網(wǎng)絡(luò)安全管理-防火墻系統(tǒng)改進(jìn)狀況

1、“高能所網(wǎng)絡(luò)安全管理”課題2002年年終總結(jié)防火墻系統(tǒng)改進(jìn)狀況防病毒系統(tǒng)的部署與效果安全網(wǎng)站和數(shù)據(jù)庫(kù)系統(tǒng)網(wǎng)絡(luò)安全課題軟件開發(fā)進(jìn)展目前高能所網(wǎng)絡(luò)安全總體評(píng)價(jià)下一步完善高能所網(wǎng)絡(luò)安全I(xiàn)nternet網(wǎng)絡(luò)一般用戶，受限用戶網(wǎng)絡(luò)有對(duì)外合作的用戶 網(wǎng)絡(luò)的計(jì)算機(jī)不能被所外網(wǎng)絡(luò)訪問，但可以主動(dòng)向外訪問Internet和網(wǎng)絡(luò)網(wǎng)絡(luò)的計(jì)算機(jī)可與Internet相互訪問，但不可以主動(dòng)連接網(wǎng)絡(luò)防火墻網(wǎng)絡(luò) 公用網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)與網(wǎng)絡(luò)類似，但僅用來(lái)連接高能所的公用網(wǎng)絡(luò)服務(wù)器組通過防火墻對(duì)高能所網(wǎng)絡(luò)分類Internet經(jīng)過防火墻NAT后訪問Internet直接穿透防火墻訪問Internet防火墻通過代理服務(wù)器訪問Intern

2、et網(wǎng)絡(luò)用戶經(jīng)防火墻上網(wǎng)的途徑代理服務(wù)器實(shí)際的防火墻系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中心交換機(jī)Internet路由器防火墻集線器路由器公用電話網(wǎng)Switch集線器Switch集線器雙防毒墻網(wǎng)絡(luò)監(jiān)視設(shè)備允許被從所外訪問的服務(wù)器Ftp: 30/26Wins: 38/26Web: 9/26Nsg: 42/26Proxy1: 36/26Proxy2: 37/26Kill: 39/26Sec: 72/26(28/27)(60/27)(28/26)高能所內(nèi)網(wǎng)(/26)(92/27)30/2731/2793/2732/2770/26/2629/2671/2673/262/261/26andh: 33/27nsmg: 42/

3、27防火墻安全策略的制定原則對(duì)絕大多數(shù)計(jì)算機(jī)用戶授權(quán)NAT方式訪問Internet；將有特殊（需要被從所外向內(nèi)訪問）的用戶計(jì)算機(jī)安放在計(jì)算中心專門的保護(hù)區(qū)；對(duì)不能移到計(jì)算中心，但又需要與特定所外單位相互通訊的計(jì)算機(jī)，按IP地址和協(xié)議設(shè)置相應(yīng)的保護(hù)策略；對(duì)僅在所內(nèi)通訊的計(jì)算機(jī)設(shè)置不允許穿越防火墻的安全保護(hù)策略。防火墻安全策略查詢方法為使用戶知道自己使用的計(jì)算機(jī)正處于哪種被保護(hù)狀態(tài)，以便于確定能執(zhí)行何種權(quán)限的網(wǎng)絡(luò)操作，在高能所網(wǎng)絡(luò)安全網(wǎng)站（)上公布了高能所內(nèi)所有計(jì)算機(jī)的安全類別，用戶可根據(jù)自己計(jì)算機(jī)的安全類別判斷是否滿足自己的工作需要，并可向計(jì)算中心申請(qǐng)修改保護(hù)方式。防病毒系統(tǒng)的部署與效果網(wǎng)關(guān)型防

