中小型企业网络软安全防护体系的研究与设计.pdf

中小型企业网络软安全防护体 莫乐群 系的研究与设计 (广东交通职业技术学院计算机工程学院，广州510650) 摘 要：一般来说，中小型企业内部网的拓扑结构都不复杂，主机数量有限，服务器提供的服务相对 较少，同时因为人力和资金上的局限，中小型企业通常很少购买专门的网络安全防护设备， 甚至没有专门的管理员来维护网络的安全，这就给黑客和非法访f*-I提供了可乘之机针对 这种情况，提出一种软安全防护体系使得中小型企业能够获得全面、低成本以及集成化的 网络安全保护 关键词：网络；软安全；IDS 0 引言 在现今商业竞争全球化的环境中．中小型企业要 求得发展．必须在拓展业务和改善客户满意度的同时 严格控制其营运成本 目前大多数中小型企业都借助 互联网来开拓市场，提高与客户和合作商的沟通效率 然而．迅速便捷的电子商务是一把双刃剑．它在提升企 业竞争力的同时．也可能因为来自企业内部和外部的 安全问题给企业运营带来巨大的灾难．并最终影响企 业的盈利能力和客户满意度 1 软安全防护体系构成 软安全防护体系结构指的是在中小型企业现有的 硬件资源的基础上．利用自由软件和巧妙的拓扑结构 搭建网络安全防护体系．使得中小型企业在控制运营 成本的同时，获得全面的网络安全保护。

它主要包括两 个部分：防火墙与入侵检测系统(简称IDS) 1-1双宿主机防火墙 双宿主机防火墙配置指的是用一台装有两块网卡 的堡垒主机(普通的PC即可)做防火墙．两块网卡分别 与内部网(局域网)和外部网(即接入互联网的设备或 网络)相连堡垒主机运行着防火墙软件，可以转发应 用程序、提供服务等，如图1所示 堡垒 图1双宿主机防火墙 这种结构的特点是IP通信被阻止．两个网络之间 的通信可通过应用层数据共享或应用层代理服务来完 成．并且堡垒机通过防火墙软件可以进行维护系统日 志、硬件复制日志或远程日志的处理 1．2 netfilter／iptables软件防火墙 netfiher／iptables是Linux内核集成的IP数据包过 滤系统．它可以帮助Linux系统在堡垒机的结构体系下 更好地控制IP数据包过滤以及进行防火墙的管理 此 外，由于Linux系统是一款免费软件．因此不会额外增 加中小型企业的经济负担 网络通信的本质就是数据包从来源地传输到目的 地的过程数据包上包含有来源、目的地址、协议类型 以及数据内容等信息 目前网络上的攻击行为和安全 威胁都来自于数据包上面包含的不法信息内容 net— filtediptables数据包过滤系统是一种功能强大的工具． 收稿日期：2OlO一05—06 修稿日期：2010—05—25 作者简介：莫乐群(1976一)，男，硕士，讲师，研究方向为网络技术与信息安全 @ 现代计算机201o。

o6 实践与经验 ／ ／ ——————／／／ 可通过添加、编辑和除去规则．以确定接收哪个数据包 以及拒绝哪个数据包．从而达到只允许合法的数据包 进出系统．而禁止其他任何非法数据包．进而保证进入 内部网的都是安全的数据 1．3 snort入侵检测系统 Snort是一个具备多功能．成熟的开放源码．可运 行在多种不同操作系统上的NIDS f基于网络的人侵检 测系统1这些功能包括包嗅探、数据包记录、入侵检测 等 其最为突出的特点就是根据入侵规则匹配数据包 中的内容．使用规则的定义来检查网络中的有问题的 数据包．一个规则被触发后会产生一条报警信息．其体 系结构如图2所示 图2 Snort体系结构 2 软安全防护体系的部署策略 对于中小型企业的企业网而言．一般都是从ISP 处通过ADSL或者DDN专线接入企业的内部路由器 形成访问Internet的外部网．然后在通过交换机进行企 业内部网树型拓扑结构的构造．如图3所示 图3中小型企业网 2．1设备部署策略 针对中小型企业网络拓扑结构的特点．软安全防 护体系的堡垒机应部署在外部路由器与交换设备之 间，以隔断外部网与内部网的直接联系．保护企业内部 网的安全．并且设置DHCP服务保证内部网的IP地址 分配问题。

另外，为了更好地进行主动防御，提高入侵 检测的质量．安装了Snort IDS的计算机将被部署连接 到路由器上．以监控外部网数据流是否存在异常，并在 必要时候做出及时的报警 整个软安全防护体系的设 备部署策略如图4所示 图4软安全防护设备部署策略 2．2 netfilter／iptables的控制策略部署 为了保护堡垒主机以及内部网络的安全．应通过 IJinux控制台设置TCPflP协议的过滤过则来控制流人 或者流出内部网的数据包．一般可以考虑做以下的过 滤策略配置： (1)针对ICMP协议的策略 堡垒主机防火墙禁止ICMP回显请求数据包通过． 并进行日志审计．策略命令如下： iptables——A INPUT——P icmp————icmp——type 8／0-j ULOG 一一ul0g—pI℃fix”ICMP request echo” iptables——A INPUT——P icmp--icmp——type 8／0-j DROP 其中”一p icmp”指定ICMP扩展，”…icmp type”为 命令选项，其后参数是ICMP协议的类型与代码 (2)针对TCP协议的策略 一般来说企业必须明确在工作时间应用到的TCP 服务，例如浏览网页、收发邮件等，这样就可以针对这 些应用服务部署针对TCP协议的策略了 例如．如果允 许浏览网页，则可作以下的控制策略部署： iptables-A INPUT—P tcp一一sport -j ACCEPT|| 许来自80端口的数据包流人内部网 iptables—A OUTPUT—p tcp--dpoa 80-j ACCEPT／／允 许访问80端口的数据包流出外部网 现代计算机2010．06 @ 实践与经验 其中一dport 80指名了允许访问的目的端口是80 号端口，即Web服务。

