网络安全设备范文1
[关键词]网络、设备、管理、安全
中图分类号:TN 文献标识码:A 文章编号:1009-914X(2016)01-010-01
1、企业网络设备的定义和分类概述
企业网络设备其实就是网络互联设备,就是在网间的连接路径中进行协议和功能的转换,它具有很强的层次性。遵循OSI模型,在OSI的每一层对应不同的网络设备产品,每层网络设备产品用于执行某种主要功能,并具有自己的收集整理一套通信指令(协议),相同层的网络设备之间共享这些协议。
企业网络设备主要分为交换机、路由器、防火墙。交换机就是一种在通信系统中完成信息交换的功能,交换机拥有一条很高带宽的背部总线和内部交换矩阵,交换机的所有端口都挂接在这条背部总线上,制动电路收到数据包后,处理端口会查找内存中的地址对照表以确定目的的网卡挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。路由器就是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行翻译,使它们相互读懂对方的数据,从而构成一个更大的网络。其功能是对用户提供最佳的通信路径,利用路由表查找数据包从当前位置到目的地址的正确路径。防火墙就是隔离在本地网络和外界网络之间的一道防御系统,防火墙可使用内部网络与因特网之间或者与其他外部网络相互隔离、限制网络互访,以保护企业内部网络,其主要功能是隔离不同的网络,防止企业内部信息的泄露;强化网络安全策略;包过滤和流量控制及网络地址转换等。
2、企业网络设备网络安全管理模式研究
2.1安全管理PC直接与安全设备进行连接是最常见的,也就是传统的对网络安全设备要进行配置管理就必须把管理的计算机直接连接到安全设备上,常见的是将安全管理PC的串口与安全设备的CONSOLE口连接,然后在PC机上运行终端仿真程序,如Windows系统中的超级终端或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接,选择实际连接安全设备时,使用的安全管理PC上的串口,配置终端通信参数,安全设备进行上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符。然后就可键入命令,配置安全设备或者查看其运行状态。但对于不同设备可能会有不同的设置,例如对于防火墙0的连接参数就和上面不一致,对于这种情况我们可以采用WEB方式管理。就是用网线连接安全管理设备和计算机上的网卡接口,同时对管理计算机和安全设备的管理接口的IP地址进行配置,以便让它们位于同一个网段。开启安全设备的本地SSH服务,并且允许管理账号使用SSH。这是因为对大多数安全设备的WEB管理都是通过SSH连接设备的,这样安全管理PC和安全设备之间传输的数据都是通过加密的,安全性比较高。在安全管理PC的浏览器地址栏中输入https://192.168.1.1回车,输入用户名和密码后就可登陆到网络安全设备的WEB管理界面,对其参数和性能进行配置。
2.2安全管理PC通过交换机管理安全设备,只需把安全管理PC直接连接到交换机上,PC和安全设备就都位于同一网段中。除了采用WEB方式对安全设备进行管理配置外,还可以使用Telnet方式管理。用这种方式对安全设备进行管理时,必须首先保证安全管理PC和安全设备之间有路由可达,并且可以用Telnet方式登录到安全设备上,也可以采用SSH方式管理。当用户在一个不能保证安全的网络环境中时,却要远程登录到安全设备上。这时,SSH特性就可以提供安全的信息保障以及认证功能,起到保护安全设备不受诸如IP地址欺诈、明文密码截取等攻击。
2.3通过安全中心服务器管理安全设备,就是把“安全管理计算机”升级成了“安全中心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置,而不用再把安全管理计算机逐个的连接到安全设备或安全设备所在VLAN的交换机上。在这种管理模式中,除了不能直接连接到安全设备的CONSOLE口上对其进行管理配置外,WEB、Telnet和SSH在安全中心服务器上都可以使用。
总之,以上三种网络安全设备的管理模式主要是根据网络的规模和安全设备的多少来决定使用哪一种管理模式。三种模式之间没有完全的优劣之分。若是网络中只有一两台安全设备,显然采用第一种模式比较好,只需要一台安全管理PC就可以,若是采用架设安全中心服务器的话就有些得不偿失。如果安全设备较多,并且都分布在不同的网段,那选择第二种模式即可,用两三台安全管理PC管理安全设备,比架设两台服务器还是要经济很多。若是安全设备很多就采用第三种模式,它至少能给网络管理员节省很多的时间,因为在一台服务器上就可以对所有的安全设备进行管理。
3、企业网络安全研究
企业的网络拓扑结构比较复杂、网络节点繁多,这就要求企业需要有一套行之有效的IT运维管理模式。IT运维管理是企业IT部门采用相关的方法、技术、制度、流程和文档等,对IT使用人员、IT业务系统和IT运行环境(软硬件环境和网络环境)进行综合的管理以达到提升信息化项目使用,可起到提高IT运维人员对企业网络故障的排查效率。接下来通过下面两个实例来验证:
