时间:2022-07-03 16:16:59
引言:寻求写作上的突破?我们特意为您精选了12篇网络设备安全范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
0.引言
随着互联网的发展,网络设备在网络中的安全防护问题日趋严峻,网络设备被攻击而导致无法为用户提供服务的情况时有发生,原有的一些传统设备管理方式和方法存在安全隐患,管理人员往往重视对用户攻击的防护而忽视了对设备本身安全的防护。为保证网络设备的稳定运行,提高对外来攻击的防护能力,加强网络设备对远程管理的可靠性,在网络设备管理中要采用更加安全、便捷的技术手段管理网络设备。
1.网络设备管理存在的安全风险
1.1对设备的远端管理采取传统管理方式,无接入限制,存在隐患
在对设备的远程管理上,基本都是通过传统的TELNET 方式管理,由于TELNET协议特点决定其不安全性,没有口令保护,远程用户的登陆传送的帐号和密码都是明文,没有加密,使用普通的抓包工具就可以被截获。没有强力认证过程,只是验证连接者的帐户和密码。 没有完整性检查,传送的数据没有办法确定是否完整的,而不是被篡改过的数据。
1.2 SNMP访问无限制
简单网络管理协议SNMP是目前TCP/IP网络中应用最广的管理协议,主要有三个版本,SNMP1,SNMP2,SNMP3其中版本1最常用,但是他有很多安全问题,原因是他的认证方案是基于一个字符串的,字符串在网络上没有任何加密,采用明文传输,所以是非常脆弱的。
1.3开启不必要服务,增加了设备的被攻击几率
许多设备在出厂时为了保证多种应用需要,在缺省情况下的许多服务是开启,例如:DHCP,WEB,FINGER,FTP等等,这些服务在我们的实际工作中往往应用不到,,我们往往忽视对这些服务端口的管理与防护,但这些开启的服务端口却可能成为设备被攻击的最好载体。
1.4设备管理安全防护未做到全网联动
我们在对设备安全防护时对一些关键的设备关注较多,而对一些底端的接入设备关注较少,但是这些设备往往由于处理能力较弱,防护功能较弱,漏洞较多而成为被攻击的目标,这些设备一旦被攻破,则会危及到关键设备的安全,近而危及整个网络的安全。
2.设备管理安全防护优化策略与方法
针对网络设备安全防护中的问题,通过加强设备的访问配置、服务端口限制进行优化,加强核心出口对网内设备访问限制优化,提高全网设备对安全攻击的综合防控能力。
2.1加强设备的远程管理控制,提高远程管理安全性
TELNET 是TCP/IP环境下的终端仿真协议,通过TCP建立服务器与客户机之间的连接。连接后,TELNET服务器与客户机进入协商阶段,选定双方都支持连接操作,每个连接系统可以协商新可选项或重协商旧可选项。传统telnet连线会话所传输的资料并未加密,因此需要将telnet服务关闭,改用更为安全的SSH。
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以多种方式进行保密。在使用SSH的时候,一个数字证书将认证客户端和服务器之间的连接,并加密受保护的口令。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
在城域网内所有支持SSH管理的设备上启用SSH管理方式。登录城域网路由器或交换机,并确定是否加载了一个支持SSH的IPSec IOS镜像。确定支持后进行启用SSH配置,以下为常用的华为设备配置方法;
local-user abcde password cipher DDN/[AN^C@;,YWX*NZ65OA!!
local-user abcde service-type telnet ssh
ssh user abcde authentication-type password
ssh user abcde service-type stelnet
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
在配置好SSH登录后关闭TELNET登录方式,增强设备健壮性。
同时为设备设置会话超时断开及警示登录标语消息
2.2加强SNMP安全防护,针对SNMP访问设置访问列表
由于SNMP强大的网络管理功能,在网络管理中得到广泛应用,但在应用中也暴露出明显安全不足,如,缺少身份验证(Authentication)和加密(Privacy)机制。虽然在SNMPv2版本后有了很大改进,但许多厂商使用的还是标准的通信字符串。为了提高SNMP通信时不被黑客截获数据而被入侵。有必要对所管理的网络设备进行SNMP协议限制。
在使用SNMP时,尽量将SNMP服务升级到2.0或更高的版本。修改所有默认的通信字符串。另外在设备上,应该编写一个ACL,只允许特定的可信任的SNMP管理系统进行SNMP操作。下面的命令可以设定SNMP版本,并且为SNMP管理启用ACL控制,只允许来自SNMP管理系统的SNMP通信,限制网络上的所有其他SNMP通信:
snmp-agent sys-info version
snmp-agent community read abcdef acl 2000
acl number 2000
rule 5 per source xx.xx.xx.xx xx.xx.xx.xx
这个ACL的第一行定义了可信任管理系统(xx.xx.xx.xx)。利用snmp-agent community read abcdef acl 2000的命令可以将上述ACL应用到SNMP中.在网络出口上过滤SNMP通信和请求,阻塞SNMP请求使用的端口,外部网络访问内部网络的能力就受到了限制。
2.3关闭不必要的服务,对必需开启的服务通过访问列表进行控制
对于我们所维护的网络设备,必需了解每台设备所需要开启的服务,对应用不到的服务予以关闭,在网络设备中通常需要关闭的服务包括:CDP、HTTP、WINS、DNS等无关的服务项目。对于应用较少的服务,可以在应用时开启,不应用时关闭。例如:TFTP与FTP是进行数据备份常用的两种服务,但在平时维护管理时,则应用不到,我们可以在应用时将该服务开启,平时则将其服务关闭,提高设备安全性。
2.4用城域网出口设备建立对全网设备的访问控制,限制城域网外网对城域网设备的访问
对网络内设备的管理地址统一分配,将管理地址分配为同一网段内,以便于通过ACL控制。对于城域网内设备可遵循公网设备,内网式管理的方法,即对于用户来说,对网络设备不应该有任何针对设备的应用服务请求,可以在关口设备针对网内设备将所有针对设备的应用服务请求屏蔽掉,在城域网内的三层接入设备上同时对接入端口设置ACL,控制对城域网设备的访问,可以将除管理需要的SNMP、SSH或TELNET、FTP或TFTP开启外,其他服务均予以关闭。如果必需通过城域网外网访问,则设置访问跳板,即设置一台机器作为登录设备的跳板,避免对设备的直接操作,减少设备密码被窃听几率。在ACL的设置点上,选在城市核心设备的入接口和三层汇聚接入设备的接入口上,这样可以避免在所有设备启用ACL而加重网络负担,同时又能有效对设备进行防控。
华为设备ACL配置:
建立ACL
acl number 3001
rule 5 permit tcp source xx.xx.xx.xx xx.xx.xx.xx(准许IP段) source-port eq 20 des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP) eq 20
rule 10 permit tcp source xx.xx.xx.xx xx.xx.xx.xx(受(下转第275页)(上接第120页)限IP段) source-port eq 21 des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP) eq 21
rule 25 permit udp source xx.xx.xx.xx xx.xx.xx.xx(准许IP段) source-port eq 161 des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP) eq 161
rule 30 permit udp source xx.xx.xx.xx xx.xx.xx.xx(受限IP段) source-port eq 162 des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP) eq 161
rule 35 deny tcp source any des xx.xx.xx.xx xx.xx.xx.xx(设备管理IP)
rule 100 permit ip
建立policy
traffic behavior guanli
traffic policy guanli
share-mode
classifier anti behavior guanli
将防护列表应用于上行口.
traffic-policy guanli inbound
3.结论
通过上述优化措施,提高了整个城域网设备的整体防护能力,使设备安全得到了较好保证,提高了网络的整体健壮性。
【参考文献】
[1]华为技术公司.《华为NE5000E高端路由器操作手册》.
