網絡安全設備精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全設備主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全設備范文
1 引言
現在,網絡技術的發展促進了各種網絡安全技術的應用,如病毒防火墻、入侵檢測技術等。而對于這些網絡安全技術的管理,則漸漸成為互聯網管理技術的重點。通過對所有管理技術的總結,可以將現在廣泛采用的技術方法總結為三類:(1)利用安全設備自身管理平臺實現管理;(2)利用簡單網絡管理協議實現設備管理;(3)利用專業廠家所提供的管理平臺和系統進行統一管理。
通過對上面三類管理技術和方式的詳細了解,以及對現在網絡安全設備管理具體需求掌握的基礎上,本文構建一個對異構網絡設備進行網絡統一管理的平臺,能夠將網絡架構進行有效擴展,從而滿足網絡日益增長的需求,最大可能地發揮安全設備的應用效能。
2 平臺架構
通過網絡安全設備的異構管理平臺,能夠實現對整個網絡中所有安全設備的統一管理,為網絡中數據和安全資源的共享和管理,以及多種安全管理模塊的有效互動奠定基礎。參考現在主流軟件的設計思路,根據組件化的平臺構建思想,可以將整個平臺劃分為四個不同的層次,即客戶層、業務邏輯層、數據交換層和后臺數據層等。
本文所構建平臺,在具體的實現過程中,主要基于主流的B/S結構進行開發和系統架構,具體到不同的層,客戶層采用RIA/AJAX技術、業務邏輯和數據交換層則采用J2EE架構,利用Java語言來實現,而后臺數據庫主要利用SQL Server系統來完成。
3 主要功能模塊劃分
對于文中平臺主要功能的實現,則主要通過業務邏輯層來完成,概括起來主要包含四個方面的功能。
3.1 設備管理
對于設備管理模塊來說,可以作為其他功能模塊的基礎,是其他模塊有機結合的基礎模塊,主要包括幾個子功能:(1)設備信息管理;(2)設備狀態監控;(3)設備拓撲管理等。
這些子功能的實現,可以在網絡拓撲和手動的基礎上,通過統一通信接口來對設備的狀態和性能進行實施的監控和管理,必要的情況下,還可以通過圖形化的方式來表示,方便平臺和系統管理員對設備運行狀態的及時掌握和定位,減輕管理員的工作量。
3.2 事件分析
作為安全設備管理平臺的核心模塊,安全事件分析模塊的目的就是對大量的網絡事件進行分析和處理、篩選,減輕管理員的工作壓力,所以,該功能模塊的主要子功能有安全時間分類統計、關聯分析和處理等。同樣,該功能模塊也能夠通過統一通信接口來對各個安全設備所生成的時間報告進行收集、統計,在統計分析的過程中,可以根據不同的標準進行分類,如時間、事件源、事件目的和事件類型等,通過科學統計和分析,還可以利用圖表的方式進行結果顯示,從而實現對安全事件內容關系及其危害程度進行準確分析的目的,并從海量的安全事件中挑選出危險程度最高的事件供管理員參考。
3.3 策略管理
安全設備管理平臺中的策略管理模塊包含多個功能,即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設備的策略進行標準化定義的基礎上,就可以統一對設備的策略定義進行管理和修改,對當前所采用的策略進行網絡安全事件沖突檢測,及時發現可能存在的網絡設置沖突和異常,確保網絡策略配置的正確性和合理性。通過對網絡環境中安全事件的深入分析,在跟當前所采用安全策略相比較的基礎上,就能夠為設備的安全設置提供合理化建議,從而實現對網絡安全設備設置的決策輔助和支持。
3.4 級別評估
最后一個功能模塊就是安全級別評估模塊,該模塊的主要任務就是對網絡商業設備安全制度的收集匯總、實施情況的總結和級別的評估等。該模塊通過對網絡安全事件的深入分析,在結合安全策略設置的基礎上,實現對網絡安全水平的準確評估,從而為網絡安全管理的實施和水平的提高提供有價值的數據參考。
4 平臺中的通信方法
要實現網絡中異構安全設備的統一管理,就需要通過統一的通信接口來實現,該接口的主要功能就是通過對網絡中異構設備運行狀態、安全事件等信息的定時獲取,從技術的角度解決異構設備所造成的安全信息格式不兼容和通信接口多樣的問題,實現網絡安全信息的標準化和格式的標準化。
4.1 資源信息標準化
在網絡安全管理中,所涉及到的安全資源信息主要包括安全設備的運行狀態、設備配置策略信息和安全事件信息等。其中,安全設備的運行狀態信息主要通過數據交換層中的通信程序通過跟安全設備的定時通信來得到,可以通過圖表的方式進行可視化。這些資源信息主要采用RRD文件的方式進行存儲,但是采用數據庫存儲的則比較少,這主要是由于:(1)RRD文件適合某個時間點具有特定值且具有循環特性的數據存儲;(2)如果對多臺安全設備的運行狀態進行監控的情況下,就應該建立跟數據庫的多個連接,給后臺數據庫的通信造成影響。
對于上面提到的安全設備的運行狀態信息和安全事件信息,通過對各種安全設備信息表述格式的充分考慮,本文中所設計平臺決定采用XML語言來對設備和平臺之間的差異性進行描述,不僅實現了相應的功能,還能夠為平臺提供調用轉換。而對于安全策略類的信息,則是先通過管理員以手動的方式將安全策略添加到平臺,然后再在平臺中進行修改,之后就可以在通過平臺的檢測沖突,由平臺自動生成設備需要的策略信息,然后再通過管理員對策略進行手動的修改。
4.2 格式標準化
對于安全事件和策略的格式標準化問題,可以通過格式的差異描述文件來實現彼此之間的轉換,這里提到的差異描述文件則采用XML格式來表述,而格式的自動轉換則通過JavaBean的內置缺省功能來實現。
4.3 通信處理機制
對于通信接口而言,由不同廠家所提供的同類型設備之間的差異也比較大。所以,對于設備的運行狀態信息,主要采用兩種途徑來獲取:(1)通過標準的SNMP、WMI方式獲得;(2)通過專用的Socket接口調用特定函數來獲得。而對于網絡運行中的安全事件,其獲得途徑也有兩種:(1)通過專用Socket接口來獲得;(2)將安全事件通過推送的方式發送到指定的安全管理設備。
通過綜合分析,本文平臺主要采用獨立的通信程序和集中設置調用的方法來獲得安全資源信息,這樣就可以實現對安全設備管理的最有效支持。本文所采用方式的實現機制為:平臺通過標準接口獲取網絡的安全資源信息,再通過通信程序的調用設置功能,對程序調用的時間間隔及其語法規范進行定義。
5 總結
現代互聯網技術的快速發展,促使網絡中所采用安全設備的種類也越來越多,從而在網絡設備管理中出現了多種問題,如異構設備的協同問題和安全事件的有效響應和處理等。所以,本文針對這些問題設計出一種對網絡安全設備進行管理的異構網絡平臺。在該平臺中,采用了一種異構安全設備通信處理機制,使得該平臺能夠對異構安全設備完全兼容。
參考文獻
[1] 趙悅,徐濤.統一網絡安全管理平臺建設研究.信息系統,2009;32( 1) : 117~118.