3.1 企业内部ARP断网攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中IP-MAC列表造成网络中断或中间人攻击。基本原理就是在局域网中,假如有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。
3.2 非法DHCP服务器的快速定位
在DHCP的选择Request过程中,网络上可能有DHCP服务器都会对Discover的广播回应,但新加计算机只选择最先回应的所取得的IP地址。并与DHCP服务器再次确认要用此IP。如果网络上有多个可提供IP地址的DHCP服务器,新加计算机会选择最先回应广播的DHCP服务器所提供的IP地址,但现实中往往非法DHCP服务器回应广播速度比合法DHCP服务器快。
结束语
企业网络设备与网络安全问题主要是利用网络管理措施保证网络环境中数据的机密性、完整性和可用性。确保经过网络传送的信息,在到达目的地时没有任何增加、改变、丢失或被非法读取。而且要从以前单纯的以防、堵、隔为主,发展到现在的攻、防结合,注重动态安全。在网络安全技术的应用上,要注意从正面防御的角度出发,控制好信息通信中数据的加密、数字签名和认证、授权、访问等。而从反面要做好漏洞扫描评估、入侵检测、病毒防御、安全报警响应等。要对网络安全有一个全面的了解,不仅需要掌握防护,也需要掌握检测和响应等各个环节。
参考文献
1.张立涛,钱省三,应力;网络安全管理策略研究[J];网络安全技术与应用;2001年08期
网络安全设备范文2
【关键词】集群 交换机 网络设备 网络管理
随着计算机互联网络技术的迅速发展,互联网不但为企业提供了和检索信息以及资源共享提供了最方便的场所,也为个人使用网络资源提供了最大的平台,但同时也给网络安全方面造成了一定的威胁,并且随着大企业网络的发展规模越来越大,其网络设备的数量也越来越多,企业网络的扩展使网络的管理变的越来越困难。在企业网络中运行的设备需要很多不同的IP地址,且每台可以管理的网络设备需要进行配置用来满足企业网络运行的各方面的需要。如果设备的数量变得越来越庞大,则企业网络对IP地址的需求将也会变的越来越多。群集的网络管理方式可以很好地解决网络地址短缺和网络安全问题。
一、交换设备群集的分类
命令交换机是交换设备群集的重要角色,是企业网络中每个群集设备中必须指定唯一的一台交换机,群集的配置和管理均通过此命令交换机来完成,命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。
第二种为成员交换机,集群中的所有交换机,包括命令交换机,都是该集群的成员交换机。如果没有特别说明,成员交换机一般并不包括命令交换机。当然只有该集群的候选交换机才能加入集群,从而成为成员交换机,运行了集群支持软件和运行了LLDP协议软件是成员交换机要求必须具备的条件,不能是其它集群的命令交换机或者成员交换机。
交换设备群集还分为候选交换机,它可以被命令交换机发现并且还没有加入群集的交换机。候选交换机具备的条件主要包括:运行了集群支持软件和运行了LLDP协议软件,且不能是任何集群的命令交换机或者成员交换机。使用局部配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习,这些学习到的地址将自动成为该端口上的安全地址,直到安全地址数达到最大个数。但是,互相自动学习到的安全地址不会自动和网络地址互相绑定。如果在一个设备端口上已经绑定了网络地址,那么就不能通过自动学习IP地址的方式增加安全地址的个数。但是网络管理员可以手工配置一部分安全地址,交换机可以自动学习到另外的安全地址。
二、交换设备群集的创建思路
交换设备群集就是把一组交换设备构建为一个单一实体设备进行网络管理,群集中的交换机有两种角色,分别为命令交换机和成员交换机。集群的管理范围与跳数有关,跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1,其余以此类推。默认情况下,命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响,为了保证与集群管理相关的帧的正确接收和转发,要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在二层通道。因此,对某台成员/侯选交换机而言,从命令交换机的下联端口直到该交换机上联端口的整个路径上的所有端口都应属于同一个VLAN,以便命令交换机能有效管理成员交换机和发现候选交换机。如果这些端口中包括Trunk则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端,则对其上联端口的属性无要求。
交换机对LLDP协议是否支持也将影响网络设备集群的范围,命令交换机借助LLDP协议来发现集群内的其他交换机,而不支持LLDP协议的交换机将无法被发现,并且与之相连的其它换机也无法被发现,除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。
三、交换设备群集的实现
交换设备的群集功能是开启的,在交换机上可以创建集群从而使之成为命令交换机,也可以将其加入一个集群中而成为成员交换机。一旦想要关闭集群功能,可以在特权模式下进行配置,首先进入全局配置模式,关闭集群功能,回到特权模式,验证并保存配置。如果交换机是命令交换机,关闭集群功能将删除集群,并且不能成为任何集群的候选交换机。如果交换机是成员交换机,关闭集群功能将使之退出集群,并且不能成为任何集群的候选交换机。如果交换机是候选交换机,关闭集群功能将使之不再能成为任何集群的候选交换机。可以通过全局配置模式下的命令来打开集群功能,也可以关闭交换机上的集群功能。