4、病毒系統(tǒng)結(jié)構(gòu)服務(wù)器/客戶端方式的防病毒系統(tǒng)防病毒軟件部署后的效果病毒截殺情況統(tǒng)計(jì)詳表防病毒安全服務(wù)機(jī)制InternetInterScan防毒網(wǎng)關(guān)郵件服務(wù)器進(jìn)、出郵件均受到防毒網(wǎng)關(guān)保護(hù)，實(shí)現(xiàn)方法：進(jìn)：將Mail服務(wù)器、Sun服務(wù)器的MX紀(jì)錄均指向防病毒網(wǎng)關(guān)，這樣外部進(jìn)入的郵件先經(jīng)過防病毒網(wǎng)關(guān)的過濾，再由防病毒網(wǎng)關(guān)自帶的SendMail發(fā)送給內(nèi)部郵件服務(wù)器。出：將Mail服務(wù)器、Sun服務(wù)器外發(fā)郵件全部指向防病毒網(wǎng)關(guān)，由防病毒網(wǎng)關(guān)過濾后由自帶的SendMail發(fā)送給外部的收件人客戶的HTTP請(qǐng)求受到防毒網(wǎng)關(guān)保護(hù)，并且客戶端不需要更改設(shè)置，實(shí)現(xiàn)方法：在代理服務(wù)器上打開Cascade功能，將所有客戶端

5、的http請(qǐng)求轉(zhuǎn)發(fā)到防病毒網(wǎng)關(guān)。防病毒網(wǎng)關(guān)本身也是一個(gè)代理服務(wù)器，將收到的請(qǐng)求發(fā)送給Internet，并將傳回的網(wǎng)頁(yè)經(jīng)過掃描后傳遞回代理服務(wù)器，再由代理服務(wù)器交給客戶端。因此在下載大文件時(shí)，一開始會(huì)很慢，因?yàn)檎齻€(gè)文件回先下載到防病毒網(wǎng)關(guān)，經(jīng)過掃描后經(jīng)由代理服務(wù)器載傳遞給客戶客戶的FTP請(qǐng)求受到防毒網(wǎng)關(guān)保護(hù)，但需要按照如下方式操作：例如下載站點(diǎn)為，使用的用戶名為anonymous,密碼為1，客戶端必須在命令行模式下：ftp (ftp到防病毒網(wǎng)關(guān))User (:(none): anonymous Password: 1然后使用ftp命令正常下載網(wǎng)關(guān)型防病毒系統(tǒng)結(jié)構(gòu)服務(wù)器/客戶端方式的防病毒系統(tǒng)Ki

6、ll防病毒軟件安裝情況： 截至2002年12月10日，累計(jì)安裝kill客戶端殺毒系統(tǒng)已達(dá)731臺(tái)。 Kill防病毒軟件升級(jí)情況： 自7月份安裝以來(lái)，共升級(jí)了41次，平均每周2次。 網(wǎng)關(guān)防毒 InterScan VirusWall 統(tǒng)計(jì)結(jié)果： 自從2002.7.11 - 2002.12.10，總共截殺Email病毒12693個(gè)，平均每天截殺Email病毒83.5個(gè)；總共截殺HTTP病毒2020個(gè)，平均每天截殺 13.3個(gè)。在 7月16 日新病毒password 傳播時(shí)，防病毒 1891 個(gè)，7 月22 日防病毒428 個(gè)。防病毒軟件部署后的效果病毒截殺情況統(tǒng)計(jì)詳表截殺病毒總數(shù)(2002.7.11

7、 - 2002.12.10)平均每天截殺病毒數(shù)Email 12693 83.5HTTP 2020 13.3排名Email 病毒名稱病毒數(shù)占總病毒數(shù)的百分比1WORM_KLEZ.H968576.3%2WORM_BUGBEAR.A217 1.7%3PE_TECATA1341.1%排名Http 病毒名稱病毒數(shù)占總病毒數(shù)的百分比1JS_EXCEPTION.GEN131265.0%2VBS_REDLOF.A156 7.7%3BKDR_DINDANG.A82 4.1%防病毒安全服務(wù)機(jī)制由計(jì)算中心為高能所全體用戶做技術(shù)支持：緊急情況立即到現(xiàn)場(chǎng)解決問題非緊急情況可和計(jì)算中心預(yù)約派技術(shù)人員幫助解決問題由防病毒軟