中图分类号TM7 文献标识码A 文章编号 1674-6708(2010)33-0226-02
0引言
随着电力行业信息化的不断发展,网络在日常工作中变得不可缺少,但同时网络中存在的各种安全问题也给影响日常工作带来了很大影响。为了更好的将网络为工作所用,就必须很好解决网络带来的安全问题。本文作者结合“奥运保电”及“上海世博会保电”电力信息安全保障工作,就国家电网公司对电力网络设备进行安全加固的规范要求为例,重着阐述了网络设备加固的目的及重要性同时介绍了网络加固的具体做法。
1网络设备安全防护
网络设备安全包括在基础网络及各安全域中提供网络运营支撑及安全防卫的路由器、交换机、无线设备以及防火墙、安全网关等安全设备自身的安全防护,对于为各域均提供网络支撑服务的设备,按满足等级保护三级基本要求进行安全防护,各域的网络设备按该域所确定的安全域的等级进行安全防护。
2加固形式与加固对象
2.1加固形式
加固形式主要分为自加固与专业安全加固:自加固是指电力系统业务主管部门或电力系统运行维护单位依靠自身的技术力量,对电力系统在日常维护过程中发现的脆弱性进行修补的安全加固工作;专业安全加固是指在信息安全风险评估或安全检查后,由信息管理部门或系统业务主管部门组织发起,开展的电力系统安全加固工作[1]。
2.2加固对象
加固对象主要包括:网络系统、主机操作系统、通用应用系统、现有安全防护措施、电力业务应用系统。
3 网络设备加固内容
3.1 帐号权限加固
加强用户认证,对网络设备的管理权限进行划分和限制;修改帐号存在的弱口令(包括SNMP社区串),设置网络系统的口令长度>8位;禁用不需要的用户;对口令进行加密存储。
3.2网络服务加固
禁用http server,或者对http server进行访问控制;关闭不必要的SNMP服务,若必须使用,应采用SNMPv3以上版本并启用身份验证,更改默认社区串;禁用与承载业务无关的服务(例如DHCP-relay、IGMP、CDP RUN、bootp服务等)。
3.3网络访问控制加固
对可管理配置网络设备的网段通过访问控制列表进行限制;使用SSH等安全方式登陆,禁用TELNET方式;对SNMP进行ACL控制。
3.4审计策略加固
为网络设备指定日志服务器;合理配置日志缓冲区大小。
3.5恶意代码防范
屏蔽病毒常用的网络端口;使用TCP keepalives服务;禁止IP源路由功能。
4 网络设备加固实施
以思科网络设备为例,对方案进行详细的说明[2]。
4.1帐号和口令
4.1.1登录超时设置
实施方案:
Router#config terminal
Router(Config)#line con 0配置控制口
Router(Config-line)#exec-timeout 5 0设置超时5min
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:防止获得权限用户会通过con口登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。
4.1.2交换机vty口配置加固
实施方案:
line vty 0 4
password ######
logint
access-class X in
exec-timeout 5 0
transport input telnet
防止获得权限用户会通过vty进行登录控制交换机,如果没有进行登录时间限制,如果管理者在登录后没有断开,就被黑客利用登录。如果没有访问控制列表就会扩大telenet登录权限范围
4.1.3密码加密
实施方案:
service password-encryption
实施目的:防止在配置文件里以明文方式显示密码,暴漏主机信息。
4.2网络与服务
4.2.1交换机服务和协议的加固
实施方案:
no ip http server
no cdp enable
实施目的:http 服务没有被关掉,任何获得权限的人都可以对交换机进行WEB方式的管理。cdp 协议没有关掉,任何人都可以在与之相连的设备上进行察看本交换机的版本,设备端口等相关信息。
4.2.2修改交换机SNMP口令串
实施方案:
Router#config terminal
Router(config)# no snmp-server community COMMUNITY-NAME1 RO (删除原来具有RO权限的COMMUNITY-NAME1)
Router(config)# snmp-server community COMMUNITY-NAME RO(如需要通过snmp进行管理,则创建一个具有读权限的COMMUNITY-NAME,若COMMUNITY-NAME权限为RW,则将命令行中RO更改为RW)
Router(config)# snmp-server enable traps (允许发出Trap)
Router(config)#exit
Router#write
实施目的:提高SNMP的安全性
4.2.3设置Telnet访问控制策略,或启用SSH
实施方案:
Router#config terminal
Router(config)#access-list 10 permit tcp 10.144.99.120 0.0.0.0 eq 23 any(只允许10.144.99.120机器telnet登录,如需配置某一网段可telnet远程管理,可配置为:access-list 10 permit tcp 10.144.99.1 0.0.0.255 eq 23 any)
Router(config)#line vty 0 4(配置端口0-4)
Router(Config-line)#Transport input telnet(开启telnet协议,如支持ssh,可用ssh替换telnet)
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#access-class 10 in
Router(Config-line)#end
Router#config terminal
Router(config)#line vty 5 15
Router(Config-line)#no login(建议vty开放5个即可,多余的可以关闭)
Router(Config-line)#exit
Router(Config)#exit
Router#write
实施目的:提高远程管理的安全性
5结论
网络设备在电力系统的广泛使用,给电力信息从业人员带来了前所未用的挑战, 网络设备安全加固无疑是保障电力信息安全的重要措施之一。如何确保电力企业网络安全稳定运行,将安全漏洞、威胁和风险降到最小化,将成为电力信息人永远追求的目标。
随着计算机互联网络技术的迅速发展,互联网不但为企业提供了和检索信息以及资源共享提供了最方便的场所,也为个人使用网络资源提供了最大的平台,但同时也给网络安全方面造成了一定的威胁,并且随着大企业网络的发展规模越来越大,其网络设备的数量也越来越多,企业网络的扩展使网络的管理变的越来越困难。在企业网络中运行的设备需要很多不同的IP地址,且每台可以管理的网络设备需要进行配置用来满足企业网络运行的各方面的需要。如果设备的数量变得越来越庞大,则企业网络对IP地址的需求将也会变的越来越多。群集的网络管理方式可以很好地解决网络地址短缺和网络安全问题。
一、交换设备群集的分类
命令交换机是交换设备群集的重要角色,是企业网络中每个群集设备中必须指定唯一的一台交换机,群集的配置和管理均通过此命令交换机来完成,命令交换机要求具备的条件包括需要配置至少一个IP地址、在交换机上运行支持集群的相应软件和运行LLDP协议软件、必须只属于一个集群而不能是其它集群的命令交换机或者成员交换机。
第二种为成员交换机,集群中的所有交换机,包括命令交换机,都是该集群的成员交换机。如果没有特别说明,成员交换机一般并不包括命令交换机。当然只有该集群的候选交换机才能加入集群,从而成为成员交换机,运行了集群支持软件和运行了LLDP协议软件是成员交换机要求必须具备的条件,不能是其它集群的命令交换机或者成员交换机。
交换设备群集还分为候选交换机,它可以被命令交换机发现并且还没有加入群集的交换机。候选交换机具备的条件主要包括:运行了集群支持软件和运行了LLDP协议软件,且不能是任何集群的命令交换机或者成员交换机。使用局部配置模式下的命令来手动配置网络设备端口的所有安全地址。让该端口进行地址的互相学习,这些学习到的地址将自动成为该端口上的安全地址,直到安全地址数达到最大个数。但是,互相自动学习到的安全地址不会自动和网络地址互相绑定。如果在一个设备端口上已经绑定了网络地址,那么就不能通过自动学习IP地址的方式增加安全地址的个数。但是网络管理员可以手工配置一部分安全地址,交换机可以自动学习到另外的安全地址。
二、交换设备群集的创建思路