建立集群是配置集群的关键,可以通过在特权模式下来建立集群,同时使该交换机成为集群的命令交换机,还可以为其设置一个序号。在全局配置模式状态下设置命令交换机的序号。如果集群建立成功,可以使用命令更改集群的名称,但不能更改命令交换机的序号。可以在命令交换机的全局配置模式下执行命令删除集群。
如何发现跳数在集群的配置中非常重要,配置集群发现跳数时,发现跳数决定了命令交换机所能发现的候选交换机的范围,可以在交换机特权模式下通过以下步骤来配置发现跳数,首先进入全局配置模式设置发现跳数,可以在全局配置模式下执行命令no clusterdiscovery恢复为缺省值,该命令只能在命令交换机上执行。
在群集中为了及时地发现网络中的候选交换机,需要配置集群timer,配置后可以准确掌握成员交换机和候选交换机和命令交换机间的物理连接状况,命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定,默认情况下为12秒。在特权模式下,可以通过以下步骤来配置集群time,先进入全局配置模式,再设置时间间隔,时间间隔的范围是1-300,缺省值为12秒。如果要恢复为缺省值,可以在全局配置模式下执行命令。但该命令只能在命令交换机上才能执行成功。
最后一步就是配置群集的时间值,它是命令交换机所收集到的拓扑图以及所发现的候选交换机信息将会被保存一段时间,默认的时间值是两分钟。在交换机的特权配置模式下配置集群的holdtime。首先从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置,注意时间范围是1-300,默认情况下的值为120秒。然后再回到特权模式,通过show cluster验证配置,可以在交换机的全局配置模式下执行命令no cluster恢复其缺省值,这一步的配置只能在命令交换机上才能执行成功。
四、维护交换设备群集的方法
交换设备群集实现并正常运行后,还需要对群集进行维护并有效管理整个集群,维护时可以通过为群集中的命令交换机分配一个网络地址。命令交换机可以拥有多个网络地址,通过其中任何一个地址都可以管理集群。群集中的成员交换机不需要地址。如果其不再属于任何群集时,就必须为其分配合理的IP地址。
网络安全设备范文3
关键词:网络安全;小文件;Hadoop;存储优化
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0010-02
1引言
网络系统在运行过程中会产生大量的系统日志、应用日志、安全日志和网络日志,这些日志包含着关于网络运行、安全及状态的数据。随着采集日志的大规模增长,现有的存储系统硬件成本高,扩展能力差,数据并行访问效率低,难以满足网络安全设备联动系统的需求。因此,提供一种更高性能、更低成本、更好可靠性的易于管理的存储平台,才能够帮助该系统用尽可能低的成本应对日益增长的数据存储需求。HDFS采用主从式架构设计模式(master/slave),一个名称节点(NameNode)和若干数据节点(DataNode)构成HDFS集群[1]。HDFS的这种单名称节点的设计极大地简化了文件系统的结构,然而也因此引发了HDFS的小文件存储效率低的问题。HDFS设计之初的目的是存储大量的大文件,所以需要采用分块策略先将每个文件分块,保存机制是每个文件都占用一个或多个块。因为HDFS中的每个目录和文件的元数据信息都存放在名称节点的内存中,如果系统中存在大量的小文件(指那些比HDFS数据块(默认为64MB)小得多的文件),则无疑会降低整个存储系统的存储效率和存储能力。然而,在网路安全设备联动系统[2]存在着大量的小文件。大量的小文件存在于云存储系统中无疑会降低整个系统的I/O性能。针对这一问题,本文提出云存储中小文件的合并处理方法,以提高小文件的存储效率,提高整个系统的I/O性能。
2整体方案优化设计
文件的优化方案主要包括4个部分:数据预存储节点的功能设计,小文件合并方案,小文件索引结构的设计以及小文件合并过程的整体设计。
2.1数据预存储节点功能设计
数据预存储节点是在HDFS架构的基础上新增的节点,它位于客户端与名称节点和数据节点之间,主要实现对存储的文件进行预处理,根据文件大小,判断是否属于小文件,对于小文件主要完成存储前的合并,生成索引以及小文件检索时的文件分离等功能。增加数据预存储节点之后,在数据存储的过程中,数据的流向由从客户端直接到数据节点变成了由客户端先到预存储节点再到数据节点。
2.2小文件合并算法设计
