网络安全管理-防火墙系统改进状况

“高能所网络安全管理”课题2002年年终总结防火墙系统改进状况防病毒系统的部署与效果安全网站和数据库系统网络安全课题软件开发进展目前高能所网络安全总体评价下一步完善高能所网络安全Internet网络①一般用户，受限用户网络②有对外合作的用户网络①的计算机不能被所外网络访问，但可以主动向外访问Internet和网络②网络②的计算机可与Internet相互访问，但不可以主动连接网络①防火墙网络③公用网络服务器网络③与网络②类似，但仅用来连接高能所的公用网络服务器组通过防火墙对高能所网络分类Internet经过防火墙NAT后访问Internet直接穿透防火墙访问Internet防火墙通过代理服务器访问Internet网络用户经防火墙上网的途径代理服务器实际的防火墙系统网络拓扑结构中心交换机Internet路由器防火墙集线器路由器公用电话网Switch集线器Switch集线器双防毒墙网络监视设备允许被从所外访问的服务器Ftp:202.38.128.130/26Wins:202.38.128.138/26Web:202.122.32.39/26Nsg:202.38.128.142/26Proxy1:202.38.128.136/26Proxy2:202.38.128.137/26Kill:202.38.128.139/26Sec:202.38.128.172/26(202.122.32.128/27)(202.122.32.160/27)(202.38.128.128/26)高能所内网(202.38.128.0/26)(202.122.32.192/27)MAIL:202.38.128.1/26:202.38.128.10/26DNS:202.38.128.58/26•202.122.32.130/27•202.122.32.131/27•202.122.32.193/27•202.122.32.132/27•202.38.128.170/26•202.38.128.2/26•202.38.128.129/26•202.38.128.171/26•202.38.128.173/26•202.38.128.12/26•202.38.128.11/26andh:202.122.32.133/27nsmg:202.122.32.142/27防火墙安全策略的制定原则对绝大多数计算机用户授权NAT方式访问Internet；将有特殊（需要被从所外向内访问）的用户计算机安放在计算中心专门的保护区；对不能移到计算中心，但又需要与特定所外单位相互通讯的计算机，按IP地址和协议设置相应的保护策略；对仅在所内通讯的计算机设置不允许穿越防火墙的安全保护策略。防火墙安全策略查询方法为使用户知道自己使用的计算机正处于哪种被保护状态，以便于确定能执行何种权限的网络操作，在高能所网络安全网站（)上公布了高能所内所有计算机的安全类别，用户可根据自己计算机的安全类别判断是否满足自己的工作需要，并可向计算中心申请修改保护方式。防病毒系统的部署与效果网关型防病毒系统结构服务器/客户端方式的防病毒系统防病毒软件部署后的效果病毒截杀情况统计详表防病毒安全服务机制InternetInterScan防毒网关邮件服务器进、出邮件均受到防毒网关保护，实现方法：进：将Mail服务器、Sun服务器的MX纪录均指向防病毒网关，这样外部进入的邮件先经过防病毒网关的过滤，再由防病毒网关自带的SendMail发送给内部邮件服务器。出：将Mail服务器、Sun服务器外发邮件全部指向防病毒网关，由防病毒网关过滤后由自带的SendMail发送给外部的收件人请求受到防毒网关保护，并且客户端不需要更改设置，实现方法：在代理服务器上打开Cascade功能，将所有客户端的http请求转发到防病毒网关。防病毒网关本身也是一个代理服务器，将收到的请求发送给Internet，并将传回的网页经过扫描后传递回代理服务器，再由代理服务器交给客户端。因此在下载大文件时，一开始会很慢，因为正个文件回先下载到防病毒网关，经过扫描后经由代理服务器载传递给客户客户的FTP请求受到防毒网关保护，但需要按照如下方式操作：例如下载站点为，download.com，使用的用户名为anonymous,密码为1@sina.com，客户端必须在命令行模式下：ftpv-wall.ihep.ac.cn(ftp到防病毒网关)User(v-wall.ihep.ac.cn:(none)):anonymous@download.comPassword:1@sina.com然后使用ftp命令正常下载网关型防病毒系统结构InternetKillAdministrator.KillforWindowsKillforWindowsKillAdministratorKillforWindows客户端客户端客户端服务器服务器服务器Firewall2KillAdministrator中心控制台Kill桌面防病毒系统解决方案Firewall服务器/客户端方式的防病毒系统Kill防病毒软件安装情况：截至2002年12月10日，累计安装kill客户端杀毒系统已达731台。Kill防病毒软件升级情况：自7月份安装以来，共升级了41次，平均每周2次。网关防毒InterScanVirusWall统计结果：自从2002.7.11--2002.12.10，总共截杀Email病毒12693个，平均每天截杀Email病毒83.5个；总共截杀HTTP病毒2020个，平均每天截杀13.3个。