网络防护体系构建

...v.网络防护体系建构虚拟化应用运行过程从图1中可以看出，虚拟化应用位于网络的DMZ区。Cisco6509、Cisco4506、Cisco3750和防火墙设备运行的都是路由模式。报社互联网上的用户要单位的虚拟化应用，数据包首先通过4506交换机，再到防火墙上。在防火墙上配置有相应的平安策略，会根据数据包的源和目的IP地址，以及端口号来判断是否对数据包进展路由，允许通过的数据包将会传输到DMZ区的Cisco3750交换机上，最终到虚拟化效劳器上的业务应用。报社局部编辑、记者用户，需要通过虚拟化应用到报社内部网络上的一些采编应用系统，这样图1中的虚拟化效劳器就会作为代理效劳器，通过Cisco3750、防火墙和Cisco6509，最终到报社内部效劳器上的资源。从采编应用效劳器上返回的数据包也是先到达DMZ区的虚拟化应用效劳器上，然后效劳器再把数据包返回给报社互联网上的用户。虚拟化应用平安思考平安是应用的根底。目前，使用报社虚拟化的用户主要来自互联网，但是随着报社信息化建立的不断开展，桌面虚拟化和网络虚拟化也相继在报社进展测试应用。所以随着虚拟化使用范围的越来越广，更应该注重虚拟化在平安方面的防护和加固。(1)平安防护五要素。虚拟化应用和其它应用系统一样，都应该从五个方面进展平安加固，如图2所示。一是用户身份平安。它能够提供用户名密码、USB-KEY、硬件特征码、数字证书、短信认证中的一种或多种身份认证方式，保障用户身份接入的可靠性。二是终端平安。应当加强终端设备的病毒、木马防护，及时升级系统的漏洞补丁，检测、拦截和移除病毒、间谍软件。三是传输平安。要使用标准的加密算法保障数据的平安传输。四是应用权限平安。能够针对每个部门、每个用户进展应用、URL级别的授权，并可针对用户终端平安环境、登录时间的不同，进展差异授权和灵活控制。五是审计平安。日志中心能提供详细的报告，作为网络规划的依据，并且具备管理员权限的分级功能，提高管理平安性。(2)虚拟化应用平安隐患。报社虚拟化应用最普遍的方法是，用户用各种终端通过互联网连接到单位DMZ区的虚拟化效劳器上，虚拟化效劳器再作为代理就可以到内网的采编应用系统上，如图3所示。从图中可以看出，接入到虚拟化应用的终端有很多种，只要能接入到互联网就可以到报社的虚拟化应用。但是，虚拟化应用的“用户身份平安〞不是很好验证，存在用户不能通过智能手机或PDA掌上电脑，使用USB-Key认证报社的虚拟化应用的问题，因为这些设备上没有USB接口。所以为了方便用户虚拟化应用，就开通了“用户名密码+认证码〞的认证方式，这样用户无论使用什么样的终端都可以到虚拟化应用。但是，使用“用户名密码+认证码〞的认证方式属于静态认证，一旦用户名和密码泄露会造成严重的后果。况且认证码也是一种非常简单的认证方式，它的目的是保证登录的是人而不是程序。非法用户完全可以通过一些专用的破解软件，把密码破译出来。所以，在虚拟化应用中最好不要使用“用户名密码〞的认证方式。虚拟化应用平安防护措施针对应用系统的平安防护五要素，和报社虚拟化应用的实际情况，提出以下四点虚拟化应用的平安防护措施。(1)手机动态密码验证。报社很多业务应用系统，对平安性的要求也很高，而手机动态密码的认证方式，在国内有的银行已经广泛应用，例如交通银行。所以它的平安性已经得到认可，完全可以把它应用到报社的虚拟化认证中。它是一种动态的、互动的密码认证方式，即使非法用户盗用了银行用户的银行卡和支付密码，假设他没有银行用户的手机也不能完成网上支付，因为动态密码只发送到银行用户本人的手机上。而且在向银行用户发送动态密码时会包括一个“密码序号〞，如图4所示的上半局部，是用户进入到银行支付页面的提示。在“动态密码〞输入框的后边就有一个提示“密码序号：56〞;同样在图4的下半局部的黄色显示区域，是银行用户本人手机上收到的动态密码提示信息，在其中也包含有“密码序列：56〞，这两个序号的数值必须一致才是真实有效的密码，这就进一步提高了手机动态密码的平安性。(2)扩展USB-Key认证使用范围。人民日报社目前已部署有完善的PKI认证系统，用户在重要的业务应用前，都需要通过USB-Key认证。而且，从表1对几种认证方式的比拟可以看出，平安性最高的是USB-Key和动态口令认证方式。所以，在报社的虚拟化应用上，采用USB-Key认证就能保证所有业务应用系统在认证方式上的统一性。相比拟而言，USB-Key认证方式性价比高，而且USB接口又有通用性，因此USB-Key认证技术最适合应用推广。由于USB-Key具有平安可靠、便于携带、使用方便、本钱低廉的优点，加上PKI体系完善的数据保护机制，使用USB-Key存储数字证书的认证方式已经成为目前主要的认证模式。报社用户通过互联网，使用智能手机、PDA等没有USB接口的设备，远程登录虚拟化应用时，可以使用USB接口的转接线，把设备上的接口转换成USB接口，就可以继续使用USB-Key的认证方式。(3)远程平安桌面应用。图5平安桌面应用原理图虚拟化应用的用户，无论是用USB-Key认证方式，还是用“用户名密码〞方式登入虚拟化应用系统时，经常会把报社内网中的资源下载到本地电脑中，其中可能会包含有涉及到单位的敏感信息，这些信息又极易被黑客和不法分子获取，假设散播到互联网上，会对报社带来极坏的影响。而平安桌面技术的应用可以很好的解决这一问题。平安桌面技术可以防止重要数据留存在用户终端而泄露的风险。所有和虚拟化应用效劳器发生的行为和传输的应用数据都将置于该平安桌面中，此平安桌面中的所有数据均无法存储到本机、无法拷贝到U盘等外设设备、无法通过局域网和互联网外发，任何方式都无法将数据从平安桌面内泄漏出去。当用户关闭平安桌面后，其中的所有数据将一并销毁，从而彻底保障重要数据被终端时的高平安性。(4)DMZ区部署七层防火墙。目前，报社部署的防火墙都是传统的防火墙设备，在性能、带宽和平安性上已远远不能满足虚拟化应用的各项需求，不能够在应用层面上对传输的数据进展拦截和监控。从图1中可以看出，互联网上的用户报社内部的虚拟化应用的所有数据，都必须通过两台防火墙设备FW-A和FW-B，所以防火墙设备性能的优劣，将会对虚拟化应用的平安起到决定性作用。七层防火墙增强了允许通过防火墙的数据包的平安性，因为网络平安的真实需求是，既要保证网络平安，也必须保证应用的正常运行。它主要是基于应用层开发的新一代防火墙，与传统防火墙相比它可以针对丰富的应用提供完整的、可视化的内容平安保护方案。解决了传统平安设备在应用可视化、应用管控、应用防护处理方面的巨大缺乏，并且满足了同时开启所有功能后性能不会大幅下降的要求。它既满足