智慧园区网络安全防护体系介绍.docx

智慧园区网络安全防护体系介绍 为实现基础环境的安全保护功能，在园区网部署相应的安全设备，通过对安全设备的配置，实现安全区的划分及安全策略及安全保护的功能，主要部署在边界的安全设备有防火墙、入侵防护、流量控制、可信网络行为管理等设备。在内网中部署网络安全审计、安全事件统一管理平台，终端管理和CA认证。 边界防护系统 图3- 14 边界防护示意图 防火墙系统 防火墙是部署在不同网络安全域之间的一系列部件的组合。它是信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离，以保护整个网络抵御来自其它网络的入侵者。如图3-18 网络访问控制策略管理主要完成域边界访问控制的管理，包括业务系统管理、访问控制设备管理、访问控制策略制定、访问控制策略发布、访问控制策略执行等功能。 应用服务器区域仅允许指定业务系统、指定服务器间与互联网数据安全交换，禁止通用协议通过，避免应用直接穿越网络边界，实现网络应用的有效隔离，降低来自互联网服务区对智慧城市业务专网的安全威胁；网管中心可以访问所有其他区域，但禁止其他区域主机和服务器访问网管中心区域。 通过对全网网络拓扑结构进行分析，确定需要进行访问控制的网络边界位置，并使用防火墙等边界访问控制系统，解决边界安全问题、实现各个安全域间的网络访问控制。 需要加强网络访问控制的网络边界包括以下几处： 接入域的网络边界； 建议在智慧城市接入域的网络边界，部署兆防火墙、采用透明模式进行部署。 应用服务域边界； 对于外网应用服务域的系统应部署在防火墙DMZ区以加强保护。 防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。 关键技术 多核智能驾驭技术 新一代的防火墙产品具有3大技术特点：吞吐密集、运算密集、应用层特性匹配密集。这3大特点对硬件平台提出了极大的挑战，也正是基于此，防火墙过去饱尝性能瓶颈之苦。目前，X86平台常见的多核处理器是4核，而SoC多核平台已最高可达16核，单从CPU内核的数量上就已经高出4倍。不仅如此，Cavium多核芯片专为信息安全产品应用量身内置了一系列专用硬件，使得最终构建出的产品在性能、稳定性上很易于达到电信级标准。 吞吐密集：针对信息安全产品应用特点，Cavium多核CPU设计了高达640Gbps的内部总线带宽，是目前4核 X86CPU最高总线带宽的6倍，充分保障高性能的可实现。片内集成了收发包模块，千兆、万兆等的线速接口器件，与总线直连，充分保障各业务接口的线速性能和系统并行度，并最大限度的减少CPU在此方面的开销。不同于X86架构下需要用北桥、内存控制器实现内存操作，Cavium多核CPU片内集成了DDR2/RLDRAM2内存控制器，避免了内存成为平台性能的瓶颈。 运算密集： Cavium多核CPU可支持高达16个CPU核，每CPU核既可用于处理不同的业务又可统一调度协同运算，共同为运算提供澎湃动力。每CPU核集成了一个专门针对包处理应用特点而开发的指令集，可通过指令直接进行位域操作、面向字节的操作等，不必再向X86架构下的多条指令实现一个功能，结合RISC CPU短指令集对于多分支执行的优势，设备对于面向包处理的复杂应用层业务的运算效率提高了2-3倍。 虽然SOC多核硬件平台具备强大的性能优势，但X86平台属于通用硬件平台，具有开发难度小的优势，而SoC多核平台属于专用硬件平台，驾驭难度相当高。尤其是计算性能的提升，是否能随核数的增多而达到线性的增长。这其中需要在多核硬件的基础上作大量的原创性设计。 事件关联分析技术与归并处理机制 对用户的多个网络行为进行关联，是提高检测精度的有效手段。比如一个用户首先对HTTP服务进行了慢速CGI扫描，服务端反馈的结果证明其运行了可能含有漏洞的某个CGI，之后该用户又发送了包含ShellCode的请求，从这两次行为分别看，每个都不能绝对的将其界定为恶意行为，如果将两个行为联系起来，则基本可以确定该行为的高风险等级。 针对大规模的监测系统应用中可能出现一个网络异常行为在多个监测点作为事件报告而形成事件洪流的问题，数据关联性分析模块首次提出并采用了基于统计分析的二次事件分析技术，能够对不同时间、不同地点、不同事件的大量信息进行统一处理，简洁、准确地报告出正确的网络安全事件。 高速深层检测技术 高精度应用层协议分析 基于攻击研究和特征知识库选择分析深度。协议分析不需要的无限制的精细，否则入侵防御系统将变成一个低效的应用代理系统，协议分析应该建立在对网络攻击研究的基础上，对特征知识库中需要的协议信息进行分析，这点的实现关