基于DCFW18005多核防火墻的校園網(wǎng)絡(luò)安全架構(gòu)

王煒

摘要：在校園網(wǎng)設(shè)計(jì)中，防火墻直接連接外部網(wǎng)絡(luò)，是整個(gè)校園網(wǎng)絡(luò)的出口。此時(shí)，防火墻實(shí)際上是_個(gè)屏蔽主機(jī)防火墻，即一般而言，Internet上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問(wèn)內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺(tái)堡壘主機(jī)上。文章分析了堡壘主機(jī)需要擁有高等級(jí)的安全架構(gòu)。

關(guān)鍵詞：防火墻；校園網(wǎng)安全；關(guān)鍵配置

0 引言

在本設(shè)計(jì)中，策略配置是DCFW-1800系列防火墻實(shí)施訪問(wèn)控制的最重要和最關(guān)鍵的部分，在此用戶可以根據(jù)需要定義防火墻所在網(wǎng)絡(luò)中的各種資源的訪問(wèn)控制，在這些策略中用到的資源就是在網(wǎng)絡(luò)配置中定義的各種對(duì)象。對(duì)流經(jīng)防火墻的數(shù)據(jù)，它會(huì)按照用戶在此定義的各策略規(guī)則進(jìn)行匹配檢查。

1 網(wǎng)絡(luò)基本功能配置

1.1 安全域配置

一個(gè)接口可同時(shí)加入PPTP/Tunnel域與其它某安全域。但對(duì)其中的untrust/trust/dmz域用戶可自行編輯，直至刪除。刪除之后用戶還可建立untrust/trust/dmz域，此時(shí)不再標(biāo)為系統(tǒng)缺省。每個(gè)安全域中可配置多個(gè)物理接口和VLAN子接口，最多可配置的安全域數(shù)量為物理接口與VLAN接口的總和域內(nèi)網(wǎng)絡(luò)對(duì)象的訪問(wèn)控制。

本論文設(shè)計(jì)中，主要涉及命令為：

1.2 增加接口

用戶可以直接配置有關(guān)安全域的規(guī)則，也可配置針對(duì)端口的規(guī)則。而域外接口則可用于固定功能，用戶可自定義MGT管理接口，定義為MGT屬性的接口專用于管理防火墻使用，管理流量與其他網(wǎng)絡(luò)通訊流量分開(kāi)?？勺远xHA心跳口，定義為HA屬性的接口專用于HA心跳通訊使用?？勺远xIDS流量鏡像接口，定義為IDS屬性的接口專用于流量鏡像使用。

在接口設(shè)置界面中，可以完成對(duì)安全域、網(wǎng)卡、網(wǎng)關(guān)、DNS、抗DoS選項(xiàng)以及上述的管理員。

IP的設(shè)置。其配置命令如下：

1.3 VLAN設(shè)置

多核防火墻DCFW1800關(guān)于VLAN管理的原理是：假設(shè)防火墻的if1接口收到了這個(gè)包，并發(fā)現(xiàn)是有tag的包，就會(huì)查找有否在其上定義的vlan接口，比如if1上定義了2個(gè)vlan接口，分別是vlan0和vlan1，因此防火墻會(huì)找到vlan0是處理tag 10的接口，會(huì)再把帶tag的數(shù)據(jù)包內(nèi)部還原成普通的以太包，通過(guò)普通的路由查找算法找出目的地的路由，在例子中，假設(shè)這個(gè)目的地的接口是vlan1，而vlan1是定義在ifl上tag為20的接口，所以防火墻會(huì)在數(shù)據(jù)包上重新打上tag 20的包頭，并由if1接口發(fā)回交換機(jī)，交換機(jī)收到后去掉tag頭，發(fā)給目的主機(jī)B，這次通信就這樣連接完成。

其配置命令為：

2 反對(duì)入侵和攻擊功能配置

從IDS系統(tǒng)的安裝位置來(lái)看，可大致分為3類：HIDS，NIDS，NNIDS。HIDS安裝在被保護(hù)的主機(jī)上，主要分析主機(jī)的內(nèi)部活動(dòng)如系統(tǒng)日志、系統(tǒng)調(diào)用、文件完整性檢查等；NIDS安裝在被保護(hù)的網(wǎng)段中，以混雜模式監(jiān)聽(tīng)網(wǎng)絡(luò)中所有的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和響應(yīng)；KIDS與網(wǎng)絡(luò)中運(yùn)行的主機(jī)的操作系統(tǒng)無(wú)關(guān)，不需要在每臺(tái)主機(jī)上安裝，不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)。其中其主要配置命令如下：

（1）安全策略。

3 安全策略有效性分析

綜上所述方案的關(guān)鍵技術(shù)，現(xiàn)將從網(wǎng)絡(luò)風(fēng)險(xiǎn)值的角度來(lái)衡本策略的理論安全防御效果。假設(shè)企業(yè)網(wǎng)絡(luò)中可以被黑客利用攻擊的漏洞數(shù)量為X個(gè)，為了方便計(jì)算，本文忽視這X個(gè)漏洞之前的危險(xiǎn)程度的區(qū)別一致認(rèn)為是中危漏洞。網(wǎng)絡(luò)中的安全設(shè)備并不能保證100%的防止安全攻擊，因此必然存在漏報(bào)率、誤報(bào)率和準(zhǔn)確率的問(wèn)題，對(duì)于這3個(gè)指標(biāo)，本文定義為：

