开篇:润墨网以专业的文秘视角,为您筛选了一篇基于TCP/IP双层的IDC网络安全解决方案的设计与实现范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】
本文针对TCP/IP双层即传统网络层和新型应用层的网络安全问题,通过IDC在设计、实施和运行中的网络安全问题进行研究分析,设计基于tcp/ip双层的idc网络安全解决方案,该系统的设计,旨在对IDC系统提供有效的安全管理和安全防范措施,实现对WEB应用、内部网络和核心服务器的安全保障,真正全面地实现IDC网络安全,对IDC的建设和推广具有较强的价值。
【关键词】网络安全;网络层;应用层
1 引言
随着互联网的重要性和对信息传递的影响也越来越大,Internet不但为企业和网络用户信息、检索信息以及资源共享提供了方便,也为个人使用网络资源提供了最大的平台,特别体现在大多数企业和用户的重要和关键的数据业务都是通过WEB浏览器得以呈现和交互,而3G业务的飞速推广和三网融合的快速启动,使通信网络逐渐进入全面多媒体化和智能化的时代。由于全球互联网环境的不断变化以及网络业务的不断复杂化将会造成大量互联网数据业务的集中,使整个网络的安全风险也越来越大,一些新的互联网安全隐患不断出现,给互联网用户在使用网络进行业务往来时带来了巨大的安全威胁。
而且,随着业务量的增大,IDC经常出现因非法网络用户入侵和蓄意攻击而造成较长时间的网络中断现象,象包括某些电信级IDC在内的很多其它IDC一样,IDC在提供网络服务的过程中存在着信息安全性、数据隐私性以及信息合法性等方面的比较严重的网络安全问题,因此,IDC是否能保证网络信息的安全成为了各大企业、用户以及政府关注的焦点。因此,受企业和政府重托的IDC面临着非常严峻的安全考验,IDC主要定位于Internet网络服务,对政府或企业客户提供个性化的服务。事实上,IDC的网络功能非常的丰富,应用范围包括网站托管、电子商务、服务器租用或托管等,比如企业用户的信息交换、数据存储,安全服务以及各种新型的增值业务。IDC能够创建全新统一的信息交换平台,能充分整合信息资源,实现网络资源低成本的信息共享,也是实现城市管理现代化的重要环节之一,如果提供网络服务的同时不能最大程度的保证网络安全,其个性化的服务就根本无从谈起。只有在基础平台设施完善和系统功能强大的基础上进一步使网络安全问题得到充分保障,才能够充分保证IDC为企业提供真正个性化的服务。因此,基于TCP/IP网络层和应用层的IDC网络安全的设计与实现显得至关重要。
2 IDC的发展过程
早期IDC投入运行并开始为企业提供较小规模的各类服务。从2007年开始,IDC向客户提供较大规模、较高质量的主机托管、虚拟主机、整机租用、机架出租等服务。随着投资规模不断扩大,IDC系统的影响也逐渐扩大。2009年开始,IDC承担的业务类型逐渐由原来的服务器托管、网站托管等较基础业务开始向网络加速、负载均衡和虚拟专用网等增值业务延伸,规模也在不断扩大,其在业务收入方面也不断提高。
国内IDC的发展也受到了欧洲国家的IDC发展形势的影响。近年来,欧洲的IDC外包发展较为迅速,而国内IDC也在开始向外包业务方面发展。在3G大规模商用背景下以及视频、网游、SNS社交网站等新型业务的巨大推动作用下,IDC的市场需求继续增大,另一方面,当前的国际经济危机形势对于一部分小型企业来说,面临着严酷的变革,造成部分企业两极分化的情况加剧,因此,国内IDC的整体业务量还将进一步的提高。
IT业务是IDC大部份业务中最关键的一个方面,很多企业依靠信息系统进行各项业务的运作,如果系统经常不可用,整个企业的全盘运作可能无法进行,因此,IDC系统的安全逐渐成为各大企业最关注的焦点。
3 IDC安全解决方案设计思想
基于网络层和应用层的IDC安全解决方案设计思想主要为以下几个方面:
(1)在IDC的出口处部署网络防火墙并进行负载分担,实现对Internet网络出口安全的加固,以及对用户访问Internet的内容进行过滤;
(2)在IDC的数据管理中心NOC和IDC的核心层等部位采用多点的方式部署入侵检测系统IDS,实现有效的监测网络层临界部位的数据信息交换情况和监视IDC内部用户及内部各类系统的运行情况,防止黑客侵入到IDC数据区而对IDC服务器的数据信息进行蓄意破坏和恶意篡改,并能及时查找是否有内部的用户进行某些违规非法操作。
(3)在IDC中部署安全控制中心,在安全控制中心的计算机上安装一套漏洞扫描软件,并定期对IDC系统进行漏洞扫描和安全评估;
