基于局域网络的全局安全体系设计.doc

基于局域网络的全局安全体系设计
杨少龙 摘 要:主要针对局域网内的信息安全进行了一系列的组合设计,包括 DCGSM硬软件组成部件介绍、DCGSM 全局安全设计工作流程、DCGSM全局安全设计的典型部署模式、DCGSM 全局安全设动进行安全控制。防范的核心是基于对入侵行为、非授权行为的检测、发现及响应,检测机制和联动机制是本安全体系方案的核心,“SAOP”就是这个核心中实现相互联动的协议集。“SOAP”安全联动协议集包括了防火墙和入侵检测系统的联动协议、入侵检测系统和安全接入认证系统(安全接入交换机、安全认证客户端、接入管理器、认证服务器)的联动协议、上网行为记录系统和认证服务器的联动协议等众多协议,是实现内外网全局安全体系的关键。
三、全局安全联动
全局安全联动是一个联动的体系,是网络设备、网络安全设备之间根据检测到的可疑行为危害等级智能判断、动态响应与防御的过程:
假如来自外网的某互联网节点利用木马程序或系统漏洞等手段突破边界网关进入内网。传统情况下,边界防火墙对这样的入侵行为可能会出现被攻破的情况,但是实时监测防火墙流量的入侵监测系统可以检测到来自外网流量的入侵或攻击,并通过联动协议向网络出口防火墙发出阻断指令,防火墙会在第一时间响应,从而阻止了外来入侵或攻击对内网的进一步威胁。
假如有内网终端对服务器等设备发起DDos等攻击行为,由于网络所有流量都在核心交换机上被镜像到入侵监测系统的监控端口并并实时监测,所以入侵检测系统可及时检测到来自内网流量的攻击,并通过联动协议向安全接入交换机以及认证服务器发出阻断指令,安全接入交换机会响应并采取过滤攻击计算机的IP和MAC或关闭其所连接端口等阻断动作,认证服务器同样也会响应并强制其认证客户端下线。
由于联动信息比较关键,为了保证不被监听、窜改,联动信息附有加密与验证信息。通过DES加密联动报文,并通过MD5进行散列摘要,以保证关键联动数据的保密性和完整性。在上面的过程中,联动请求由入侵检测系统向防火墙或认证服务器发起,认证服务器处理之后要向入侵检测系统发送应答,告知处理结果。接收到数据之后防火墙或认证服务器会进行解密、 MD5摘要检查,匹配之后提取出联动协议中包含的需要阻断的源IP、源端口、阻断时长等数据,然后采取相应的阻断动作。
在阻断时间未结束之前,防火墙会一直对外网入侵IP进行阻断,交换机会一直对内网入侵IP或MAC进行过滤或一直关闭其端口,认证服务器会不允许被阻断的用户上线。当阻断时间结束之后,防火墙或交换机或认证服务器会恢复被阻断节点的连接,入侵检测系统重新检测其流量,如若再次发现有入侵或攻击行为,那么重复以上联动过程。以上整个过程无需人工安全,实现了快速预警,快速响应。
在这个体系中,安全接入认证系统是非常重要的组成部分。安全认证客户端可以和防病毒软件实现联动,当安全认证客户端检测到客户端计算机系统没有安装瑞星防病毒软件,或防病毒软件的病毒库版本低于我们在认证服务器上设置的版本号,或其系统的安全等级(由防病毒软件检测并反馈给客户端)低于我们在认证服务器上设置的最低安全等级,那么认证将无法通过,但允许不经认证来下载安装防病毒软件或升级病毒库、下载操作系统补丁来提高系统安全等级,从而达到认证的安全要求。
安全认证客户端还可以实时监测客户端