本身校消息学科又添两项新收获

8月7日,我校和深圳深信服电子科技有限公司共同完成的“网间加速网关的研究及应用”、和中国信息安全测评中心华中测评中心共同完成的“基于服务模式的Web服务器安全监测系统”顺利通过了教育部在长沙组织召开的科技成果鉴定会。与会专家对两个项目给予了充分肯定,一致认为:“网间加速网关的研究及应用”技术先进、创新性强,取得了4项发明专利,并在实际产品中获得很好的应用,总体技术达到国际先进水平;“基于服务模式的Web服务器安全监测系统”实现了基于服务模式的Web安全监测,安全检测与防御能力强、效率高,系统运行稳定,实用性好,总体技术达到了国内领先水平,其中基于服务模式的安全监测架构和网页防篡改技术达到国际先进水平。

1、防火墙( Firewall)

众所周知,互联网是最大的广域网环境,广域网中的数据传输存在网络带宽利用率低、网络延时大、丢包严重等问题,己经越来越无法满足用户的需求。依靠增加带宽解决这一问题的传统方法,受到响应速度低和众多网络干扰因素的影响而收效甚微。因此,能在现有的网络层次中提高响应速度的广域网加速技术逐渐受到重视并发展起来。信息科学与工程学院王建新教授带领课题组抓住时机,在深圳深信服电子科技有限公司的支持下,设计并实现了具有较高数据传输性能的网间加速网关平台,为加速应用提供了一个统一的接口和支持;同时采用基于插件的设计,提高了平台的可扩展性;在传输层上设计了适应于高丢包率网络下的拥塞控制改进算法和并行TCP技术,提高了传输层的数据传输效率;设计和实现了基于行为分析的应用层FTP加速插件、基于连接池的HTTP加速插件和基于数据预取的Exchange加速插件,显著地提高了典型应用层协议的传输速率;实现了网间加速平台与VPN网关的一体化,在保证网络安全接入的同时减小了VPN安全机制造成的延迟开销。以上技术已经在深圳深信服电子科技有限公司的广域加速产品5100、5400、5800、M6000等上部署应用,产品各项性能指标达到了国内外同类产品的先进水平,尤其在对抗高丢包等恶劣网络环境、VPN扩展、移动加速和流量管理方面,具有功能优势。该系列产品已成功服务于中国水利水电建设集团公司、水利水电第四工程局、机械工业部第六设计研究院、中国日报社、中国免税品集团、中国华铭投资、民安保险、东方基金、安东石油、华宝集团、水晶石科技、中华制漆、中联地产、银城地产等各行各业,产生了很好的经济和社会效益。

定义:相信大家都知道防火墙是干什么用的,
我觉得需要特别提醒一下,防火墙抵御的是外部的攻击,并不能对内部的病毒
或攻击没什么太大作用。

随着Web平台对外服务的普及,基于Web的攻击和破坏活动也不断增长,Web服务器安全面临着日益严峻的挑战。传统的Web服务器的安全工作重心在网络层和硬件环境上,为了保障Web应用平台的安全,许多公司都在网络边界上部署了防火墙或者入侵检测系统,只能拦截针对网络层的攻击。当攻击者利用Web应用程序漏洞发起针对性攻击时,防火墙和入侵检测系统就无能为力了。基于此,我校王伟平教授课题组和中国信息安全测评中心华中测评中心一起,在研究了当前各类攻击的原理和防护、检测技术的基础上,基于分布式体系架构和Web服务器嵌入技术,设计并实现了基于服务模式、技术先进、结构合理的安全监测系统;同时采用插件技术,实现了SQL注入攻击防御、文件防篡改、IP地址访问限制、Web服务器实时状态信息监测、DDoS检测、Web服务器安全漏洞检测、攻击与告警日志、远程配置分发防护规则等功能;基于事件触发的网页防篡改机制,实现了对Web文件篡改意图的实时检测和阻止;提出并实现了一种基于性能异常分析的DDoS攻击检测方法,
检测效率高,对Web服务器性能影响小。特别是该系统不仅能够根据不同的网站服务器的需求,设定不同的防护规则,具有良好的灵活性和扩展性,而且集多域Web主机性能监测、Web攻击检测与防御、网页防篡改、漏洞扫描于一体,可以对多个服务对象提供web安全服务。该系统已在长沙市信息中心等用户单位实际应用,运行稳定,安全防护效果好。该系统由于采用了Web服务器嵌入的技术和基于服务的模式,主要依赖软件实现,无需增添新的硬件设备,企事业单位既可以选择独立购买系统,对分布的Web应用服务器进行管理,也可以选择将本单位的Web应用作为安全服务的对象,仅需要购买服务时间,在Web服务器上安装客户端就可以完成,投资少,并且可以享受到安全服务的单位更加专业的安全策略更新和服务。该系统可广泛应用于政府保密机关、军队、公安、安全等政府部门,也可应用于教育、金融、电信以及大中型企业等各个领域和部门,应用前景广阔,社会经济效益明显。

功能:防火墙的功能主要是两个网络之间做边界防护,
企业中更多使用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用,
主要功能是包过滤规则的使用。

部署方式:网关模式、透明模式 :

网关模式是现在用的最多的模式,可以替代路由器并提供更多的功能,适用于各种类型企业透明部署是在不改变现有网络结构的情况下,将防火墙以透明网桥的模式串联到企业的网络中间,通过包过滤规则进行访问控制,做安全域的划分。至于什么时候使用网关模式或者使用透明模式,需要根据自身需要决定,没有绝对的部署方式。需不需要将服务器部署在
DMZ区,取决于服务器的数量、重要性。

总之怎么部署都是用户自己的选择!