[2] 吳蓓,陳性元,張永福等.可擴展的網絡安全設備內策略沖突檢測算法.計算機應用研究,2010; 27( 4) : 1484~1488.
[3] 鄣錫泉,姚國祥.網絡安全管理的多維度可拓模糊綜合評價.計算機工程,2011; 37( 4) : 287~289.
[4] 曾峻峰,唐川,楊岳湘.安全集中管理中安全設備差異性的屏蔽方法.計算機工程與科學,2006; 28( 12) : 24~27.
第2篇:網絡安全設備范文
關鍵詞:網絡安全;安全防護
中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2010) 05-0000-01
Potential Safety Hazard and Protection of Network Equipment
Zhang Ping,Luo Cheng,Yang Suping
(Troop 61938 Beijing100089,China)
Abstract:Nowadays people lay great emphasis on the server,terminal and application system of network security and ignore the security of operation activity of network.This paper illustrates the potential safety hazard of network equipment,analyzes the protection means of equipment security and comes up with some suggestions.
Keywords:Network security;Security protection
網絡設備是網絡系統的主要組成部分,是網絡運行的核心。網絡運行狀況根本上是由網絡設備的運行性能和運行狀態決定的,因此,網絡設備穩定可靠運行對整個網絡系統的正常工作起著關鍵性作用。
一、 網絡設備存在的安全隱患
總體來看,網絡設備從網絡管理角度可分為三類:
第一類是無需進行配置和管理的網絡設備,如集線器等;
第二類是可通過特殊端口:串口、并口、USB口進行配置管理的網絡設備,如交換機等;
第三類是可通過遠程連接TELNET、網管、WEB等方式進行配置管理的網絡設備,如路由器等。
通常情況下,前兩類網絡設備一般設備自身不會遭到入侵攻擊,存在較大安全隱患的主要集中在第三類網絡設備中,主要表現在:
(一) 人為因素
在網絡設備的配置管理過程中,由于參與實際操作技術人員的技術水平存在一定差異,很難避免人為操作中存在失誤和欠考慮等問題的出現,即使技術水平較高也會出現配置失誤等情況的發生。
一般人為因素的安全隱患主要表現在:在設備密碼配置中,空密碼、較簡單密碼或不設密碼,或者將密碼設置為明碼而沒有加密;對遠程管理沒有進行訪問控制,即對遠程管理終端地址沒有進行適當控制;訪問控制配置錯誤,沒有發揮預期的目的。
(二)網絡設備運行的操作系統存在漏洞。
網絡操作系統是控制網絡設備運行、數據轉發、路由計算、訪問控制等服務的主體,它全面掌控著網絡設備。不同廠商的網絡設備運行各自定制的系統,存在較大差異,不同程度存在系統漏洞。
一般網絡操作系統的漏洞主要表現在:接收特定的非法、畸形數據包后導致系統的拒絕訪問、內存泄露、完全癱瘓,甚至出現設備被完全控制。
(三)網絡設備提供不必要的服務。
通常,一臺網絡設備在出廠默認情況下,會對外部提供特定的網絡服務如HTTP、NTP、CDP等,這些服務都可能作為攻擊者的利用條件,為其提供一定的攻擊機會。
攻擊者可通過這些不安全的服務對設備進行遠程拒絕服務攻擊,也可通過這些服務掌握設備基本信息或完全控制設備。
(四)網絡設備沒有安全存放,易受臨近攻擊。
臨近攻擊主要指在攻擊者物理接近后對設備進行修改、收集設備信息的一種攻擊行為。這種攻擊主要針對放置位置屬共用、公用場所的某些網絡設備。
主要攻擊方式有非法進行串口連接、非法實施密碼恢復默認、非法關機等行為。
二、 網絡設備自身的安全防護
(一)實施網絡設備嚴格的訪問控制
此項措施可通過具體的實施方法實現預期目的。主要實施方法有如下幾點:
1.在設備訪問和配置過程中設置安全的登錄口令
登錄口令包括控制臺口令、遠程登錄口令、特權口令。建議口令密碼使用高強度密碼及密碼顯示加密方式,并定期進行更換;強烈建議使用SSH安全的遠程登錄方式;對會話次數、超時進行控制,并設置警示信息。
2.對遠程登錄的地址進行訪問控制
主要通過訪問控制列表對遠程登錄的源地址進行限制,一般只允許某一個IP地址或一個較小的局域網IP段進行訪問。
3.關閉通過WEB方式進行訪問
4.設置實時日志服務器和定期配置備份服務器
日志服務器的設置主要達到實時監測網絡設備的操作情況、訪問情況和運行情況,可全面掌握網絡設備當前運行狀況和歷史日志,通過日志的審查和統計也可分析出系統潛在的安全隱患,為及時調整系統運行配置具有重要的指導意義。配置備份服務器主要定期對系統的配置文件、操作系統進行備份,為網絡系統數據恢復提供手段。
5.關閉無關服務,提高系統運行服務的有效性
一般情況下,需對網絡設備關閉的服務包括:CDP、HTTP、Smail、Finger、BOOTP、ARP-Proxy、IP Directed Broadcast、ICMP、WINS、DNS、udp-small-servers、NTP等無關的服務項目。
同時,關閉暫時不用的接口,并充分運用訪問控制列表對現有接口進行有效控制,訪問控制列表的合理利用可有效提高設備的安全性。
6.制定安全制度,規范維護人員的操作行為
建立健全規范合理的設備管理安全制度,可有效提高維護人員操作的規范性。在設備維護中,建議嚴格控制可以訪問路由器的管理員;任何一次維護都需要記錄備案;嚴格控制CON端口的訪問。并且,通過健全的制度管理,確保網絡設備的物理安全,免受非法用戶的臨近攻擊;通過制度的規范,定期對系統進行升級,及時彌補設備系統的漏洞。
三、 幾點建議
結合筆者在網絡管理方面的經驗和網絡技術發展狀況,補充建議有三條:
首先,應對管理人員及其職責、操作進行有效管理,這是安全的根本;
第3篇:網絡安全設備范文
關鍵詞:網絡安全;防火墻;入侵檢測;數據加密
中圖分類號:TP273文獻標識碼:A文章編號:1007-9599 (2011) 03-0000-01
The Device Itself Safety Study of Access Ring Ethernet
Si Yanfang,Zhang Hong,Lai Xiaojun
(No.713 Research Institute,Zhengzhou450015,China)
Abstract:In this paper,the characteristics of ship and use the ethernet ring network security situation is now more difficult to construct a firewall,intrusion detection systems,port management,data encryption,vulnerability management,disaster recovery and other security policy of security and defense systems,effective protection of ethernet ring network security,ethernet connection for the ships safety equipment.