交换设备群集就是把一组交换设备构建为一个单一实体设备进行网络管理,群集中的交换机有两种角色,分别为命令交换机和成员交换机。集群的管理范围与跳数有关,跳数限定了命令交换机可以发现的候选交换机的范围。直接与命令交换机相连的交换机距前者的跳数为1,其余以此类推。默认情况下,命令交换机可以发现距其3跳范围以内的交换机。VLAN对集群的范围也有影响,为了保证与集群管理相关的帧的正确接收和转发,要求VLAN的划分应能保证在命令交换机、成员交换机和候选交换机之间存在二层通道。因此,对某台成员/侯选交换机而言,从命令交换机的下联端口直到该交换机上联端口的整个路径上的所有端口都应属于同一个VLAN,以便命令交换机能有效管理成员交换机和发现候选交换机。如果这些端口中包括Trunk则要求其本地虚拟局域网须为该虚拟局域网。但若该成员候选交换机已经处于路径的最末端,则对其上联端口的属性无要求。
交换机对LLDP协议是否支持也将影响网络设备集群的范围,命令交换机借助LLDP协议来发现集群内的其他交换机,而不支持LLDP协议的交换机将无法被发现,并且与之相连的其它换机也无法被发现,除非它们还连接到其他的支持LLDP的交换机上。如果在交换机上关闭LLDP或者在相关端口上禁用也会导致类似情况的发生。
三、交换设备群集的实现
交换设备的群集功能是开启的,在交换机上可以创建集群从而使之成为命令交换机,也可以将其加入一个集群中而成为成员交换机。一旦想要关闭集群功能,可以在特权模式下进行配置,首先进入全局配置模式,关闭集群功能,回到特权模式,验证并保存配置。如果交换机是命令交换机,关闭集群功能将删除集群,并且不能成为任何集群的候选交换机。如果交换机是成员交换机,关闭集群功能将使之退出集群,并且不能成为任何集群的候选交换机。如果交换机是候选交换机,关闭集群功能将使之不再能成为任何集群的候选交换机。可以通过全局配置模式下的命令来打开集群功能,也可以关闭交换机上的集群功能。
建立集群是配置集群的关键,可以通过在特权模式下来建立集群,同时使该交换机成为集群的命令交换机,还可以为其设置一个序号。在全局配置模式状态下设置命令交换机的序号。如果集群建立成功,可以使用命令更改集群的名称,但不能更改命令交换机的序号。可以在命令交换机的全局配置模式下执行命令删除集群。
如何发现跳数在集群的配置中非常重要,配置集群发现跳数时,发现跳数决定了命令交换机所能发现的候选交换机的范围,可以在交换机特权模式下通过以下步骤来配置发现跳数,首先进入全局配置模式设置发现跳数,可以在全局配置模式下执行命令no clusterdiscovery恢复为缺省值,该命令只能在命令交换机上执行。
在群集中为了及时地发现网络中的候选交换机,需要配置集群timer,配置后可以准确掌握成员交换机和候选交换机和命令交换机间的物理连接状况,命令交换机将每隔一段时间进行一次拓扑收集。该时间间隔由集群timer决定,默认情况下为12秒。在特权模式下,可以通过以下步骤来配置集群time,先进入全局配置模式,再设置时间间隔,时间间隔的范围是1-300,缺省值为12秒。如果要恢复为缺省值,可以在全局配置模式下执行命令。但该命令只能在命令交换机上才能执行成功。
最后一步就是配置群集的时间值,它是命令交换机所收集到的拓扑图以及所发现的候选交换机信息将会被保存一段时间,默认的时间值是两分钟。在交换机的特权配置模式下配置集群的holdtime。首先从特权模式进入全局配置模式后通过cluster holdtime命令进行holdtime时间的设置,注意时间范围是1-300,默认情况下的值为120秒。然后再回到特权模式,通过show cluster验证配置,可以在交换机的全局配置模式下执行命令no cluster恢复其缺省值,这一步的配置只能在命令交换机上才能执行成功。
四、维护交换设备群集的方法
目前社会已经进入信息时代,互联网在全球范围内得到广泛的应用,具有很强的开放性和传播性,为黑客的非法入侵提供了条件,对企业的网络带来了越来越多的安全隐患。企业应该利用先进的网络技术和设备,特别是思科设备,构建网络一体化安全体系,为企业的网络安全提供技术支撑。
一、企业面临的网络安全隐患分析
在企业的网络体系中,造成安全隐患的因素一般都是外界的非法入侵和攻击,但是其风险归根到底还在于企业的网络安全体系存在漏洞,为攻击者提供了机会,而且企业的管理人员对网络安全重视不足,目前企业面临的网络安全隐患具体包括以下几点:
(一)系统漏洞隐患
网络上产生的病毒和黑客的侵入都是通过网络协议实现的,网络协议对安全技术要求较少,所以攻击者便有机会入侵企业网络系统。目前我国大部分企业的网络系统都是基于IP协议建设的,设置较为简单,没有重视网络安全,黑客很容易通过该协议找到系统漏洞,对企业的整个网络系统造成威胁,破坏了系统的稳定性和可靠性。而且近年来针对系统漏洞的病毒多种多样,企业很难对其进行把控。企业必须加强对网络系统的防御,升级网络设备,采用具有防病毒功能的设备,降低非法入侵的风险。
(二)网络拥堵
造成网络拥堵的原因是企业网络系统的用户对网络资源的需求远远大于网络系统的固有容量,形成了持续的网络过载状况。基于互联网体系的网络资源共享中,如果没有对资源的使用进行请求许可设置,多个IP分组同时到达一个路由器,并经同一输出端口转发,就会发现网络拥堵现象。所以,必须利用先进的新型路由器设备,提高路由器端口的传输速度,有效缓解网络拥堵现象。
(三)网络安全知识缺乏
基层企业员工的网络安全知识十分匮乏,网络安全意识较低,导致个人信息和企业机密的泄漏,如果被不法分子利用,就会对企业造成巨大危害,十分不利于企业的竞争和发展。企业要增强员工的网络安全知识,让员工管理好自己的登录密码,对自己的文件资料负责,设置访问权限,在于互联网信息链接时,确保没有受到病毒或木马的攻击,运行安全的程序和软件,在获取互联网资源时时刻保持高度警惕,防止病毒入侵,加强对防病毒软件的使用。
(四)网络安全管理体系不健全
目前我国大部分企业都没有建立完善的网络安全管理体系,缺乏强制的网络安全管理制度。保证企业的网络系统运行安全和企业机密不被窃取,除了加大对网络系统的建设投入,更新网络设备之外,还需要加强对网络安全的管理。企业要制定规范的网络安全管理制度,加强对企业网络系统使用和安全管理的培训,将技术手段与管理手段相结合,为企业构建安全稳定的网络环境提供制度保障。
二、基于思科设备的网络一体化安全体系的构建
思科设备是世界先进的网络专业设备,能够针对企业的网络安全隐患,构建一体化的安全体系,为企业网络安全困境提供良好的解决方案。具体措施包括以下几个方面:
(一)完整的网络安全架构
思科设备在网络产品方面具有雄厚的技术积累和实践应用,能够构建一个完整的网络安全架构,并能针对企业网络系统的特性和实际运用状况对其进行划分,将企业网络系统细分为便于分析的不同模块。首先,将原先复杂的企业网络系统架构分为紧密联系的部分,包括企业园区网、企业边缘和服务供应商边缘,这是新的网络架构的基本层次,在这个层次的基础之上,又将这三大块进一步细分为若干功能模块,这些特定的功能模块有其具体的功能和安全需求。例如,可以将企业园区网进一步细化,分为核心模块、构建模块、管理模块、服务器模块和边缘模块,每个模块都有自己特定的目标和功能。其中核心模块能够将企业的信息迅速从一个网络传输至另一个网络空间,并能进行信息数据的交换,其安全功能是对分组窃听风险的有效缓解;管理模块保证企业网络安全系统和网络主机及设备的安全运行,对网络安全进行管理,能够利用防火墙有效阻止未经企业授权的访问,减少数据穿过网络时可能受到的攻击,同时能够降低电子欺诈、分组窃听和窃取信任关系进行攻击的频率;构建模块可以对构建交换机提供不同层次的服务,对路由器的访问和交换机的服务质量进行控制,该模块能够对未授权的访问进行三层过滤,并能过滤电子欺诈,对分组窃听进行限制,从而实现安全功能。
(二)制定完善的网络安全方案和策略
利用思科设备和技术,企业要制定旨在创造网络安全环境的网络安全计划,提出具体有效的网络安全方案和策略,为构建一体化的网络安全体系提供保障。其中包括以下两个方面:
1.路由器安全策略
路由器的企业网络系统的核心组成部分,路由器的配置对网络的安全运行具有很大影响,所以只能容许经过授权的主机登录路由器。要对路由器进行全局配置,设置标准的访问控制程序,并将其应用到所有虚接口上,确保授权主机的远程登录且能够对路由器配置进行修改和完善。
2.交换机安全策略
首先,要为交换机配置私有的IP地址,阻止非本企业的主机对交换机的访问。同时,将企业内部所有的交换机放在同一个虚拟网之中;其次,对允许访问交换机的主机进行配置,即只允许企业内特定的主机对交换机所在的虚拟网进行访问,而企业其他的主机也不能访问虚拟网和交换机;再次,对允许远程登录交换机的主机进行配置,限制允许访问的主机远程登录交换机,而且只有经过企业授权的主机才能对配置的参数进行修改,在对交换机进行全局配置之后,设置标准的访问程序。