漏報(bào)率=成功繞過(guò)安全設(shè)備的攻擊數(shù)量/攻擊的總數(shù)量。

誤報(bào)率=安全設(shè)備錯(cuò)誤檢測(cè)出的攻擊數(shù)量/攻擊的總數(shù)量。

準(zhǔn)確率=安全設(shè)備成功檢測(cè)出的攻擊數(shù)量做擊的總數(shù)量。

準(zhǔn)確率+漏報(bào)率=1。

為了方便計(jì)算，本文只使在設(shè)備合理誤報(bào)的情況下的漏報(bào)率數(shù)值。

假設(shè)漏洞掃描設(shè)備、攻擊防護(hù)設(shè)備、入侵檢測(cè)設(shè)備、安全審計(jì)設(shè)備的漏報(bào)率分別為d，p，m，a，單位時(shí)間內(nèi)網(wǎng)絡(luò)發(fā)起的攻擊的總次數(shù)為N，攻擊的效率為n。

根據(jù)上面對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)值的定義，網(wǎng)絡(luò)漏洞數(shù)量x、安全檢測(cè)漏報(bào)率d、安全防護(hù)漏報(bào)率p、安全監(jiān)控漏報(bào)率m、攻擊效率n與網(wǎng)絡(luò)風(fēng)險(xiǎn)值成正比，黑客攻擊總次數(shù)N與網(wǎng)絡(luò)風(fēng)險(xiǎn)值成反比，因此網(wǎng)絡(luò)風(fēng)險(xiǎn)值R如下：

B=[（k×n×X）+N]×d×p×m 式（4-1）但是這個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)值是基于靜態(tài)的網(wǎng)絡(luò)環(huán)境計(jì)算出來(lái)的，并不能反應(yīng)實(shí)際的網(wǎng)絡(luò)風(fēng)險(xiǎn)值，現(xiàn)實(shí)網(wǎng)絡(luò)中漏洞數(shù)量x并不會(huì)一成不變，總會(huì)有新的ODay漏洞出現(xiàn)，而且總是通過(guò)不斷的分析和審計(jì)黑客的行為，根據(jù)審計(jì)結(jié)果修改網(wǎng)絡(luò)策略、修補(bǔ)漏洞，也能動(dòng)態(tài)的減少漏洞數(shù)量?，F(xiàn)假設(shè)網(wǎng)絡(luò)每個(gè)周期出現(xiàn)X個(gè)漏洞，由上知審計(jì)設(shè)備的漏報(bào)率為a，因此其準(zhǔn)確率為1-a，得出：

因此通過(guò)式（4-2）和式（4-3）改進(jìn)式（4-1）之后，可以得到

審計(jì)修補(bǔ)的漏洞數(shù)量=（1-a）×R×N 式（a-2）

動(dòng)態(tài)攻擊總次數(shù)=N×（1+x'/x） 式（4-3）動(dòng)態(tài)網(wǎng)絡(luò)風(fēng)險(xiǎn)值次R如下：

網(wǎng)絡(luò)穩(wěn)定的情況下R=次R，這里假設(shè)本方案中的網(wǎng)絡(luò)設(shè)備的漏報(bào)率都為20%，網(wǎng)絡(luò)漏洞總數(shù)量X為100，次X為5，單位時(shí)間攻擊總次數(shù)N為100，攻擊效率為50%，設(shè)定K為1，通過(guò)帶入式（4-4）后計(jì)算可知次R為0.3%，即100次黑客攻擊中只有0.3次攻擊會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生威脅。

R=（（k×n×[X+x'-（1-α）×R×N]）/N×（1+X'+X））/×d×p×m 式（4-4）在改進(jìn)之前網(wǎng)絡(luò)中只有防火墻，同上假設(shè)防火墻對(duì)攻擊的漏報(bào)率f為20%，修改公式二后可得網(wǎng)絡(luò)風(fēng)險(xiǎn)值次R為10%，即100次黑客攻擊中有10次攻擊會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生威脅。

因此通過(guò)以上計(jì)算可以知，本策略將網(wǎng)絡(luò)的安全威脅縮小了10%/0.3%=33倍，可以極大的提升網(wǎng)絡(luò)的安全性。

4 結(jié)語(yǔ)

本文先根據(jù)校園網(wǎng)絡(luò)的需求，詳細(xì)針對(duì)多核防火墻進(jìn)行了各項(xiàng)關(guān)鍵環(huán)節(jié)的分析，并在此基礎(chǔ)上提出網(wǎng)絡(luò)安全防御的基本方法。然后對(duì)安全網(wǎng)絡(luò)環(huán)節(jié)逐一進(jìn)行了配置，包括網(wǎng)絡(luò)接口、NAT轉(zhuǎn)換、DNS配置等最后通過(guò)抽象數(shù)據(jù)模型對(duì)本網(wǎng)格安全方案的有效性進(jìn)行簡(jiǎn)單計(jì)算，計(jì)算得出本策略理論上可以有效的降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值。