Keywords:Network security;Firewall;Intrusion detection;Data encryption
一、概述
環形以太網是由一組IEEE 802.1兼容的以太網節點組成的環形拓撲,隨著環形以太網的普及和網絡技術的飛速發展,人們在充分享受信息共享帶來的便利時,也被網絡病毒和網絡攻擊問題所困擾,網絡安全問題被提上日程,并有了快速的發展。
二、常用的安全技術
鑒于越來越嚴峻的網絡安全形勢,對網絡安全技術的研究也越來越深入,常用的網絡安全技術有:防火墻,入侵監測系統以及數據加密技術等。
(一)防火墻。防火墻是指在兩個網絡之間加強訪問控制的一個或一系列網絡設備,是安裝了防火墻軟件的主機、路由器或多機系統。防火墻還包括了整個網絡的安全策略和安全行為,是一整套保障網絡安全的手段。已有的防火墻系統是一個靜態的網絡防御系統,它對新協議和新服務不能進行動態支持,所以很難提供個性化的服務。
傳統防火墻的不足和弱點逐漸暴露出來:
1.不能阻止來自網絡內部的襲擊;
2.不能提供實時的入侵檢測能力;
3.對病毒也束手無策。
(二)入侵檢測技術。入侵檢測技術是一種主動保護自己免受攻擊的一種網絡安全技術。作為防火墻的合理補充,入侵檢測技術能夠幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。它可以主動實時檢測來自被保護系統內部與外部的未授權活動。
(三)數據加密技術。數據加密技術是指對被保護數據采用加密密鑰進行加密形成密文,只有被授予解密密鑰的用戶才能在接收到數據之后用解密密鑰對數據進行解密形成原始的明文進行閱讀。數據加密技術作為一種被動的安全防御機制,是在數據被竊取的情況下對數據最后的保護,是保護數據安全的一種有效手段。
三、安全防御系統的構建
根據環形以太網傳播模式多樣、傳輸數據量大的特點及常見的網絡安全技術的分析,本文構建了由防火墻、入侵監測系統、端口管理、漏洞管理、安全策略組成的完整的安全防御系統。
(一)使用防火墻。防火墻設置在受保護的系統和不受保護的系統之間,通過監控網絡通信來隔離內部和外部系統,以阻擋來自被保護網絡外部的安全威脅。當被保護系統接收到外部發來的服務申請時,防火墻根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果該服務符合防火墻設定的安全策略,就判定該服務為安全服務,繼而向內部系統轉發這項請求,反之拒絕,從而保護內部系統不被非法訪問。
(二)選用合適的入侵檢測系統。本文提出的安全防御系統主要是為了保護環形以太網中的各個結點免受網絡威脅的入侵,所以選擇基于主機的入侵檢測系統,既可以更好的保護主機信息,又方便與防火墻結合。入侵檢測系統與防火墻采用將入侵監測系統嵌入到防火墻中的方式結合,如圖1所示。
該結構處理步驟如下:
1.防火墻把不符合安全策略的數據首先拒絕其進入系統內部,把符合安全策略的數據傳遞給入侵檢測系統做進一步檢測;
2.入侵檢測系統對防火墻放行的數據做進一步分析,對含有安全威脅的數據直接丟棄,反之放行使其進入系統內部;
3.入侵檢測系統定期對系統內部的系統日志等系統數據進行分析檢測,從而發現來自系統內部的威脅。
將防火墻這種靜態安全技術與入侵檢測系統這種動態安全技術結合使用,可以在被動檢測的基礎上通過入侵檢測系統進行主動檢測,同時檢測來自系統內部與外部的安全威脅。
(三)端口管理。只開放環形以太網中的特定的少數機器的端口,允許其與外部存儲設備進行數據交換,然后在其它節點需要該交換數據時,使其與開放端口的節點進行通信,并且對這幾臺機器的安全系統進行及時升級更新,從而有效保護環形以太網的內部安全。
(四)漏洞管理。加強軟件管理,及時發現系統軟件、應用軟件尤其是系統安全防御軟件的漏洞,并下載補丁,盡量避免漏洞被入侵者利用,從而提高系統整體的安全性。同時,要注意人為管理漏洞的防御,提高網絡操作員的網絡安全意識,制訂嚴格的計算機操作規章制度,使網絡安全管理有章可循。
四、結論
本文根據環形以太網的特點和現在嚴峻的網絡安全形勢,構建了一個針對環形以太網的安全防御系統,在實際應用中可以根據被保護環形以太網的實際需要進行合理的選擇和增減。
參考文獻:
[1]劉長松.具有入侵檢測功能的防火墻系統的設計與實現[J].四川:電子科技大學,2003
[2]王峰.如何制定網絡安全策略[J].電腦知識與技術,2007,2,1:64-65,73
第4篇:網絡安全設備范文
[關鍵詞] 信息安全風險評估 網絡互連設備 脆弱性分析
一、引言
隨著網絡的普及,網絡應用不斷向深度和廣度發展,大量企業網絡建成。由于人類對網絡的依賴日益增強,所以網絡是否安全性已成為企業計算機網絡所面臨的重大問題。網絡安全包括硬件安全和其上的軟件的安全。網絡硬件主要包括互連設備,比如:交換機、路由器、網關等。現在針對硬件設備主要是進行一些安全方面的配置,例如交換機的VLAN,路由器的ACL配置等等,卻忽視了設備本身在工作中存在的脆弱性。本文依據信息安全風險評估步驟的脆弱性和威脅性,通過分析幾種比較常用網絡互連設備的工作原理發掘其脆弱性。
二、交換機脆弱性分析
交換機在OSL數據鏈路層MAC子層工作,它可以連接到單獨的結點或整個網段的單個網段的單個端口,在它們之間交換數據。并且為每個端口到端口之間提供全部的局域網介質帶寬。
1.從設備自身來看
交換機在系統安裝,啟動和災難恢復時,是處于不安全狀態,有一定的脆弱性。其次它同樣也存在物理威脅,一些外在因素的影響可能破壞交換機。
2.從其工作原理來看
交換機接收到一個幀以后,檢查MAC幀的目的地址,并和自身內部的交換表進行比較,首先要保證交換表的正確性,否則會導致數據傳輸錯誤。如果找到和目的網段相連的端口,然后將該幀發往端口。如果找不到所對應的端口,交換機會向所有的端口發送該幀,并且通過回應幀,建立和端口號相關的MAC地址表,在下次傳送數據時就可以查表,不再需要對所有端口進行廣播了。這種對不知道目的地址的數據幀采用向所有端口發送數據包的做法,容易出現“溢流”現象。
交換機允許廣播幀溢流到整個網絡,同樣會引起其他不法主機的“竊聽”,可以采用VLAN。采用不同的交換方式的交換機可能會存在一定的脆弱性,例如直通式交換機,就無法區分數據流量是善意的還是惡意的,它只是實現快速轉發。存儲轉發式交換機可以解決數據安全性問題,但又可能存在數據包丟失的問題。另外,交換機在轉發數據幀時,存在輸入端口和輸出端口在速度上能否匹配的問題,如果緩沖數量少而沖突數據量大的話,數據幀就會丟失。
3.從外在因素來看
入侵者利用交換機軟件或協議的脆弱性進行攻擊,比如IP欺騙,TCP連接能被欺騙、截取、操縱,UDP易受IP源路由和拒絕服務的攻擊等等,同時也可能存在訪問權濫用或者后門等問題。
三、路由器脆弱性分析
由器工作在OSL模型的網絡層,它可以用來連接具有相同網絡通信結構的網絡,也可以連接不同結構的網絡。它為數據包提供最佳路徑,并且實現子網隔離和抑制廣播風暴。