总结:
综上所述,掌握世界先进技术的思科设备,能够为企业的网络安全提供保障,促进企业一体化网络安全体系的构建。企业的管理人员和网络技术人员还需要对维护企业网络安全的技术和措施加以进一步研究和探索,为企业的网络的安全和稳定运行提供支持,保证企业内部信息和机密的安全,以促进企业的全面发展。
0 引言
TCP/IP协议的开放性、灵活性使得基于IP技术的通信系统成为各类通信网络的主要构成部分,但网络上的IP数据包几乎都是用明文传输的,非常容易遭到窃听、篡改等攻击。特别是传输重要数据的通信IP网,网络的安全性尤其重要。
IPSec(Internet Protocol Security)在IP层提供安全服务,使得一个系统可以选择需要的协议,决定为这些服务而使用的算法,选择提供要求的服务所需要的任何密钥。IPSec可保障主机之间、网络安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。因此,采用基于IPSec的网络安全设备可为重要数据安全传输提供保障。
1 IPSec概述
IPSec协议是IETF提供的在Internet上进行安全通信的一系列规范,提供了在局域网、专用和公用的广域网和Internet上的安全通信的能力,保证了IP数据报的高质量性、保密性和可操作性,它为私有信息通过公用网提供了安全保障。通过IKE(IPSec Key Exchange,自动密钥交换)将IPSec协议简化使用和管理,使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN(Virtual Private Network,虚拟专用网)网关具有数据安全性、完整性、成本低等几方面的优势。
使用IPSec协议是用来对IP层传输提供各种安全服务,主要包括两种安全协议,即AH(Authentication Header,验证头)协议和ESP(Encapsulating Security Payload,封装安全载荷)协议。AH协议通过使用数据完整性检查,可判定数据包在传输过程中是否被修改;通过使用验证机制,终端系统或网络设备可对用户或应用进行验证,过滤通信流,还可防止地址欺骗攻击及重放攻击。ESP协议包含净负荷封装与加密,为IP层提供的安全服务包括机密性、数据源验证、抗重播、数据完整性和有限的流量控制等。两者比较之下,ESP协议安全性更高,与此同时其实现复杂性也较高,本文设计的网络安全设备采用ESP协议。
2 网络安全设备设计
2.1 设备加解密原理
图1 设备加密工作原理
为确保重要数据传输安全可靠,需在通信IP网中增加保密措施,因此本文设计了基于IPSec的网络安全设备。设备采用软件和硬件相结合的方式实现IPSec协议体系。软件模块主要完成控制层面的功能,包括网络管理、密钥管理、策略管理、配置管理、热备管理、信道协商等功能;硬件模块主要完成数据处理层面的功能,包括数据包的协议分析、保密策略和加解密密钥的搜索、加解密处理、IPSec隧道头的封装和拆封装等功能,设备加密工作原理如图1所示。
当设备收到用户IP包时,先判断其是否为保密数据,如果是,则在该IP数据前加入一个ESP头,然后发送到公网。ESP头紧跟在IP头后面,ESP占用IP协议标识值为50。对IP包的处理遵守以下规则:对于要发送到公网的IP包,先加密,后验证;对于从公网上收到的IP包,先验证,后解密。
当设备要发送一个IP包时,它在原IP头前面插入一个ESP头,并将ESP头中的下一个头字段改为4,根据密钥管理协议协商得到的SPI(Security Parameters Index,安全参数索引)值填入到ESP头中,并分配一个序列号,同时根据算法要求插入填充字段,并计算填充长度。在ESP头的前面插入一个新的IP头,源地址为设备的IP地址,目的地址为对端设备的IP地址,并对相应的字段赋值,在做完以上处理后,对IP包加密,并进行验证,将验证数据插入ESP尾部。最后计算最前面的IP头的校验和。
远端设备接收到一个ESP包后,首先检查这个包是否有相关的SA(Security Association,安全关联)存在,如果不存在,则将该包丢弃。如果存在,则进行下一步处理。首先检查序列号,如果序列号无效(一个重复的包),则将该包丢弃。如果有效,则进行下一步处理。根据对应的SA对这个包进行验证,并将验证结果与IP包中的验证字段比较,若不一致,则丢弃,若一致,下面就进行解密,并根据填充内容来判断解密是否正确,因为填充数据可以通过约定事先知道。在验证和解密成功后,就对IP包进行初步地有效性检验,这个IP包的格式与SA要求的工作模式是否一致,若不一致,则丢弃该包,若一致,就准备从ESP包中解出原IP包,删除外面的IP头和ESP头,然后检查这个IP包与SA所要求的地址和端口是否符合,若不符合,则丢弃,若符合,则设备将该IP包转发出去。
2.2 硬件结构设计
网络安全设备采用模块化的设计思路,各硬件功能模块之间采用接插件方式连接,各模块的连接关系如图2所示。
图2 设备硬件结构及连接关系
设备主板是数据处理核心模块,其他各模块通过接插件与其连接。承载了业务安全处理、加解密等设备的核心功能。其上的主控模块运行Vxworks操作系统,承载设备嵌入式软件,全面管理设备软硬件运行状态。板载密码模块完成业务数据的高速加解密处理。
接口板包括用户口和网络口两块接口板,通过高(下转第64页)(上接第65页)速接插件插在设备主板上。接口板上的千兆MAC芯片通过业务和控制线缆连接到后接线板。
IC卡读卡器通过RS232接口线缆与设备主板上的主控模块相连。电源模块使用电源接插件为各功能模块提供相应的直流电源。后接线板提供千兆口、100/1000自适应电口的用户业务接入,本地控制接入。
3 VPN构建
网络安全设备专门用于在TCP/IP体系的网络层提供鉴别、隧道传输和加解密功能。通过对IP层加解密,可以支持大多数用户业务,对局域网重要数据进行加密保护,通过公共通信网络构建自主安全可控的内部VPN,集成一定的包过滤功能,使各种重要数据安全、透明地通过公共通信环境,是信息系统安全保障体系的基础平台和重要组成部分。设备部署在局域网出口处,通过对IP数据的加解密,可以保证局域网数据在公共信道上传输的安全性。
与设备相连的内部网受到IPSec保护,这个内部网可连入不安全的公用或专用网络,如卫星通信、海事和专用光纤等。在一个具体的通信中,两个设备建立起一个安全通道,通信就可通过这个通道从一个本地受保护内部网发送到另一个远程保护内部网,就形成了一个安全虚拟网。当位于某个安全内部网的主机要向另一个位于安全内部网的主机发送数据包时,源端网络安全设备通过IPSec对数据包进行封装,封装后的数据包通过隧道穿越公用网络后到达对端网络安全设备。由于事先已经经过协商,收端网络安全设备知道发端所使用的加密算法及解密密钥,因此可以对接收数据包进行封装。解封装后的数据包则转发给真正的信宿主机,反之亦然。
4 结束语
在设计网络安全设备时采用IPSec协议,使用ESP对传输的数据进行严格的保护,可大大增强IP站点间安全性。在传输重要数据的通信IP网中使用本文设计的基于IPSec的网络安全设备构建VPN能很好地防止数据被更改或窃取,确保数据传输的安全性。
【参考文献】
[1]蓝集明,陈林.对IPSec中AH和ESP协议的分析与建议[J].计算机技术与发展,2009,11(19):15-17.
中图分类号:TP273文献标识码:A文章编号:1007-9599 (2011) 03-0000-01
The Device Itself Safety Study of Access Ring Ethernet
Si Yanfang,Zhang Hong,Lai Xiaojun
(No.713 Research Institute,Zhengzhou450015,China)
Abstract:In this paper,the characteristics of ship and use the ethernet ring network security situation is now more difficult to construct a firewall,intrusion detection systems,port management,data encryption,vulnerability management,disaster recovery and other security policy of security and defense systems,effective protection of ethernet ring network security,ethernet connection for the ships safety equipment.
