自防御網絡系統相關技術及應用研究

摘要:網絡時代的到來使得安全問題成為一個迫切需要解決的問題擺到了前臺，病毒、黑客、以及各種各樣漏洞的存在，使得安全任務在網絡時代變得無比艱巨。而以前的網絡安全技術由于其缺乏主動性，應用的局限性問題日益突出，自防御網絡(SDN)技術的提出則提高了網絡的智能化檢測、預防、認證等主動自防御能力，成為目前最流行的網絡安全防御系統。該文分析了SDN系統的主要技術特性，針對其在企業安全，移動通信網絡中的應用作了相關研究。

關鍵詞:自防御網絡;網絡安全

The Related Technology of Self-Defending Network System and its Application Research

XIE Meng

(Navy Aviation Engineering of Academy， Yantai 264009， China)

Abstract: The network security has become an urgent problem needs to be solved by the arrival of the era of network， virus， hackers， and various vulnerabilities make the security tasks infinitely more difficult. The network security technology in the last lack of initiative， then the application limitations problem has become prominent increasingly， How to improve the network holding initiative self-defending with intelligence defense and prevention and authentication functions will be an important direction to the network security problem in the future. According to the main technical characteristics of SDN system， made some research on the application of SDN in the area of company network and communication network.

Key works: SDN; network security

自從20世紀60年代以來，互聯網絡在規模和應用領域上日益得到拓展，大大推動了信息時代的高速發展，與此同時，在互聯網已經轉變并大大改善了人類社會經濟生活的方式的同時，不得不面臨大量的網絡安全問題——惡意攻擊、垃圾郵件、計算機病毒、黑客等。以往的以防火墻、入侵檢測和病毒防范等組成的網絡安全系統，在功能上孤立單一，大多只能對抗已知攻擊，并且在體系結構上多是附加、被動的防御。2004年3月15日，思科以第三代安全解決方案為體系框架，創新地提出了“自防御網絡(Self Defending Network，SDN)”計劃。這是一個多側面、多階段的安全計劃，它能大大提高網絡發現、預防和對抗安全威脅的能力。于是人們開始把目光投向具有自防御能力的網絡。

1 自防御網絡系統(SDN)

1.1 自防御網絡簡介[1-2]

2004 年3 月15 日，思科在中國發布自防御網絡(Self-Defending Network，SDN)計劃。思科自防御網絡計劃是一個創新的、多側面的網絡安全戰略，其目標是提高網絡發現、防御和對抗安全威脅的能力。

SDN旨在提高網絡發現、防御和對抗安全威脅的能力。使今后的計算機網絡不但要具有保護網上主機系統、網上終端系統、網上應用系統的能力，更關鍵的是使網絡本身也具有自我保護能力、自我防御能力、自我修復和愈合的能力。與獨立的產品相比，自防御網絡是利用各種安全設備，如防火墻、VPN、入侵檢測系統、防病毒系統構建一個層次化、集成化的自防御網絡安全保護體系，每個部分都可以與其他部分互相通信，從而加強整個基礎設施的安全。這種集成化網絡創建了一個協調、統一、主動的管理環境，讓用戶可以及時地發現、削弱和制止安全威脅。通過采用這種網絡安全機制，用戶可以獲得一種統一的威脅防御功能，從而以計算機速度響應安全警報、縮短漏洞存在時間和減輕管理負擔。

1.2 網絡準入控制(NAC)

網絡準入控制是思科自防御網絡計劃的重要組成部分。其核心思想是，控制訪問權限，有效阻止不符合安全條件的設備和用戶進入網絡，并將其置于某個隔離區域之外，或者僅獲得對計算資源的有限訪問權限，其工作原理如圖1所示。網絡接入控制與思科公司關于網絡安全的其它技術，如入侵檢測、防火墻、網絡管理與流量分析VPN 等加在一起，就構成了自防御網絡的全部內涵。NAC的發布也意味著，SDN理念向應用邁出了實質性的一步。

根據思科網絡準入控制計劃，未來的網絡設備將具備安全智能，能自動檢測接入設備中是否采取了安全措施，一旦檢測到沒有安裝安全產品，網絡設備將自動拒絕這些“非安全”的終端設備的接入。

網絡準入控制的宗旨是防止病毒和蠕蟲等新興黑客技術對企業安全造成的危害。借助NAC，只允許合法的、值得信任的端點設備(例如PC、服務器、PDA)接入網絡，而不允許其它設備接入。