1.從設備自身來看
路由器相當于網絡層的中繼器。路由器不能真正實現即插即用,需要很多配置。配置文件中一般包括路由器接口地址,登錄密碼,還有路由表的接口狀態,ARP表,日志信息。這些信息如果被攻擊者獲得,后果不堪設想。比如可以將路由器作為對其他站點掃描或偵察攻擊平臺,或者修改路由配置等。
2.從其工作原理來看
路由器是在網層上實現多個互連的設備。一個路由器有幾個端口,分別可以連接一個網絡或一個路由器。其主要任務是接收來自一個網絡接口數據包,根據其中所含的目的地址,決定轉發到下一個目的地址的端口。由于路由器是一個多端口的設備,因此閑置的并且工作正常的服務器端口很可能被黑客利用,對于不用的端口,應該妥善管理。路由器接收到的數據包以后,首先在轉發路由表中查找數據包對應的目的地址,同交換機一樣,我們也要求路由表的正確性。虛假的路由信息會使數據發送到錯誤的地方。若找到了目的地址,就在數據包的幀格式前添加下一個MAC地址,同時IP數據包頭的TTL(Time To Live)域也開始減數,并重新計算校驗和。當數據包被送到傳輸端口時,需要按順序等,以便被傳送一輸出鏈路上。如果數據包不是發往直接與路由器相連的網絡,該路由器則把這個包轉發給另一個離最終目標更近的路由器。
現在,路由器還不具備安全和加密的功能,僅僅只有路由的功能,所以對待各種各樣的攻擊是脆弱的。
3.從外在因素來看
由于路由器是在網絡層實現多個網絡互連的設備。因此如果得到路由器的訪問控制權的話,任何人都可以通過路由器來對其他的服務器發起拒絕服務攻擊,而路由器不會自動生成警報通知用戶正受到攻擊。并且路由器的訪問密碼極不安全,可以通過SNIFFER探測到,或在專屬公司網頁上可以查到。
四、網關脆弱性分析
網關又叫做協議轉換器,它用來連接專用網絡和公共網絡的路由器。網關是將不同協議集的協議進行翻譯、轉換,網關是最復雜的網絡互連設備,它用于連接網絡層之上執行不同高層協議的網絡,構成異構的互連網,通常工作在OSL模型的第4層和更高層。
1.從設備自身來看
網關是軟件和硬件結合的網絡互連設備,是最復雜的網絡互連設備,不同的網關用于不同的場合,其軟件和硬件自身也存在脆弱性。
2.從其工作原理來看
網關除了具有路由器的全部功能之外,還能為互連網絡的雙方提供高層協議轉換服務,即能夠連接兩個高層協議完全不同的網絡環境。當數據包從一個網絡環境通過網關進入另一個不同的網絡環境時,網關讀取信息后,剝去數據中原來的協議棧,然后用目標網絡的完整協議對數據重新包裝并輸出,以適應目標環境的要求[3]。但是用戶的特定數據通過網關或位于網關時是脆弱的,并且網關對惡意人員發起的操縱或修改也是脆弱的。
網關是局域網和廣域網連接的首選設備,其最常見的用途是在高層協議不相同的網絡之間充當“翻譯”,即提供協議轉換。協議轉換是實現網關的關鍵技術,也是國際互連網的技術難點。
3.從外在因素來看
網關都是針對特定的網絡互連環境設計的,不存在通用的網關。有時制造商會留下了可以獲得敏感信息的后門。
五、結束語
第5篇:網絡安全設備范文
關鍵詞:信息;網絡安全;管理策略
中圖分類號:F270文獻標志碼:A文章編號:1673-291X(2010)30-0015-02
隨著企業信息網絡建設與不斷的發展,信息化已成為企業發展的大趨勢,信息網絡安全就顯得尤為重要。由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。
一、信息網絡的安全管理系統的建立
信息網絡安全管理系統的建立,是實現對信息網絡安全的整體管理。它將使安全管理與安全策略變得可視化、具體化、可操作,在將與整體安全有關的各項安全技術和產品組合為一個規范的、整體的、集中的安全平臺上的同時,使技術因素、策略因素以及人員因素能夠更加緊密地結合在一起,從而提高用戶在安全領域的整體安全效益。下面對信息網絡安全管理系統技術需求和功能要求進行分析。
(一)技術分析
1.在信息網絡安全管理系統的設計上,應該用到以下技術:安全綜合管理系統體系結構構造理論和技術;安全部件之間的聯動技術;安全部件互動協議與接口技術;網絡拓撲結構自動發掘技術;網絡數據的相關性分析和統計分析算法;網絡事件的多維描述技術。
2.信息網絡安全管理系統應具有安全保密第一:安全保密與系統性能是相互矛盾的,彼此相互影響、相互制約,在這種情況下,系統遵循安全與保密第一的原則,信息網絡安全管理系統在設計、實施、運行、管理、維護過程中,應始終把系統的安全與保密放在首要的位置。在信息網絡安全管理系統設計,尤其在身份認證、信任管理和授權管理方面,應采用先進的加密技術,實現全方位的信任和授權管理。因此,對信息安全管理系統而言,針對單個系統的全部管理并非是本系統的重點,而應該投入更多的力量在于:集中式、全方位、可視化的體現;獨立安全設備管理中不完善或未實現的部分;獨立安全設備的數據、響應、策略的集中處理。
(二)功能分析
1.分級管理與全網統一的管理機制:網絡安全是分區域和時段的,實施分級與統一的管理機制可以對全網進行有效的管理,不僅體現區域管理的靈活性,還表現在抵御潛在網絡威脅的有效性,管理中心可以根據自己網絡的實際情況配置自己的策略,將每日的安全事件報告給上一級,由上一級進行統一分析。上一級可以對全網實施有效的控制,比如采用基于web的電子政務的形式,要求下一級管理中心更改策略、打補丁、安全產品升級等。
2.安全設備的網絡自動拓撲:系統能夠自動找出正確的網絡結構,并以圖形方式顯示出來,給用戶管理網絡提供極大的幫助。這方面的內容包括:自動搜索用戶關心的安全設備;網絡中安全設備之間的拓撲關系;根據網絡拓撲關系自動生成拓撲圖;能夠反映當前安全設備以及網絡狀態的界面。
3.安全設備實時狀態監測:安全設備如果發生故障而又沒有及時發現,可能會造成很大的損失。所以必須不間斷地監測安全設備的工作狀況。如某一設備不能正常工作,則在安全設備拓撲圖上應能直觀的反映出來。實時狀態監測的特點是:(1)高度兼容性:由于各種安全設備的差別很大,實時狀態監測具有高度兼容性,支持各種常用協議,能夠最大程度地支持現有的各種安全設備。(2)智能化:狀態監測有一定的智能化,對安全設備的運行狀態提前作出預測,做到防患于未然。(3)易用性:實時狀態監測不是把各種設備的差別處理轉移給用戶,而是能夠提供易用的方式幫助用戶管理設備。
4.高效而全面的反應報警機制:報警形式多樣:如響鈴、郵件、短消息、電話通知等。基于用戶和等級的報警:可以根據安全的等級,負責處理問題的用戶,做出不同方式、針對不同對象的報警響應。
5.安全設備日志統計分析:可以根據用戶需求生成一段時間內網絡設備與安全設備各種數據的統計報表。
二、信息網絡的安全策略
