王煒

摘要：在校園網(wǎng)設(shè)計中，防火墻直接連接外部網(wǎng)絡(luò)，是整個校園網(wǎng)絡(luò)的出口。此時，防火墻實際上是_個屏蔽主機(jī)防火墻，即一般而言，Internet上的主機(jī)能連接到內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)的橋梁。即使這樣，也僅有某些確定類型的連接被允許。任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或者服務(wù)將必須連接到這臺堡壘主機(jī)上。文章分析了堡壘主機(jī)需要擁有高等級的安全架構(gòu)。

關(guān)鍵詞：防火墻；校園網(wǎng)安全；關(guān)鍵配置

0 引言

在本設(shè)計中，策略配置是DCFW-1800系列防火墻實施訪問控制的最重要和最關(guān)鍵的部分，在此用戶可以根據(jù)需要定義防火墻所在網(wǎng)絡(luò)中的各種資源的訪問控制，在這些策略中用到的資源就是在網(wǎng)絡(luò)配置中定義的各種對象。對流經(jīng)防火墻的數(shù)據(jù)，它會按照用戶在此定義的各策略規(guī)則進(jìn)行匹配檢查。

1 網(wǎng)絡(luò)基本功能配置

1.1 安全域配置

一個接口可同時加入PPTP/Tunnel域與其它某安全域。但對其中的untrust/trust/dmz域用戶可自行編輯，直至刪除。刪除之后用戶還可建立untrust/trust/dmz域，此時不再標(biāo)為系統(tǒng)缺省。每個安全域中可配置多個物理接口和VLAN子接口，最多可配置的安全域數(shù)量為物理接口與VLAN接口的總和域內(nèi)網(wǎng)絡(luò)對象的訪問控制。

本論文設(shè)計中，主要涉及命令為：

1.2 增加接口

用戶可以直接配置有關(guān)安全域的規(guī)則，也可配置針對端口的規(guī)則。而域外接口則可用于固定功能，用戶可自定義MGT管理接口，定義為MGT屬性的接口專用于管理防火墻使用，管理流量與其他網(wǎng)絡(luò)通訊流量分開?？勺远xHA心跳口，定義為HA屬性的接口專用于HA心跳通訊使用。可自定義IDS流量鏡像接口，定義為IDS屬性的接口專用于流量鏡像使用。

在接口設(shè)置界面中，可以完成對安全域、網(wǎng)卡、網(wǎng)關(guān)、DNS、抗DoS選項以及上述的管理員。

IP的設(shè)置。其配置命令如下：

1.3 VLAN設(shè)置

多核防火墻DCFW1800關(guān)于VLAN管理的原理是：假設(shè)防火墻的if1接口收到了這個包，并發(fā)現(xiàn)是有tag的包，就會查找有否在其上定義的vlan接口，比如if1上定義了2個vlan接口，分別是vlan0和vlan1，因此防火墻會找到vlan0是處理tag 10的接口，會再把帶tag的數(shù)據(jù)包內(nèi)部還原成普通的以太包，通過普通的路由查找算法找出目的地的路由，在例子中，假設(shè)這個目的地的接口是vlan1，而vlan1是定義在ifl上tag為20的接口，所以防火墻會在數(shù)據(jù)包上重新打上tag 20的包頭，并由if1接口發(fā)回交換機(jī)，交換機(jī)收到后去掉tag頭，發(fā)給目的主機(jī)B，這次通信就這樣連接完成。

其配置命令為：

2 反對入侵和攻擊功能配置

從IDS系統(tǒng)的安裝位置來看，可大致分為3類：HIDS，NIDS，NNIDS。HIDS安裝在被保護(hù)的主機(jī)上，主要分析主機(jī)的內(nèi)部活動如系統(tǒng)日志、系統(tǒng)調(diào)用、文件完整性檢查等；NIDS安裝在被保護(hù)的網(wǎng)段中，以混雜模式監(jiān)聽網(wǎng)絡(luò)中所有的數(shù)據(jù)包，進(jìn)行實時檢測和響應(yīng)；KIDS與網(wǎng)絡(luò)中運行的主機(jī)的操作系統(tǒng)無關(guān)，不需要在每臺主機(jī)上安裝，不會增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)。其中其主要配置命令如下：

（1）安全策略。

3 安全策略有效性分析

綜上所述方案的關(guān)鍵技術(shù)，現(xiàn)將從網(wǎng)絡(luò)風(fēng)險值的角度來衡本策略的理論安全防御效果。假設(shè)企業(yè)網(wǎng)絡(luò)中可以被黑客利用攻擊的漏洞數(shù)量為X個，為了方便計算，本文忽視這X個漏洞之前的危險程度的區(qū)別一致認(rèn)為是中危漏洞。網(wǎng)絡(luò)中的安全設(shè)備并不能保證100%的防止安全攻擊，因此必然存在漏報率、誤報率和準(zhǔn)確率的問題，對于這3個指標(biāo)，本文定義為：

