公安邊防支隊網(wǎng)絡(luò)安全建設(shè)方案設(shè)想

◆洪 峰

（廣西邊防總隊北海市邊防支隊 廣西 536000）

公安邊防支隊網(wǎng)絡(luò)安全建設(shè)方案設(shè)想

◆洪 峰

（廣西邊防總隊北海市邊防支隊 廣西 536000）

通過在××公安邊防支隊部署綜合性防火墻設(shè)備，建成支隊及派出所、大隊二級邊防機關(guān)互聯(lián)互通的安全防護(hù)專網(wǎng)，并形成全市邊防機關(guān)關(guān)鍵樞紐防火墻設(shè)備的統(tǒng)一管理和安全規(guī)則的統(tǒng)一制定和下發(fā)，完善已有的網(wǎng)絡(luò)安全措施，增加安全運維管理能力和手段，滿足未來公安邊防支隊信息化及業(yè)務(wù)發(fā)展對網(wǎng)絡(luò)安全、功能、性能、管理等方面要求，實現(xiàn)對主機的MAC 地址與IP地址的綁定，防止網(wǎng)絡(luò)ARP攻擊。

公安邊防；網(wǎng)絡(luò)安全建設(shè)；設(shè)想

1 網(wǎng)絡(luò)安全現(xiàn)狀與需求分析

××公安邊防支隊專網(wǎng)建設(shè)在移動專網(wǎng)上，信息化建設(shè)已覆蓋到N個基層邊防派出所、N個邊防大隊。支隊計算機房建立了應(yīng)用業(yè)務(wù)服務(wù)器、數(shù)據(jù)存儲備份，建立了相應(yīng)的二層網(wǎng)絡(luò)交換平臺及部分安全設(shè)備，基礎(chǔ)環(huán)境建設(shè)已經(jīng)初見成效。

當(dāng)前，××公安邊防支隊派出所機關(guān)大部分接入了專網(wǎng)，實現(xiàn)了各基層邊防派出所訪問××公安邊防支隊日常辦公以及視頻會議系統(tǒng)等部分信息發(fā)布與業(yè)務(wù)的使用。這批設(shè)備采購時間較久，設(shè)備基本管理維護(hù)成本較高，隨著邊防業(yè)務(wù)發(fā)展，性能和功能無法滿足未來需求。

隨著信息化發(fā)展速度加快，××公安邊防支隊的信息安全措施和安全意識大幅提高，初步形成了一整套安全風(fēng)險的預(yù)警和處置機制。

2 網(wǎng)絡(luò)安全建設(shè)方案

2.1 方案綜述

依據(jù)××公安邊防支隊專網(wǎng)網(wǎng)絡(luò)與信息系統(tǒng)現(xiàn)狀，將××公安邊防支隊專網(wǎng)依據(jù)單位的級別劃分為支隊節(jié)點、派出所、大隊二級節(jié)點。

通過在市級邊防支隊、N個支隊下屬邊防派出所、N個大隊網(wǎng)絡(luò)邊界處各自部署1臺防火墻設(shè)備，并通過支隊安全管理平臺實現(xiàn)對市級支隊和派出所、大隊所進(jìn)行安全監(jiān)控管理，實現(xiàn)統(tǒng)一的安全保障體系。同時，由于整個系統(tǒng)設(shè)計中包含有眾多的防火墻設(shè)備，在××公安邊防支隊部署一套防火墻集中管理系統(tǒng)，并與現(xiàn)有××公安邊防支隊安全管理平臺結(jié)合，通過該系統(tǒng)能夠?qū)崿F(xiàn)對防火墻設(shè)備的統(tǒng)一管理（包括安全策略配置、連接以及設(shè)備的升級和防火墻日志的收集等工作），提高全網(wǎng)防火墻的管理效率，提高網(wǎng)絡(luò)整體的安全性和穩(wěn)定性。為了保障專網(wǎng)業(yè)務(wù)連續(xù)性和穩(wěn)定性，保證實現(xiàn)××公安邊防支隊和邊防派出所、大隊二級互聯(lián)，本次方案采用的所有防火墻設(shè)備均同一品牌實現(xiàn)互聯(lián)互通。

2.2 一級管理與監(jiān)控建設(shè)

本次建設(shè)方案為××公安邊防支隊提供一套安全管理平臺，主要提供設(shè)備監(jiān)控、策略分發(fā)、統(tǒng)一升級、安全、事件告警等功能。

