网络安全与防护策略在广西气象部门的应用与探讨.pdfVIP

第28卷增刊I 气象研究与应用 V01．28增刊i OFMETEoR()LoGlCALRESEARCHANDAPPLICATl0N 2007年12月 JOURNAL Dec．2007 文章编号：1673—8411(2007)增刊i一0078—02 ．．网络安全与防护策略在广西气象部门的应用与探讨 詹利群，丘 昊，廖伟平 (广西气象信息中心，广西南宁 530022) 摘 要：通过分别介绍防火墙、IPS入侵防御设备、Vlan划分以及MACFEE网络版杀毒软件在广西气象部门的部 署，从而构建起经济和相对安全的网络环境，最后引出安全防范体系建设思路的探讨。 关键词：网络安全；防护策略；部署；应用≠探讨 安全防护系统是一个多层次的保护机制，它既 同时配合以精心研究的攻击特征知识库和用户规 包括网络安全的防护策略应用，又包括防火墙、防 则，既可以有效检测并实时阻断隐藏在海量网络流 病毒软件、入侵防御设备等多种产品的解决方案。面 量中的病毒、攻击与滥用行为，也可以对分布在网 对黑客攻击水平不断提高，内部因计算机操作而存 络中的各种流量进行有效管理，从而达到对网络基 在的安全隐患等混合威胁不断增多，传统的“防火 础设施的保护、对网络应用的保护和对网络性能的 墙+单机防病毒软件”应用防护措施已不能适应， 保护。除此以外，TippingPointIPS能够对网络流量 “防火墙+IPS入侵防御设备+网络版防杀病毒软进行细微粒度的识别与控制，有效检测流量浪涌、缓 件+单机版防杀病毒软件+防护策略+安全日志分 冲区溢出、漏洞利用、IPS躲避等一些已知的甚至未 析报告”混合部署应用大大提高了网络安全的系数。 知的攻击。 1 安装硬件网络防火墙 3在三层交换机上划分VLAN 防火墙的基本功能是对网络通信进行筛选屏蔽 划分VLAN后不仅能够隔离广播，避免广播风 以防止未授权的访问进出计算机网络，对网络进行 暴，还能提高交换网络的交换效率，保证网络稳定。 有效的访问控制。实际应用中，通过在连接内外网 通过划分VLAN，LAN被划分不同子网段，因此不 络位置部署H3C公司的SecPath一1000F硬件防火能直接通信，必要的通信必须经过设置路由来实现， 墙，以网关形式出现，同时承担着内网、外网、DMZ 网管员可在路由器(或三层交换机)上配置访问控 区域的安全责任来实现了内外网的安全隔离。具体 制列表来进行跨子网段的授权访问，从而提高内部 表现为： 网络访问的安全性。在不改动网络物理连接的情况 ，(1)SecPath一1000F防火墙放置在内外网之间，下可以任意地将工作站在子网之间移动。VLAN技 实现了内网和外网的安全隔离； 术很好的解决了网络管理的问题，能实现网络监督 (2)通过在SecPath一1000F防火墙上划分DMZ与管理的自动化，从而更有效的进行网络监控。使 区，隔离服务器群，保护服务器免受来自公网和内 用三层交换来划分VLAN，三层交换机则把网络通 网的攻击； 信中的二层交换技术和三层路由(或称三层转发)技 (3)在防火墙上配置安全访问策略，设置访问 术结合在一起，并通过ASIC技术达到线速交换，大 控制权限，保护内部网络的安全。 幅度提高了设备数据的包转发能力，消除了通过路 由转发的瓶颈，实际应用中发现VLAN的划分能够 2安装IPS入侵防御设备 有效的提高网络的整体性能。