Keywords:Network security;Firewall;Intrusion detection;Data encryption
一、概述
环形以太网是由一组IEEE 802.1兼容的以太网节点组成的环形拓扑,随着环形以太网的普及和网络技术的飞速发展,人们在充分享受信息共享带来的便利时,也被网络病毒和网络攻击问题所困扰,网络安全问题被提上日程,并有了快速的发展。
二、常用的安全技术
鉴于越来越严峻的网络安全形势,对网络安全技术的研究也越来越深入,常用的网络安全技术有:防火墙,入侵监测系统以及数据加密技术等。
(一)防火墙。防火墙是指在两个网络之间加强访问控制的一个或一系列网络设备,是安装了防火墙软件的主机、路由器或多机系统。防火墙还包括了整个网络的安全策略和安全行为,是一整套保障网络安全的手段。已有的防火墙系统是一个静态的网络防御系统,它对新协议和新服务不能进行动态支持,所以很难提供个性化的服务。
传统防火墙的不足和弱点逐渐暴露出来:
1.不能阻止来自网络内部的袭击;
2.不能提供实时的入侵检测能力;
3.对病毒也束手无策。
(二)入侵检测技术。入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。它可以主动实时检测来自被保护系统内部与外部的未授权活动。
(三)数据加密技术。数据加密技术是指对被保护数据采用加密密钥进行加密形成密文,只有被授予解密密钥的用户才能在接收到数据之后用解密密钥对数据进行解密形成原始的明文进行阅读。数据加密技术作为一种被动的安全防御机制,是在数据被窃取的情况下对数据最后的保护,是保护数据安全的一种有效手段。
三、安全防御系统的构建
根据环形以太网传播模式多样、传输数据量大的特点及常见的网络安全技术的分析,本文构建了由防火墙、入侵监测系统、端口管理、漏洞管理、安全策略组成的完整的安全防御系统。
(一)使用防火墙。防火墙设置在受保护的系统和不受保护的系统之间,通过监控网络通信来隔离内部和外部系统,以阻挡来自被保护网络外部的安全威胁。当被保护系统接收到外部发来的服务申请时,防火墙根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果该服务符合防火墙设定的安全策略,就判定该服务为安全服务,继而向内部系统转发这项请求,反之拒绝,从而保护内部系统不被非法访问。
(二)选用合适的入侵检测系统。本文提出的安全防御系统主要是为了保护环形以太网中的各个结点免受网络威胁的入侵,所以选择基于主机的入侵检测系统,既可以更好的保护主机信息,又方便与防火墙结合。入侵检测系统与防火墙采用将入侵监测系统嵌入到防火墙中的方式结合,如图1所示。
该结构处理步骤如下:
1.防火墙把不符合安全策略的数据首先拒绝其进入系统内部,把符合安全策略的数据传递给入侵检测系统做进一步检测;
2.入侵检测系统对防火墙放行的数据做进一步分析,对含有安全威胁的数据直接丢弃,反之放行使其进入系统内部;
3.入侵检测系统定期对系统内部的系统日志等系统数据进行分析检测,从而发现来自系统内部的威胁。
将防火墙这种静态安全技术与入侵检测系统这种动态安全技术结合使用,可以在被动检测的基础上通过入侵检测系统进行主动检测,同时检测来自系统内部与外部的安全威胁。
(三)端口管理。只开放环形以太网中的特定的少数机器的端口,允许其与外部存储设备进行数据交换,然后在其它节点需要该交换数据时,使其与开放端口的节点进行通信,并且对这几台机器的安全系统进行及时升级更新,从而有效保护环形以太网的内部安全。
(四)漏洞管理。加强软件管理,及时发现系统软件、应用软件尤其是系统安全防御软件的漏洞,并下载补丁,尽量避免漏洞被入侵者利用,从而提高系统整体的安全性。同时,要注意人为管理漏洞的防御,提高网络操作员的网络安全意识,制订严格的计算机操作规章制度,使网络安全管理有章可循。
四、结论
本文根据环形以太网的特点和现在严峻的网络安全形势,构建了一个针对环形以太网的安全防御系统,在实际应用中可以根据被保护环形以太网的实际需要进行合理的选择和增减。
参考文献:
[1]刘长松.具有入侵检测功能的防火墙系统的设计与实现[J].四川:电子科技大学,2003
DSF的运作
DSF架构的运行需要几个组件相互配合,实现如下功能:一是设备的登记,包括了客户端机器和DAS的登记。主要通过在客户端和DAS之间传送密钥,并且加密保存在两边;二是要实现DSS登记,包括了DSS和DAS,企业要正常使用DSS,需要通过获得DAS许可才能进行等级,DAS向DSS发送签名文件,该签名文件中包含了DSS的使用许可和许可期限;三是实现客户端向DSS注册应用程序;四是DSS想DAS注册应用程序。
DSF在设备端网络安全中应用
DSF是一个网络安全的结构框架,在应用上,笔者在此主要介绍其在网络安全维护的身份认证和访问控制上的应用。基于DSF的身份认证和访问控制,主要是应用于基于B/S结构的电子商务和电子政务平台。具体操作方式是利用DSF的硬件信息作为数字认证身份。关于身份认证的主要流程包括了如下几步:首先以用户名和密码组合的方式向系统提出申请,管理员接到来自用户的申请后进行审批,判断用户是否能够通过审核,使用该系统,其次审批通过后由系统向用户许可证,许可证由20位的密码文件组成,用户再次登录,输入用户名和密码,下载许可证,提交设备登记,登记时由管理员验证客户端的许可证,最后进行设备应用程序的注册,注册成功后,用户为系统的授权用户,从而能够登录系统,在设备上正常使用应用程序。访问控制主要是对应用系统的内部资源进行后台控制,访问控制是对用户使用应用程序的内部资源范围的控制和合理协调。在本设计中对访问的控制,主要是针对系统内部各个功能模块而言,按照用户的身份进行控制,其实现的方式主要采用的是JSP+JAVABEAN,应用的数据库系统是ORCLE8I。
基于客户端的用户管理主要包括了以下几个组成部分:用户权限管理、用户角色管理、权限组管理以及部门管理。用户管理主要是指用户申请用户名和密码,后台能够根据用户的具体情况,对用户进行删除、修改和用户维护的工作;用户组管理则主要是将分散的用户归于一个用户组,将用户分成不同的组,将用户分类、分等级,不同的用户等级组享有不同的权限,系统后台能够对用户组进行添加、删除和修改等后台维护工作。权限组管理则主要是指将用户的权限模块分配给每一个用户组,一个用户组只能使用相关的权限组内的功能模块,系统主要对这些用户组权限模块进行调整、修改和添加删除等操作。用户权限管理是针对客户端用户进行权限管理,是对组内权限的细化和分化,是对用户组内权限功能以外的权限的设置;部门管理则是对部门进行分类添加和修改,部门是用户和用户组的归属,系统通过统一维护和合理分配,能够实现权限的最优管理。
据磁县公安局介绍,今年3月19日,磁县一通讯门市经营者张某到该县公安局报案称:2009年6月,李某到其门市,以高利润回报为诱饵,让其销售MDG国际科技集团的麦库软件,通过发展下线进行传销。