本次建設(shè)提供安全管理平臺，主要實現(xiàn)以下功能：

2.2.1 資源監(jiān)控預(yù)警

能夠管理各個派出所和組織IT資源中的各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機和服務(wù)器、服務(wù)和應(yīng)用系統(tǒng)，以及機房設(shè)備，為用戶提供一個全方位監(jiān)控的統(tǒng)一管理平臺，使得管理員通過一個單一控制臺就能夠進(jìn)行實時全網(wǎng)監(jiān)控，確保派出所和組織IT資源的可用性，以及業(yè)務(wù)的持續(xù)性。

通過網(wǎng)絡(luò)拓?fù)鋱D，管理員可以直接進(jìn)入各種設(shè)備和系統(tǒng)的管理配置界面，進(jìn)行各種細(xì)致的配置操作，使得安全管理平臺成為一個日常管理的統(tǒng)一入口，提高管理員的工作效率，提升應(yīng)急響應(yīng)效率。

2.2.2 設(shè)備監(jiān)控

利用集中管理軟件可實現(xiàn)系統(tǒng)管理員對全市邊防支隊和N個邊防派出所機關(guān)防火墻進(jìn)行深入細(xì)致的監(jiān)控。

2.2.3 策略管理

通過統(tǒng)一的界面，對專網(wǎng)防火墻進(jìn)行安全策略的編輯和下發(fā)。策略管理的內(nèi)容包括設(shè)備對象定義、安全規(guī)則管理和安全策略下發(fā)。

圖1 添加VPN端點

（1）設(shè)備對象定義

對防火墻的對象進(jìn)行定義，包含的項目有：

地址；地址列表；地址組；服務(wù)器地址；NAT地址池；服務(wù)；基本服務(wù)；動態(tài)服務(wù)；ICMP服務(wù)；服務(wù)組；時間；時間列表；時間組；帶寬列表。

可以對以上項目進(jìn)行添加、修改、刪除、查詢等操作。

（2）安全規(guī)則管理

本系統(tǒng)把安全規(guī)則抽象化，所有的安全規(guī)則都不與某個具體設(shè)備相關(guān)，是適用與多臺設(shè)備的普遍性規(guī)則。每條安全規(guī)則中使用到的地址、服務(wù)等對象關(guān)聯(lián)的都是設(shè)備對象定義中的別名。這樣一來，維護(hù)人員只需定義抽象的安全規(guī)則，同時定義設(shè)備相關(guān)的對象定義，把安全規(guī)則使用到的別名與具體名稱關(guān)聯(lián)，即可以完成每個設(shè)備安全規(guī)則的配置。

安全規(guī)則管理可對全網(wǎng)的安全規(guī)則進(jìn)行添加、修改、刪除、查詢等操作。

（3）安全策略下發(fā)

提供同時對多臺安全設(shè)置批量下發(fā)多條安全策略的功能。可下發(fā)的安全策略有安全規(guī)則。

根據(jù)安全策略的內(nèi)容和每臺設(shè)備的對象定義，生成待下發(fā)的安全策略命令行，通過SSH登錄設(shè)備，下發(fā)策略命令。支持安全策略的增量下發(fā)。

此外，為了維護(hù)人員使用方便，本系統(tǒng)提供查看設(shè)備現(xiàn)有安全策略的功能，維護(hù)人員在下發(fā)安全策略前，可以事先查看設(shè)備上現(xiàn)有的安全策略，避免新下發(fā)的策略與原有策略的沖突。

2.2.4 設(shè)備升級管理

系統(tǒng)提供防火墻升級的功能。北海邊防支隊可以通過本系統(tǒng)上傳升級包，對防火墻進(jìn)行升級操作。

圖2 升級管理

包含如下三大功能：

（1）升級包管理。可上傳升級包、刪除升級包、建立文件夾等。

（2）查看設(shè)備當(dāng)前版本。

（3）下發(fā)升級命令，執(zhí)行設(shè)備升級。

2.2.5 安全報表

安全能夠?qū)崟r地對專網(wǎng)防火墻采集到的不同類型的信息進(jìn)行歸一化和實時關(guān)聯(lián)分析，通過統(tǒng)一的控制臺界面進(jìn)行實時、可視化的呈現(xiàn)，協(xié)助安全管理人員迅速準(zhǔn)確地識別安全事故，提高工作效率。

安全能夠?qū)崟r，對一段時間內(nèi)的網(wǎng)絡(luò)流量或者網(wǎng)絡(luò)連接數(shù)進(jìn)行統(tǒng)計，并描繪趨勢曲線。通過對某個IP地址的流量趨勢分析獲悉該IP地址的訪問流量模型，進(jìn)而對異常流量和行為進(jìn)行。

