牛少彰

图片：


    一个有效的业务系统面对的通用技术和产品对象包括：硬件平台、操作系统、应用软件、网络架构、网络应用、网络管理、数据库应用、MIS系统等；它的专用安全技术和产品包括：数据加密技术、防火墙、入侵检测、防病毒、PKI、PMI、身份认证、访问控制、流量监测、网络扫描等；安全问题是一个动态的、整体的、持续性的问题。基于以上共识，设计和实现一个完整、全面的计算机网络解决方案需要各种网络安全产品的有效集成和有效的安全策略。
    随着网络应用的深化与普及，网络安全问题日益严重。目前的情况是一方面网管系统开发商在不停地为其产品增添新的功能和模块，另一方面，安全技术产品又层出不穷，针对网络攻击，入侵等安全问题，产生了防火墙，入侵检测系统等多种网络安全技术。然而,不同的安全技术主要解决某一个安全问题,它们各自为战,不能互相进行信息交流。防火墙是一种访问控制安全技术,主要是根据网络安全策略控制进出主机的网络流量,阻断非法连接及访问，它的规则都事先设置，对于实时的攻击无法实时调整策略，基于性能考虑，一般不检查数据包内容，对一些协议细节不作详细解析，所以只要是经过合法通道的网络攻击，防火墙就无能为力了。入侵检测系统可以弥补防火墙内容检查和协议解析的缺点,从中发现违反安全策略的行为和攻击迹象,但对攻击的抵抗力较弱。通过联动机制把各种安全技术有机联系起来，将防火墙、入侵防御系统、漏洞扫描、网管…等产品的广泛联动（“动态安全防御联盟”） ，实现网络的全面安全保障。
    面对大量的网络攻击,必须构建一个安全的网络体系结构来保护网络信息资源,使管理员能及时准确地获取入侵信息并及时采取防御措施。安全防御系统必须对实时性、准确性、自动防御有较高的要求。
网络安全管理体系平台通过标准的、可扩展的体系结构，有机集成体系中的安全产品和技术。构建一个以网络管理平台为核心的执行平台，多种安全产品和技术协同工作的高度集成的高性能、稳定可靠的、易于管理的、完整的、动态的、可扩充的解决方案。
    根据风险评估的原则，结合现有的设备，参考网络安全的实训平台搭建自己的网络安全综合防范平台，以便使读者全面理解各个安全产品在整个安全体系结构中的作用。下图是参考的网络安全综合防范平台的网络拓扑结构图。

网络安全综合防范平台的网络拓扑结构图
    在上图的网络安全综合防范平台中，中间为互联网，左右两侧可理解为总机构网络与分支机构网络，或要进行远程通信两个子网。
    在总机构网络的路由器后采用一台硬件防火墙A，提供内外网的隔离，对内网提供防护。内网中的防火墙B连接防火墙的DMZ区和安全服务子网，DMZ区内是需提供对外服务的Web服务器、FTP服务器、Email服务器等，同时在DMZ中配置一个入侵检测系统，对DMZ的通信进行检测。
在安全服务子网中，也配置了一个入侵检测系统，对总机构内网的访问进行检测。同时配置了一台网络防病毒服务器，在内网的其它计算机上安装防病毒软件客户端。安全评估系统主要是对总机构网络进行安全审计，对内部网的安全性进行评估，安全扫描系统负责进行安全漏洞扫描。VPN服务器基于AAA服务器提供的身份认证及访问控制机制，对总机构网络与分支机构网络进行安全加密通信，在远程的分支机构与总机构之间建立了安全连接。
    在构建网络安全防御系统时，实施“分布式部署，集中管理”的原则。特别是对于，对于具有多个分支机构的企业，应使整个企业的安全系统成为一个整体。实现“分布式部署，集中管理，全局预警”。特别是多个分支机构和总部处于不同的地区时，除各自建立自己的安全防范体系外，各个分支机构与总部之间建立一个统一的安全防御系统。当一次网络攻击出现在某一个机构时，设置在该机构的安全防御系统立刻响应，将攻击的信息收集，并迅速报告给总部的全局安全防御系统主控。主控收到来自该机构的被攻击信息，立刻做出分析，并将此信息迅速通知给部署在其他分支机构的安全防御系统，根据攻击的类型以及方式，做出全局防御规则的相应变化，使其他的机构避免再收到此类的攻击。
    网络的安全管理系统应实现可视、可控、可管。应该能够实现个性化、定制化。应采用大规模多级分布式部署、集中管理的方式，能够实现一处发现问题全局预警的机制，实现与风险评估系统关联的“精确报警”。由于现代网络系统的设备复杂性、结构异构性、管理分布性和协议开放性使计算机网络的安全管理的任务更加艰巨，网络的安全管理在服务上更加复杂。网络管理和网络安全的应用应该最大限度地集成到一个平台上，综合安全管理体系应以网络管理工具为核心平台，而不应以防火墙等安全工具为核心的，基于风险评估的原则，制定网络安全策略，通过将安全产品的联动的方式构建网络安全综合防范平台。通过安全检查的结果，进行动态调整，适应日益复杂多变的网络环境的需要。