依据报案人张某提供的案件线索,警方立即展开侦查,并依法传唤李某。犯罪嫌疑人李某不仅供述了他加入麦库软件传销组织并进行传销活动的犯罪事实,还供述出,他伙同犯罪嫌疑人郭某于今年5月加入另一传销组织——“全国兴村富民互助社”。
经调查,“全国兴村富民互助社”的传销人员遍及全国各地。由于案情重大,磁县公安机关迅速成立了由经侦、刑侦、网监等多部门组成的专案组,同时,将案情上报公安部,因涉及地区、人员较多,该案被公安部列为督办案件。公安部要求全国公安系统协同配合,协助磁县公安局破获此案。
-谁是网络背后黑手
专案组在邯郸市公安局网监支队的配合下,对“全国兴村富民互助社”的网站IP地址进行了监控,锁定了该网站服务器的位置。同时,专案组民警先后到山东潍坊、江苏南通、河南郑州等地查找该服务器。
根据在江苏南通电信机房获取的该网站的一些数据,磁县公安局成功破解了该传销网络系统后台管理的最高权限,直接锁定了这一网络传销组织的骨干人员信息。
获取大量有力证据后,磁县公安局迅速展开抓捕。7月26日,专案组民警在北京朝阳区傲城融富中心将“全国兴村富民互助社”的负责人何某抓捕归案,并查扣了“全国兴村富民互助社”公章、财务章、互助社铜牌、4个省级分社的铜牌等。
据了解,自今年3月该传销网站建成开通后,传销网络迅速膨胀。截至案发,该传销组织已发展社员近7000人,广泛分布于30个省、自治区、直辖市,涉案金额近600万元。
网络传销如何“营利”
据透露,2009年底,“全国兴村富民互助社”负责人何某与郑州儒脉网络公司法人代表黎某,在北京经过洽谈达成合作事宜,由何某出资,黎某按照何某授意的传销模式制作专门的传销网站。
其具体模式为,一般会员通过网站注册和缴纳880元即可成为正式社员,获得VIP1社员资格,同时拥有500元网站积分。VIP1发展4个下线,达到2000积分时,再无偿交给上一级,就可以升级为VIP2社员资格。VIP2再如法炮制捐出2000积分时,即可升级为VIP3社员资格。
“该网站服务器连接某支付平台,最终的返利金额都由电脑程序自动生成,并通过易宝支付平台自动转到社员银行卡上。”办案民警说。
据介绍,该传销组织中最大的理论“亮点”就是“出局制”。该传销组织系统设置中只有取得VIP3的社员才有资格对返利金额进行提现。如果一旦提现,该社员会立即“出局”。如不提现,通过积分的积累,该传销组织承诺最高提现金额为340万元。
-终极优待是场骗局
据介绍,社员达到VIP3级别后,可以免费申领该组织自制的“农联一卡通”,可以办理无息小额贷款及融资,解决“借钱难”、“融资难”的问题。利用“农联一卡通”,社员可实现消费打折、消费积分、消费回馈、消费创富的目的。经查证实,“农联一卡通”只是该传销组织吸纳会员入社的一个诱饵,并无实物。
中图分类号:TN915.08
1引言
当前,计算机网络技术正处速发展的阶段,Internet的应用已经遍及了各个不同的领域和行业。它给人们的生活和工作带来很大的方便性的同时,也逐渐在改变着人们的生活、工作和交流方式等。现如今,互联网已成为人们家庭与工作生活中的重要组成部分。计算机网络与信息安全与我们息息相关,如何对网络安全进行防御和保护成了我们关注的一个主题。
根据国际标准化组织的制定的标准来看,网络与信息安全的安全功能具备:身份认证、访问控制、数据保密、数据完整和不可否认的要求。在五大安全功能中,数据访问控制是一个网络安全重要手段,其中防火墙技术又是访问控制一个典型代表技术。防火墙技术它是一种被动防御技术,一直被人们所关注,但是在实际运用过程,也发现存在很多的缺陷。针对被动防御技术的不足之处,本文引入了主动防御技术的蜜罐技术,提出了被动和主动防御技术相结合的网络安全框架。
2被动防御的网络安全技术—防火墙技术
2.1防火墙技术的介绍
防火墙技术是建立在网络内部与外界之间的一个“屏障”,根据网络安全协议,只有在经过授权的许可下,依据协议的约束,才可以进行网络内部对外部的通信。而对于外来外部的访问者来说,要访问内部网络将受到了限制,这样可以防止外来非法用户的入侵,从而达到保护网络的安全的目的。
2.2防火墙技术的缺陷
防火墙技术是运用在网络安全防护的一个最多安全技术。但是在目前市场上,一些人出于某种商业的目的,大肆地宣传防火墙技术的相关产品,夸大防火墙的作用,把防火墙认为是万能的防火墙。实际上,作为被动防御技术中的防火墙技术也是存在很多的缺陷和弊端的,主要体现在:(1)防火墙不能对绕过防火墙的攻击或入侵进行安全保护;(2)防火墙只能防御外界的入侵,而对于网络内部的破坏活动是无能为力的;(3)防火墙阻止的对象不包括人和自然界,因此对于人为和自然界的破坏,也是毫无办法的;(4)防火墙中的网络协议一旦遭到篡改和破坏,那么防火墙就会失去防御的功能。(5)防火墙针对的是外界的入侵,对于病毒的检测和查杀也是无效的。(6)防火墙自身的防御能力非常差:它可以保护被保护对象免受侵害,但不能保护自身的安全[1]。
3主动防御的网络安全技术—蜜罐技术
3.1蜜罐技术的介绍
蜜罐(Honeypot)是一种主动防御的网络安全防范技术。它实际上时一个情报收集系统,是以真实的网络系统或在真实的网络环境中的模拟,其作用是引诱非法用户(如黑客或攻击者)扫描、攻击目标,然后从攻击者的活动中,以某种方式记录非法攻击者的相关信息并收集相应的信息。根据收集到的信息,网络监控人员就可以知道攻击者的攻击情况,随时了解攻击者的动向,从而为制定安全防护措施提供帮助。
3.2蜜罐技术的特点
对于蜜罐系统来说,其主要的目的是收集用户的数据信息。蜜罐系统的监测人员通过蜜罐系统的监测攻击者的活动信息。这样就能够一清二楚的了解攻击的目地和动向。其实,蜜罐系统产生的日志信息就是很好的监控记录。但由于蜜罐的日志容易被攻击者破坏或删除,所以一般的做法是让蜜罐及时将监控的日志发送到同一网络上的其它蜜罐系统进行数据备份。这样即使本机上的蜜罐系统日志被更改或删除,通过其它蜜罐系统能起到恢复数据的功能[2]。
3.3蜜罐技术的应用
在目前的网络安全中,蜜罐在很多方面得以运用。这里给出了蜜罐技术主要应用的四个主要方面:
(1)利用蜜罐技术可以达拖延攻击者攻击系统的时间目的,甚至起到掩盖网络真实系统作用。在蜜罐系统的工作中,蜜罐采用的是引诱的方式。非法用户或攻击者对系统进行攻击的社会化,蜜罐系统这是就将攻击者的攻击方向引入到设置的蜜罐系统中,这样攻击者一直在监控者设置的蜜罐中进行相应的活动,这样一来可以将攻击者的注意力转移到目标之外,从而使攻击者大量时间和精力用到蜜罐上去,攻击消耗其时间,以实现保护网络系统的目的。
(2)蜜罐技术具有取证的功能,因为蜜罐技术在诱导和监控系统的同时,会时时记录下攻击者的攻击行为和过程,这些日志可以为作为法律证据。在目前以网络犯罪为代表的高科技的犯罪活动中,一个面临的严重问题就是网络取证时是不容易的。
(3)蜜罐技术还具备了防毒和跟踪病毒的能力。在前面讲述的防火墙技术是不具备对病毒的监测和防护的功效,而蜜罐技术刚好填补了这个缺陷。从目前所掌握的资料看来,有比较多的资料或参考文献度记载了利用蜜罐技术来跟踪防范计算机病毒的方法[3].