当客户端写入小文件时,首先根据小文件的类型对数据预存储节点进行分组。然后分别将每个分组中的小文件合并成大文件,此时,生成相关小文件索引信息及元数据信息。最后将合并后的文件和相关的元数据,按照原HDFS写入文件的方式一同上传至HDFS中,其中第二类元数据信息由数据预存储节点进行存储,第一类元数据信息由名称节点进行存储,数据节点存储合并成的大文件[3]当客户端需要读取某个小文件时,从名称节点获取小文件所在大文件的元数据信息,然后从数据预存储节点获取第二类元数据信息,从数据节点获取小文件所在的大文件,并在接口中将大文件解档为若干小文件,并将这些小文件缓存在客户端。为了便于算法描述,对算法里的符号进行定义:File[type][MD5][key]——缓冲区中待合并的文件;type——日志文件的类型(1:主机日志;2:sort日志;3:防火墙日志;4:交换机日志);MD5——文件的MD5值;fi——要合并的第i个文件;xj——合并第j类文件个数。分组合并算法描述如下:(1)初始化,定义一个三维数组File[type][MD5][key],type初始化为1,key值初始化为文件的大小;(2)读入缓冲区的所有文件大小,更新数组File[type][MD5][key],根据文件的类型更新数组的type值,初始化i=1;(3)采用冒泡排序,分别将数组File[i][MD5][key]从大到小进行排序。首先判断File[i][MD5][key]的大小,如果所有文件的总大小大于64M,开始进行合并,否则退出程序,i++,等待下次分组合并调度;(4)从最大的文件fi开始分组。如果放入文件fi后,此类文件的总大小小于64M,则存放下一个文件,从数组中把文件fi的记录删除,循环这个过程,直到所有的File[i][MD5][key]文件都合并到一起;(5)计算每类文件合并后的大小,文件大小达到63M的调用HDFS命令将文件上传到HDFS上,大小小于63M的文件,再从缓冲区中查找文件进行装入,返回(2);(6)上传成功;主要是考虑到用户的访问效率,算法中采用将同类日志文件进行分组,无论从写入小文件,还是从读取小文件方面,都能大大提高HDFS的性能:首先减轻了名称节点的负担,在读取小文件方面,不用连接数据节点读取,减少文件读写的I/O操作,节约大量数据传输时间,极大地节省了网络通信开销,降低了HDFS的访问压力,提高客户端访问文件的速率和性能。当用户删除数据时,把合并后的文件取回数据预存储节点,进行分解,删除指定文件,再与缓存区中已有的文件进行合并。用户查询文件时,需要对HDFS索引进行查询,同时也需要查询缓冲区里面的文件。
2.3小文件索引结构的设计
在小文件合并之后,仅仅根据名称节点中存储的元数据信息不能检索到小文件,为了提高检索效率,需要为所有小文件构建相应的索引,使用户能够通过索引快速的检索到小文件。小文件索引信息是在小文件合并成大文件之后生成的,保存在数据预存储节点中,通过此类元数据信息,再结合名称节点中的第一类元数据信息,才能正确找到小文件的存储位置。所以小文件的索引信息对于后期的小文件检索极其重要,其中要包含小文件的一些重要信息:File_name类型为String,表示小文件名称;File_size类型为int,表示小文件大小;File_type类型为int,表示小文件类型;Merge_file_nam类型为string,表示小文件合并成大文件后的名称;File_offset类型为int,当前小文件在合并文件中的偏移量;time类型为long,表示文件的写入时间;If_use类型为bool,表示文件是否存在。
2.4小文件合并过程的整体设计
大致流程如下:当需要写入文件时,首先将数据传输到数据预存储节点,判断文件大小,如果文件大小超过了HDFS数据块的大小,则直接存入数据节点,并将元数据信息写入到名称节点;如果需要写入的文件属于小文件,则先判断小文件的类型,然后根据2.2中设计的小文件合并算法将小文件合并,生成索引信息,在这个合并的过程中,不断地将正在合并的小文件索引信息插入到小文件索引信息列表中,当合并文件块达到合适的大小时,客户端将写文件请求发送到名称节点将合并后的文件存储到相应的数据节点中。
3实验验证
实验需要搭建Hadoop集群,集群中包括4个节点:一台Na-meNode,二台DataNode,以及客户端用来提交数据的NameNode。使用VMware7.0来模拟Linux环境[4,5台机器上模拟海量小文件的存储和访问操作。本文随机选取了10000个xml日志数据文件,文件大小分布情况为:200kB占1%,300kB占2%,400kB占10%,500kB占20%,600kB占30%,700kB占20%,800kB占10%,900kB占4%,1000kB占3%,可见文件大小集中在400kb到1000kb之间。为了直观的反应优化方案在处理小文件和大文件时的系统性能,本文在测试数据中分别选取了100、1000、10000组数据,按照以上测试和执行程序步骤,对文件写入时间进行测试,测试结果如图1所示。实验结果表明,随着文件数量的增多,写入文件所用时间增长趋势的变化缓慢,说明本文设计的Hadoop小文件存储优化方案在写入海量小文件时性能更高。
4结论
本文首先对网络安全设备联动系统的数据转化为XML文档,然后对文件的特点及文件大小的分布进行了分析。针对HDFS对小文件存储效率低的问题,对小文件存储方案进行了优化,设计了小文件分组合并的算法。最后搭建了Hadoop集群环境,对改进的方案进行测试,实验结果表明,本文设计的Hadoop小文件存储优化方案在写入文件所用时间增长趋势的变化缓慢,说明本方案在写入海量小文件时具有很高的性能,在不影响存储系统运行状况的基础上,该方案提高了小文件的存储效率和读取效率。
参考文献:
[1]廖彬,于炯,张陶,杨兴耀.基于分布式文件系统HDFS的节能算法[J].计算机学报,2013(05):1047-1064.
