网络安全管理-防火墙系统改进状况

1、“高能所网络安全管理”课题2002年年终总结防火墙系统改进状况防病毒系统的部署与效果安全网站和数据库系统网络安全课题软件开发进展目前高能所网络安全总体评价下一步完善高能所网络安全Internet网络一般用户，受限用户网络有对外合作的用户 网络的计算机不能被所外网络访问，但可以主动向外访问Internet和网络网络的计算机可与Internet相互访问，但不可以主动连接网络防火墙网络 公用网络服务器网络与网络类似，但仅用来连接高能所的公用网络服务器组通过防火墙对高能所网络分类Internet经过防火墙NAT后访问Internet直接穿透防火墙访问Internet防火墙通过代理服务器访问Intern

2、et网络用户经防火墙上网的途径代理服务器实际的防火墙系统网络拓扑结构中心交换机Internet路由器防火墙集线器路由器公用电话网Switch集线器Switch集线器双防毒墙网络监视设备允许被从所外访问的服务器Ftp: 30/26Wins: 38/26Web: 9/26Nsg: 42/26Proxy1: 36/26Proxy2: 37/26Kill: 39/26Sec: 72/26(28/27)(60/27)(28/26)高能所内网(/26)(92/27)30/2731/2793/2732/2770/26/2629/2671/2673/262/261/26andh: 33/27nsmg: 42/

3、27防火墙安全策略的制定原则对绝大多数计算机用户授权NAT方式访问Internet；将有特殊（需要被从所外向内访问）的用户计算机安放在计算中心专门的保护区；对不能移到计算中心，但又需要与特定所外单位相互通讯的计算机，按IP地址和协议设置相应的保护策略；对仅在所内通讯的计算机设置不允许穿越防火墙的安全保护策略。防火墙安全策略查询方法为使用户知道自己使用的计算机正处于哪种被保护状态，以便于确定能执行何种权限的网络操作，在高能所网络安全网站（)上公布了高能所内所有计算机的安全类别，用户可根据自己计算机的安全类别判断是否满足自己的工作需要，并可向计算中心申请修改保护方式。防病毒系统的部署与效果网关型防

4、病毒系统结构服务器/客户端方式的防病毒系统防病毒软件部署后的效果病毒截杀情况统计详表防病毒安全服务机制InternetInterScan防毒网关邮件服务器进、出邮件均受到防毒网关保护，实现方法：进：将Mail服务器、Sun服务器的MX纪录均指向防病毒网关，这样外部进入的邮件先经过防病毒网关的过滤，再由防病毒网关自带的SendMail发送给内部邮件服务器。出：将Mail服务器、Sun服务器外发邮件全部指向防病毒网关，由防病毒网关过滤后由自带的SendMail发送给外部的收件人客户的HTTP请求受到防毒网关保护，并且客户端不需要更改设置，实现方法：在代理服务器上打开Cascade功能，将所有客户端

5、的http请求转发到防病毒网关。防病毒网关本身也是一个代理服务器，将收到的请求发送给Internet，并将传回的网页经过扫描后传递回代理服务器，再由代理服务器交给客户端。因此在下载大文件时，一开始会很慢，因为正个文件回先下载到防病毒网关，经过扫描后经由代理服务器载传递给客户客户的FTP请求受到防毒网关保护，但需要按照如下方式操作：例如下载站点为，使用的用户名为anonymous,密码为1，客户端必须在命令行模式下：ftp (ftp到防病毒网关)User (:(none): anonymous Password: 1然后使用ftp命令正常下载网关型防病毒系统结构服务器/客户端方式的防病毒系统Ki

6、ll防病毒软件安装情况： 截至2002年12月10日，累计安装kill客户端杀毒系统已达731台。 Kill防病毒软件升级情况： 自7月份安装以来，共升级了41次，平均每周2次。 网关防毒 InterScan VirusWall 统计结果： 自从2002.7.11 - 2002.12.10，总共截杀Email病毒12693个，平均每天截杀Email病毒83.5个；总共截杀HTTP病毒2020个，平均每天截杀 13.3个。在 7月16 日新病毒password 传播时，防病毒 1891 个，7 月22 日防病毒428 个。防病毒软件部署后的效果病毒截杀情况统计详表截杀病毒总数(2002.7.11

7、 - 2002.12.10)平均每天截杀病毒数Email 12693 83.5HTTP 2020 13.3排名Email 病毒名称病毒数占总病毒数的百分比1WORM_KLEZ.H968576.3%2WORM_BUGBEAR.A217 1.7%3PE_TECATA1341.1%排名Http 病毒名称病毒数占总病毒数的百分比1JS_EXCEPTION.GEN131265.0%2VBS_REDLOF.A156 7.7%3BKDR_DINDANG.A82 4.1%防病毒安全服务机制由计算中心为高能所全体用户做技术支持：紧急情况立即到现场解决问题非紧急情况可和计算中心预约派技术人员帮助解决问题由防病毒软