(4)蜜罐技术还具有减轻防火墙负载的功效。防火墙作为一种被动的防御技术,在工作过程中,往往要受到很多外来攻击者的入侵,防火墙在处理这些事务的同时,会消耗防火墙的大量资源。这样一来,就会影响了正常信息的通信和流量的通过。
4主动被动防御技术的组合在安全问题的应用
笔者从防火墙技术和蜜罐技术的特征进行分析研究,构造同时利用主被动防御的办法,即将防火墙和蜜罐技术结合起来进行设计,得出了如下的一个网络安全体系结构图,如图1所示:
图1主被动防御相结合网络安全体系图
设计分析:在图1中我们设置了两个防火墙:防火墙1和防火墙2。其中防火墙1主要用来分析从外界网络来的访问意图,这个防火墙主要采用包过滤和服务技术对来自系统外部的访问进行识别分析。对于防火墙1建立严格的访问控制策略。只有通过了防火墙1的分析,才能够进入系统,然后进行数据分流。在防火墙2的前端设置一个蜜罐或蜜罐网,用于迷惑攻击者(这是本设计的一个特色)。
5总结
虽然笔者建立主被动防御体系在一定程度上,可以比较好的防范外界的非法入侵保障网络和信息安全,但这个结构体系也会存在一定缺陷。我们要看到当前网络安全的复杂性,任何一种网络安全防范技术都会存在一定的其局限性。为了更好的加强网络安全的防范操作,我们只有根据当前实际环境结合多种防范措施综合布局,做到与时俱进,这样才有可能更好满足网络与信息安全的需要。
参考文献:
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0010-02
1引言
网络系统在运行过程中会产生大量的系统日志、应用日志、安全日志和网络日志,这些日志包含着关于网络运行、安全及状态的数据。随着采集日志的大规模增长,现有的存储系统硬件成本高,扩展能力差,数据并行访问效率低,难以满足网络安全设备联动系统的需求。因此,提供一种更高性能、更低成本、更好可靠性的易于管理的存储平台,才能够帮助该系统用尽可能低的成本应对日益增长的数据存储需求。HDFS采用主从式架构设计模式(master/slave),一个名称节点(NameNode)和若干数据节点(DataNode)构成HDFS集群[1]。HDFS的这种单名称节点的设计极大地简化了文件系统的结构,然而也因此引发了HDFS的小文件存储效率低的问题。HDFS设计之初的目的是存储大量的大文件,所以需要采用分块策略先将每个文件分块,保存机制是每个文件都占用一个或多个块。因为HDFS中的每个目录和文件的元数据信息都存放在名称节点的内存中,如果系统中存在大量的小文件(指那些比HDFS数据块(默认为64MB)小得多的文件),则无疑会降低整个存储系统的存储效率和存储能力。然而,在网路安全设备联动系统[2]存在着大量的小文件。大量的小文件存在于云存储系统中无疑会降低整个系统的I/O性能。针对这一问题,本文提出云存储中小文件的合并处理方法,以提高小文件的存储效率,提高整个系统的I/O性能。
2整体方案优化设计
文件的优化方案主要包括4个部分:数据预存储节点的功能设计,小文件合并方案,小文件索引结构的设计以及小文件合并过程的整体设计。
2.1数据预存储节点功能设计
数据预存储节点是在HDFS架构的基础上新增的节点,它位于客户端与名称节点和数据节点之间,主要实现对存储的文件进行预处理,根据文件大小,判断是否属于小文件,对于小文件主要完成存储前的合并,生成索引以及小文件检索时的文件分离等功能。增加数据预存储节点之后,在数据存储的过程中,数据的流向由从客户端直接到数据节点变成了由客户端先到预存储节点再到数据节点。
2.2小文件合并算法设计
当客户端写入小文件时,首先根据小文件的类型对数据预存储节点进行分组。然后分别将每个分组中的小文件合并成大文件,此时,生成相关小文件索引信息及元数据信息。最后将合并后的文件和相关的元数据,按照原HDFS写入文件的方式一同上传至HDFS中,其中第二类元数据信息由数据预存储节点进行存储,第一类元数据信息由名称节点进行存储,数据节点存储合并成的大文件[3]当客户端需要读取某个小文件时,从名称节点获取小文件所在大文件的元数据信息,然后从数据预存储节点获取第二类元数据信息,从数据节点获取小文件所在的大文件,并在接口中将大文件解档为若干小文件,并将这些小文件缓存在客户端。为了便于算法描述,对算法里的符号进行定义:File[type][MD5][key]——缓冲区中待合并的文件;type——日志文件的类型(1:主机日志;2:sort日志;3:防火墙日志;4:交换机日志);MD5——文件的MD5值;fi——要合并的第i个文件;xj——合并第j类文件个数。分组合并算法描述如下:(1)初始化,定义一个三维数组File[type][MD5][key],type初始化为1,key值初始化为文件的大小;(2)读入缓冲区的所有文件大小,更新数组File[type][MD5][key],根据文件的类型更新数组的type值,初始化i=1;(3)采用冒泡排序,分别将数组File[i][MD5][key]从大到小进行排序。首先判断File[i][MD5][key]的大小,如果所有文件的总大小大于64M,开始进行合并,否则退出程序,i++,等待下次分组合并调度;(4)从最大的文件fi开始分组。如果放入文件fi后,此类文件的总大小小于64M,则存放下一个文件,从数组中把文件fi的记录删除,循环这个过程,直到所有的File[i][MD5][key]文件都合并到一起;(5)计算每类文件合并后的大小,文件大小达到63M的调用HDFS命令将文件上传到HDFS上,大小小于63M的文件,再从缓冲区中查找文件进行装入,返回(2);(6)上传成功;主要是考虑到用户的访问效率,算法中采用将同类日志文件进行分组,无论从写入小文件,还是从读取小文件方面,都能大大提高HDFS的性能:首先减轻了名称节点的负担,在读取小文件方面,不用连接数据节点读取,减少文件读写的I/O操作,节约大量数据传输时间,极大地节省了网络通信开销,降低了HDFS的访问压力,提高客户端访问文件的速率和性能。当用户删除数据时,把合并后的文件取回数据预存储节点,进行分解,删除指定文件,再与缓存区中已有的文件进行合并。用户查询文件时,需要对HDFS索引进行查询,同时也需要查询缓冲区里面的文件。
2.3小文件索引结构的设计
在小文件合并之后,仅仅根据名称节点中存储的元数据信息不能检索到小文件,为了提高检索效率,需要为所有小文件构建相应的索引,使用户能够通过索引快速的检索到小文件。小文件索引信息是在小文件合并成大文件之后生成的,保存在数据预存储节点中,通过此类元数据信息,再结合名称节点中的第一类元数据信息,才能正确找到小文件的存储位置。所以小文件的索引信息对于后期的小文件检索极其重要,其中要包含小文件的一些重要信息:File_name类型为String,表示小文件名称;File_size类型为int,表示小文件大小;File_type类型为int,表示小文件类型;Merge_file_nam类型为string,表示小文件合并成大文件后的名称;File_offset类型为int,当前小文件在合并文件中的偏移量;time类型为long,表示文件的写入时间;If_use类型为bool,表示文件是否存在。
2.4小文件合并过程的整体设计
大致流程如下:当需要写入文件时,首先将数据传输到数据预存储节点,判断文件大小,如果文件大小超过了HDFS数据块的大小,则直接存入数据节点,并将元数据信息写入到名称节点;如果需要写入的文件属于小文件,则先判断小文件的类型,然后根据2.2中设计的小文件合并算法将小文件合并,生成索引信息,在这个合并的过程中,不断地将正在合并的小文件索引信息插入到小文件索引信息列表中,当合并文件块达到合适的大小时,客户端将写文件请求发送到名称节点将合并后的文件存储到相应的数据节点中。
3实验验证
实验需要搭建Hadoop集群,集群中包括4个节点:一台Na-meNode,二台DataNode,以及客户端用来提交数据的NameNode。使用VMware7.0来模拟Linux环境[4,5台机器上模拟海量小文件的存储和访问操作。本文随机选取了10000个xml日志数据文件,文件大小分布情况为:200kB占1%,300kB占2%,400kB占10%,500kB占20%,600kB占30%,700kB占20%,800kB占10%,900kB占4%,1000kB占3%,可见文件大小集中在400kb到1000kb之间。为了直观的反应优化方案在处理小文件和大文件时的系统性能,本文在测试数据中分别选取了100、1000、10000组数据,按照以上测试和执行程序步骤,对文件写入时间进行测试,测试结果如图1所示。实验结果表明,随着文件数量的增多,写入文件所用时间增长趋势的变化缓慢,说明本文设计的Hadoop小文件存储优化方案在写入海量小文件时性能更高。
4结论
本文首先对网络安全设备联动系统的数据转化为XML文档,然后对文件的特点及文件大小的分布进行了分析。针对HDFS对小文件存储效率低的问题,对小文件存储方案进行了优化,设计了小文件分组合并的算法。最后搭建了Hadoop集群环境,对改进的方案进行测试,实验结果表明,本文设计的Hadoop小文件存储优化方案在写入文件所用时间增长趋势的变化缓慢,说明本方案在写入海量小文件时具有很高的性能,在不影响存储系统运行状况的基础上,该方案提高了小文件的存储效率和读取效率。
参考文献:
[1]廖彬,于炯,张陶,杨兴耀.基于分布式文件系统HDFS的节能算法[J].计算机学报,2013(05):1047-1064.