在7月16日新病毒password传播时，防病毒1891个，7月22日防病毒428个。防病毒软件部署后的效果病毒截杀情况统计详表截杀病毒总数(2002.7.11--2002.12.10)平均每天截杀病毒数Email1269383.5HTTP202013.3排名Email病毒名称病毒数占总病毒数的百分比1WORM_KLEZ.H968576.3%2WORM_BUGBEAR.A2171.7%3PE_TECATA1341.1%排名Http病毒名称病毒数占总病毒数的百分比1JS_EXCEPTION.GEN131265.0%2VBS_REDLOF.A1567.7%3BKDR_DINDANG.A824.1%防病毒安全服务机制由计算中心为高能所全体用户做技术支持：–紧急情况立即到现场解决问题–非紧急情况可和计算中心预约派技术人员帮助解决问题由防病毒软件厂商为计算中心做技术支持：严重性问题描述响应时间问题解决时间A最高级病毒爆发、大量扩散。立即1个工作日B紧急系统主要功能无法执行。系统作业效率突然严重降低。4小时2个工作日C重要系统出现细微错误，不影响日常正常作业。一般性的产品使用问题。1个工作日3个工作日D普通索取产品更新（非电子资料方式）。索取一般信息。1个工作日3–5个工作日安全网站和数据库系统网络安全数据库系统网络安全网站系统网络安全信息收集中心安全网站和数据库系统系统基于Linux平台，采用Mysql数据库软件实现：–记录每台连网的计算机的基本信息（使用者、位置、IP地址、MAC地址、网络使用权限等）–提供了基于Web的用户界面，以实现数据库的基本管理–为其他应用提供了程序调用接口–目前数据库共收集了2111条主机信息的记录网络安全Web网站与数据库系统设立在同一台计算机上，是向用户提供安全咨询的途径之一：–提供高能所网络安全知识、网络使用规范、安全警告信息等–可与数据库连接，提供网络注册和安全资料查询–提供网络安全软件下载网络安全课题软件开发进展国家课题研究成果及其在高能所的应用–取证系统–陷阱机保护系统–小区网络监视系统针对高能所网络的研究和开发工作–垃圾邮件防范技术措施–网络通信异常检测与控制–防火墙安全规则优化网络陷阱系统介绍“网络陷阱与诱骗技术研究”课题成果“网络陷阱系统”的典型应用环境如上图所示。网络陷阱系统以主动防御为目的，可引诱黑客攻击行为到一个可控的范围，消耗其资源，记录下他的所有动作，研究其行为，了解其使用的攻击方法和技术，并提醒他的下一个攻击目标，以便及时做出防范，从而保护真正的服务器的安全，提高网络的安全防护性能陷阱主机InternetIDS探测器2交换机一个陷阱主机可虚拟四个陷阱机，每个陷阱机都有独立的IP地址和独立的服务功能陷阱机控制台陷阱机1陷阱机2陷阱机3陷阱机4陷阱机日志服务器服务器1服务器2服务器3服务器4防火墙IDS内部网被保护服务器群陷阱主机DMZ区入侵取证系统介绍被取证机被保护服务器取证机RedHat7.2双网卡分析机Windows2000HUB监管系统InternetWeb服务器交换机Mail服务器路由器防火墙内部网DNS财务网内网段1对可疑的IP的活动进行分析和监管，及时发现异常行为并处理内网段2DMZ区网络安全监管系统介绍垃圾邮件防护的技术措施防止所外向所内传递垃圾或病毒邮件的措施–在邮件服务器上设置procmail邮件过滤程序，可删除满足特征的电子邮件–在防火墙上设置安全规则，禁止所内的邮件服务器直接收来自所外的邮件，必须经防毒墙过滤才可到达防止由所内向所外传递垃圾或病毒邮件的措施–在防毒墙上设置了可信任主机的列表，只接收所内批准的合法email服务器的邮件–在防火墙上设置安全规则，禁止所内的邮件服务器直接向外发送邮件，必须经放毒墙过滤后再转发出去–在邮件服务器上设置了发信认证机制–编制了程序自动检测高能所是否被列入“国际反垃圾邮件组织”的黑名单，如发现，及时查明原因并申请从中撤消网络通信异常检测与控制按IP地址进行网络流量统计并可提供实时地查询功能能实时地检测出网络通讯流量异常的IP地址能判别出正在进行网络扫描或具有这类特征的病毒发作的IP地址可与防火墙系统配合自动禁止这类计算机的通讯防火墙安全规则优化防火墙安全规则优化的目的是把来自全所计算机用户的安全要求经过合并、筛选，并通过计算机程序自动生成合理的、效率高的防火墙安全规则；通过安全优化，可减少防火墙上的规则数目，提高防火墙的性能，完成在这之前硬件性能无法满足的功能。目前高能所网络安全总体评价今年高能所在网络安全上的投资情况目前高能所网络安全设施高能所网络抗“黑客”攻击的能力高能所网络抗“病毒”攻击的能力对高能所网络用户管理的能力网络安全服务和应急响应速度当前IHEP网络安全管理实施效果病毒问题大大减少–未发生大规模病毒发作事件–网关防病毒系统过滤掉许多病毒自7月11日安装后，到目前，共过滤掉E-mail病毒一万三千多个、HTTP病毒二千多个。垃圾邮件影响减轻–外发垃圾邮件的情况减少–收到的垃圾邮件经过滤，数目减少黑客攻击行为减少–外部尝试利用我所网络进行跳转攻击等扫描行为被有效阻断–攻击行为被及时发现并有效隔离下一步完善高能所网络安全的重点完善现有的网络安全设施和手段，尽快解决当前用户急需的网络需求；进一步完善高能所网络安全体系的软硬件设施和功能，增强网络网络安全管理的技术措施，实现网络安全计算机化管理；引导博士生、研究生的网络安全研究成果及国家网络安全课题研究成果与高能所网络应用结合，在高能所网络发挥作用；改进服务管理技术，提高为所内用户进行网络安全服务的响应能力和质量。