1.3 自適應威脅防御(ATD)

自防御網絡的最關鍵的要素是自適應威脅防御(ATD)，它可以幫助客戶更加有效地管理和消除它們的網絡業務系統和應用所面臨的風險。ATD 通過在多個層次動態地消除威脅最大限度降低了網絡安全風險，有助于加強對網絡流量、終端、用戶和應用的控制。這種創新的方式將安全功能、多層智能、應用保護、網絡控制和威脅隔離等集成到了同一個高性能的解決方案中。

自適應威脅防御由Anti-X防御、應用安全以及網絡控制與隔離三個關鍵部分組成，形成了更加協調的威脅防御機制。

Anti-x防御，利用一系列面向流量和內容的安全服務，來防御和制止網絡威脅的新型解決方案。其核心的安全技術包括防火墻、入侵檢測系統(IDS)、入侵防御系統(IPS)、異常檢測、多種應用檢測如網絡病毒、間諜軟件、垃圾郵件、詐騙、防范分布式拒絕服務(DDOS)和URL過濾等多層面技術。這種融合可以為關鍵的網絡安全實施點，提供精確的流量檢測服務，從而在惡意流量擴散到整個網絡之前將其隔離。

應用安全:提供先進的業務應用保護功能。這些功能包括應用級訪問控制、應用監控以及適當的應用使用策略、Web應用控制和交易隱私保護的實施。

網絡控制和隔離:網絡智能和虛擬安全技術提供了先進的審核和關聯功能，讓客戶能夠通過主動的管理和威脅消除機制，控制和保護任何網絡組件或者服務[3-4]。

2 自防御網絡的應用研究

自防御網絡由于其主要的技術特性，在網絡安全的很多領域有著廣泛的應用前景[5]，下面就是針對其在兩個具體的應用領域做了些詳細說明。

2.1 自防御網絡在企業網中的應用

當今大量相互連接的信息網絡必須跟上業務發展的步伐，此外，它們也為企業實現更高業績提供了機會。隨著信息盜竊、病毒攻擊和應用濫用逐步增加，機構需要具備保護其業務網絡和重要資源的能力。無論出現員工和可信內部人員盜竊信息的現象，還是黑客試圖穿過網絡外部防御來發動攻擊，各種規模的機構都必須防御來自內部和外部、已知和未知來源的信息盜竊、病毒入侵和應用濫用。很明顯，網絡安全對企業來說是必不可少的[5]。

為了幫助企業發現、防范和克服新的IT基礎設施威脅，思科創建了自防御網絡計劃并推出首個名為網絡準入控制(NAC)的解決方案。該解決方案處理的是信任關系和身份管理。在對用戶進行身份驗證的同時，它可以忽略計算機的安全證明。為了幫助建立這種重要的信任關系，思科與防病毒軟件開發商Network Associates， Symantec和TrendMicro建立了機密合作關系，一同打造完善的解決方案。

網絡準入控制(NAC)的解決方案的工作方式是:思科安全代理(CSA)中集成的思科信任代理可以從PC和主機中搜集各種安全狀態信息，例如防病毒軟件和操作系統補丁的版本。當該節點試圖連接到VPN時，思科信任代理會將安全狀態信息發送到負責執行準入控制的思科網絡接入設備，例如路由器、交換機、無線接入點和安全裝置。這些設備將會把安全證明發送到思科安全訪問控制服務器(ACS)，由它根據客戶事先定義的策略決定制定允許、拒絕、隔離或者限制決策。NAC甚至可以為具有或者沒有思科信任代理的主機執行不同的訪問策略。不僅在思科設備中可以應用思科信任代理，通過與領先的防病毒軟件開發商進行合作，在接近95%的計算機上都能夠確保思科信任代理將安裝，幾乎無所不在的客戶端代理讓NAC可以在很大范圍內保持高效，從而能共同解決整個行業目前面臨的嚴重安全問題，借助網絡的威力防止IT基礎設施遭受攻擊。

IDS和行為異常檢測軟件進一步增強了思科NAC的功能。例如，當內嵌于思科路由器中的IDS檢測到DoS攻擊的特征時，思科ACS將會在幾秒鐘之內命令網絡中的所有路由器拒絕該流量。如果流量模式以一種可疑的方式發生變化，但是并不具備已知特征，行為異常檢測軟件將可以根據企業自己的業務規則，中斷可疑的流量。NAC可以補充而不是取代已經被廣泛使用的傳統安全技術，包括網關防火墻、入侵保護系統、用戶身份驗證和通信安全等[6]。