企業信息網絡面臨安全的威脅來自:(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎等都會對網絡安全帶來威脅。(2)人為的惡意攻擊:這是計算機網絡所面臨的最大威脅,造成極大的危害,并導致機密數據的泄漏。(3)網絡軟件的漏洞:網絡軟件不可能是百分之百的無缺陷和無漏洞的,這些是因為安全措施不完善所招致。
(一)物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受破壞和攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室。
(二)訪問控制策略
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問。它也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制可以說是保證網絡安全最重要的核心策略之一。
1.入網訪問控制:入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。
2.權限控制:網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作權限。
(三)目錄級控制策略
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、存取控制權限。
三、網絡安全管理策略
在網絡安全中,除了采用技術措施之外,加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡的安全管理策略包括:確定安全管理等級和安全管理范圍;制定有關網絡操作;使用規程和人員出入機房管理制度;制定網絡系統的維護制度和應急措施等。
第6篇:網絡安全設備范文
【關鍵詞】網絡安全;網絡攻擊;建設與規劃;校園網
1、網絡現狀
揚州Z校擁有多個互聯網出口線路,分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境,網絡核心區是思科7609的雙核心交換機組,確保了Z校校園骨干網絡的可用性與高冗余性;數據中心是由直連在核心交換機上的眾多服務器組成;終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模,校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。
2、安全威脅分析
目前,Z校網絡安全保障能力雖然初具規模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網絡中缺乏網管與安管系統、對網絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態,風險管理全憑感覺等等,以上種種問題表明,Z校需要對網絡安全進行一次全面的規劃,以便在今后的網絡安全工作中,建立一套有序、高效和完善的網絡安全體系。
2.1安全設備現狀
Z校部署的網絡安全防護設備較少。在校區的互聯網出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。
2.2外部網絡安全威脅
互聯網出現的網絡威脅種類繁多,外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的,對內網中的各種網絡設備發起攻擊,網絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內網用戶作跳板進行攻擊,最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。
2.3內部網絡安全威脅
內部惡意入侵的主體是學生,還有一些網絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件,照成網絡堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩定性,提高網絡的服務能力為出發點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網絡出口與CERNET、Internet互聯,選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源,提升網絡訪問速度,最大化保障校園網內部用戶的網絡使用滿意度,同時又要合理節約鏈路成本,均衡使用各互聯網出口鏈路,是網絡安全建設的首要需求。2)實現關鍵設備的冗余性:互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網的業務處理,任何一個設備出現問題將直接導致業務不能夠連續運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業務連續性的角度,都存在很大的延遲,為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數量較多,需要對所有安全設備進行統一日志收集、查詢工作,傳統單臺操作單臺部署的方式運維效率低下,所以需要專業集中監控、配置、管理的安全設備,統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。
4、解決方案
網絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。
4.1短期網絡建設規劃
4.1.1短期部署規劃以安全區域的劃分為設計主線,從安全的角度分析各業務系統可能存在的安全隱患,根據應用系統的特點和安全評估是數據,劃分不同安全等級的區域[3]。通過安全區域的劃分,明確網絡邊界,形成清晰、簡潔的網絡架構,實現各業務系統之間嚴格的訪問安全互聯,有效的實現網絡之間,各業務系統之間的隔離和訪問控制。本次短期網絡建設,把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2,從圖2可以看出,出口區域,互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現雙機冗余部署。同理,原城市熱點認證網關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區域根據學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量,防止在出現攻擊后無數據可查;再部署一臺漏洞掃描設備,對網絡內部的設備進行漏洞掃描,找出存在的安全漏洞,根據漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監控網絡環境中的網絡行為、通信內容,實現對網絡信息數據的監控。服務器集群區域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機[4]。