企业可以根据需要，通过改变端 口号来增加控制规则．例如，如果允许发邮件．则把80 端口改为53端口即可其余的控制规则照此类推企 业可以根据各自的实际情况进行控制策略部署．若不 加限制可以部署控制策略iptables—A INPUT—P TCP． UDP (3)针对内网的策略 如果企业没有特殊的限制要求．一般来说会设允 许来自eth0(假设eth0为内部网络接口1的任何数据通 过防火墙，此时，控制策略为： iptables—A INPUT-i eth0-j ACCEPT iptables——A OUTPUT——0 eth0 J ACCEPT 若要限制内部网的某些机器访问外部网．可以设 置以下控制策略： $iptables-A INPUT—d 192．168．1．1，，限制192．168．1．1 访'阀外部网 $iptables—A INPUT—d 192．168．2．0／24／／限制192．168．2． 0／24网段访问外部网 2．3 Snort的控制策略部署 Sn0rt IDS的规则一般都放在／etc／snorffrules目录 下．只需要通过Linux控制台进入该目录即可编辑部署 相关控制策略。

例如，某企业拥有自己的Web OA系 统，此时，可以通过vim编辑相关规则，例如vim lab alert ． s．并且设置相关判断规则，_http rule alert tcp 防火墙IP 80anv any fmsg：”OA Access From Exter— nal”；)，来保护OA系统 其中“alert”指定当Snort IDS捕获到满足此条件的 数据包时所触发的动作f报警)；“tcp”为网络传输协议； “80”为80端I：I：“”指定网络流量方向为双向：第一 个"any"为外部网的任意IP．第--+“any”为任意端口： 报警信息为“OA Access From External”此时一旦有攻 击数据包攻击防火墙上或者内部网中的Web OA服务 器．Snort IDS就会发出警告，并记录下来 Snort IDS与netfilter／iptables一样均需要针对企业 实际的运营制度来部署相关安全控制策略，不能形而 上学地照搬照套．因此需要相关的工程师或者网络管 理员具体问题具体分析．从而得出适合企业的安全控 制策略 @ 现代计算机2o1o06 3 效果分析 3．1安全防护分析 软安全网络防护体系通过使用堡垒机隔离外部网 与内部网的联系．使得来自互联网的攻击者无法直接 面对企业的内部网攻击．并通过部署相关的安全控制 策略使得未经授权的数据包无法到达企业内部网．确 保内部网络数据的可信度：此外，其所部署的Snort IDS 可以监控外部网数据的异常状况．最大限度地保护防 火墙以及内部网的安全。

综上，本文所提出的软安全防 护体系可以为中小型企业提供全面的安全保护 3．2成本效益分析 由于本软安全网络防护体系都是基于开源软件 的．因此软件成本可以看作是零．而其对于硬件平台的 要求也仅仅是普通工作用的计算机．这基本上是现今 企业必备的．所以这个方面也不需要额外的支出由于 堡垒机需要双网卡．目前不少企业工作用计算机都是 单网卡的．因此企业只需购买一张网卡即可满足要求 可知．本文提出的软安全防护体系成本是近似于零的 4 结语 本文针对目前中小型企业面临的网络安全隐患， 提出了基于自由软件的网络软安全的解决方案该软 安全防护体系不但能够为中小型企业提供全面、有效 的网络防护．而且能够满足中小型企业对于运营成本 控制的需要．符合目前我国现有国情．是一种值得全面 推广的网络安全解决方案 参考文献 【1】潘瑜．计算机网络安全技术【M]．科学出版社 [2]Daniel P．Bovet＆Marco Cesati．Understanding the Linux Kernel，2nd Edition[M]．O Reilly Press [3]Jack Kozio1．Snort入侵检测实用解决方案【M】．机械工业出 版社 [4]http：／／www．snort。

org 实践与经验 ／ ／ —————————————————／ Research and Design of Soft Security Protection System of Small and Medium Enterprises Network MO Le——qun (Department of Computer Engineering，Guangdong Communication Polytechnic，Guangzhou 510650) Abstract：The network of small and medium enterprises is not very complex，and the number of computer and Web service are limited．Most small and medium enterprises would not buy specialized net— work security protection equipments，even hire a network administrator，because of the low bud· get，and this provides opportunity to hackem and unauthorized access．According to it，proposes a new soft security protection system to make the small and medium enterprises gain the fully， low cost and integrated network protection． Keywords：Network；Soft Security；IDS (上接第137页) Accessi bi l ity Desig。