网络安全防护系统构建与应用.docVIP

网络安全防护系统构建与应用 　　【摘要】随着网络技术的飞速发展，如何应对日益增加的网络安全威胁已成为网络安全防护体系建设的重点，本文以采用IPS系统为核心构建了本单位的主动入侵防护系统。主动入侵防护系统的成功应用，解决了在网络安全方面的病毒攻击、流量控制、主动安全防护、安全隐患消除等问题。 　　【关键词】网络安全；IPS；构建；应用 　　【中图分类号】TP393.08 　　【文献标识码】A 　　【文章编号】1672—5158（2012）10-0102-01 　　1、建设背景 　　随着信息化建设的发展，网络越来越庞大，承载的应用系统也越来越复杂，随之而来的网络安全风险也日益突出。尤其混合威胁的风险，如蠕虫、病毒、木马、僵尸程序、DDoS攻击阻塞甚至中断网络，各类P2P应用轻易的占据100％的网络上行下行带宽，同时，随之而来的修复工作使IT管理人员被迫充当“消防队员”的角色，消耗了大量宝贵的人力资源；如何构建主动的网络安全防护系统，对网络进行流量控制及净化，实时了解网络运维情况，及时发现消除网络安全隐患，督促提高用户安全意识等问题，成为网络安全面临的最大挑战。 　　通常在谈到网络安全时，首先会想到“防火墙”，一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足安全需要，部署了防火墙的安全保障体系仍需要进一步完善。 　　2、部署情况 　　系统部署情况：在单位内网一外网出口及地州广域网出口处在线部署网络入侵保护系统。网络入侵保护系统具有防火墙功能提供边界控制、安全域划分，防护来自其他安全域的攻击；网络入侵保护系统可以实时拦截进出网络的数据流量中各种类型的恶意攻击流量，把攻击防御在受保护网络之外，实现内网访问控制细粒度管理，净化网络流量，保护内网的信息资产及网络性能。同时，考虑网络冗余，提高可用性，系统具有BYPASS功能，支持失效开放（Fail-open）机制，当出现软件故障、硬件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避免单点故障。 　　该系统具有4个100／1000M自??应以太网口，可用于2路IPS保护或1路IPS保护+2路IDS监听，这样外网广域网的出口都将得到有效的保护及监控，并且另外2个空闲网口目前可用于管理通讯。将来可通过升级证书而不用更新硬件，IPS升级为6口3路IPS保护以满足将来网络扩展。在线部署的IPS在链路上实时捕捉数据包，根据网络的自身特点设置合理有效的访问控制、流量管理、行为管理策略和入侵保护模式，进行入侵行为检测、分析和实时响应，自动阻断攻击，净化网络流量，消除安全隐患，使用一种产品就达到多重保护目的，大大地节约了投资，并切实有效地保护网络的安全。 　　同时，在安全管控中心服务器上安装网络入侵保护系统控制台程序，实现对IPS等安全系统的集中管理，该系统同时支持C／S和B／S模式，可以灵活方便的管理部署在内网中的网络入侵保护系统。系统支持“集中+分布式”部署管理IPS，保证了今后可在全省范围实现既可统一、又可分级管理的主动入侵防护系统，使系统具有可扩展性、可充分利用现有资源、可随需而变的灵活管理方式。 　　3、应用情况 　　通过部署网络入侵保护系统，本单位网络安全状况得到了显著的提高、网络性能得到明显改善、发现及加固了网络安全的薄弱环节、规范了用户上网行为、加强了用户安全意识，主动入侵防护系统达到了预期的应用效果。 　　3.1　在构建主动的网络安全防护系统方面 　　在部署初期，当时IPS系统平均每天可发现及阻断各种攻击事件655次／天。部署半年以后，通过IPS发现及整改了各种网络安全问题规范了网络行为，平均每天可发现及阻断各种攻击事件减少到60次／天。主动安全防护系统的成功构建使本单位网络攻击事件减少了10倍。 　　3.2　在对网络进行流量控制及净化方面 　　通过在IPS上设置阻断“蠕虫事件”“拒绝服务类攻击事件”策略，结合对每个IP限制“P2P类应用”分配100kbps带宽的限流策略，原来严重影响单位网络性能的攻击流量、P2P应用流量得到了有效的阻断及控制，净化了网络流量，保障了网络性能。 　　3.3　在辅助网络运维管理方面 　　通过IPS系统可实时了解当前网络的流量情况、协议构成、应用状况等，为网络运维提供参考及决策依据。 　　3.4　在及时发现消除网络安全隐患方面 　　IPS上线部署后立即发现了感染“震荡波”蠕虫病毒的客户端，为管理员定位了蠕虫病毒源；随后IPS又发现了感染“熊猫烧香”病毒的客户端；管理员依靠IPS阻断了蠕虫病毒的攻击及传播，保护了网络，依据IPS日志报警信息定位了染毒客户端，并进一步清除病毒修补客户端漏洞，消除了网络安全隐患。