[2]傅颖勋,罗圣美,舒继武.安全云存储系统与关键技术综述[J].计算机研究与发展,2013,50(1):136-145
[3]DLTennenhouse,JMSmith,WDSincoskie,etal.ASurveyofActiveNetworksResearch[J].IEEECommunicationsMagazine,1997,35(l):80-86.
[4]许春玲,张广泉.分布式文件系统HadoopHDFS与传统文件系统LinuxFS的比较与分析[J].苏州大学学报(工科版),2010,04:5-9+19.
网络安全设备范文4
文章提出了一种网络安全态势感知系统的设计方案,该方案构建的一个统一的网络安全数据采集、存储和分析平台,为网络安全管理提供了一种高效的网络安全态势感知技术平台构架。
关键词:
网络安全;态势感知;漏洞;事件
0引言
随着企业信息化进程的快速发展,企业网络系统与生产业务、日常管理工作紧密结合,同时还承载着企业内部大量敏感信息。为保障企业正常运行,应做好网络安全管理工作。随着企业网络规模的逐步扩大,信息化设备数量日益庞大,网络安全管理工作难度越来越大。传统的入侵监测、防火墙、访问控制等网络安全设备等只能识别网络攻击行为,并不能有效识别网络攻击事件,会产生海量攻击日志,导致网络管理人员无法有效处理网络安全日志;各个网络安全设备之间相互独立,不能有效利用多种数据源加强网络安全管理;缺乏安全漏洞、安全事件联动处置机制。为了适应当前网络安全管理的新形势,企业应加强网络安全监测手段建设,降低网络安全管理工作的复杂度和难度,提高网络安全相关工作的效率,维护企业网络系统的稳定运行。
1网络安全态势感知系统
态势感知概念起源于20世纪80年代的美国空军,是指在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示并预测未来的发展趋势。根据现有的网络安全管理工作需要,网络安全态势感知系统应具备网络安全态势要素采集、网络攻击行为分析、网络安全事件溯源、安全漏洞预警等基本功能,进一步可以实现网络安全攻击行为自动阻断、网络安全漏洞防护措施自动下发等功能。网络安全态势感知系统可以整合现有IDS、WAF等网络安全设备的能力,建立统一的网络安全态势数据采集、分析以及预警平台。
2网络安全态势要素
网络安全态势要素应能满足网络安全系统的功能需求,能反映网络系统运行的基本情况,应至少包括网络资产信息、网络安全日志以及网络安全漏洞库等信息。网络资产信息库应至少包含服务器、网络设备、安全设备以及WEB应用;网络安全日志应该至少包含所有设备的系统日志、安全设备的安全日志、网络设备的网络流量日志等;网络安全漏洞库应至少包括系统漏洞、中间件漏洞、插件漏洞、应用漏洞等。
3网络安全态势系统设计
网络安全态势系统应定义标准化数据格式,建立统一数据管理平台。该平台可充分利用多源海量数据,建立网络安全事件监测分析机制;通过大数据关联分析攻击行为日志,精确高校识别高风险入侵行为;实时收集网络安全漏洞库,快速定位网络资产信息库中存在漏洞的设备或应用。
3.1标准化数据格式
网络资产信息库包括服务器、网络设备、安全设备以及WEB应用等。其中设备信息应包括设备类型、设备型号、设备硬件配置、设备IP、开放端口、运行服务、服务版本等信息,WEB应用应包含应用名称、服务器IP、运行端口、WEB页面、使用的插件、插件版本等信息。网络安全日志应该至少包含所有设备的系统日志、安全设备的安全日志、网络设备的网络流量日志,其中系统日志应包括设备IP、时间、日志内容,安全日志应该包括时间、攻击源、攻击目标、攻击动作以及攻击内容,网络流量日志应该包括时间、源IP、目标IP、源端口、目的端口。网络安全漏洞库应至少包括系统漏洞、中间件漏洞、插件漏洞、应用漏洞,所有漏洞应包含漏洞类型、漏洞危害、漏洞检测方法等。
3.2攻击行为分析
传统的IDS、WAF等设备每天产生海量攻击日志,比如一次SQL注入可能产生1万余条攻击告警,一天产生10万余条攻击告警,产生的告警信息对网络管理员来说是一种误报,不能将攻击日志用于网络安全管理。本文设计将持续性攻击日志合并后,结合系统日志进行关联分析识别于攻击行为,结合资产信息库对新型高危漏洞攻击进行安全预警,详情流程如图2。