8、件廠商為計(jì)算中心做技術(shù)支持：嚴(yán)重性問 題 描 述響應(yīng)時(shí)間問題解決時(shí)間A最高級(jí)病毒爆發(fā)、大量擴(kuò)散。立即1個(gè)工作日B緊急系統(tǒng)主要功能無(wú)法執(zhí)行。系統(tǒng)作業(yè)效率突然嚴(yán)重降低。4小時(shí)2個(gè)工作日C重要系統(tǒng)出現(xiàn)細(xì)微錯(cuò)誤，不影響日常正常作業(yè)。一般性的產(chǎn)品使用問題。1個(gè)工作日3個(gè)工作日D普通索取產(chǎn)品更新（非電子資料方式）。索取一般信息。1個(gè)工作日3 5個(gè)工作日安全網(wǎng)站和數(shù)據(jù)庫(kù)系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)系統(tǒng)網(wǎng)絡(luò)安全網(wǎng)站系統(tǒng)網(wǎng)絡(luò)安全信息收集中心安全網(wǎng)站和數(shù)據(jù)庫(kù)系統(tǒng)系統(tǒng)基于Linux平臺(tái)，采用Mysql數(shù)據(jù)庫(kù)軟件實(shí)現(xiàn)：記錄每臺(tái)連網(wǎng)的計(jì)算機(jī)的基本信息（使用者、位置、IP地址、MAC地址、網(wǎng)絡(luò)使用權(quán)限等）提供了基于Web的用戶界面

9、，以實(shí)現(xiàn)數(shù)據(jù)庫(kù)的基本管理為其他應(yīng)用提供了程序調(diào)用接口目前數(shù)據(jù)庫(kù)共收集了2111條主機(jī)信息的記錄網(wǎng)絡(luò)安全Web網(wǎng)站與數(shù)據(jù)庫(kù)系統(tǒng)設(shè)立在同一臺(tái)計(jì)算機(jī)上，是向用戶提供安全咨詢的途徑之一：提供高能所網(wǎng)絡(luò)安全知識(shí)、網(wǎng)絡(luò)使用規(guī)范、安全警告信息等可與數(shù)據(jù)庫(kù)連接，提供網(wǎng)絡(luò)注冊(cè)和安全資料查詢提供網(wǎng)絡(luò)安全軟件下載網(wǎng)絡(luò)安全課題軟件開發(fā)進(jìn)展國(guó)家課題研究成果及其在高能所的應(yīng)用取證系統(tǒng)陷阱機(jī)保護(hù)系統(tǒng)小區(qū)網(wǎng)絡(luò)監(jiān)視系統(tǒng)針對(duì)高能所網(wǎng)絡(luò)的研究和開發(fā)工作垃圾郵件防范技術(shù)措施網(wǎng)絡(luò)通信異常檢測(cè)與控制防火墻安全規(guī)則優(yōu)化網(wǎng)絡(luò)陷阱系統(tǒng)介紹“網(wǎng)絡(luò)陷阱與誘騙技術(shù)研究”課題成果“網(wǎng)絡(luò)陷阱系統(tǒng)”的典型應(yīng)用環(huán)境如上圖所示。網(wǎng)絡(luò)陷阱系統(tǒng)以主動(dòng)防御為目的，

10、可引誘黑客攻擊行為到一個(gè)可控的范圍，消耗其資源，記錄下他的所有動(dòng)作，研究其行為，了解其使用的攻擊方法和技術(shù)，并提醒他的下一個(gè)攻擊目標(biāo)，以便及時(shí)做出防范，從而保護(hù)真正的服務(wù)器的安全，提高網(wǎng)絡(luò)的安全防護(hù)性能陷阱主機(jī)InternetIDS探測(cè)器2交換機(jī)一個(gè)陷阱主機(jī)可虛擬四個(gè)陷阱機(jī)，每個(gè)陷阱機(jī)都有獨(dú)立的IP地址和獨(dú)立的服務(wù)功能陷阱機(jī)控制臺(tái)陷阱機(jī)1陷阱機(jī)2陷阱機(jī)3陷阱機(jī)4陷阱機(jī)日志服務(wù)器服務(wù)器1服務(wù)器2服務(wù)器3服務(wù)器4防火墻IDS內(nèi)部網(wǎng)被保護(hù)服務(wù)器群陷阱主機(jī)DMZ區(qū)入侵取證系統(tǒng)介紹被取證機(jī)被保護(hù)服務(wù)器取證機(jī)RedHat7.2雙網(wǎng)卡分析機(jī)Windows2000HUB監(jiān)管系統(tǒng)InternetWeb服務(wù)器交換

