计算机局域网主动防御体系

更新时间:2024-03-12 作者:用户投稿原创标记本站原创 点赞:5487 浏览:19692

摘 要 :本文通过对局域网主动防御的讨论,对计算机局域网防御体系进行了建模.该模型描述了计算机局域网主动防御,同时对主动防御体系的含义、构成以及实现技术和安全分析.模型通过分布式结构,利用动态安全体系模型,使得各安全系统通过安全消息协议共享安全消息,实现了具有分梯次、具有纵深防御的主动防御体系.

关 键 词 :计算机网络安全 计算机局域网 主动防御体系

中图分类号:TP393.1 文献标识码:A 文章编号:1007-9416(2013)03-0217-02

一般组织的计算机局域网如果没有连接互联网之前,安全问题一般都来自内部,一旦局域网与互联网连接后,那么局域网的安全威胁就有可能来自外部网络.由于外部网络(互联网)是开放式的,所以危险性很高.在我们实际应用中,无论是来自局域网内部或者来自外部网络的安全威胁,都会影响局域网的正常工作.一个安全的网络环境是计算机局域网应用基础,因此网络安全也就成为涵盖组织所有信息资源的局域网工作的基础,所以局域网的安全问题就是计算机网络应用的重点所在.目前,主动防御体系尚无标准定义,其做法就是在动态网络安全的基础上进行扩充,以策略和管理为核心,利用预检测以及反击等技术做到主动防御.由于以上各技术之间缺乏安全消息的交互途径,所以不能进行安全消息共享,导致只能重复检测安全事件,这样做直接导致局域网在做安全检测时系统暴露时间增加,从而影响网络的安全.

1.主动防御体系的结构

1.1 主动防御定义

主动防御的定义是:计算机局域网的安全系统利用多种路径接受安全消息,从而根据安全消息所描述的安全威胁信息,提前在系统中部署安全防线,抵御未来攻击.主动防御体系的关键在于系统具备接受和发送安全消息能力,并且能够根据安全消息描述的安全威胁提前部署安全措施.实际中,当计算机局域网中的某安全系统检测到具有安全威胁的安全事件后,利用安全消息形式将该安全事件在局域玩中传播,其它安全系统接收到该安全事件后则根据其内容部署相应的安全防线,从而避免各安全系统重复检测安全事件的过程,有效缩短预警时间,预先在攻击到来之前部署防线,有效防止安全威胁在局域网中扩散,降低危险性,从而提高局域网整体的安全性.

1.2 主动防御体系定义

动态安全体系的结构模型是以整个网络作为安全管理的对象,把策略和管理当做核心,利用相应安全技术来保证对象的安全,例如检测、防护、反应和恢复等安全技术.而主动防御体系则是将局域网主机或者全部主机看做一个安全管理对象,将相应的安全技术(如检测、防护等)部署到各个安全系统中,同时各安全系统采用统一的通信方式进行安全消息共享,从而使得各安全系统既相互关联又能相互独立,从而各系统之间形成多层和纵深的防线,整个网络在安全上形成交互的主动防御体系.具体来说,主动防御体系就是把部署组织资源的主机看作安全系统对象,利用动态安全体系结构模型作为指导,在各安全系统中部署安全防线,各系统之间利用同一的安全消息模式进行消息共享,从而实现主动防御.

1.3 安全消息格式

各安全系统利用主动防御体系协调工作的基础就是安全消息通过统一的协议在各系统间相互传递,通过这种方式有效缩短安全检测时间,以便系统在攻击到来之前部署好安全防线,保证系统安全.同时由于各安全系统技术以及产品千差万别,通信方式各不相同,为实现协同工作,需在主动防御体系中采用统一的安全消息协议,在此我们将安全消息格式定义为:


消息的类型:16位无符号整数,用来表示消息的类型.

消息的ID:32位无符号整数,在一个使用周期内禁止出现重复,允许循环使用.消息ID与源IP地址一起惟一,则表示是一个安全消息.

源的IP地址:32位无符号整数,用来表示安全消息来源;

安全等级:16位无符号整数,用来表示安全的等级;

危险IP的地址:32位无符号整数,用来表示主机(对局域网有安全威胁)的IP地址.

1.4 安全消息的传播方式

安全消息定义后,各安全系统之间的消息传递一致性问题得到了解决,接下来面临该消息如何传播的问题,在此安全消息的传递我们采用组播的形式.每当有以此模型的安全系统进入网络,首先在安全系统怎么写作器上登记,等怎么写作器收到安全消息后,怎么写作器根据其内部存储的各系统IP地址列表进行定时组播,组播采用无连接协议,也就是UDP协议.同时各安全系统也可以自己进行消息组播,它们按照收到的怎么写作器组播IP地址列表进行组播,同样也采用无连接协议UDP协议.网络的安全构架是以检测、相应、防护和恢复作为具体技术来实现,动态安全体系结构模型是以管理和策略为核心.在实际应用中,局域网一般采用的防御措施是网络出口处部署数据包或者网关,或者同时在局域网内部部署入侵检测、安全审计或者病毒防范等安全系统,在实际应用中由于安全系统来自不同厂家,各厂家之间采用的安全消息交换协议并非按照统一的标准,因此各厂家产品均为独立工作,即使相互关联也十分有限,因此导致安全事件信息不能共享,导致各安全系统独立检测安全事件,从而预警时间不足,系统暴露时间过长,导致局域网整体危险性增加.下面对安全系统预警时间做出分析:

在这里,我们检测定一个独立的安全系统对网络提供防护需要的时间为Pt,Dt为安全系统检测入侵所需时间,安全系统响应时间为Rt,网络暴露时间为Er,At为共计所需时间,则各变量存在如下关系:

Et等于Dt + Rt

Pt≥Dt + Rt

Pt≥Et

根据以上公式我们可以看出,只要EtT0等于Et (1)

T1等于E(Et)+St+Rt+EtSt+Rt (2)

i等于(0,1,2等n)为局域网中部署的安全系统数量,根据检测设也可理解为局域网中主机的数量.

针对一种具体的安全系统分析如下:

T0等于n(Dt+Rt)

T1等于Dt+Rt+St+Rt

在这些网段间流量很大,并且路由器以process-switches方式工作时,这种情况下要在接口上采用enable ip route-cache same-interface,下面用采用show interfaces 和show interfaces switching命令识别大量数据包进出的端口;进入端口确定后,打开ip accounting on the outgoing interface看其特征,如果此数据包是攻击命令,则其源地址一般会不断变化,但是其目的地址不变,我们可以采用access list解决此类问题 ,但这是暂时的措施,最终的解决办法是停止攻击源,需要我们通过在接近攻击源的设备上进行配置.在我们实际使用过程中,会遇见很多网络拥塞的情况,例如短时间内大量的UDP流量,这种情况可以通过按照解决spoof attack的方法解决,再比如大量的组播流穿越路由器,而路由器配置了IP NAT并且有很多DNS包穿越等,这些情况都会造成网络拥塞,此时通信双方会丢弃不能传输的数据包以便控制流量.

数据丢包也有很多情况,例如网络路径错误等,如主机默认路由配置发生错误,导致主机发出的访问其它网络的数据包会被网关屏蔽,这种情况属于正常情况下的丢包,对网络影响不大.

3.结语

在实际应用中还会出现丢包现象,其中原因各不相同,涉及到各方面因素,我们可以采用排除法进行筛选,确定丢包原因后再采用相应措施进行处理.