1 概述
随着网络的日益发展和应用软件的变化,网络管理员不得不面对日益增长的网络威胁。这些网络攻击的方式已经从传统的简单网络层数据攻击升级到多层次的混合型攻击。为了有效地防御混合型威胁, 统一威胁管理(United ThreatManagement, UTM)技术正引领安全行业的潮流,希望以网关处的一个硬件设备,一揽子解决所有的安全问题。
虽然目前UTM 得到了一定的应用与推广,但其存在不容忽视的缺陷,具体表现在:
(1)无法防御内部攻击,UTM 在防范外部威胁的时候非常有效,但是在面对内部威胁的时候无法发挥作用。
(2)单点失效问题,将所有防御功能集成在UTM 设备当中使得抗风险能力有所降低。一旦该UTM 设备出现问题,将导致所有的安全防御措施失效。
(3)设备稳定性问题,UTM 的稳定性直接关系到网络的可用性,尽管使用了很多专门的软硬件技术用于提供足够的性能,但UTM 安全设备的稳定程度相比传统安全设备仍有待提高。
为此,本文提出一种基于分布式技术和主动防御技术的分布式防御体系。
2 系统架构
分布式信息安全防御系统采用树形多级管理结构,由主动防御平台、监控节点、主机监控模块3 个部分组成。系统采用B/S 结构,网管可通过浏览器对该系统进行管理,如图1 所示。主动防御平台部署在网关位置,监控节点部署在各子网的关键网络设备上,而主机监控模块为驻留在网络中主机上的软件模块。
图1 分布式信息安全防御系统架构
分布式信息安全防御系统实现现有UTM 的几乎所有功能,包括集成于安全操作系统(安全的Linux 系统内核)之上的防火墙、VPN 网关、防病毒、入侵防护、网页内容过滤、垃圾邮件过滤。
网页内容过滤、垃圾邮件过滤等应用层数据的过滤由监控节点实现,防病毒功能由主机监控模块实现,入侵防护由监控节点及主机监控模块实现,防火墙、VPN 等功能由主动防御平台实现。此外,主动防御平台还要实现统一管理及安全策略设置等功能。
3 主动防御平台设计
主动防御平台软件结构设计如图2 所示。该软件的核心层包含了安全的Linux 系统、TCP/IP 协议栈、协议分析模块、防火墙功能模块、VPN 功能模块、统一管理模块、安全策略模块等部分。
图2 主动防御平台结构
主动防御平台需要一套专用的强化安全的定制操作系统,这里采用经过加固的安全的Linux 内核。通过硬件加速,操作系统使各种类型流量的处理时间达到最小,从而带来最好的实时性,才能有效地实现防火墙、VPN 等功能。TCP/IP协议栈提供对网络协议的处理功能。
协议分析模块是主动防御平台核心层的核心,对其他功能模块,如防火墙模块、VPN 模块等起到基础支撑功能。协议分析模块处于数据链路层以上、IP 层以下,它作为一个数据链路层的服务使用者接收物理层传来的所有报文。此时,报文尚未经过IP 层和TCP 层的处理,还包含有IP 头和TCP头,可以从IP 头获得发送方和接收方的IP 地址。协议分析模块在Linux 中作为一个流设备实现。数据链路层服务的使用者可以像打开一个普通的流设备一样,使用访问数据链路层的服务。
主动防御平台核心层的功能模块包含了防火墙、VPN 等模块,这是出于提高数据处理效率考虑。核心层的功能实现以模块化方式组织,提高了主动防御的可扩展性,便于用户根据自己的需要选择不同的功能模块。核心层的统一管理模块、安全策略模块提供分布式防御系统的统一管理功能及安全策略配置功能。
应用层的其他模块如防火墙、VPN 等模块是核心层对应模块功能的有效补充,可在应用层加强此类补充模块的访问控制。通信接口提供主动防御平台与监控节点、主机监控模块的通信功能。
主动防御平台采用经过加固的安全Linux 操作系统。操作系统有效地分解和协调系统的处理任务,利用优化的算法,实行并行处理,将任务划分和协调过程中的消耗减到最小程度。在任一特定时间,每个数据流都得到最佳的处理水平。操作系统的设计集成了智能排队和管道管理,在数据包到达时和处理相关的事件时,系统中断会得到立即的响应,使流量的处理时间达到最小,加上最短的排队时间,从而使系统达到很高的实时性。
