政务网络互联网与内网网络边界安全解决方案

1、政务网络互联网与内网网络边界安全解决方案摘要:当今政务网络发展迅猛,政务内网网络与互联网的边界安全 问题尤为重要，直接影响到政务内网的安全与稳定。针对政务网如权 限控制、病毒防御等安全常见问题，需要多重考虑。首先在安全技术 上要以链路的畅通无故障为基本原则，同时保障保证网络安全与稳定 性。另外在网络安全产品选择方面,要考虑设备的访问控制功能、带 宽管理功能及入侵检测功能，从而为政务网络的安全提供周全的解决 方案。关键词:政务网络 网络边界安全 互联网1政务网络安全需求分析政务网络有互联网出口，提供给员工进行上网访问，同时互联网出 口也作为网站发布的链路途径。在没有采取有效的安全防护措施，并 且

2、架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性 安全弱点,使得政务网络彳主彳主面临很多的安全威胁其中典型的网络安 全威胁包括以下几方面。1.1非法和越权的访问发布网站和内网网络内承载了与生产经营息息相关的信息系统, 在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数 软件都实现了身份认证和授权访问的功能，但是这种控制只体现在应 用层，如果远程通过网络层的嗅探或攻击工具（因为在网络层应用服务 器与任何一台政务网络网内的终端都是相通的，有可能会获得上层的 身份和口令信息，从而对业务系统进行非法及越权访问破坏业务的正 常运行，造成泄露。1.2恶意代码传播政务网络都在终端上

3、安装了防病毒软件，以有效杜绝病毒在网络 中的传播,但是随着蠕虫、木马等网络型病毒的出现单纯依靠终端层 面的查杀病毒显现出明显的不足这种类型病毒的典型特征是，在网络 中能够进行大量的扫描，当发现有弱点的主机后快速进行自我复制并 通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也 可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅 探性质的数据包，对网络有限的带宽资源造成损害。1.3恶意访问对于政务网络而言，链路带宽是有限的，因此，必须有计划地分配 带宽资源，保障关键业务的进行，这就要求互联网出口链路转发的访问, 都要求对那些过度占用带宽的行为加以限制，避免因某几台终端过度

4、 抢占带宽资源而影响他人对网络的使用。1.4拒绝服务攻击政务网络有自己对外发布的网站，进行对外宣传并提供服务是政 务网络对外的窗口，但是由于该平台面向互联网开放很容易受到黑客 的攻击，其中最典型的就是拒绝服务攻击该行为也利用了现有TCP/IP 网络传输协议的先天性缺陷，大量发送请求连接的信息而不发送确认 信息,使得遭受攻击的主机或网络设备长时间处于等待状态导致缓存 被占满，而无法响应正常的访问请求表现为就是拒绝服务。针对政务网络在安全建设及运维管理中所暴露出的问题,应当进 行有针对性的设计和建设，最大化降低威胁，并实现有效的管理。第一 是需要进行有效的访问控制，网络安全建设的首要因素就是访问控

5、制 控制的核心是访问行为,应实现对非许可访问的杜绝，限制员工对网络 资源的使用方式。对于政务网络重要的对外发布服务器，应当有效鉴 别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全 控制手段,保障关键的业务访问。第二是深度应用识别的需求要引入 的安全控制系统，应当能够支持深度应用识别功能特别是对使用动态 端口的P2P和IM应用，能够做到精准鉴别，并以此为基础实现基于应 用的访问控制和QOS,提升控制和限制的精度和力度。第三是需要有 效防范病毒,在访问控制的技术上，需要在网络边界进行病毒过滤,防 范病毒的传播;在互联网出口上要能够有效检测出挂马网站对访问此 类网站而造成的病毒下发，能

6、够快速检测并响应;同时也能够防范来自 其他节点的病毒传播。第四是需要实现全面URL过滤，应引入专业性 的URL地址库，并能够分类和及时更新，执行。通过URL过滤策略能 够保证员工能够访问网页的一致和同步。最后是需要可视化的管理, 可视化的管理首先要求日志信息的分析，应用统计、入侵攻击统计、病毒统计等图表统计，从而实现对网络的有效的可视化监管。2安全技术选型思路为更好地满足运行维护的要求，在考虑网络边界安全问题时必须 遵循下属的原则和思路。首先,要提供可认证性和安全性，设备必须能够实现基于身份和角 色的管理，设备无论在进行访问控制，还是在QOS,还是在日志记录过 程中，依据必须是真实的访问者身份

7、做到精细化管理可追溯性记录。 对于政务网络而言,设备必须能够与政务网络的AD域管理整合，通过 AD域来鉴别用户的身份和角色信息，并根据角色执行访问控制和 QOS,根据身份来记录上网行为日志。并能对所有互联网流量进行深 度检测，包括来自互联网的攻击防护、入侵防护、病毒防护做到立体 化一站式的安全解决之道大大提高政务网络的互联网出口安全从而 也保证DMZ区域对外发布的服务的安全。其次,要保障链路畅通性。政务网络的链路是有限的因此，应有 效封堵P2P、IM等过度占用带宽的业务访问,保障链路的有效性。最后，是保证稳定性，安全必须可靠稳定，选择产品形成的方案应 尽量避免单点故障，传统的网络安全方案总是需

