基于局域网络全局安全体系设计.docVIP

基于局域网络全局安全体系设计 　　摘 要：主要针对局域网内的信息安全进行了一系列的组合设计，包括 DCGSM硬软件组成部件介绍、DCGSM 全局安全设计工作流程、DCGSM全局安全设计的典型部署模式、DCGSM 全局安全设计功能使用等。通过软硬集合和层面设计，从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理，以一套完整的组合构建了一个相当严密的网络安全体系。 　　关键词：DCGSM 安全 网络 　　一、网络安全现状与需求 　　随着网络信息化建设的不断发展，使得各行各业的网络建设日趋完善，基础网络架构建设的完成，各种业务、应用的上线使得病毒、木马、网络攻击和破坏也日益增多，网络安全问题表现的越来越突出，网络安全建设在网络建设中地位也越来越重要。提到网络安全建设，很多企事业单位，在网络建设过程中，购买防火墙，防病毒软件等对其网络安全进行管理与维护，但这些软硬件的部署主要都是用来抵御外部攻击的，却往往忽视对于内网安全的防护和控制。 　　应用先进的“3D-SMP”动态分布式防御安全管理策略，构建高度自动化响应的“DCGSM”智能网络全局安全管理体系。更进一步有效解决了外网和内网的系统安全兼顾问题，全方位、深层次的构建了一个“内外兼固”的安全网络，从而降低了总体拥有成本TCO，加强网络系统的长期可服务性，降低人为维护工作量。 　　二、设计思路及参考模型 　　整个系统以“P2DR”为参考模型，是在整体的安全策略的控制和指导下，在综合运用网络安全工具（如高性能硬件防火墙、网络入侵检测、接入认证系统、安全客户端、安全接入交换机、安全接入管理器、上网行为记录系统、流量整形网关、等设备）的同时，应用“SAOP” （Security associate operation protocol）安全联动协议，把这些独立的网络安全设备进行统一管理、实现相互之间的自动化响应，实现网络整体安全和立体安全。 　　“P2DR”参考模型包含4个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。规划好全局安全策略，应用防护、检测和响应组成了一个完整的、动态的安全循环。“3D-SMP”全局安全联动的核心是动态防范的??制，从接入认证、行为检测到阻断攻击，每个环节都实时工作，无须用户过多干预，自动进行安全控制。防范的核心是基于对入侵行为、非授权行为的检测、发现及响应，检测机制和联动机制是本安全体系方案的核心，“SAOP”就是这个核心中实现相互联动的协议集。“SOAP”安全联动协议集包括了防火墙和入侵检测系统的联动协议、入侵检测系统和安全接入认证系统（安全接入交换机、安全认证客户端、接入管理器、认证服务器）的联动协议、上网行为记录系统和认证服务器的联动协议等众多协议，是实现内外网全局安全体系的关键。 　　三、全局安全联动 　　全局安全联动是一个联动的体系，是网络设备、网络安全设备之间根据检测到的可疑行为危害等级智能判断、动态响应与防御的过程： 　　假如来自外网的某互联网节点利用木马程序或系统漏洞等手段突破边界网关进入内网。传统情况下，边界防火墙对这样的入侵行为可能会出现被攻破的情况，但是实时监测防火墙流量的入侵监测系统可以检测到来自外网流量的入侵或攻击，并通过联动协议向网络出口防火墙发出阻断指令，防火墙会在第一时间响应，从而阻止了外来入侵或攻击对内网的进一步威胁。 　　假如有内网终端对服务器等设备发起DDos等攻击行为，由于网络所有流量都在核心交换机上被镜像到入侵监测系统的监控端口并并实时监测，所以入侵检测系统可及时检测到来自内网流量的攻击，并通过联动协议向安全接入交换机以及认证服务器发出阻断指令，安全接入交换机会响应并采取过滤攻击计算机的IP和MAC或关闭其所连接端口等阻断动作，认证服务器同样也会响应并强制其认证客户端下线。 　　由于联动信息比较关键，为了保证不被监听、窜改，联动信息附有加密与验证信息。通过DES加密联动报文，并通过MD5进行散列摘要，以保证关键联动数据的保密性和完整性。在上面的过程中，联动请求由入侵检测系统向防火墙或认证服务器发起，认证服务器处理之后要向入侵检测系统发送应答，告知处理结果。接收到数据之后防火墙或认证服务器会进行解密、 MD5摘要检查，匹配之后提取出联动协议中包含的需要阻断的源IP、源端口、阻断时长等数据，然后采取相应的阻断动作。 　　在阻断时间未结束之前，防火墙会一直对外网入侵IP进行阻断，交换机会一直对内网入侵IP或MAC进行过滤或一直关闭其端口，认证服务器会不允许被阻断的用户上线。当阻断时间结束之后，防火墙或交换机或认证服务器会恢复被阻断节点的连接，入侵检测系统重新检测其流量，如若再次发现有入侵或攻击行为，那么重复以上联动过程。以上整个过程无需