網絡設備內嵌分層次一體化安全防護研究

宋歌

國網新源控股有限公司檢修分公司 北京 100068

引言

網絡邊界的穩定性、安全性關系到公司數據保密的安全等級。由于公司信息網絡覆蓋范圍廣，涉及業務多、用戶多，出現邊界問題、安全問題將影響到公司各項業務和辦公的正常運行。如果僅僅依靠第三方運營商承諾的專線安全，仍存在風險。本文根據公司提出的信息安全治理提升工作需求，對網絡系統進行網絡邊界安全優化，加強網絡邊界安全穩定。

1 網絡設備內嵌分層次一體化安全防護的實施方案

網絡設備內嵌分層次一體化安全防護的設計，首先，需要兼顧考慮安全防護和網絡設備各自體系結構的要求，將兩者進行一體化融合設計；其次，由于網絡交換的吞吐能力通常大于安全防護同樣數據量的監測分析能力，為了進一步提升整體性能，需要突破高性能多核并行深度檢測等技術，充分發揮多核處理器的并行處理能力，實現數據包的快速深度安全檢查和轉發處理[1]。設計架構如下：

如圖所示，第一層防護依托于業務模塊的硬件平臺（交換芯片），執行規則匹配、ACL控制、策略匹配、數據包提取與分流等功能。該層次防護主要是針對原始大流量的網絡數據進行初步檢測，將規則匹配符合判斷條件的數據包進行過濾，并可按照上層策略配置，將特定流量或第一層無法匹配的異常包提交給第二層的防護模塊進行深度檢測。該層次的檢測一般基于L2～L3層的網絡協議特征字段進行匹配和統計，基于硬件處理，其轉發速度可達到線速，不影響網絡傳輸效率。第二層防護則在多核處理器中實現。網絡流量經過第一層初步檢測和過濾后，存在部分規則無法匹配到的流量，或者根據上層需求需要對特定字段進行檢測的數據報文，這些流量可通過策略配置，將其導流到第二層防護模塊中進行處理。第二層防護包括三大安全功能模塊，分別是管理安全、網絡安全以及應用安全處理模塊。網絡安全處理模塊結合網絡并行處理技術及應用加速技術等，可根據處理器的核數和端口隊列數，將多個實例分別綁定到不同的核上獨立運行，減少處理器競爭，實現數據包的快速處理與轉發。同時根據安全策略的設置，網絡安全處理模塊將處理后的數據送到應用安全處理模塊的實例，應用安全處理模塊可以根據實際硬件情況和性能需求，運行一個或多個實例。第二層防護能夠實現L4～L7的自定義字段的檢測。

2 關鍵技術分析

2.1 入侵檢測技術的應用

入侵檢測技術是一種常見的網絡監測技術，可以監測出計算機網絡系統運行中是否存在非法侵入或是濫用的情況。在實際應用中，根據網絡監測需求，包含統計分析法、簽名分析法，統計分析法主要是依托于統計學理論判斷計算機網絡系統運行中的動作模式，進而推斷出計算機網絡系統的運行動作是否超出安全范圍；簽名分析法主要是檢測計算機網絡系統運行薄弱區域的攻擊行為。通過入侵檢測技術，可以及時發現計算機網絡系統運行中的漏洞和非法入侵行為，及時檢測出網絡病毒，防止黑客攻擊計算機網絡系統。

2.2 WEB應用檢測技術

WEB應用檢測技術是一種檢測防御WEB應用攻擊的安全防護手段，可以實現對網站安全漏洞的掃描以及攻擊手段分析，并且實時監測網站類應用的頁面的可用性。同時還可以有效阻止SQL注入攻擊、XSS跨站攻擊、腳本木馬、緩沖區溢出攻擊等針對網站的特殊攻擊行為，可以看作是HTTP層面的深度檢測防御技術。

2.3 應用防病毒技術

隨著計算機技術的成長，其病毒也就變得更加的高級，對于用戶安全有著相當大的威脅。因此面對防病毒軟件的大量出現，其功能多集中在網絡防病毒和單機防病毒。網絡防病毒的主要任務是防止網絡病毒，對于病毒傳染源進行快速的切除；而單機防病毒大多數都是安裝在單臺電腦上面，對于其工作上的傳入信息進行詳細的檢測，完成病毒查殺功能。

3 結束語

網絡設備由于其自身的安全防護手段比較單一，對性能要求比較高，目前網絡體系中往往采用了網絡設備與安全設備分離部署的方式，這種部署方式不僅增加了設備數量，提高了部署成本，而且性能不同步、也不利于實時監測與處理策略的聯動。本專題擬采用分級防護體系架構，將安全防護功能嵌入網絡設備中，能夠兼顧性能和安全性，達到提高網絡設備安全防護能力的目的。