防火墙系统改进状况.pptVIP

“高能所网络安全管理”课题2002年年终总结 防火墙系统改进状况 防病毒系统的部署与效果 安全网站和数据库系统 网络安全课题软件开发进展 目前高能所网络安全总体评价 下一步完善高能所网络安全 通过防火墙对高能所网络分类 网络用户经防火墙上网的途径 实际的防火墙系统网络拓扑结构 防火墙安全策略的制定原则 对绝大多数计算机用户授权NAT方式访问Internet； 将有特殊（需要被从所外向内访问）的用户计算机安放在计算中心专门的保护区； 对不能移到计算中心，但又需要与特定所外单位相互通讯的计算机，按IP地址和协议设置相应的保护策略； 对仅在所内通讯的计算机设置不允许穿越防火墙的安全保护策略。 防火墙安全策略查询方法 为使用户知道自己使用的计算机正处于哪种被保护状态，以便于确定能执行何种权限的网络操作，在高能所网络安全网站（)上公布了高能所内所有计算机的安全类别，用户可根据自己计算机的安全类别判断是否满足自己的工作需要，并可向计算中心申请修改保护方式。 防病毒系统的部署与效果 网关型防病毒系统结构 服务器/客户端方式的防病毒系统 防病毒软件部署后的效果 病毒截杀情况统计详表 防病毒安全服务机制 病毒截杀情况统计详表 防病毒安全服务机制 由计算中心为高能所全体用户做技术支持： 紧急情况立即到现场解决问题 非紧急情况可和计算中心预约派技术人员帮助解决问题 由防病毒软件厂商为计算中心做技术支持： 安全网站和数据库系统 网络安全数据库系统 网络安全网站系统 网络安全信息收集中心 安全网站和数据库系统 系统基于Linux平台，采用Mysql数据库软件实现： 记录每台连网的计算机的基本信息（使用者、位置、IP地址、MAC地址、网络使用权限等） 提供了基于Web的用户界面，以实现数据库的基本管理 为其他应用提供了程序调用接口 目前数据库共收集了2111条主机信息的记录 网络安全Web网站与数据库系统设立在同一台计算机上，是向用户提供安全咨询的途径之一： 提供高能所网络安全知识、网络使用规范、安全警告信息等 可与数据库连接，提供网络注册和安全资料查询 提供网络安全软件下载 网络安全课题软件开发进展 国家课题研究成果及其在高能所的应用 取证系统 陷阱机保护系统 小区网络监视系统 针对高能所网络的研究和开发工作 垃圾邮件防范技术措施 网络通信异常检测与控制 防火墙安全规则优化 网络陷阱系统介绍 “网络陷阱与诱骗技术研究”课题成果“网络陷阱系统”的典型应用环境如上图所示。网络陷阱系统以主动防御为目的，可引诱黑客攻击行为到一个可控的范围，消耗其资源，记录下他的所有动作，研究其行为，了解其使用的攻击方法和技术，并提醒他的下一个攻击目标，以便及时做出防范，从而保护真正的服务器的安全，提高网络的安全防护性能 入侵取证系统介绍 垃圾邮件防护的技术措施 防止所外向所内传递垃圾或病毒邮件的措施 在邮件服务器上设置procmail邮件过滤程序，可删除满足特征的电子邮件 在防火墙上设置安全规则，禁止所内的邮件服务器直接收来自所外的邮件，必须经防毒墙过滤才可到达 防止由所内向所外传递垃圾或病毒邮件的措施 在防毒墙上设置了可信任主机的列表，只接收所内批准的合法email服务器的邮件 在防火墙上设置安全规则，禁止所内的邮件服务器直接向外发送邮件，必须经放毒墙过滤后再转发出去 在邮件服务器上设置了发信认证机制 编制了程序自动检测高能所是否被列入“国际反垃圾邮件组织”的黑名单，如发现，及时查明原因并申请从中撤消 网络通信异常检测与控制 按IP地址进行网络流量统计并可提供实时地查询功能 能实时地检测出网络通讯流量异常的IP地址 能判别出正在进行网络扫描或具有这类特征的病毒发作的IP地址 可与防火墙系统配合自动禁止这类计算机的通讯 防火墙安全规则优化 防火墙安全规则优化的目的是把来自全所计算机用户的安全要求经过合并、筛选，并通过计算机程序自动生成合理的、效率高的防火墙安全规则； 通过安全优化，可减少防火墙上的规则数目，提高防火墙的性能，完成在这之前硬件性能无法满足的功能。 目前高能所网络安全总体评价 今年高能所在网络安全上的投资情况 目前高能所网络安全设施 高能所网络抗“黑客”攻击的能力 高能所网络抗“病毒”攻击的能力 对高能所网络用户管理的能力 网络安全服务和应急响应速度 当前IHEP网络安全管理实施效果 病毒问题大大减少 未发生大规模病毒发作事件 网关防病毒系统过滤掉许多病毒自7月11日安装后，到目前，共过滤掉E-mail病毒一万三千多个、HTTP 病毒二千多个。 垃圾邮件影响减轻 外发垃圾邮件的情况减少 收到的垃圾邮件经过滤，数目减少 黑客攻击行为减少 外部尝试利用我所网络进行跳转攻击等扫描行为被有效阻断 攻击行为被及时发现并有效隔离 下一步完善高能所网络安全的重点 完善