計算機網絡安全防御與漏洞掃描技術分析

◆韓 溥

（鄂爾多斯市第一中學網絡信息中心 內蒙古 017010）

隨著《網絡安全法》的實施，各單位面對網絡安全風險的防御壓力進一步加大。很多安全設備確實能找出問題，但是如何解決問題卻還是經常讓用戶煩惱，科學的制定安全策略以及處置方案迫在眉睫。

1 影響計算機網絡安全的因素

1.1 計算機網絡體系因素

計算機網絡安全的影響因素是多方面的，網絡體系結構本身是影響網絡安全的一個因素。計算機網絡的開放性特點決定了其面臨的安全挑戰。文獻[1]中提出缺乏信息安全可控性是目前互聯網面臨的一個關鍵問題，而這個問題的源頭在于TCP/IP 網絡體系結構制約了安全應對策略的主動性。

1.2 軟件應用漏洞

網絡安全問題廣義上講還是基于網絡上各個應用的安全漏洞問題，各項業務的開展依托于各種應用軟件，而應用軟件、操作系統的安全性直接影響到整體網絡安全、業務安全。所以應用系統的安全漏洞是影響網絡安全的一個重要因素。

1.3 人為因素

文獻[2]提出，計算機網絡實際應用過程中，由于網絡安全設置不科學，出現了漏洞，沒有及時進行漏洞修復操作，系統沒有進行優化，從而就比較容易發生安全問題。

諸如黑客多種形式、途徑的主動攻擊和系統被動攻擊會導致類似信息篡改、泄露甚至更加嚴重的后果。黑客攻擊也被認為是諸多影響網絡安全因素中最主要的因素。

2 計算機網絡安全防御技術

文獻[3]提到，只有加強計算機網絡安全管理的水平，才能保障計算機網絡的整體安全。科學合理的安全防御措施是保障網絡安全的前提。

2.1 防火墻技術

防火墻本質上是通過合理的部署，執行預先制定的訪問控制策略，來實現內外網安全隔離，滿足深層次的安全防護體系要求的一個系統。防火墻技術是網絡安全防御中最基礎的技術手段，在保障計算機網絡的應用安全中發揮著非常重要的作用。它會根據預先制定的安全策略對經過它的數據流進行監審，按照過濾規則過濾掉所有不合規的數據流量，以達到保障內部網絡安全的目的。

該熱平衡方程為非齊次微分方程的形式，根據非齊次微分方程的通解形式和已知初始條件t=0,ΔT=ΔT0可求出微分方程的解如式(3)。

2.2 訪問控制技術

文獻[4]論述了訪問控制的目的是通過限制用戶對數據信息的訪問能力及范圍，保證信息資源不被非法使用和訪問。網絡訪問控制的主要任務是有效控制訪問活動，對信息資源尤其是計算模式和存儲模式都發生了很多變化的大數據分析、云計算場景下的信息資源進行有效的保護。按照訪問控制的節點可以分為入網訪問控制、網絡權限控制以及服務器安全控制。入網訪問控制時，對用戶訪問資源的身份合法性進行識別控制。用戶訪問資源時訪問控制規則會對用戶使用目錄以及文件資源的權限實施有效控制，保障網絡的安全。

2.3 身份認證技術

所謂身份認證，就是判斷一個用戶是否為合法用戶的處理過程。通常分為四個階段：

（1）身份供應，通常使用自主供應模式，保護用戶的憑證信息、身份標識符等隱私信息。

（2）認證，對于不同安全級別的服務采用不同力度的認證方式。文獻[5]提出，有傳統的基于“用戶名 + 口令”安全性較低的弱認證方式，也有基于云服務網絡認證的因子強認證方式。

（3）訪問授權，要進行訪問授權，需要基于不同網絡的特點，選擇合適的訪問控制模型，做好授權與應用統一規劃。

（4）身份聯合，尤其是服務訪問跨越多個域的云環境下，身份聯合可以實現統一的身份供應、認證，從而實現身份管理和訪問控制，使用戶訪問變得簡單化。

2.4 數據加密技術

數據加密技術是一種保密技術，通信雙方按約定的法則進行信息的特殊變換，在網絡安全防御中更多的是基于諸如語音、圖像、數據等信息資源本身的安全防護的技術。

2.5 漏洞掃描技術

漏洞掃描是通過網絡漏掃、主機漏掃等手段對指定計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測（滲透攻擊）行為。如果說防火墻、身份認證、授權訪問是被動的防御手段，那么安全漏洞掃描就是一種主動的在黑客攻擊前進行防范的措施，能有效降低黑客攻擊成功率，做到防患于未然。

3 網絡安全防御方案

許多情況下我們會遇到一些業務安全痛點，比如：在DHCP分配地址的網絡中，基于IP 的日志審查無法找到對應的人，上網日志審計系統如同虛設；員工上網行為難以統一管控；由于業務的特殊性，需要實現內外網安全隔離，來滿足深層次的安全防護體系以及鏈路穩定性要求；數據中心承載的業務尤其是對外發布區的業務安全無法保障；無法及時掌握網絡中漏洞情況。基于此，根據業務需求合理規劃網絡安全防御方案顯得尤為重要。

