網(wǎng)絡(luò)安全管理-防火墻系統(tǒng)改進狀況

1、“高能所網(wǎng)絡(luò)安全管理”課題2002年年終總結(jié)防火墻系統(tǒng)改進狀況防病毒系統(tǒng)的部署與效果安全網(wǎng)站和數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)安全課題軟件開發(fā)進展目前高能所網(wǎng)絡(luò)安全總體評價下一步完善高能所網(wǎng)絡(luò)安全Internet網(wǎng)絡(luò)一般用戶，受限用戶網(wǎng)絡(luò)有對外合作的用戶 網(wǎng)絡(luò)的計算機不能被所外網(wǎng)絡(luò)訪問，但可以主動向外訪問Internet和網(wǎng)絡(luò)網(wǎng)絡(luò)的計算機可與Internet相互訪問，但不可以主動連接網(wǎng)絡(luò)防火墻網(wǎng)絡(luò) 公用網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)與網(wǎng)絡(luò)類似，但僅用來連接高能所的公用網(wǎng)絡(luò)服務(wù)器組通過防火墻對高能所網(wǎng)絡(luò)分類Internet經(jīng)過防火墻NAT后訪問Internet直接穿透防火墻訪問Internet防火墻通過代理服務(wù)器訪問Intern

2、et網(wǎng)絡(luò)用戶經(jīng)防火墻上網(wǎng)的途徑代理服務(wù)器實際的防火墻系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)中心交換機Internet路由器防火墻集線器路由器公用電話網(wǎng)Switch集線器Switch集線器雙防毒墻網(wǎng)絡(luò)監(jiān)視設(shè)備允許被從所外訪問的服務(wù)器Ftp: 30/26Wins: 38/26Web: 9/26Nsg: 42/26Proxy1: 36/26Proxy2: 37/26Kill: 39/26Sec: 72/26(28/27)(60/27)(28/26)高能所內(nèi)網(wǎng)(/26)(92/27)30/2731/2793/2732/2770/26/2629/2671/2673/262/261/26andh: 33/27nsmg: 42/

3、27防火墻安全策略的制定原則對絕大多數(shù)計算機用戶授權(quán)NAT方式訪問Internet；將有特殊（需要被從所外向內(nèi)訪問）的用戶計算機安放在計算中心專門的保護區(qū)；對不能移到計算中心，但又需要與特定所外單位相互通訊的計算機，按IP地址和協(xié)議設(shè)置相應(yīng)的保護策略；對僅在所內(nèi)通訊的計算機設(shè)置不允許穿越防火墻的安全保護策略。防火墻安全策略查詢方法為使用戶知道自己使用的計算機正處于哪種被保護狀態(tài)，以便于確定能執(zhí)行何種權(quán)限的網(wǎng)絡(luò)操作，在高能所網(wǎng)絡(luò)安全網(wǎng)站（)上公布了高能所內(nèi)所有計算機的安全類別，用戶可根據(jù)自己計算機的安全類別判斷是否滿足自己的工作需要，并可向計算中心申請修改保護方式。防病毒系統(tǒng)的部署與效果網(wǎng)關(guān)型防

4、病毒系統(tǒng)結(jié)構(gòu)服務(wù)器/客戶端方式的防病毒系統(tǒng)防病毒軟件部署后的效果病毒截殺情況統(tǒng)計詳表防病毒安全服務(wù)機制InternetInterScan防毒網(wǎng)關(guān)郵件服務(wù)器進、出郵件均受到防毒網(wǎng)關(guān)保護，實現(xiàn)方法：進：將Mail服務(wù)器、Sun服務(wù)器的MX紀(jì)錄均指向防病毒網(wǎng)關(guān)，這樣外部進入的郵件先經(jīng)過防病毒網(wǎng)關(guān)的過濾，再由防病毒網(wǎng)關(guān)自帶的SendMail發(fā)送給內(nèi)部郵件服務(wù)器。出：將Mail服務(wù)器、Sun服務(wù)器外發(fā)郵件全部指向防病毒網(wǎng)關(guān)，由防病毒網(wǎng)關(guān)過濾后由自帶的SendMail發(fā)送給外部的收件人客戶的HTTP請求受到防毒網(wǎng)關(guān)保護，并且客戶端不需要更改設(shè)置，實現(xiàn)方法：在代理服務(wù)器上打開Cascade功能，將所有客戶端