對于集中存儲起來的海量信息，可以讓人員借助歷史分析工具對日志進(jìn)行深度挖掘、調(diào)查取證、證據(jù)保全。

安全能夠自動地或者在管理員人工干預(yù)的情況下對告警進(jìn)行各種響應(yīng)，并與防火墻系統(tǒng)等在內(nèi)的眾多其他安全設(shè)備和系統(tǒng)進(jìn)行預(yù)定義的策略聯(lián)動，實現(xiàn)安全的管理閉環(huán)。

為××公安邊防支隊維護(hù)人員提供豐富的報表模板，使得能夠從各個角度對北海邊防支隊專網(wǎng)的安全狀況進(jìn)行，并自動、定期地產(chǎn)生報表，也能夠自定義報表。

一級ARP欺騙防護(hù)：

通過在一級邊防支隊出口部署一臺邊界防火墻，實現(xiàn)出入邊防支隊數(shù)據(jù)的訪問控制，同時對邊防支隊辦公終端進(jìn)行終端的IP、MAC綁定，防止ARP欺騙造成的網(wǎng)絡(luò)癱瘓。

2.3 二級派出所及大隊建設(shè)

2.3.1 拓?fù)涓乓?/p>

圖3 拓?fù)浣Y(jié)構(gòu)

支隊派出所專網(wǎng)分為用戶區(qū)和接入?yún)^(qū)，用戶接入?yún)^(qū)通過網(wǎng)訪問到上級支隊。

2.3.2 建設(shè)說明

邊防派出所及大隊出口部署一臺防火墻,主要實現(xiàn)以下功能：

（1）狀態(tài)包過濾：根據(jù)邊防派出所數(shù)據(jù)訪問規(guī)則的實際，在防火墻上制定合理的包過濾規(guī)則。依據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)接口等條件限制對數(shù)據(jù)包進(jìn)行訪問控制，同時記錄通過操作的連接狀態(tài)，直接對數(shù)據(jù)進(jìn)行處理；通過狀態(tài)檢測表追蹤連接會話狀態(tài)，并且結(jié)合前后分組里的關(guān)系進(jìn)行綜合判斷決定是否允許該數(shù)據(jù)包通過。通過對協(xié)議內(nèi)容的實時分析，動態(tài)開放所需的端口，傳輸結(jié)束后實時關(guān)閉端口，確保專網(wǎng)安全。

（2）地址轉(zhuǎn)化和對外映射：區(qū)縣機關(guān)內(nèi)部設(shè)置的IP地址，由于地址不規(guī)范或和其他機關(guān)地址沖突等問題，無法在專網(wǎng)通訊，通過部署的防火墻設(shè)備將內(nèi)部用戶內(nèi)部IP轉(zhuǎn)換成專網(wǎng)IP地址，業(yè)務(wù)及其他數(shù)據(jù)的通訊。

（3）地址綁定與ARP欺騙防護(hù)：提供二層、三層攻擊防護(hù)功能，支持對ARP Flood攻擊、ARP欺騙攻擊的防護(hù)。

通過定期發(fā)送SNMP請求，防火墻可以獲取到三層設(shè)備的ARP表，進(jìn)而獲取主機地址在被該臺三層設(shè)備改寫前的MAC地址是多少。如果防火墻需要跨越的三層設(shè)備不止一臺，那這些需要跨越的三層設(shè)備都必須開啟SNMP功能協(xié)助防火墻完成跨三層設(shè)備的地址綁定。防火墻支持最大跨越16臺三層網(wǎng)絡(luò)設(shè)備。

（4）流量整形和帶寬管理：通過擁塞控制算法、流量調(diào)度算法以及優(yōu)先級排隊機制，根據(jù)用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級），動態(tài)實現(xiàn)帶寬分配的實時控制，保障重要數(shù)據(jù)帶寬，如視頻會系統(tǒng)、辦公傳輸?shù)葮I(yè)務(wù)的正常使用。

3 方案總結(jié)

通過本方案的建設(shè)和實施，可以完全實現(xiàn)××公安邊防支隊與下屬N個邊防派出所和N個大隊的無縫安全互聯(lián)，主要技術(shù)指標(biāo)和產(chǎn)品性能全面達(dá)到技術(shù)要求。同時，實現(xiàn)了××公安邊防支隊對N個邊防派出所和N個大隊防火墻設(shè)備的統(tǒng)一管理（包括安全策略下發(fā)、配置調(diào)整、以及設(shè)備的升級維護(hù)等），以此大大降低在專網(wǎng)安全運維上的投入，加強××公安邊防支隊對全網(wǎng)安全的集中管理能力，完善已有的專網(wǎng)安全保障體系，防止網(wǎng)絡(luò)中存在的APR攻擊造成的網(wǎng)絡(luò)癱瘓問題，為落實、建設(shè)全市邊防機關(guān)的專網(wǎng)安全保障體系打下堅實的基礎(chǔ)。