4 监控节点设计
监控节点软件结构设计如图3 所示。该软件核心层的功能模块包括内容过滤模块、邮件过滤模块、入侵防护模块及安全策略设置模块。监控节点核心层的核心是内容过滤、入侵防护。
内容过滤是监控节点设计的核心,调用内容过滤模块,根据匹配内容过滤知识库中的知识进行评价。由于综合了各种内容过滤知识对网络内容进行评测,因此可以增强其过滤效果,降低对过滤内容的误判。内容过滤模块的功能具体包括连接管理、分析检测、过滤和响应处理。连接管理用于接管内容过滤请求;分析检测的功能是根据从内容过滤知识库中获取对应的内容过滤参数进行初始化,扫描网络内容,解析规则集合,根据匹配的规则进行综合评价;根据评价结果和阈值判断网络内容的是否过滤;过滤功能包含了一些常用的内容过滤技术,即黑名单、HTTP 验证、SMTP 验证、FROM地址合法性检查、RCPT 地址合法性检查、简单内容过滤。入侵防护模块采用完全数据检测技术(CDI),它能够扫描和检测整个OSI 堆栈模型中最新的安全威胁。与其他单纯检查包头或“深度包检测”的安全技术不同,CDI 技术重组文件和会话信息,以提供强大的扫描和检测能力。只有通过重组,一些最复杂的混合型威胁才能被发现。入侵防护模块将分散的“威胁索引”信息关联起来分析判断,以识别可疑的恶意流量,甚至可以在这些流量可能还未被提取攻击特征之前就予以识别出来。通过跟踪每一个安全组件的检测活动,系统还能做到降低误报率,以提高整个系统的检测精确度。该方法为检测未知的新型攻击提供了有力工具。入侵防护模块也支持传统的数据流特征与入侵防护知识库进行匹配。
图3 监控节点结构
为了补偿内容过滤、入侵防护技术带来的性能延迟,使用硬件芯片为系统提供硬件加速。
5 主机监控模块设计
主机监控模块实现的功能包括主机入侵检测、防病毒。主机入侵检测功能监视分析系统、事件和安全记录。当有文件发生变化时,将新的记录条目与攻击标记相比较,如果匹配系统就报警。主机入侵检测对关键的系统文件和可执行文件通常进行定期检查校验和,以便发现异常变化。
病毒、蠕虫、以及其他“危害程序”可以通过电子邮件、或直接通过那些从浏览器下载邮件与文件的用户,进入内部网络并进行破坏。本文系统采用成熟的技术合作伙伴卡巴斯基(Kaspersky Labs)。
6 系统评价
在100 Mb/s 局域网内,分布式信息安全防御系统与性能相当的某厂商100 Mb/sUTM 进行了相应的性能测试。测试工具为Fluke 网络测试仪,型号ES2-LAN-SX/I-LRD。本次测试采用网络延迟指标评价设备性能的有效性。测试实验安排10 组,在一定网络流量下比较2 组设备的网络延迟,每组实验取8 次延迟测量的平均值,测试结果如图4 所示。从延迟曲线中可看出,当网络流量不大的情况下(如流量小于40 Mb/s),2 组设备的网络延迟相差不大;当网络流量增大到一定程度,2 组设备的网络延迟差距增大,且流量越大网络延迟差距越大。从延迟曲线中也可以看出,分布式信息安全防御系统的网络延迟相对较小,性能较性能相当的UTM要高。
图4网络延迟比较曲线
7 结束语
分布式信息安全防御系统将安全任务分到各个不同的节点上,使得每个节点所在的位置不同,防御任务也不同,有效地解决了uTM单点失效的问题,也提高了整个防御系统的性能,较同类型uTM的性能及稳定性有了明显提高。
系统的不足在于如果网络管理员对安全策略的部署不当,可能会造成重叠防御,增加网络的额外负担。下一步工作将研究有关分布式信息安全防御系统的安全策略配置问题。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:分布式信息安全防御系统的设计与实现