5、的http請求轉(zhuǎn)發(fā)到防病毒網(wǎng)關(guān)。防病毒網(wǎng)關(guān)本身也是一個代理服務(wù)器，將收到的請求發(fā)送給Internet，并將傳回的網(wǎng)頁經(jīng)過掃描后傳遞回代理服務(wù)器，再由代理服務(wù)器交給客戶端。因此在下載大文件時，一開始會很慢，因為正個文件回先下載到防病毒網(wǎng)關(guān)，經(jīng)過掃描后經(jīng)由代理服務(wù)器載傳遞給客戶客戶的FTP請求受到防毒網(wǎng)關(guān)保護，但需要按照如下方式操作：例如下載站點為，使用的用戶名為anonymous,密碼為1，客戶端必須在命令行模式下：ftp (ftp到防病毒網(wǎng)關(guān))User (:(none): anonymous Password: 1然后使用ftp命令正常下載網(wǎng)關(guān)型防病毒系統(tǒng)結(jié)構(gòu)服務(wù)器/客戶端方式的防病毒系統(tǒng)Ki

6、ll防病毒軟件安裝情況： 截至2002年12月10日，累計安裝kill客戶端殺毒系統(tǒng)已達731臺。 Kill防病毒軟件升級情況： 自7月份安裝以來，共升級了41次，平均每周2次。 網(wǎng)關(guān)防毒 InterScan VirusWall 統(tǒng)計結(jié)果： 自從2002.7.11 - 2002.12.10，總共截殺Email病毒12693個，平均每天截殺Email病毒83.5個；總共截殺HTTP病毒2020個，平均每天截殺 13.3個。在 7月16 日新病毒password 傳播時，防病毒 1891 個，7 月22 日防病毒428 個。防病毒軟件部署后的效果病毒截殺情況統(tǒng)計詳表截殺病毒總數(shù)(2002.7.11

7、 - 2002.12.10)平均每天截殺病毒數(shù)Email 12693 83.5HTTP 2020 13.3排名Email 病毒名稱病毒數(shù)占總病毒數(shù)的百分比1WORM_KLEZ.H968576.3%2WORM_BUGBEAR.A217 1.7%3PE_TECATA1341.1%排名Http 病毒名稱病毒數(shù)占總病毒數(shù)的百分比1JS_EXCEPTION.GEN131265.0%2VBS_REDLOF.A156 7.7%3BKDR_DINDANG.A82 4.1%防病毒安全服務(wù)機制由計算中心為高能所全體用戶做技術(shù)支持：緊急情況立即到現(xiàn)場解決問題非緊急情況可和計算中心預(yù)約派技術(shù)人員幫助解決問題由防病毒軟

8、件廠商為計算中心做技術(shù)支持：嚴重性問 題 描 述響應(yīng)時間問題解決時間A最高級病毒爆發(fā)、大量擴散。立即1個工作日B緊急系統(tǒng)主要功能無法執(zhí)行。系統(tǒng)作業(yè)效率突然嚴重降低。4小時2個工作日C重要系統(tǒng)出現(xiàn)細微錯誤，不影響日常正常作業(yè)。一般性的產(chǎn)品使用問題。1個工作日3個工作日D普通索取產(chǎn)品更新（非電子資料方式）。索取一般信息。1個工作日3 5個工作日安全網(wǎng)站和數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)庫系統(tǒng)網(wǎng)絡(luò)安全網(wǎng)站系統(tǒng)網(wǎng)絡(luò)安全信息收集中心安全網(wǎng)站和數(shù)據(jù)庫系統(tǒng)系統(tǒng)基于Linux平臺，采用Mysql數(shù)據(jù)庫軟件實現(xiàn)：記錄每臺連網(wǎng)的計算機的基本信息（使用者、位置、IP地址、MAC地址、網(wǎng)絡(luò)使用權(quán)限等）提供了基于Web的用戶界面

9、，以實現(xiàn)數(shù)據(jù)庫的基本管理為其他應(yīng)用提供了程序調(diào)用接口目前數(shù)據(jù)庫共收集了2111條主機信息的記錄網(wǎng)絡(luò)安全Web網(wǎng)站與數(shù)據(jù)庫系統(tǒng)設(shè)立在同一臺計算機上，是向用戶提供安全咨詢的途徑之一：提供高能所網(wǎng)絡(luò)安全知識、網(wǎng)絡(luò)使用規(guī)范、安全警告信息等可與數(shù)據(jù)庫連接，提供網(wǎng)絡(luò)注冊和安全資料查詢提供網(wǎng)絡(luò)安全軟件下載網(wǎng)絡(luò)安全課題軟件開發(fā)進展國家課題研究成果及其在高能所的應(yīng)用取證系統(tǒng)陷阱機保護系統(tǒng)小區(qū)網(wǎng)絡(luò)監(jiān)視系統(tǒng)針對高能所網(wǎng)絡(luò)的研究和開發(fā)工作垃圾郵件防范技術(shù)措施網(wǎng)絡(luò)通信異常檢測與控制防火墻安全規(guī)則優(yōu)化網(wǎng)絡(luò)陷阱系統(tǒng)介紹“網(wǎng)絡(luò)陷阱與誘騙技術(shù)研究”課題成果“網(wǎng)絡(luò)陷阱系統(tǒng)”的典型應(yīng)用環(huán)境如上圖所示。網(wǎng)絡(luò)陷阱系統(tǒng)以主動防御為目的，