3.1 流量優化與規則過濾

如果涉及多個運營商出口，可在互聯網出口部署流量優化設備來優化訪問不同運營商的數據流量，實現全局負載均衡、多鏈路負載均衡、服務器負載均衡三位一體，提高網絡訪問效率。內網出口部署具備L2-7 層的攻擊防護技術，不僅可以防護外部攻擊，還能檢查服務器、終端外發流量是否有風險的下一代防火墻。

3.2 上網行為管理

在內網干路部署上網行為管理設備，實現訪問控制以及日志審計、行為管理、安全防御的目的。對于信息傳輸延時敏感，對網絡穩定性要求較高的情況，可以考慮將上網行為管理設備旁路部署在核心交換設備上，同樣可以對鏡像過來的流量進行記錄、分析，但是如果這樣部署，對管理員的維護頻次要求相對較高。

3.3 入侵檢測

入侵檢測系統絕不是防火墻的替代，而是防火墻的有效補充和附加，可以實現與防火墻、上網行為管理等安全設備的聯動，確保網絡安全。當然入侵檢測功能可以是由單獨的設備來實現，也可以通過防火墻或者其他安全設備的模塊形式實現，這取決于實際業務中對于網絡安全以及數據處理能力的要求。

3.4 數據中心防護和漏洞掃描

在數據中心或服務器區等重點業務區域部署基于業務系統的漏洞掃描設備可以發現基于業務的漏洞，防患于未然。堡壘設備實現則可以實現用戶校驗代理等業務，滿足數據中心安全及業務需求。

圖1 方案網絡拓撲

整體方案的價值主要體現在對內網用戶訪問互聯網流量嚴格審計，有效避免了不良信息外發行為，有效及時排查員工非法言論，并避免造成的法律風險；對外部不合規流量訪問數據中心業務系統起到了防御作用；基于2 到7 層防御的下一代防火墻可以構建互聯網出口防護邊界與數據中心防護邊界，阻斷黑客等非法用戶以及非法數據流量的入侵；為用戶構建“預防+防御+檢測+響應”的體系化安全方案，實現單位“體系化安全建設，持續性內網保護”的發展需要。

4 測試

通過測試主要對本網絡安全防御方案規劃的可行性進行驗證，同時對上網行為管理設備直連和旁路部署模式下的安全防御功能和延時參數進行對比。

4.1 測試環境

實驗環境為三條1000M 不同運營商帶寬（聯通、移動、教育網）、深信服AD-9000 應交付網關、深信服AF-9020（集成入侵檢測）防火墻、深信服AC-10000 上網行為管理設備、藍盾漏洞掃描設備、藍盾堡壘機、H3C 交換機、HP 服務器。

4.2 測試方法

采用外網攻擊和內網訪問測試兩種方式。其中外網攻擊測試通過外網PC使用主流58 種攻擊方式攻擊內網服務器區業務服務器1，來測試方案中防火墻、入侵檢測設備、堡壘機等安全設備的防御情況。

將上網行為管理設備直連和旁路部署，分別進行內網訪問測試，通過內網PC 微博發布敏感詞匯等79 種方式對上網行為管理以及防火墻（內部風險管理模塊）的安全功能和訪問延時進行測試。驗證防御與審計功能，同時對比兩種部署模式的時延參數。

4.3 測試結果

對于外網攻擊，防火墻、入侵檢測等設備可以按照功能100%識別，并且按照規則進行有效的告警和防御。其中，嘗試不同方式破解業務服務器1 登錄口令時，堡壘機做到了實時全部響應，防火墻（服務器保護功能）對于暴力破解方式做出了響應。

內網訪問測試時，上網行為管理設備均作出了響應并且執行了安全審計策略。內容控制、終端控制、流量控制功三大類安全功能均有效。

在驗證上網行為管理設備時，旁路部署模式的平均數據訪問延時低于直連部署模式近22%。

通過測試結果可以看出，上述規劃方案中網絡安全設備發揮了應有的作用。該方案針對攻擊鏈各環節均可持續檢測，可以及時、準確的響應安全事件，將威脅影響面降到更低。該方案對數據中心安全進行了有效補充，解決僅規劃防火墻，缺乏完善的安全防御和檢測技術所帶來的風險，可以在復雜業務環境下保障數據中心信息安全。在上網行為管理方面，用戶、終端、應用、內容、流量可控，滿足國家合規以及等級保護要求。值得一提的是，旁路部署模式一樣可以對上網行為進行控制且具有更小的延時，對當前網絡影響更小。

5 結束語

本文對網絡安全防御與漏洞掃描技術進行了評述。提出了常用的網絡安全防御方案，并對方案可行性進行了測試驗證，對不同的部署模式優缺點進行簡要的分析。用戶可以根據實際情況對通用方案進行調整，當然實際應用中安全防御效果和設備性能以及規則配置方案有直接的關系。