漏報率=成功繞過安全設(shè)備的攻擊數(shù)量/攻擊的總數(shù)量。

誤報率=安全設(shè)備錯誤檢測出的攻擊數(shù)量/攻擊的總數(shù)量。

準(zhǔn)確率=安全設(shè)備成功檢測出的攻擊數(shù)量做擊的總數(shù)量。

準(zhǔn)確率+漏報率=1。

為了方便計算，本文只使在設(shè)備合理誤報的情況下的漏報率數(shù)值。

假設(shè)漏洞掃描設(shè)備、攻擊防護(hù)設(shè)備、入侵檢測設(shè)備、安全審計設(shè)備的漏報率分別為d，p，m，a，單位時間內(nèi)網(wǎng)絡(luò)發(fā)起的攻擊的總次數(shù)為N，攻擊的效率為n。

根據(jù)上面對網(wǎng)絡(luò)風(fēng)險值的定義，網(wǎng)絡(luò)漏洞數(shù)量x、安全檢測漏報率d、安全防護(hù)漏報率p、安全監(jiān)控漏報率m、攻擊效率n與網(wǎng)絡(luò)風(fēng)險值成正比，黑客攻擊總次數(shù)N與網(wǎng)絡(luò)風(fēng)險值成反比，因此網(wǎng)絡(luò)風(fēng)險值R如下：

B=[（k×n×X）+N]×d×p×m 式（4-1）但是這個網(wǎng)絡(luò)風(fēng)險值是基于靜態(tài)的網(wǎng)絡(luò)環(huán)境計算出來的，并不能反應(yīng)實際的網(wǎng)絡(luò)風(fēng)險值，現(xiàn)實網(wǎng)絡(luò)中漏洞數(shù)量x并不會一成不變，總會有新的ODay漏洞出現(xiàn)，而且總是通過不斷的分析和審計黑客的行為，根據(jù)審計結(jié)果修改網(wǎng)絡(luò)策略、修補(bǔ)漏洞，也能動態(tài)的減少漏洞數(shù)量?，F(xiàn)假設(shè)網(wǎng)絡(luò)每個周期出現(xiàn)X個漏洞，由上知審計設(shè)備的漏報率為a，因此其準(zhǔn)確率為1-a，得出：

因此通過式（4-2）和式（4-3）改進(jìn)式（4-1）之后，可以得到

審計修補(bǔ)的漏洞數(shù)量=（1-a）×R×N 式（a-2）

動態(tài)攻擊總次數(shù)=N×（1+x'/x） 式（4-3）動態(tài)網(wǎng)絡(luò)風(fēng)險值次R如下：

網(wǎng)絡(luò)穩(wěn)定的情況下R=次R，這里假設(shè)本方案中的網(wǎng)絡(luò)設(shè)備的漏報率都為20%，網(wǎng)絡(luò)漏洞總數(shù)量X為100，次X為5，單位時間攻擊總次數(shù)N為100，攻擊效率為50%，設(shè)定K為1，通過帶入式（4-4）后計算可知次R為0.3%，即100次黑客攻擊中只有0.3次攻擊會對網(wǎng)絡(luò)產(chǎn)生威脅。

R=（（k×n×[X+x'-（1-α）×R×N]）/N×（1+X'+X））/×d×p×m 式（4-4）在改進(jìn)之前網(wǎng)絡(luò)中只有防火墻，同上假設(shè)防火墻對攻擊的漏報率f為20%，修改公式二后可得網(wǎng)絡(luò)風(fēng)險值次R為10%，即100次黑客攻擊中有10次攻擊會對網(wǎng)絡(luò)產(chǎn)生威脅。

因此通過以上計算可以知，本策略將網(wǎng)絡(luò)的安全威脅縮小了10%/0.3%=33倍，可以極大的提升網(wǎng)絡(luò)的安全性。

4 結(jié)語

本文先根據(jù)校園網(wǎng)絡(luò)的需求，詳細(xì)針對多核防火墻進(jìn)行了各項關(guān)鍵環(huán)節(jié)的分析，并在此基礎(chǔ)上提出網(wǎng)絡(luò)安全防御的基本方法。然后對安全網(wǎng)絡(luò)環(huán)節(jié)逐一進(jìn)行了配置，包括網(wǎng)絡(luò)接口、NAT轉(zhuǎn)換、DNS配置等最后通過抽象數(shù)據(jù)模型對本網(wǎng)格安全方案的有效性進(jìn)行簡單計算，計算得出本策略理論上可以有效的降低網(wǎng)絡(luò)安全風(fēng)險值。