8、件厂商为计算中心做技术支持：严重性问 题 描 述响应时间问题解决时间A最高级病毒爆发、大量扩散。立即1个工作日B紧急系统主要功能无法执行。系统作业效率突然严重降低。4小时2个工作日C重要系统出现细微错误，不影响日常正常作业。一般性的产品使用问题。1个工作日3个工作日D普通索取产品更新（非电子资料方式）。索取一般信息。1个工作日3 5个工作日安全网站和数据库系统网络安全数据库系统网络安全网站系统网络安全信息收集中心安全网站和数据库系统系统基于Linux平台，采用Mysql数据库软件实现：记录每台连网的计算机的基本信息（使用者、位置、IP地址、MAC地址、网络使用权限等）提供了基于Web的用户界面

9、，以实现数据库的基本管理为其他应用提供了程序调用接口目前数据库共收集了2111条主机信息的记录网络安全Web网站与数据库系统设立在同一台计算机上，是向用户提供安全咨询的途径之一：提供高能所网络安全知识、网络使用规范、安全警告信息等可与数据库连接，提供网络注册和安全资料查询提供网络安全软件下载网络安全课题软件开发进展国家课题研究成果及其在高能所的应用取证系统陷阱机保护系统小区网络监视系统针对高能所网络的研究和开发工作垃圾邮件防范技术措施网络通信异常检测与控制防火墙安全规则优化网络陷阱系统介绍“网络陷阱与诱骗技术研究”课题成果“网络陷阱系统”的典型应用环境如上图所示。网络陷阱系统以主动防御为目的，

10、可引诱黑客攻击行为到一个可控的范围，消耗其资源，记录下他的所有动作，研究其行为，了解其使用的攻击方法和技术，并提醒他的下一个攻击目标，以便及时做出防范，从而保护真正的服务器的安全，提高网络的安全防护性能陷阱主机InternetIDS探测器2交换机一个陷阱主机可虚拟四个陷阱机，每个陷阱机都有独立的IP地址和独立的服务功能陷阱机控制台陷阱机1陷阱机2陷阱机3陷阱机4陷阱机日志服务器服务器1服务器2服务器3服务器4防火墙IDS内部网被保护服务器群陷阱主机DMZ区入侵取证系统介绍被取证机被保护服务器取证机RedHat7.2双网卡分析机Windows2000HUB监管系统InternetWeb服务器交换

11、机Mail服务器路由器防火墙内部网DNS财务网内网段1对可疑的IP的活动进行分析和监管，及时发现异常行为并处理内网段2DMZ区网络安全监管系统介绍垃圾邮件防护的技术措施防止所外向所内传递垃圾或病毒邮件的措施在邮件服务器上设置procmail邮件过滤程序，可删除满足特征的电子邮件在防火墙上设置安全规则，禁止所内的邮件服务器直接收来自所外的邮件，必须经防毒墙过滤才可到达防止由所内向所外传递垃圾或病毒邮件的措施在防毒墙上设置了可信任主机的列表，只接收所内批准的合法email服务器的邮件在防火墙上设置安全规则，禁止所内的邮件服务器直接向外发送邮件，必须经放毒墙过滤后再转发出去在邮件服务器上设置了发信认

12、证机制编制了程序自动检测高能所是否被列入“国际反垃圾邮件组织”的黑名单，如发现，及时查明原因并申请从中撤消网络通信异常检测与控制按IP地址进行网络流量统计并可提供实时地查询功能能实时地检测出网络通讯流量异常的IP地址能判别出正在进行网络扫描或具有这类特征的病毒发作的IP地址可与防火墙系统配合自动禁止这类计算机的通讯防火墙安全规则优化防火墙安全规则优化的目的是把来自全所计算机用户的安全要求经过合并、筛选，并通过计算机程序自动生成合理的、效率高的防火墙安全规则；通过安全优化，可减少防火墙上的规则数目，提高防火墙的性能，完成在这之前硬件性能无法满足的功能。目前高能所网络安全总体评价今年高能所在网络安全上的投资情况目前高能所网络安全设施高能所网络抗“黑客”攻击的能力高能所网络抗“病毒”攻击的能力对高能所网络用户管理的能力网络安全服务和应急响应速度当前IHEP网络安全管理实施效果病毒问题大大减少未发生大规模病毒发作事件网关防病毒系统过滤掉许多病毒自7月11日安装后，到目前，共过滤掉E-mail病毒一万三千多个、HTTP 病毒二千多个。垃圾邮件影响减轻外发垃圾邮件的情况减少收到的垃圾邮件经过滤，数目减少黑客攻击行为减少外部尝试利用我所网络进行跳转攻击等扫描行为被有效阻断攻击行为被及时发