[2]傅颖勋,罗圣美,舒继武.安全云存储系统与关键技术综述[J].计算机研究与发展,2013,50(1):136-145
[3]DLTennenhouse,JMSmith,WDSincoskie,etal.ASurveyofActiveNetworksResearch[J].IEEECommunicationsMagazine,1997,35(l):80-86.
一、引言
随着网络的普及,网络应用不断向深度和广度发展,大量企业网络建成。由于人类对网络的依赖日益增强,所以网络是否安全性已成为企业计算机网络所面临的重大问题。网络安全包括硬件安全和其上的软件的安全。网络硬件主要包括互连设备,比如:交换机、路由器、网关等。现在针对硬件设备主要是进行一些安全方面的配置,例如交换机的VLAN,路由器的ACL配置等等,却忽视了设备本身在工作中存在的脆弱性。本文依据信息安全风险评估步骤的脆弱性和威胁性,通过分析几种比较常用网络互连设备的工作原理发掘其脆弱性。
二、交换机脆弱性分析
交换机在OSL数据链路层MAC子层工作,它可以连接到单独的结点或整个网段的单个网段的单个端口,在它们之间交换数据。并且为每个端口到端口之间提供全部的局域网介质带宽。
1.从设备自身来看
交换机在系统安装,启动和灾难恢复时,是处于不安全状态,有一定的脆弱性。其次它同样也存在物理威胁,一些外在因素的影响可能破坏交换机。
2.从其工作原理来看
交换机接收到一个帧以后,检查MAC帧的目的地址,并和自身内部的交换表进行比较,首先要保证交换表的正确性,否则会导致数据传输错误。如果找到和目的网段相连的端口,然后将该帧发往端口。如果找不到所对应的端口,交换机会向所有的端口发送该帧,并且通过回应帧,建立和端口号相关的MAC地址表,在下次传送数据时就可以查表,不再需要对所有端口进行广播了。这种对不知道目的地址的数据帧采用向所有端口发送数据包的做法,容易出现“溢流”现象。
交换机允许广播帧溢流到整个网络,同样会引起其他不法主机的“窃听”,可以采用VLAN。采用不同的交换方式的交换机可能会存在一定的脆弱性,例如直通式交换机,就无法区分数据流量是善意的还是恶意的,它只是实现快速转发。存储转发式交换机可以解决数据安全性问题,但又可能存在数据包丢失的问题。另外,交换机在转发数据帧时,存在输入端口和输出端口在速度上能否匹配的问题,如果缓冲数量少而冲突数据量大的话,数据帧就会丢失。
3.从外在因素来看
入侵者利用交换机软件或协议的脆弱性进行攻击,比如IP欺骗,TCP连接能被欺骗、截取、操纵,UDP易受IP源路由和拒绝服务的攻击等等,同时也可能存在访问权滥用或者后门等问题。
三、路由器脆弱性分析
由器工作在OSL模型的网络层,它可以用来连接具有相同网络通信结构的网络,也可以连接不同结构的网络。它为数据包提供最佳路径,并且实现子网隔离和抑制广播风暴。
1.从设备自身来看
路由器相当于网络层的中继器。路由器不能真正实现即插即用,需要很多配置。配置文件中一般包括路由器接口地址,登录密码,还有路由表的接口状态,ARP表,日志信息。这些信息如果被攻击者获得,后果不堪设想。比如可以将路由器作为对其他站点扫描或侦察攻击平台,或者修改路由配置等。
2.从其工作原理来看
路由器是在网层上实现多个互连的设备。一个路由器有几个端口,分别可以连接一个网络或一个路由器。其主要任务是接收来自一个网络接口数据包,根据其中所含的目的地址,决定转发到下一个目的地址的端口。由于路由器是一个多端口的设备,因此闲置的并且工作正常的服务器端口很可能被黑客利用,对于不用的端口,应该妥善管理。路由器接收到的数据包以后,首先在转发路由表中查找数据包对应的目的地址,同交换机一样,我们也要求路由表的正确性。虚假的路由信息会使数据发送到错误的地方。若找到了目的地址,就在数据包的帧格式前添加下一个MAC地址,同时IP数据包头的TTL(Time To Live)域也开始减数,并重新计算校验和。当数据包被送到传输端口时,需要按顺序等,以便被传送一输出链路上。如果数据包不是发往直接与路由器相连的网络,该路由器则把这个包转发给另一个离最终目标更近的路由器。
现在,路由器还不具备安全和加密的功能,仅仅只有路由的功能,所以对待各种各样的攻击是脆弱的。
3.从外在因素来看
由于路由器是在网络层实现多个网络互连的设备。因此如果得到路由器的访问控制权的话,任何人都可以通过路由器来对其他的服务器发起拒绝服务攻击,而路由器不会自动生成警报通知用户正受到攻击。并且路由器的访问密码极不安全,可以通过SNIFFER探测到,或在专属公司网页上可以查到。
四、网关脆弱性分析
网关又叫做协议转换器,它用来连接专用网络和公共网络的路由器。网关是将不同协议集的协议进行翻译、转换,网关是最复杂的网络互连设备,它用于连接网络层之上执行不同高层协议的网络,构成异构的互连网,通常工作在OSL模型的第4层和更高层。
1.从设备自身来看
网关是软件和硬件结合的网络互连设备,是最复杂的网络互连设备,不同的网关用于不同的场合,其软件和硬件自身也存在脆弱性。
2.从其工作原理来看
网关除了具有路由器的全部功能之外,还能为互连网络的双方提供高层协议转换服务,即能够连接两个高层协议完全不同的网络环境。当数据包从一个网络环境通过网关进入另一个不同的网络环境时,网关读取信息后,剥去数据中原来的协议栈,然后用目标网络的完整协议对数据重新包装并输出,以适应目标环境的要求[3]。但是用户的特定数据通过网关或位于网关时是脆弱的,并且网关对恶意人员发起的操纵或修改也是脆弱的。
网关是局域网和广域网连接的首选设备,其最常见的用途是在高层协议不相同的网络之间充当“翻译”,即提供协议转换。协议转换是实现网关的关键技术,也是国际互连网的技术难点。
3.从外在因素来看
网关都是针对特定的网络互连环境设计的,不存在通用的网关。有时制造商会留下了可以获得敏感信息的后门。
一是城域网中的所有网络设备具备防范口令探测攻击的能力,以防止非法用户使用暴力猜测方式获得网络设备的口令信息。二是城域网所有网络设备上不必要的端口和服务应当关闭,在所有的网络设备上可以提供SSH和FTPS服务。为确保设备配置文件的安全,针对网络设备的升级操作应在本地进行,不建议对网络设备采用远程FTP方式进行升级操作。三是城域网中的网络设备应该具有登录受限功能,依靠ACL等方式只允许特定的IP地址登陆网络设备,在受信范围以外的IP地址应无法登录网络设备。四是城域数据网中所有的接入设备都必须支持SSH功能。五是网络设备针对远程网络管理的需要,应当执行严格的身份认证与权限管理策略,并加强口令的安全管理。可对网络设备的访问权限进行分级控制,例如普通权限只能查看网络设备的状态而不能改变网络设备的配置。
城域网安全策略部署
1.网络协议的安全保证。协议安全重点关注城域数据网网元间所运行网络协议本身的安全。城域网网络设备应采用安全的网络协议进行通信,利用必要的安全防护技术保证网络设备本身的安全。一是在城域网中所使用的路由协议必须带有验证功能,对于邻居关系、路由信息等的协议交互均需要提供必要的验证手段,防止路由欺骗。路由器之间需要提供路由认证功能。路由认证(RoutingAuthentication),就是运行于不同网络设备的相同动态路由协议之间,对相互传递的路由刷新报文进行确认,以便使得设备能够接受真正而安全的路由刷新报文,所有的路由器设备应当采用密文方式的MD5或者SHA-1路由认证。二是如使用SNMP进行网管配置,须选择功能强大的共用字符串(community),并建议使用提供消息加密功能的SNMP。如不通过SNMP对设备进行远程配置,应将其配置成只读。