3.3安全漏洞预警
当互联网上新公布网络安全漏洞时,传统的网络安全设备和管理手段不能快速定位哪些设备、服务或应用存在网络安全漏洞。本文设计,首先通过扫描普查所有信息资产,建立统一的网络资产信息库,并采取定期扫描进行数据更新;其次将已公布的网络安全漏洞标准化后建立统一的漏洞信息库,同时通过爬虫实时获取互联网上新出现的网络安全漏洞;然后通过提取最新漏洞受影响的系统、服务或插件与网络资产信息库进行关联分析快速定位存在网络安全漏洞的设备或应用;最后可以通过自动推送服务将信息发送给该设备或应用的责任人,也可以制定阻断策略进行自动化下发至防火墙。
3.4安全事件溯源
本文提出一种攻击链分析模型,通过分析各个网络安全设备收集的安全日志和流量日志生成网络安全事件,进行反向推理还原攻击情景。首先通过异常流量、攻击行为日志建立恶意IP画像库,通过系统日志、WAF日志建立源IP危险动作库,通过僵木蠕、网页后门等监测系统建立网络安全事件库,然后通过时间序列分析方法还原网络安全事件攻击路径追溯网络攻击源。
4结语
本文研究了当前网络安全管理工作中的难点和不足,提出了一种的网络安全态势感测系统,建立了统一的数据采集、存储、分析平台,可以实现网络攻击行为的自动化精准分析,实现网络安全漏洞精准预警,实现网络安全事件自动化溯源分析。本文为网络安全管理提供了一种高效的网络安全态势感知技术平台构架。
参考文献:
[1]姚书科.网络安全态势要素指标体系研究[J].电子设计工程(专业版),2012(7).
[2]胡华平,张怡,陈海涛,宣蕾,孙鹏.面向大规模网络的入侵检测与预警系统研究[J].国防科技大学学报,2003(1).
网络安全设备范文5
信息网络的终端使用者因操作技能和安全意识有限,有可能会打开或浏览来历不明的一些电子邮件或对从网上下载的软件不进行木马、后门等恶意代码的检查就直接在网络设备上安装运行,当安装这些恶意程序的网络设备被非法利用后就会造成不必要的网络损失。还有的网络使用人员对信息网络的法律和法规不清楚,甚至出现有的使用者在网上搜索一些网络攻击软件,对局域网上的网络设备进行试验性的攻击,造成网络故障的出现。
升级设备操作系统及时更新和升级网络设备的操作系统。及时升级操作系统不但能防止已有的缺陷与漏洞继续被非法利用,将病毒的感染范围限制在最小的范围内,还可以获得更多相关的安全,减少攻击者的攻击机会。根据有关的统计数据分析,由于未修补软件的漏洞而导致发生的网络安全事件将近占整个网络安全事件的一半。所以,操作系统本身的安全重要性在整个网络安全中占重要的地位。因此,应加强对网络操作系统本身安全的重视。在网络设备上关闭不需要的功能和服务网络设备在出厂的默认情况下,为了方便管理和使用,缺省自动开启了一些网络服务功能,这些服务虽然都能给用户带来一定的方便,但他们也或多或少存在一定的安全隐患,因为这些服务都有可能为非法入侵者提供有利的入侵条件,使网络设备崩溃或是运行效率显著下降。所以,我们可以通过在网络设备上关闭一些不常用或暂时不用的服务和接口以提高网络设备的安全性和利用率,同时也可以防止黑客利用这些服务及端口进行入侵。解决这类问题的途径除了借助建立规章制度和加强内部管理等防范措施外,先进的技术也是解决这类问题的重要方法。设置实时日志服务器、入侵检测及防护服务器1)通过日志服务器可以达到实时监测网络设备的操作、访问和运行情况,全面掌握网络设备当前运行状况和历史日志,通过日志的审查和统计也可分析出系统潜在的安全隐患,对及时调整系统运行、配置具有重要的指导意义。2)入侵检测及防护服务器可以提供实时的入侵检测以及在发现有未授权或异常现象的数据访问行为后,可以在第一时间与防护服务器进行联动,采取相应的防护手段。入侵检测服务器一旦检测到网络有入侵行为之后,可以通知网络上相关的设备及管理人员立即采取有效措施来阻断攻击,并同时可以立即追踪定位攻击源,查找入侵设备及人员的有关情况。设置备份服务器配置备份服务器可以定期对网络设备的配置文件、操作系统进行本地和异地备份,在意外发生后对网络系统数据及时进行恢复,为保证网络的安全稳定运行,提供有力手段。