(4)在IDC中建立防病毒系统,采用中央控管系统实现跨广域网的管理,通过TCP/IP协议实现跨广域网的远程调用、管理、远程监控等功能,使其它的分支病毒防护系统的管理及其维护更加简便、有效,实现从单一客户端集中管理整个IDC网络的防病毒的任务;
(5)在发生网络攻击或者蠕虫爆发的情况下能够及时发现并采取应急措施进行安全防范;
(6)在IDC的服务器群的出口处多点部署应用层防火墙,需要对新型应用层的攻击威胁进行有效防范,如网页木马威胁、Cookie注入攻击威胁等。
4 IDC安全解决方案设计方法
4.1基于网络层的IDC安全系统设计
基于网络层的IDC安全系统设计将分别从网络层防火墙子系统设计、入侵检测IDS系统设计、漏洞扫描子系统设计、网络防病毒子系统设计等方面进行基于网络层的IDC安全系统的设计和实现。
本次对IDC的网络层防火墙设计部署时将H3C的超万兆防火墙产品在IDC中的位置进行提升,直接与核心交换机连接,再通过万兆高速接口与IDC出口处的核心路由器相连,两台防火墙共同部署实现双机热备份,并且实现对IDC用户网络流量的负载均衡,使整个美地亚IDC内部网络得到防火墙的安全防护,有效避免了网络的单点故障和网络瓶颈问题。同时,在防火墙上开启虚拟设备的功能,把IDC内部的不同系统资源按一定的配置分配到每个独立的虚拟防火墙中,一旦在IDC中发生攻击,防火墙中的不同虚拟防火墙将抵御各自面临的攻击,假设其中一个虚拟防火墙的系统资源被网络攻击全部耗尽,也不会影响其它服务的正常运行。在入侵检测IDS系统总署时,采用多层分级管理体系,实现把单点发生的的重要事件自动预警到其它管理区域,使得各级管理员对于可能发生的重要安全事件具有提前的预警提示;采用引擎高速捕包技术保证满负荷的报文捕获;采用的高速树型匹配技术实现了一次匹配多个规则的模式,检测效率得以成倍的量级提高;采用IP碎片重组、TCP流重组以及特殊应用编码解析等多种方式,应对躲避IDS检测的手法,如:WHISKER、FRAGROUTE等攻击方式;采用预制漏洞机理分析方法定义特征,对未知攻击方式和变种攻击也能及时报警;采用行为关联分析技术,发现基于组合行为的复杂攻击。为了降低误报的概率,采用基于状态的协议分析和协议规则树,保证特征匹配的位置准确性;采用基于攻击过程的分析方法定义特征,可以识别攻击的状态,提供不同级别的事件报警信息。为了限制滥报的概率,采用状态检测机制,有效地避免了事件风暴的产生;采用多种统计合并技术对同一事件采用合并上报,减少报警量。漏洞扫描子系统的设计,分布式管理并集中分析,在IDC中部署天镜漏洞扫描系统时采用分布式部署的形式,使各扫描引擎按照不同的漏洞扫描策略同时进行多网络系统的漏洞检测,同时将检测结果进行集中显示和集中分析,采用多级管理的方式,对于拥有不同地域、大规模网络的用户,各个地域的网络安全管理员管理着本地域的网络安全状况,其上层的安全管理员可以上传检测结果、下达检测策略、统一管理、统一分析、统一升级;实现大规模网络环境下的全局风险控制、降低管理成本。
4.2基于应用层IDC安全系统的设计
为了使WAF在IDC安全系统中能够尽可能的提供最佳的安全性能,本次设计应用层防火墙WAF时采用最佳的模式,在此模式中,WAF中的所有数据端口都会处于开启状态,其中WAN端口负责外部的数据处理,此WAN端口是直接面向因特网的端口。而把WAF中的管理端口划分到另外一个不同的网段,因为在部署设计WAF时最好将管理数据和实际的网络流量进行分离,避免IDC中的实际网络流量和WAF的相关管理数据之间出现互相冲突的现象。具体可以通过以下方法进行网络实现:将WAF的前端端口和后端端口分配到不同的网段,让所有的外部用户与WAF的应用虚拟IP地址进行连接,而将此虚拟IP地址和WAF的前端端口进行互相绑定。当用户访问时,用户的连接将会在网络设备上立即终止,WAF马上对流经的数据包进行安全检查和过滤,而合法的数据流量将与WAF的WAN口重新建立起新的网络连接到负载均衡设备,通过负载均衡进行网络流量的负载。WAF可以进行实时策略的生成及执行,根据IDC中不同的应用程序自定义相应的防火墙保护策略,可以无缝的砌合各用户的应用程序,且不会造成任何应用失真。
参考文献:
[1]段勇,朱源.IDC基础设施云的安全策略研究[J].电信科学,2010.5
[2]徐祗祥.网络维护实战[M].科学技术文献出版社,2009.4
[3]陈群.构建信息社会IDC网络安全[J].数字技术与应用,2010.3