2019年基于開源軟件的網絡縱深防御系統.pdf

《2019年基于開源軟件的網絡縱深防御系統.pdf》由會員分享，可在線閱讀，更多相關《2019年基于開源軟件的網絡縱深防御系統.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、性能分析系統實現相關研究研究背景IBM 公司在1960年開發出了虛擬化技術以來，虛擬化技術已經變的越來越流行。隨后VMWare公司推出了ESX Server 以及 Microsoft 公司的Hyper-V技術的虛擬化產品，當越來越多虛擬化技術的應用被提出后，我們開始思考如何將其運用在網絡安全防護架構部署上并解決我們遇到的實際問題。本研究提出的是一個基于虛擬化技術的網絡安全縱深防御架構解決方案，可以有效的降低企業在部署網絡安全防御系統上的成本以及通過縱深防御架構來提高黑客入侵的時間成本。另外本研究也將針對傳統縱深防御架構、整合威脅管理系統及本研究提出的虛擬化縱深防御架構做一綜合性的深入研究并比較

2、其優缺點，另外也針對上述架構進行網絡性能測試、分析與探討，冀望本研究能對網絡安全相關研究以及企業內部的縱深防御部署提供有益的解決思路。嗅探，網絡監聽，非法入侵，信息竊取黑客攻擊病毒，蠕蟲，木馬，惡意代碼，漏洞攻擊腳本等惡意軟件缺乏告警監控手段，被動防御為主安全管理業務需求更新快，軟件更新迭代快業務演進目前一套包含威脅分析系統，DDOS流量清洗系統和防病毒網關的IDC網絡安全防護系統價格在百萬元左右。在建設資金趨緊的大環境下，市縣一級的IDC中心和機房很多不具備購買商用網絡安全防御工具的條件?；陂_源軟件的網絡縱深防御系統使用開源軟件為降低整個系統的費用，使用開源軟件來搭建。在現今的網絡環境下，

3、部分開源軟件的性能不低于傳統商用軟件。虛擬化部署基于虛擬化技術搭建，便于快速部署和減少硬件投資。整體式威脅管理整體式威脅管理是一個全面的解決方案，它能夠執行多種安全功能。其優點在于管理多個防護系統，主要優點除管理方便外，還有就是封包只需要解開一次?？v深防御機制構筑縱深防御的網絡防護架構，是網絡防護方案的核心原則。當縱深防御被運用在網絡安全上時則意味著以多層安全技術減輕網絡安全風險。防火墻阻擋非法的連接，允許合法的連接進入企業內部加密技術加密技術信息交換加密虛擬專用網在公共信道上建立安全虛擬專用網絡防毒墻對病毒和惡意程序進行過濾的網絡安全設備入侵檢測系統對網絡進行即時監視，在發現可疑時發出警報或

4、者采取主動反應措施入侵檢測系統防毒墻業務系統防火墻縱深防御原意是一種軍事戰略，有時也稱作彈性防御或是深層防御，是以全面深入的防御去延遲前進中的敵人，通過放棄空間來換取時間與給予敵人額外的傷亡。當縱深防御被運用在網絡安全上時則意味著以多層網絡安全技術減輕網絡安全風險。網絡安全縱深防御不能只著重在單一攻擊行為上，還要針對廣度防御進行部署考慮，且在考慮部署安全防御機制時，要考慮布署的層數不可太多，因為這樣反而會導致防御產品太多造成維護過于復雜，而增加被黑客入侵的風險。深度防御 vs 廣度防御縱深防御層數及攻擊執行成功所花費的時間比較虛擬化網絡安全縱深防御架構實體層實際的硬件資源，如 CPU、內存、網

5、卡、硬盤等監督層虛擬機器管理員在 Guest 操作系統及硬件層之間設置的抽象層，這個抽象層允許任何操作系統在硬件上執行虛擬網絡層網絡模組，主要作用是模擬虛擬交換機及調整虛擬機器網絡架構安全層安全模組，主要作用是對網絡流入流出的數據包進行檢測底底層平臺防病毒防病毒入侵入侵檢測防火防火墻防火墻系統使用 Netfilter/Iptables開源防火牆入侵監測系統入侵防御系統使用Snort開源入侵檢測系統搭配Iptables Queue模塊防病毒網關使用基于Linux下的ClamAV 加上 HTTP Anti-Virus Proxy(HAVP)做為病毒庫服務器虛擬化平臺基于Vmware虛擬化平臺，搭建

6、Linux操作系統虛擬化網絡安全縱深防御架構在安全模組中，本研究設計了三套針對不同防御性質的子功能模組，并且利用網絡模組將其數據包傳遞路徑定義清楚，主要分為：(1)管理模組。(2)網絡模組。(3)安全模組虛擬化縱深防御網絡封包流程防火墻內部運行流程圖入侵防御系統內部運行流程圖防毒墻內部運行流程圖實驗環境配置圖虛擬化網絡安全縱深防御網絡架構示意圖使用Putty連接網頁服務器器的Telnet端口防火墻功能測試使用N-Stalke的網頁測試工具對Snort進觸發警報測試入侵檢測功能測試從eicar網站上抓取病毒樣本放置在攻擊者的網頁上，然后由內部網絡連接下載，測試防病毒網關是否能正常工作防病毒網關功能測試使用Iperf 和Httperf 進行壓力測試壓力測試防火墻系統功能測試N-Stalker執行畫面HAVP回應用戶病毒被阻擋的信息頁面本研究結合了網絡安全縱深防御機制及虛擬化技術，可以有效降低營運成本以及減少運算資源的浪費，利用縱深防御的概念強化企業網絡安全架構可提高安全性?；陂_源軟件的網絡縱深防御系統，包括軟件防火墻，入侵檢測系統，防病毒網關等模塊，通過此系統的應用可以滿足小規模IDC機房或中小ISP對于網絡安全防御的業務需求。THANK YOU謝謝觀看