8、要一堆的产品去解决 不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全 网通信的故障，因此，采取集成化的安全产品应当是必然选择。另外 安全产品必须有多种稳定性的考虑既要有整机稳定性措施，也要有接 口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的 情况，并保持系统整体工作的稳定性。3选择安全产品功能基于政务网络互联网出口现状态，网络边界的安全设备应在技术 上具有如下的安全技术优势。3.1基于角色的安全控制与审计针对传统基于IP的访问控制和资源控制缺陷采用RBNS（基于身 份和角色的管理）技术让网络配置更加直观和精细化不同基于角色的 管理模式主要包含基于“人”的访问控制、

9、基于“人”的网络资源（服务） 的分配、基于“人”的日志审计三大方面。基于角色的管理模式可以通 过对访问者身份审核和确认确定访问者的访问权限，分配相应的网络 资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等 问题。另外，在采用了 RBNS技术后，使得审计记录可以直接反追溯到 真实的访问者，更便于安全事件的定位。3.2基于深度应用识别的访问控制新的安全威胁也随之嵌入到常用HTTPT/HTTPS等应用之中，而 传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根 本无法识别应用，更谈不上安全防护。选用新一代安全设备可以根据 应用的行为和特征实现对应用的识别和控制而不依赖于端口或

10、协议, 即使加密过的数据流也能应付自如。3.3深度内容安全安全设备可提供病毒过滤,入侵防御，内容过滤，上网行为管理和 应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻 击。病毒库,攻击库,URL库可以通过网络服务实时下载确保对新爆发 的病毒、攻击、新的URL做到及时响应。3.4高性能病毒过滤对于政务网络而言，在边界进行病毒的过滤与查杀是有效防范蠕 虫、木马等网络型病毒的有效工具，但是传统病毒过滤技术由于需要 在应用层解析数据包，因此效率很低，导致开启病毒过滤后对全网的通 信速度形成很大影响。如果安全设备在采用多核的技术上，对病毒过 滤采取了全新的流扫描技术也就是所谓的边检测边传

11、输技术可以大 大提升了病毒检测与过滤的效率。传统的病毒过滤扫描是基于文件的。流扫描策略是基于主机的病 毒过滤解决方案实现的，并且旧一代病毒过滤解决方案也继承这一方 法。使用这种方法首先需要下载整个文件，然后开始扫描，最后再将文 件发送出去。从发送者发送出文件到接收者完成文件接收，会经历长时间延迟。对于大文件，用户应用程序可能出现超时。新一代病毒引擎是基于流的，病毒过滤扫描引擎在数据包流到达 时进行检查，如果没有检查到病每则发送数据包流。由此，用户将看到 明显的延迟改善，并且他们的应用程序也将更快响应。流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那 样受文件大小的限制。低资源利用率也意

12、味着更多文件流的同时扫 描。出于对高性能、低延迟、高可升级性的首要考虑,流扫描技术适 合病毒过滤解决方案。基于策略的病毒过滤功能：病毒过滤功能能与策略引擎完全集 成。管理员能够完全控制以下各方面:哪些域的流量需要进行病毒过 滤扫描，哪些用户或者用户组进行扫描，以及哪些服务器和应用被保 护。3.5高效的带宽管理功能安全设备能提供专有的智能应用识别 (Intelligent Application Identification)功能，称为IAI。IAI能够对百余种网络应用进行分类甚 至包括对加密的P2P应用(BitTorren、迅雷、Emule、Edonkey等)和 即时消息流量进行分类。QoS首

13、先根据流量的应用类型对流量进行识 别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且 区分优先级。一个典型应用实例是:用户可以为关键网页浏览设置高 优先级保证它们的带宽使用;对于P2P下载流量,用户可以为它们设置 最低优先级并且限制它们的最大带宽使用量。将角色鉴别以及IPQoS 结合使用,用户可以很容易地为关键用户控制流量并区分流量优先 级。结合应用QoS,设备可提供另一层的流量控制。可以为每个用户 控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个 IP地址产生的不同流量用户可以基于应用分类结果指定流量的优先 级。在IPQoS里面使用应用QoS,甚至可以对每个IP地址进行

14、流量控 制的同时，还能够对该IP地址内部应用类型的流量进行有效管控。除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利 用。弹性QoS功能(FlexQOS)能够实时探测网络的出入带宽利用率 进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分 利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性 能。总之，通过集成带宽管理功能可以在用户网络中做到关键应用优 先，领导信息流量优先非业务应用限速或禁用,V)IP、视频应用保证时 延低、无抖动、音质清晰、图片清楚，这些有效管理带宽资源和区分 网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用, 使得昂贵的带宽能获取最高的效益和高附加值应用。3.6入侵防御策略利用安全网关的入侵防御系统，针对访问进行有效防护，防止外部攻击行