自防御网络架构与应用.docVIP

自防御网络架构与应用 　　摘 要：随着网络不断发展，网络环境变得日趋复杂，网络安全问题日渐凸出，各种病毒、间谍软件、木马程序以及黑客攻击等给网络安全带来了很大的挑战，使网络对安全的要求越来越高。提高网络的智能化检测、预防、认证等主动自防御能力，是管理者和维护者亟待解决的难题，已经成为网络建设中重要的研究方向。 　　关键词：网络技术；网络安全；智能化自防御能力 　　中图分类号：TP316.8 　　1 当前网络现状 　　随着网络不断发展，网络环境变得日趋复杂，网络安全问题日渐凸出，各种病毒、间谍软件、木马程序以及黑客攻击等给网络安全带来了很大的挑战。网络安全的受到来自以下三个方面的威胁：一是以传统宏病毒、蠕虫等为代表的入侵性病毒；二是以间谍软件、广告软件、流氓软件、网络钓鱼软件、木马程序为代表的扩展类威胁；三是以黑客为首的有目标的攻击或者无目标的攻击为代表的网络侵害。 　　人们在使用网络时往往会感到困惑：我们的网络里有防火墙，有IDS，有杀毒软件，为何红色代码/尼姆达/蠕虫王（SQLSlammer）/冲击波（Blaster）/震荡波（Sasser）等等蠕虫还这么猖狂？为何每次一有蠕虫爆发，我们的网络几乎都深受其害，甚至瘫痪？因为我们的网络中存在着如下的问题： 　　缺乏对应用的智能识别和控制； 　　没有零日Day-Zero攻击的防范方法； 　　缺乏有效的网络准入控制手段； 　　网络本身的安全性考虑不足； 　　没有依照网络安全体系，划分安全区域并实施控制策略； 　　对网络攻击的扩散缺乏抑制手段； 　　不了解安全隐患，应急处理能力差，缺乏高效的管理。 　　2 网络对安全的新需求 　　能够防止采用不安全设备或受感染设备的用户接入网络； 　　提供基于网络的防病毒保护、间谍件控制、入侵防御、防火墙、虚拟专用网（VPN）支持及其它功能，还能对公司网络进行集中、统一管理； 　　能够对网络进行深层次防护，实现终端与网络入侵防护及监控系统的联动，统一调配以及管理网络中的安全设备，并以协作方式应对攻击； 　　网络本身也还必须要具有自我保护能力，自我防御能力，自我愈合能力，一旦遭受到蠕虫，病毒的侵扰甚至黑客攻击时，能够快速反应，做到网络能够发现攻击，发现病毒，发现蠕虫甚至消灭它们。 　　3 自防御网络架构设计与应用 　　自防御网络构想的起源-“人体”：在人体免疫中，有着三道防线保护着人体生理机能的正常工作。第一道防线是皮肤和黏膜，皮肤和黏膜分泌物的具有杀菌作用，对入侵病毒进行消灭；第二道防线是吞噬细胞以及体液中的溶菌酶，能够吞噬病原体以及溶解细胞；第三道防线则是特异性免疫，人体免疫系统根据入侵体内的特定抗原产生特定的体液或细胞免疫行为。 　　自防御网络也应该具有与人体免疫系统相似的功能： 　　（1）对试图接入网络内部的计算机进行审查，对不符合接入规则的计算机进行隔离，以确保其接入网络的计算机是健康的； 　　（2）网络中的入侵检测系统以及防火墙对流过网络中的数据的异常行为包进行实时检测、分析； 　　（3）对每个网络组件产生的日志、事件、告警和各种不同的通知消息进行统一的分析、处理与判断，过滤出真正的安全攻击事件； 　　（4）根据过滤出的安全攻击事件，对网络中的所有安全资源进行统一调配，让每个安全模块发挥其功能，对攻击事件进行全方位的防御。 　　通过以上四步，是网络具有了如同人体免疫类似的功能，是网络基础设施能够如同“活”系统一样，能够有组织的工作，协同作战，智能识别、阻止、缓解和适应内、外部已知和未知威胁。 　　根据以上特性，设计了自防御网络架构，如图1： 　　图1 自防御网络架构拓扑图 　　3.1 用户接入 　　网络中对用户的接入网络行为的管理由网CiscoNAC准入控制解决方案完成，通过准入控制机制，可以控制符合一定条件的主机才能介入到网络中。 　　NAC准入控制解决方案工作流程如图2所示： 　　图2 NAC工作流程 　　当计算机试图接入内部局域网时，计算机全部处于一个特定的虚拟局域网中，处于该虚拟局域网的计算机只能向网络中的NAC准入控制设备发送验证数据包； 　　接入计算机使用网页或者由CCAAgent向NAC设备发送验证登录请求，并通过CCAAgent或第三方扫描工具对接入计算机安全状况进行扫描； 　　CAS将用户检查报告交由CAM进行分析评估，最后再将将康状况发送给CAS； 　　CAS设备根据用户的CAM的分析评估以及用户的登录信息对用户进行接入分配； 　　对不符合安全策略或登录信息不正确的计算机拒绝其接入网络，并且将其加入隔离区域并对计算机进行修复； 　　对符合要求的计算机给予其进入网络的许可，并利用SNMP方式通知交换机对于用户进行相应的VLAN分配操作。 　　3.2 主机入侵防御 　　为了保护网络中的终端，在项目中采用了Cisco安全代理