10、可引誘黑客攻擊行為到一個可控的范圍，消耗其資源，記錄下他的所有動作，研究其行為，了解其使用的攻擊方法和技術(shù)，并提醒他的下一個攻擊目標(biāo)，以便及時做出防范，從而保護真正的服務(wù)器的安全，提高網(wǎng)絡(luò)的安全防護性能陷阱主機InternetIDS探測器2交換機一個陷阱主機可虛擬四個陷阱機，每個陷阱機都有獨立的IP地址和獨立的服務(wù)功能陷阱機控制臺陷阱機1陷阱機2陷阱機3陷阱機4陷阱機日志服務(wù)器服務(wù)器1服務(wù)器2服務(wù)器3服務(wù)器4防火墻IDS內(nèi)部網(wǎng)被保護服務(wù)器群陷阱主機DMZ區(qū)入侵取證系統(tǒng)介紹被取證機被保護服務(wù)器取證機RedHat7.2雙網(wǎng)卡分析機Windows2000HUB監(jiān)管系統(tǒng)InternetWeb服務(wù)器交換

11、機Mail服務(wù)器路由器防火墻內(nèi)部網(wǎng)DNS財務(wù)網(wǎng)內(nèi)網(wǎng)段1對可疑的IP的活動進行分析和監(jiān)管，及時發(fā)現(xiàn)異常行為并處理內(nèi)網(wǎng)段2DMZ區(qū)網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)介紹垃圾郵件防護的技術(shù)措施防止所外向所內(nèi)傳遞垃圾或病毒郵件的措施在郵件服務(wù)器上設(shè)置procmail郵件過濾程序，可刪除滿足特征的電子郵件在防火墻上設(shè)置安全規(guī)則，禁止所內(nèi)的郵件服務(wù)器直接收來自所外的郵件，必須經(jīng)防毒墻過濾才可到達防止由所內(nèi)向所外傳遞垃圾或病毒郵件的措施在防毒墻上設(shè)置了可信任主機的列表，只接收所內(nèi)批準(zhǔn)的合法email服務(wù)器的郵件在防火墻上設(shè)置安全規(guī)則，禁止所內(nèi)的郵件服務(wù)器直接向外發(fā)送郵件，必須經(jīng)放毒墻過濾后再轉(zhuǎn)發(fā)出去在郵件服務(wù)器上設(shè)置了發(fā)信認

12、證機制編制了程序自動檢測高能所是否被列入“國際反垃圾郵件組織”的黑名單，如發(fā)現(xiàn)，及時查明原因并申請從中撤消網(wǎng)絡(luò)通信異常檢測與控制按IP地址進行網(wǎng)絡(luò)流量統(tǒng)計并可提供實時地查詢功能能實時地檢測出網(wǎng)絡(luò)通訊流量異常的IP地址能判別出正在進行網(wǎng)絡(luò)掃描或具有這類特征的病毒發(fā)作的IP地址可與防火墻系統(tǒng)配合自動禁止這類計算機的通訊防火墻安全規(guī)則優(yōu)化防火墻安全規(guī)則優(yōu)化的目的是把來自全所計算機用戶的安全要求經(jīng)過合并、篩選，并通過計算機程序自動生成合理的、效率高的防火墻安全規(guī)則；通過安全優(yōu)化，可減少防火墻上的規(guī)則數(shù)目，提高防火墻的性能，完成在這之前硬件性能無法滿足的功能。目前高能所網(wǎng)絡(luò)安全總體評價今年高能所在網(wǎng)絡(luò)安全上的投資情況目前高能所網(wǎng)絡(luò)安全設(shè)施高能所網(wǎng)絡(luò)抗“黑客”攻擊的能力高能所網(wǎng)絡(luò)抗“病毒”攻擊的能力對高能所網(wǎng)絡(luò)用戶管理的能力網(wǎng)絡(luò)安全服務(wù)和應(yīng)急響應(yīng)速度當(dāng)前IHEP網(wǎng)絡(luò)安全管理實施效果病毒問題大大減少未發(fā)生大規(guī)模病毒發(fā)作事件網(wǎng)關(guān)防病毒系統(tǒng)過濾掉許多病毒自7月11日安裝后，到目前，共過濾掉E-mail病毒一萬三千多個、HTTP 病毒二千多個。垃圾郵件影響減輕外發(fā)垃圾郵件的情況減少收到的垃圾郵件經(jīng)過濾，數(shù)目減少黑客攻擊行為減少外部嘗試利用我所網(wǎng)絡(luò)進行跳轉(zhuǎn)攻擊等掃描行為被有效阻斷攻擊行為被及時發(fā)