4.2長期網絡建設規劃
網絡安全的防護是動態的、整體的,病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域,不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統,需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程,建立一個科學的安全體系和模型,再根據安全體系和模型來分析網絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手,建立統一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。
5、結語
從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題,每一個環節,都是邁向網絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網絡安全建設和改造有參考價值。
參考文獻:
[1]王霞.數字化校園中網絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網絡安全防護系統設計與實現[D].成都:電子科技大學,2011.11:2-3
[3]徐奇.校園網的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4
[4]張旭輝.某民辦高校網絡信息安全方案的設計與實現[D].西安:西安電子科技大學,2015.10:16-17
[5]陳堅.高校校園網網絡安全問題分析及解決方案設計[D]長春:長春工業大學,2016.3:23-31
第7篇:網絡安全設備范文
新型應用如社交網絡、在線大流量視頻以及創新的服務模式如物聯網、大數據的出現,對網絡安全提出了更高的要求。而傳統的安全部署模式在管理性、伸縮性、業務快速升級等方面逐漸表現出對業務支撐能力的不足。
SDN和NFV化解難題
針對云計算所帶來的安全挑戰,SDN和NFV作為新一代網絡技術,既可通過獨自層面去解決不同的網絡問題、滿足不同角度的業務需求,又能夠緊密結合,實現網絡靈活調度、動態擴展、按需快速交付,產生更大的價值,最大限度地滿足用戶對業務部署的要求。
根據ONF的SDN分層體系,SDN Fabric網絡實現了控制與轉發分離、軟硬件解耦,轉發層面由支持OpenFlow及Overlay等核心技術的網絡硬件設備組成,控制則由軟件控制集群及硬件設備的操作系統完成。同時,通過創新性地將NFV Manager以APP形式集成VCFC控制集群上,可實現SDN控制器集群對NFV的定義、NFV的自動化部署及NFV資源池的彈性伸縮等生命周期控制管理。
融合SDN及NFV技術的云安全體系如圖1所示,基礎硬件層和物理抽象層不僅包括運行NFV的物理服務器,還同時包括物理安全設備、嵌入安全的vSwitch物理服務器、支持虛擬化的安全物理設備等設施,對應SDN架構中的數據轉發層面;NFV操作系統、設備的操作系統與上層應用組成業務控制層面。
云安全體系特點及價值
SDN以控制和轉發分離思想為基礎,通過各種標準南北向開放接口為手段,實現網絡靈活適配應用,NFV利用虛擬化技術,通過標準X86服務器運行防火墻、IPS、LB等網絡安全業務,并形成資源池化,讓網絡不再依賴于專用硬件,從而使云安全體系的安全業務能夠“彈性擴展”、“快速交付”、“統一部署”,并解決傳統安全部署時的“拓撲依賴”問題。
可定義、自適應的安全
SDN通過控制和轉發分離,將控制層面從轉發設備上分離出來,從而使得網絡具備軟件靈活定義網絡的能力基礎。網絡管理員可以方便的定義基于網絡流的安全控制策略,并讓這些安全策略應用到各種網絡設備中,從而實現整個網絡通訊的安全控制。
SDN網絡可以實現基于流的調度,網絡管理員可以靜態配置或者動態生成引流規則,將報文牽引到不同的安全設備上進行處理。與傳統的基于IP包的轉發規則,基于流的調度使安全服務和管控更加細粒度,提升安全服務的防護效率和準確性。
基于控制器的軟件編程能力,網絡管理員通過安全APP方式或者安全模板的方式提供安全即服務SaaS,安全設備自動化配置運維管理,使得安全設備運行維護任務可以更有效、更低成本、更快速的自動化,從而降低安全運維和學習成本,同時提高安全防護的及時性和效率。
安全策略統一全局可管理性
SDN控制器集群通過對各種物理安全設備和NFV網元進行抽象,將原先離散的、異構的設備形成統一的邏輯安全資源池。這樣,控制器集群可以用全局視野,對所有安全資源進行統一調度,并通過“安全服務鏈”實現流量檢測路徑規劃,提供與拓撲無關的全局安全策略。
SDN控制器集群具備全局視野,掌握整個管理域范圍內的流信息,因此可實現分布式安全設備的協同工作。比如在IPS檢測點發現DDOS攻擊,可以立刻通知控制器集群在接入側(如嵌入式安全vSwitch)生成一條動態黑名單或者防火墻策略,將特定攻擊報文丟棄,從而使惡意流量在源端即被遏制,提升安全防護效率。
全局安全資源池可以實現安全資源的動態復用和彈性擴展。這樣,在網絡部署初期不需要為未來的擴展而預留不必要的安全設備,而且可以通過虛擬設備做到一機多用,減少安全設備的數量和投入成本。當安全設備性能不足時,可以在資源池中新增相應的邏輯安全資源,SDN控制器集群根據HASH引流規則,將不同的流量分擔到不同的安全資源上處理,實現資源的彈性擴展。
安全自動化快速部署、彈性擴展
傳統安全設備內置的業務及業務流程相對固定,無法隨著應用需求的變化而變化,而基于SDN和NFV技術的結合可完美地實現安全業務的靈活定義、按需快速部署、彈性擴展。
NFV技術通過將設備的硬件和軟件解耦,可將傳統設備提供的安全業務功能分解成一個個VNF單元,通過云平臺或SDN VCFC控制器集群對NFV資源池、安全設備、網絡設備及vSwitch上的業務進行統一管理,根據應用需求、業務流量特點定義不同的業務鏈,實現不同業務流經過不同安全單元進行差異化處理,并通過模板化方式實現各種復雜的業務快速部署。
南北向API的全面、兼容性
SDN和NFV的技術設計是開放的,決定云安全體系也是一個開放的體系,易于形成集百家之長、開放融合的體系。
SDN和NFV云安全體系各組件秉承標準、開放、端到端的理念,提供全面豐富、靈活的南向接口及北向接口,如圖2所示。
通過開放融合的體系,基于SDN和NFV構建的云安全體系能夠融入更多的第三方SDN APP和NFV,北向通過Restful API可與獨立第三方云平臺進行對接,南向通過OpenFlow/OVSDB/NetConf等標準API兼容包括第三方的網絡及安全設備、NFV產品,確保云安全體系更為靈活、更為全面。