2.2 自防御網絡在移動通信網中的應用

隨著移動通信技術的發展，移動通信網絡和傳統互聯網的聯系變得更加緊密。移動終端通過移動通信網訪問目的網絡時，既涉及到移動通信網的安全保護，也涉及到目的網絡的安全保護。現有的一些防御措施(如網關過濾技術等)都是一種孤立、被動式的防御，很難完全保證移動通信網和目的網絡的安全。鑒于此，人們必須采用綜合的、主動的防御技術來保護移動通信網和目的網絡，從而保護業務、應用和用戶的安全，因此自防御網絡的設計思路非常符合移動通信網絡安全的需要。

在移動通信網中預先提供主動的防護措施，將能夠有效的保護目的網絡的安全。另一方面，目的網絡的類型是多種多樣的，且不同的企業有不同的安全需求。如果僅利用現有安全體系中的單一安全措施很難靈活地對安全業務進行擴展，提供多樣化的安全功能，所以完全可以按安全需求的不同對應設置不同的安全等級。因此，在移動通信網中提供類似SDN的安全防護機制，并以基于安全等級服務的方式提供，這樣就可以在移動通信網為用戶提供多樣化的安全服務，并能夠更高效地利用現有安全資源。

利用基于安全等級的主動防御技術來實現網絡準入控制的方式圖2所示，其目的是防止帶有病毒或不安全信息的移動終端接入目的網絡，造成破壞。其中在移動通信核心網中，安全策略服務器對安全策略進行統一管理，負責安全策略的配置和分發。安全響應服務器具體對應準入控制服務器及安全服務器，相關的網絡實體還包括移動終端和安全網關。其中，移動終端中的用戶安全代理是嵌入到移動終端的一個安全軟件，它除了配合完成準入控制功能外還能對終端安全信息進行收集和處理，如終端操作系統補丁的分發、防病毒軟件的升級等。安全網關是執行安全功能的網絡實體，為用戶建立傳遞信息的安全通道，并作為移動終端和安全策略服務器或安全服務器進行通信的信息載體。準入控制服務器接收安全策略服務器下發的目的網絡安全等級，并根據該等級信息對移動終端進行準入控制。安全服務器則是對移動終端進行隔離處理的服務器，在本實施方式中，它完成對移動終端操作系統補丁進行升級、對移動終端進行病毒查殺等操作。

3 結論

自防御網絡(SDN)，是一種全新安全架構，其最大特點就是具有自防御能力、自愈合能力和集成協同的安全機制，不論是網絡系統本身還是網絡資源，一旦受到諸如網絡病毒和網絡攻擊時，能夠快速反應，發現攻擊并給以阻止，發現病毒或蠕蟲予以刪除，大大提高網絡安全性能。而由于SDN技術在引入國內的時間比較短，因此目前國內SDN的應用領域還有待拓寬，而且還有許多技術環節需要進行深入的研究和探討。本文從了解SDN這種先進的網絡安全技術著手，詳細講解了SDN的相關技術，并結合SDN技術特性與廣泛的應用背景，SDN技術在企業安全和移動通信這兩個應用領域作了詳細闡述。

參考文獻:

[1] Cisco Systems，Inc.SDN概述[EB/OL].2003.

[2] Rhonda Heldman Raider.全新安全戰略——自防御網絡[J].計算機安全，2005(4):29-31.

[3] 黃艷，李家濱.抵御DoS及DDoS的自防御網絡技術研究[D].上海:上海交通大學，2009.

[4] 著眼未來的全面防御 ——思科SDN自防御網絡[EB/OL].http://www.cisco.com/web/CN/aboutcisco/cisco_china/magazines/networking_china/2005/2005_31_9.html.

[5] 思科自防御網絡[EB/OL].http://www.cisco.com/web/CN/solutions/industry/segment_sol/smb/smb_it/security/cisco_self_defending_networks_overview.html[DB/OL].

[6] 全新網絡安全應用戰略:自動防御網絡[EB/OL].http://hi.baidu.com/%BA%DA%BF%CD%B7%C0%CF%DF/blog/item/d18038a8b484a9b1ca130c58.html.