加强密码和端口访问权限的管理1)无论是管理员还是非法入侵者对网络设备的访问,基本上都是两种手段:一是在本地通过网络设备的配置口进行;二是在异地通过远程登录网络设备的方法进行,设置登录密码是用来防止对于网络设备的非授权访问的主要手段,所以要对设备设置安全的强登录访问口令,并且密码应不定期的进行没有规律的更换,防止密码泄漏给网络设备带来不利影响。2)因为任何得到网络设备特权的用户都可以对设备进行配置,也可能会将已经登录的网络设备作为中继,对其它的网络设备发动新的网络攻击。为了防止这些情况的发生,需要对网络设备的访问权限进行管理,加强访问控制列表对访问网络设备的控制能力和对远程可登录网络设备的地址进行限制,防止非法入侵者通过其它IP地址对网络设备进行登录访问,还要加强SNMP关键字的管理和在网络设备的配置端口上设置空闲时间参数,以防管理员在配置过程或非正常离线后给非法入侵者留下可被利用的漏洞。3)在设备维护中,对可以访问网络设备的管理员人数严格控制并对每一次网络维护都要记录备案,做到有据可查,同时严格控制CON端口的访问权限。
加强信息网络使用方面的立法和执法力度,只有紧密地将管理措施和技术措施相结合,才能使网络安全得到切实有效的保证。制定网络设备安全管理制度,建立健全设备安全管理制度。健全的管理制度可有效提高维护人员及所有网络使用者的操作行为的规范性,免受非法人员的临近攻击,确保网络设备的物理安全,提高对信息网络使用的安全意识。加强相关人员的培训网络的使用者,不仅仅是网络管理人员,而是所有在使用网络的人员。这就需要不但要对网络管理、维护人员进行技能、技术水平的培训,只有网络管理、维护人员的管理维护能力的不断提高,才能减少因管理维护人员人为行为而对网络造成的影响。在提高网络管理维护人员网络管理及故障处理水平的同时,还要对所有网络终端的使用人员进行网络使用操作技能和有关法制教育的培训,明确系统管理人员和网络终端使用者的权利和义务,自觉遵守各种管理制度,维护信息网络系统的安全,提高所有网络使用者的安全意识,这对防止网络攻击和病毒干扰以及提高信息网络安全运行水平,起着十分重要的作用。采用加密的信息传输方式在网络设备上进行的数据传输,要尽量采用加密的传输方式,这样可以保证数据在传输过程中不被非法利用,如:在网络设备上启用telnet能使管理员很方便地远程管理网络设备,但这种数据传输方式为明文传输,存在比较大的安全隐患。所以,通过采用加密传输方式管理设备是非常必要的。机房物理安全网络信息机房应严格按照有关的标准进行建设和改造,必须具备防火、防雷、防静电、防电磁干扰,要有完备的环境控制设备和电源供应设备,确保各类设备有一个良好的运行环境。
作者:罗凯 单位:乌兰察布电业局信息通信处
网络安全设备范文6
校园网络是学校整个信息化的基础设施,其安全是网络信息安全的基石。校园网络安全主要包含校园网络运行安全、网络接入安全、网络安全审计三大部分。
1.1网络运行安全
校园网络运行安全是指校园网络运行稳定,服务正常,并具有一定的网络防攻击能力。网络运行安全是校园网络的最基本网络安全保障,结合网络设备、网络链路和网络策略等实现对校园网络安全稳定运行。大多数情况下,校园网络根据网络拓扑结构划分核心层、汇聚层和接入层。核心层是整个校园网络的核心,一般采用网络设备物理级别的冗余和多物理链路冗余的方式保证网络的运行稳定;汇聚层一般位于楼宇的链路的汇合点,由于重要程度比核心层低,采用网络设备板卡级冗余即能满足网络稳定行要求,同时,与核心层设备采用双链路或多链路实现网络链路的冗余;接入层则服务范围小,网络设备数量多,重要程度低,只需提供设备冗余备份即可。除了网络拓扑结构的稳定外,校园网络还必须有一定的抗网络攻击能力,一般通过在设备上配置ACL、网络端口隔离、QOS等网络安全策略,并在关键部位配备网络防火墙、入侵检测等安全设备对网络攻击进行过滤和防护。为了保障网络设备管理安全,网络设备访问权限(包括本地和远程)需要进行严格控制,只能运行指定的人员、指定的机器才能访问网络设备,并设置符合复杂度要求的密码且定期更换。
1.2网络接入安全