靈活的安全云服務
隨著云計算和移動互聯網的蓬勃發展,網絡數據量爆炸式增長。安全管理員在利用流量日志來分析安全威脅的時候很容易淹沒在大量的“噪音”數據中,很難發現日志中存在的高風險異常現象或趨勢。
第8篇:網絡安全設備范文
關鍵詞:云計算數據中心;網絡安全;實現原理
1 基本概念
云計算:云計算融合了一系列傳統計算機技術和網絡技術,比如網格計算、并行計算、網絡存儲、效用計算、虛擬、負載均衡、分布式計算等等。它主要是利用網絡的功能有效的整合這些有著較低成本的計算實體,從而形成一個計算能力超強的系統,然后利用一些先進的商業模式,比如SaaS、PaaS、IaaS、MSP等等,讓所有的終端用戶都能夠擁有這些強大的計算能力。
云服務:云服務指的是云服務提供商利用自己的基礎設置直接將服務提供給外部用戶。在通常情況下,可以將提供的服務分為兩種,一種是向用戶租用自己的設備,給用戶提供的機房和局域網絡都是相對獨立的;另一種是在自己的服務器集群上部署一些軟件或者應用,然后通過因特網的方式,讓用戶對其進行訪問。
VLAN:VLAN是英文Virtuai Local Area Network的簡稱,我們將其翻譯為虛擬局域網。VLAN指的是從邏輯上來劃分局域網設備,使其成為單個的網段,這樣虛擬工作組就可以有效的交換新興數據。目前,主要是在交換機和路由器中應用這一新興技術,但是交換機的應用范圍更廣一些。需要注意的是,有些交換機是不具備這項功能的,具有這項功能的交換機都是擁有VLAN協議的第三層以上的,我們要想對其了解,只需要查看交換機的說明書就好。
VSX:VSX是英文Virtual System Extension的簡稱,它主要是一種網絡安全和VPN的解決方案,是在有著比較大規模的場景下保證網絡的安全。VSX提供保護的對象主要是多重網絡或者混合的基礎架構中的VLAN。VSX技術主要是安全的連接他們,然后對互聯網和DMZ分區共享資源,并且互相連接的它們也可以有效的進行信息交互。
2 網絡實現原理
傳統數據中心的網絡拓撲:我們都知道,在傳統的網絡環境中,數據中心分配給用戶的網絡都是單獨存在的,也就是每人一個,每一個網絡自然需要單獨的設備和技術,比如防火墻、交換機、網絡安全設備等。在一個單獨的物理網絡中,部署同一個用戶的所有服務器,從而實現安全隔離數據的目的。
云服務數據中心的網絡拓撲:新的數據中心架構將傳統的VPN和網絡安全設備替換成了VSX Gateway,并且將VLAN啟用在核心交換機和二級交換機中,利用Trunk來有效地連接二級交換機和核心交換機。
VSX系統的通信流:主要可以通過這些步驟來執行VSX系統網關,一是ContextID的定義,每一個Virtual System都可以對一個ContextID進行定義,從而將其作為唯一的標識符。二是實施安全策略,每一個虛擬系統的功能都可以作為一個獨立的安全網關,在對整個網絡進行保護的時候,主要利用的是獨特的安全政策。可以指定虛擬系統允許或者組織所有交通等,并且自己獨立的安全政策里都包含著基本規則。三是轉發到目的地,每臺虛擬系統為了能夠達到目的地,就有著自己獨特的結構處理和轉發通信原則,并且,這個配置規則還包括了其他很多方面的內容,比如VPN、定義NAT以及其他的高級特性。
VSX系統有著很多的組成部分,比如Virtual Switch、Virtual Firewall和Virtual Route的虛擬設備。數據中心中的每一個VLAN在與外網進行通信時,利用的都是獨立的Virtual Firewall。
3 安全分析
和傳統的網絡結構進行比較:在傳統的數據中心網絡結構中,每一臺服務器的網絡是由機柜的物理位置所決定的。舉個例子來說,用戶要想建立自己的企業局域網,就需要訂購服務器,訂單中包括了很多的信息,比如試用日期、結束日期、服務器的型號、服務器的配置等等,傳統的數據中心工作人員依據訂單上的內容,在一個特定的機房和機柜中,放置這種型號的服務器,然后向用戶進行網絡安全設備的組裝,用戶要想正常使用,必須要等到完成了配置網絡和安全策略之后。工作人員在進行這些工作時,需要耗費大量的時間,這是因為需要去機房中移動設備;當然,也可以不移動設備,但是可能會出現三種問題,一是因為服務器所在的機房和機柜是不同的,這樣接入的網絡也可能存在著不同,這樣就會影響到互相的正常訪問;二是如果在同一個機房或者機柜中,接入的設備是不同的用戶,那么可能網絡是相同的,并且相互訪問也不會出現問題,但是,容易造成一些安全隱患;三是防火墻如果沒有獨立出各個用戶,那么正常的規則就容易遭到破壞,給維護增加了難度,并且,用戶也不能直接的使用防火墻的管理權限。
而上文所講的VSX和VLAN構成的網絡結構,設備所處的物理位置是不會影響到用戶使用的服務器,所以,在任何一個機房,任何一個機柜中存放這臺服務器,都不會出現問題,只需要在這個用戶的VLAN中劃分與這臺服務器連接的Switch端口,用戶就可以有效的使用這個機器;如果經過一段時間之后,用戶不想要這臺服務器,只需要在預備的VLAN中劃分與這臺設備連接的Switch端口即可。并且,這些步驟是不需要人工來進行的,云計算中心的自動化部署程序可以自動實時的完成這些工作。
網絡結構的優勢:在數據安全方面,每一個用戶的網絡都是安全的;從商業角度上來看,每一個用戶都需要訂購VLAN和網絡設備,在配置網絡設備的過程中,可以在VLAN中指定需要運行哪一個設備,當然,從用戶的角度上來看,用戶只能在自己訂購的VLAN中劃分自己訂購的網絡設備。每一個VLAN都十分的安全,這是因為它擁有著獨立的Security Gateway,這個網絡安全保障包括了很多個方面的內容,比如日志監控、VPN、入侵檢測流量控制以及ACL和NAT等等。從某個角度上來講,就是將一個獨立的機房分配給了這個用戶,然后在這個機房中放置用戶訂購的設備,從而向用戶提供安全的服務。如果用戶不想接受這些服務,只需要利用自動化部署程序在當前的VLAN中移除它就可以了。
在服務質量方面得到了提高:這種網絡結構具有較好的彈性,它可以依據用戶的需求來對設備進行靈活的增減。有著較快的相應速度,設備的到位只需要幾分鐘即可,并且操作系統、軟件以及應用程序也可以自動化進行部署,在很短的時間內將服務提供給用戶。如果用戶不需要這些服務,只需要進行退訂,然后初始化這些設備,將其放回資源池,就可以等待下一個用戶的使用。
4 云計算數據中心網絡安全防護方法
云計算數據中心內部安全與隔離:要互相隔離云數據中心內部的不同業務之間的網絡,也需要在邏輯上隔離多租戶之間的虛擬網絡;利用云計算技術中的虛擬化方法提供出來的運算平臺雖然比較獨立,但是在同一個網絡中、同一宿主機的多樣化計算任務之間,還存在著數據通道可以互相進行交流。
在設計云計算數據中心網絡時,需要嚴格的遵循三個主要設計原則,分別是靈活簡單、虛擬化以及開放等。
