 联动式网络安全系统防御体系系统设计

2.1 主机防火墙系统

其设置在边界路由器与主机终端之间，与联动控制台的策略管理模块互联，是防御体系中信息安全过滤程序（图3）。网络信息经过IP包过滤模块进行网络访问安全控制；传递至IP安全模块，进行网络不安全因素的侦听，流经两个模块的网络信息都需进入安全记录模块，记录系统的运行进程。IP安全模块将信息传递至网卡接口模块，接着传递至IP包截取模块，最后再进入IP包过滤模块，网络信息完成一个传递循环。其中网卡接口模块的功能是信息传输与通信，截取模块采集接口模块信息。在防火墙系统中设计IP模块，对网络信息进行安全检测，形成对内部数据的保护作用。

图3 主机防火墙系统结构

2.2 主机入侵与病毒检测系统

主机入侵检测系统与病毒检测系统在防御体系中采用相同的检测机制，主要有四个部分组成：一是事件发生器，功能是采集网络数据包，为其他模块的运行节约时间；二是事件分析器，基于已知集合开展深度的事件分析；三是事件数据库，属于数据存储单元；四是响应单元，是指功能实现单元，从事件数据库中获取事件分析结果进行操作设置，比如说发出警告信息（图4）。

图4 主机入侵与病毒检测系统运行流程图

主机入侵与病毒检测系统根据不同用户的场景，使用事件发生器来采集网络数据包，经事件分析器创建检测基础，并且将所有的数据特征化，与检测系统中的行为特征表进行比对与匹配，当发现异常时，事件分析器将信息传递至响应单元，然后由响应单元进行处理。事件分析器中包含了安全策略与攻击模式，能为网络安全系统提供可靠准确的判断依据，而事件数据库进行异常事件和其他数据的存储，保持实时更新状态，保障了检测系统的安全可靠运行。

2.3 审计集中系统

入侵检测系统在长期的运行过程中难免出现运行错误、发出错误警报，影响到联动控制台的正常运行。如果在这些警报中带有防火墙方面的内容，将增加防火墙防护的内容、形成其规则冗余问题，降低防火墙的运行质效。所以，入侵系统在完成检测后将警告信息传递至审计集中系统，由该系统进行异常事件的分类与分析，获取其中有用信息，然后才可进入下一个处理环节，减轻防御体系的运行压力。异常事件信息经过处理后，获取异常事件的IP地址、发生的时间、事件类型、事件名称等，最后防御系统做出警告反应，防止重复警报与错误警报问题，加快防御系统异常事件的处理速度。

2.4 通信协议

网络通信协议是网络安全系统防御体系运行的基础，其中包含了非常重要的安全事件描述方式。通信协议在防御体系中具有将共性抽象的作用，借助共性创建协议，满足防御体系通信的要求。在联动式防御体系中，各系统之间的数据交互，需要一个完善的通信协议做保障，本次设计采用了NAP协议，对以太网帧进行控制，其在IP协议中组成结构为源IP地址、IP协议号、目的IP地址，当IP协议号为TCP时可进行连接目标的控制。如果是HttpClient发出POST请求时服务器处于开放状态，借助TCP协议与客户端进行连接，实现客户端与服务器之间的通信。一个通信连接可同时发送多条信息，连接关闭后双方通信停止[2]。

客户端在向服务器发送正常信息过程中服务器无需响应，当发送的信息错误时服务器直接关闭，或是在一段时间内客户端无信息发出，服务器也会自行切断通信。此外，两端在借助TCP通信时，客户端随时向服务器发送信息，报告自身是否面临安全风险。客户端发送信息为报文格式，主要有两个部分组成：一是报文头部，采用的是IAP协议；二是报文内容，使用的是XML格式，主要用于信息传输，为了保证传输信息的安全，对报文内容进行加密处理，实现信息完整、安全传输。

3 联动式网络安全系统防御体系设计的优化措施

3.1 深入挖掘防火墙的防护性能

防火墙是联动式网络安全系统防护屏障，抵御外部网络的入侵，在防御体系设计中需注意：外部信息进入内网前，防火墙提取并过滤信息，判断信息是否合法，确定信息是否可以通过防火墙；敏感性。对外部信息中非法数据非常敏感，禁止未授权网络与外部操作行为的进入，保证内部网络的安全性；防火墙建立了内网与外网之间的保护屏障，在防御体系设计中，针对主机使用频次低的端口，采用限制措施设计，防止非法操作控制主机端口，危及到内网信息的安全；防火墙具备警告功能，当外网出现非法行为，防火墙立即进行阻断，并追踪该非法行为，获取攻击行为的各项数据，生成非法攻击警告，构建数据分析模型，为联动式网络安全系统防御体系的调整改进提供依据。

3.2 充分运用入侵检测技术优势

该技术为防御体系中的主动防御机制，与防火墙被动防御机制形成互补，进一步增强系统防御能力。为提高入侵检测技术应用效果，在入侵检测系统设计中需注重其应用的实效性。

首先，采取分布式检测。网络攻击行为多种多样，分布式攻击防御的难度大、破坏力极强，需采用分布式检测技术进行防御，提取分布攻击的所有信息，以便于准确及时发出入侵警报。

其次，加强智能化设计。采用专家系统法、机器学习检测法、模式匹配法等提高入侵检测的智能化水平，提升整个系统的自我防范能力。

最后，做好防御方案。入侵检测系统为主动防御行为，应基于防御方案运行，才可完全发挥出自身的防御能力[3]。在方案制定中，从网络风险防控入手，分析明确网络的各项风险，以确保入侵检测的全面性。还需注意联动式网络安全系统中其他系统的有效管理，对各个系统风险防御水平进行评估，确定防御的薄弱处，然后进行入侵检测系统功能的调整，提高入侵检测的精准度。

3.3 融入人工智能设计

联动式网络安全系统的防御体系本身是一个自动运行的程序，在其中应用人工智能技术，可构建出智慧型的防御体系，增强整个系统的防御水准。人工智能具有自学习、自适应能力，采用专家系统设计，防御体系可自动分析外网信息、然后给出处理决策，防御质效更高；基于模糊理论构建防御体系的信息处理模块判断信息的安全性，避免非法信息越过防御体系进入到内网；人工智能技术具有实时监控功能，将该项功能融入于防御体系，实现系统对外网信息的实时筛查，提高安全系统实时防御能力，杜绝非法信息的进入。比如，专家系统针对非法信息的检测，使用安全专家的知识建立规则库对外网信息进行识别，当发现信息为非法信息时直接进行该信息的拦截。

4 结语

网络安全问题一直以来受到社会各界的关注，网络高速发展的同时网络攻击行为逐渐增多，攻击的技术水平逐渐提高，使人们防不胜防。而单一的防火墙防御体系难以实现理想的网络安全防御效果。因此，需设计更为有效的防御体系保证网络的高度安全。联动式网络安全系统防御体系在构建防火墙的同时，设置入侵检测系统与漏洞扫描系统，从网络接口开始进行网络攻击的隔离、检测，并采用漏洞扫描系统检测网络安全系统的安全性，实现前瞻性的防御，从而最大程度上提高网络安全系统的防御水平。