网络接入安全是指网络有一定的安全接入管理能力,防止非授权用户获取网络接入权限,而对于授权用户只能按照权限接入网络并访问相应权限的网络资源。校园网络承担着大量的用户接入服务,服务对象有教职工、学生、外来人员等,有有线、无线等多种接入方式,接入网络复杂。为了保障接入网络安全,校园网需要有网络认证系统,实现对用户的校园网络准入准出控制,针对不同类型的用户实施不同的准入准出策略,达到用户根据自己的权限访问不同的网络资源。
1.3网络安全审计
网络安全审计要求网络有可追溯的能力,通过对用户的上网痕迹进行记录并留存,在一定的时间内根据IP地址等信息反查定位到具体用户。为了保障校园网络政治安全,校园网络出口位置需要部署网络审计设备,对校园网用户上网行为进行记录并保存一定时间。结合网络认证系统,网络审计系统应完成基于用户、时间、IP、MAC、内容五维元素的完整记录,做到信息可追溯。
2校园信息安全
校园信息安全是校园信息化建设中需要重点考虑的对象,信息安全无法保障,校园信息化几乎为零。为了保障信息安全,可以采取如下几步措施:
2.1信息安全分级
根据信息的重要性进行分类,主要分成三类:(1)核心数据:主要指一卡通数据库、数字平台核心数据库、教务系统数据库等学校不能停运的核心系统及数据库,此类数据会在丢失后给学校带来巨大的损失。核心数据需要进行重点安全保护,包括软硬件冗余,系统符合安全访问权限,提供数据冗余备份等。(2)重要数据:主要指办公系统、二级单位网站等,此类数据丢失带来局部损失,影响范围在二级单位内或非学校关键部门。此类数据需进行次级安全保护,提供一定的安全访问控制,根据系统的重要程度提供一定的冗余措施;(3)一般数据:主要指视频网站、缓存、个人数据等,数据丢失可以恢复或影响范围很小或仅限个人等,只需提供简单的保护,主要依靠单机保护机制。
2.2安全机制
(1)安全检测校园信息系统是校园信息的重要铸成部分,是对外服务的窗口,也是网络攻击威胁的主要目标。校园信息系统的程序安全性决定了系统的抗攻击入侵能力,甚至影响服务器系统安全。为了保障安全,新信息系统在上线之前必须经过安全检测,检查密码口令的安全性和网络策略的安全性,任何存在安全漏洞和隐患的系统坚决不允许上线运行。另外,系统后期软件升级和版本更新均须重新进行检测。在日常运行中,学校信息安全部门应不定期对校内所有网站和信息系统进行安全漏洞扫描,并将漏洞检测结果分发到网站管理人员和安全责任人,监督其对系统安全漏洞修复,保证系统的安全漏洞能及时处理。(2)安全策略信息系统的安全策略主要保证网络访问权限和用户权限在允许范围内。信息系统的网络访问权限必须根据系统的服务范围严格控制,只对校内服务的服务器尽可能分配校内私网IP地址或在使用公网IP地址的情况下必须在学校出口位置进行网络阻断,而对互联网开放的服务器应严格根据系统对外提供服务的情况进行网络端口的控制,保证外网的不能访问非服务端口,同时开启操作系统级网络防火墙,根据系统重要程度配备物理防火墙、应用防火墙、网页防火墙、入侵检测等安全设备,加强对信息系统的安全防护能力。与网络攻击入侵不同,用户越权操作带来的安全威胁更为严重,所以,保证用户的操作权限至关重要。在信息系统的前期采购过程中必须重点考虑系统的权限控制问题,必须做到权限控制与实际业务管理相匹配。在运行中,信息系统必须根据工作人员的工作权限分配合理的访问操作权限,特别是核心系统的权限控制要求有安全工作小组评估后进行授权。(3)冗余与备份数据的物理安全是数据安全的最基本的保证,所以数据冗余备份必不可少。根据重要程度,数据的备份也分为物理备份、卷备份、操作系统备份和信息系统备份等,对于特别重要的数据,如一卡通,校园数据基础平台的数据必须保证完全的物理冗余,有条件的甚至跨校区的物理完全备份。(4)日志审计信息系统的日志审计是为了信息系统出现安全问题的事后追查。在网络攻击和入侵的情况下,黑客删除服务器和信息系统日志是对自己最基本的保护,故信息系统的日志保存不能放在本机。网络信息中心一般需要配备独立的日志系统,记录操作系统、信息系统、网络系统的所有访问日志,一方面对网络攻击的时候追查,同时也为网络信息系统日常维护提供安全保障。
3总结