靈活簡單指的是安全設備所具備的能力必須有著較高的性能、部署比較方便以及可以靈活進行操作等特點;開放性指的是安全設備的功能必須要有這些方面,分別是訪問控制、識別用戶和應用、合理授權以及基于身份運維等等;虛擬化指的是安全設備應該具有虛擬訪問層、虛擬網絡可見性以及混合的物理和虛擬操作等等。
從網絡安全模型的角度上來講,垂直分層以及水平分區的概念都被引入到了數據中心網絡安全模型中。垂直分層指的是在一套業務系統中,擁有的服務是屬于不同層次的,比如應用層、接入層以及隔離層等等;安全控制機制需要部署在各個層次之間;水平分區指的是將隔離機制應用在不同的業務系統之間,這樣各個業務系統就是獨立的,不會互相影響。
隔離技術主要是為了安全防護各層,同時,隔離不同的業務系統。目前,防護墻技術依然是數據中心內部安全虛擬化的主要技術;隨著云計算技術的不斷發展,安全虛擬化逐漸的成熟,它指的是安全設備虛擬化。虛擬防火墻可以利用不同的安全策略,來有效的實現相互隔離,每一個防火墻都有著獨立的資源和策略,但是物理資源卻是可以共享的。
訪問云數據中心的安全數據傳輸通道:在這個方面,主要有兩個安全范疇需要考慮,一是未授權的訪客無法獲取用戶存儲的信息;二是授權訪問時是否可以將數據傳輸通道上的信息進行獲取,安全數據通道防護就是為了維護用戶訪問時數據通道上信息是安全的。
通常情況下,可以利用內部和外部兩個部分來實現通道安全防護;內部防護依據的是媒體訪問控制安全系列安全協議,來加密數據通道,加密傳輸通道中的每一跳路由,保證流量信息的安全,在路由設備內部都是明文傳輸信息。通過實踐研究表明,基于安全分組的媒體訪問控制技術可以有效的保證重要敏感流量加密傳輸,避免數據遭到竊取和破壞。在外部數據防護方面,采用的大多是VPN方式,主要的技術有SSL VPN技術、IPSec等等,這些技術都是理想的安全解決方案,可以在移動過程中解決遠程訪問;高速局域網和廣域網中需要的安全解決方案需要擁有比較高的性能、延遲比較低并且管理功能比較簡單等優點。
5 結語
計算機網絡技術發展的趨勢就是云計算,越來越多的傳統硬件設備生產商都注意到了這個問題,并且利用自己的一些優勢逐漸的轉換為云計算的服務商。不管是企業用戶還是私人用戶,在接受云計算、云服務的過程中,難免會擔心它的安全;本文首先概述了它的基本概念,然后分析了云計算數據中心網絡安全的實現原理,最后又探討了云計算數據中心網絡安全防護方法,希望可以提供一些有價值的參考意見。
[參考文獻]
[1]李知杰.云計算數據中心網絡安全的實現原理[J].軟件導刊,2011,2(12):123-125.
[2]夏雷,鐘青峰.云計算數據中心網絡安全探討[J].2012全國無線及移動通信學術大會論文集,2012,1(1):87-89.
[3]黃大川.云計算數據中心網絡的關鍵技術[J].郵電設計技術,2011,2(10):34-37.
[4]劉朝,薛凱,楊樹國.云環境數據庫安全問題探究[J].電腦與電信,2011,2(1):56-57.
[5]柯亮亮,鄭傳行.淺析現階段云計算發展中的瓶頸問題[J].電腦知識與技術,2009,2(20):78-80.
第9篇:網絡安全設備范文
【關鍵詞】計算機網絡 信息安全 網絡信息防御
一、計算機網絡安全的概念
國際標準化組織將“計算機安全”定義為:“為數據處理系統建立和采取的技術和治理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。
二、計算機網絡安全的隱患及攻擊形式
(一)計算機網絡硬件安全隱患
計算機網絡硬件設施是互聯網中必不可少的部分,硬件設施本身就有著安全隱患。電子輻射泄露就是其主要的安全隱患問題,也就是說計算機和網絡所包含的電磁信息泄露了,這增加了竊密、失密、泄密的危險;此外安全隱患問題也體現在通信部分的脆弱性上,在進行數據與信息的交換和通信活動時,主要通過四種線路,即光纜、電話線、專線、微波,除光纜外其它三種線路上的信息比較容易被竊取;除上述方面外,計算機的操作系統與硬件組成的脆弱性,也給系統的濫用埋下了隱患。
(二)計算機軟件漏洞
無論多強大的軟件在設計之初都難免存在缺陷或漏洞,操作系統軟件也不例外。系統主機之間互異的操作系統具有相對的獨立性,同樣性質的漏洞,也會由于操作系統軟件設計開發過程的不同,而具有不一樣的表現形式。攻擊者可以很“方便”的通過漏洞對計算機系統進行破壞,造成主機癱瘓、重要資料丟失等,嚴重影響系統的正常運行。
(三)黑客攻擊
這是一種最嚴重的網絡安全威脅。攻擊者通過各種方式尋找系統脆弱點或系統漏洞,由于網絡系統同構冗余環境的弱點是相同的,多個系統同時故障的概率雖小,但被攻破可能性卻大,通過攔截、竊取等多種方式,向系統實施攻擊,破壞系統重要數據,甚至系統癱瘓,給網絡安全帶來嚴重威脅。
(四)計算機病毒攻擊
網絡病毒發病和傳播速度極快,而許多計算機用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網絡病毒泛濫,病毒程序輕者降低系統工作效率,重者導致系統崩潰、數據丟失,造成無可挽回的損失,不僅嚴重地危害到了用戶計算機安全,而且極大的消耗了網絡資源,造成網絡擁塞,給每一個用戶都帶來極大的不便。
(五)各種非法入侵和攻擊
由于計算機網絡接入點較多,擁有眾多的公共資源,并且使用者安全意識淡薄,安全防護比較薄弱,使得網絡成為易受攻擊的目標。非法入侵者有目的的破壞信息的有效性和完整性,竊取數據,非法搶占系統控制權、占用系統資源。
三、計算機網絡安全的對策
(一)防火墻技術
防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。
(二)數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。數據加密技術按作用不同可分為數據存儲,數據傳輸、數據完整性的鑒別,以及密鑰的管理技術。數據存儲加密技術是防止在存儲環節上的數據丟失為目的,可分為密文存儲和存取兩種,數據傳輸加密技術的目的是對傳輸中的數據流加密。
(三)防病毒技術
在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。病毒主要由數據破壞和刪除、后門攻擊、拒絕服務、垃圾郵件傳播幾種方式的對網絡進行傳播和破壞,照成線路堵塞和數據丟失損毀。
(四)配備網絡安全設備或系統
為減少來自網絡內外的攻擊和破壞,需要在網絡中配置必要的網絡安全設備,如網絡入侵保護系統、主頁防篡改系統、防火墻、網絡防病毒系統、漏洞掃描系統、內容過慮系統、補丁升級系統、服務器的安全監測系統等等。通過配置網絡安全設備,能夠實現對校園網絡的控制和監管,能夠阻斷大量的非法訪問,能夠過濾來自網絡的不健康數據信息,能夠幫助網絡管理員在發生網絡故障時迅速定位。充分利用好這些網絡安全設備可以大大提高校園網的安全級別。
(五)提高網絡工作人員的素質,強化網絡安全責任