高可用性:为了保证网络可靠性,现在设备都支持主 – 主、主- 备,等各种部署。

2、防毒墙

定义:相对于防毒墙来说,一般都具有防火墙的功能,
防御的对象更具有针对性,那就是病毒。

功能:同防火墙,并增加病毒特征库,对数据进行与病毒特征库进行比对,进行查杀病毒。

部署方式:同防火墙,大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前,进行病毒防范与查杀。

3、入侵防御

定义:相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性,
那就是攻击。防火墙是通过对五元组进行控制,达到包过滤的效果,而入侵防御
IPS,则是将数据包进行检测 (深度包检测
DPI)对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。

功能:同防火墙,并增加 IPS 特征库,对攻击行为进行防御。

部署方式:同防毒墙。

特别说明一下:防火墙允许符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检查,而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。

4、统一威胁安全网关

定义:简单的理解,把威胁都统一了,其实就是把上面三个设备整合到一起了。

功能:同时具备防火墙、防毒墙入侵防护三个设备的功能。

部署方式:因为可以代替防火墙功能,所以部署方式同防火墙

现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用,在不考虑硬件性能以及费用的情况下,开启了防病毒模块和入侵防护模块的防火墙,和UTM其实是一样的。至于为什么网络中同时会出现
UTM和防火墙、防病毒、入侵检测同时出现。

第一,实际需要,在服务器区前部署防毒墙,
防护外网病毒的同时,也可以检测和防护内网用户对服务器的攻击。第二,花钱,大家都懂的。总之还是那句话,设备部署还是看用户。

威尼斯官方网站登录 1

5、IPSEC VPN

把 IPSECVPN放到网络安全防护里,其实是因为大多数情况下, IPSEC
VPN的使用都是通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。

定义:采用 IPSec 协议来实现远程接入的一种 VPN技术,至于什么是 IPSEC
什么是 VPN,小伙伴们请自行百度吧

功能:通过使用
IPSECVPN使客户端或一个网络与另外一个网络连接起来,多数用在分支机构与总部连接。

部署方式:网关模式、旁路模式

鉴于网关类设备基本都具备
IPSECVPN功能,所以很多情况下都是直接在网关设备上启用 IPSEC
VPN功能,也有个别情况新购买IPSEC
VPN设备,在对现有网络没有影响的情况下进行旁路部署,部署后需要对IPSECVPN设备放通安全规则,做端口映射等等。也可以使用
windows server 部署 VPN,需要的同学也请自行百度
~相比硬件设备,自己部署没有什么花费,但
IPSECVPN受操作系统影响,相比硬件设备稳定性会差一些。

威尼斯官方网站登录 2

以上设备常见厂家( 不排名啊不排名 )

JuniperCheck Point Fortinet 思科 天融信 山石网科 启明星辰 深信服
绿盟网御星云 网御神州 华赛 梭子鱼 迪普H3C

6、 网闸

定义:全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,
并能够在网络间进行安全适度的应用数据交换的网络安全设备

功能:主要是在两个网络之间做隔离并需要数据交换,网闸是具有中国特色的产品。

部署方式:两套网络之间

威尼斯官方网站登录,防火一般在两套网络之间做逻辑隔离,
而网闸符合相关要求,可以做物理隔离,阻断网络中 tcp
等协议,使用私有协议进行数据交换,一般企业用的比较少,
在对网络要求稍微高一些的单位会用到网闸。

7、SSL VPN

定义:采用 SSL协议的一种 VPN技术,相比 IPSEC VPN使用起来要更加方便,毕竟
SSL VPN使用浏览器即可使用。

功能:随着移动办公的快速发展,SSL
VPN的使用也越来越多,除了移动办公使用,通过浏览器登录SSLVPN连接到其他网络也十分方便,
IPSEC VPN更倾向网络接入,而 SSL VPN更倾向对应用发布

部署:SSL
VPN的部署一般采用旁路部署方式,在不改变用户网络的状况下实现移动办公等功能。

8、WAF (Web Application Firewall) web 应用防护系统

定义:名称就可以看出,WAF的防护方面是 web应用,说白了防护的对象是网站及
B/S 结构的各类系统。

功能:针对 HTTP/HTTPS协议进行分析,对 SQL注入攻击、XSS攻击
Web攻击进行防护,并具备基于 URL
的访问控制;HTTP协议合规;Web敏感信息防护;文件上传下载控制;Web
表单关键字过滤。网页挂马防护,Webshell 防护以及 web应用交付等功能。

部署:通常部署在 web应用服务器前进行防护

IPS
也能检测出部分web攻击,但没有WAF针对性强,所以根据防护对象不同选用不同设备,效果更好。

威尼斯官方网站登录 3

9、网络安全审计

定义:审计网络方面的相关内容

功能:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

10、数据库安全审计

定义:数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。

功能:审计对数据库的各类操作,精确到每一条 SQL命令,并有强大的报表功能。

部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

11、日志审计

定义:集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。

功能:通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全部署:旁路模式部署。通常由设备发送日志到审计设备,
或在服务器中安装代理,由代理发送日志到审计设备。

12、运维安全审计

定义:在一个特定的网络环境下,
为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,
而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

功能:主要是针对运维人员维护过程的全面跟踪、
控制、记录、回放,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

部署:旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备/服务器/数据库等系统操作。

可以看出审计产品最终的目的都是审计,只不过是审计的内容不同而已,根据不同需求选择不同的审计产品,一旦出现攻击、非法操作、违规操作、误操作等行为,对事后处理提供有利证据。

13、入侵检测

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章