11、機(jī)Mail服務(wù)器路由器防火墻內(nèi)部網(wǎng)DNS財(cái)務(wù)網(wǎng)內(nèi)網(wǎng)段1對(duì)可疑的IP的活動(dòng)進(jìn)行分析和監(jiān)管，及時(shí)發(fā)現(xiàn)異常行為并處理內(nèi)網(wǎng)段2DMZ區(qū)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)介紹垃圾郵件防護(hù)的技術(shù)措施防止所外向所內(nèi)傳遞垃圾或病毒郵件的措施在郵件服務(wù)器上設(shè)置procmail郵件過濾程序，可刪除滿足特征的電子郵件在防火墻上設(shè)置安全規(guī)則，禁止所內(nèi)的郵件服務(wù)器直接收來(lái)自所外的郵件，必須經(jīng)防毒墻過濾才可到達(dá)防止由所內(nèi)向所外傳遞垃圾或病毒郵件的措施在防毒墻上設(shè)置了可信任主機(jī)的列表，只接收所內(nèi)批準(zhǔn)的合法email服務(wù)器的郵件在防火墻上設(shè)置安全規(guī)則，禁止所內(nèi)的郵件服務(wù)器直接向外發(fā)送郵件，必須經(jīng)放毒墻過濾后再轉(zhuǎn)發(fā)出去在郵件服務(wù)器上設(shè)置了發(fā)信認(rèn)

12、證機(jī)制編制了程序自動(dòng)檢測(cè)高能所是否被列入“國(guó)際反垃圾郵件組織”的黑名單，如發(fā)現(xiàn)，及時(shí)查明原因并申請(qǐng)從中撤消網(wǎng)絡(luò)通信異常檢測(cè)與控制按IP地址進(jìn)行網(wǎng)絡(luò)流量統(tǒng)計(jì)并可提供實(shí)時(shí)地查詢功能能實(shí)時(shí)地檢測(cè)出網(wǎng)絡(luò)通訊流量異常的IP地址能判別出正在進(jìn)行網(wǎng)絡(luò)掃描或具有這類特征的病毒發(fā)作的IP地址可與防火墻系統(tǒng)配合自動(dòng)禁止這類計(jì)算機(jī)的通訊防火墻安全規(guī)則優(yōu)化防火墻安全規(guī)則優(yōu)化的目的是把來(lái)自全所計(jì)算機(jī)用戶的安全要求經(jīng)過合并、篩選，并通過計(jì)算機(jī)程序自動(dòng)生成合理的、效率高的防火墻安全規(guī)則；通過安全優(yōu)化，可減少防火墻上的規(guī)則數(shù)目，提高防火墻的性能，完成在這之前硬件性能無(wú)法滿足的功能。目前高能所網(wǎng)絡(luò)安全總體評(píng)價(jià)今年高能所在網(wǎng)絡(luò)安全上的投資情況目前高能所網(wǎng)絡(luò)安全設(shè)施高能所網(wǎng)絡(luò)抗“黑客”攻擊的能力高能所網(wǎng)絡(luò)抗“病毒”攻擊的能力對(duì)高能所網(wǎng)絡(luò)用戶管理的能力網(wǎng)絡(luò)安全服務(wù)和應(yīng)急響應(yīng)速度當(dāng)前IHEP網(wǎng)絡(luò)安全管理實(shí)施效果病毒問題大大減少未發(fā)生大規(guī)模病毒發(fā)作事件網(wǎng)關(guān)防病毒系統(tǒng)過濾掉許多病毒自7月11日安裝后，到目前，共過濾掉E-mail病毒一萬(wàn)三千多個(gè)、HTTP 病毒二千多個(gè)。垃圾郵件影響減輕外發(fā)垃圾郵件的情況減少收到的垃圾郵件經(jīng)過濾，數(shù)目減少黑客攻擊行為減少外部嘗試?yán)梦宜W(wǎng)絡(luò)進(jìn)行跳轉(zhuǎn)攻擊等掃描行為被有效阻斷攻擊行為被及時(shí)發(fā)