计算机论文
新型网络防火墙的性能要求
时间:2022-10-05 22:41 所属分类:计算机论文 点击次数:
根据安徽广播电视系统高可靠性、高安全要求,广播电视互联网出口需要部署六套系统:
1.部署一套DDOS防护系统
拒绝服务攻击DOS是当前Internet最流行的攻击手段,拒绝服务攻击是一种攻击手段,通过创造大量的非法流量,占用大量的系统服务资源,以达到耗尽带宽的目的,使正常的网络业务无法正常进行。拒绝服务攻击具有攻击方式简单粗暴、快速达到目的、难以防范和源头跟踪等特点。因此,电子商务、电子政务、电子银行等一系列网络服务可能无法正常开展,给国家、公司和人民造成巨大损失,消耗大量人力、物力和财力。因此,有必要严格防范这种网络攻击。DDOS即分布式拒绝服务[1],攻击是指利用客户/服务器技术,将多台计算机组合成攻击平台,启动一个或多个目标DOS攻击,从而成倍增强拒绝服务攻击的力量。因此,需要在现有广播电视网络与互联网连接的边界处部署一套可以支持多种类型的部署DDOS攻击的准确识别和控制系统不仅能准确识别攻击,还能提高蠕虫病毒流量的识别能力,提高系统的安全防范能力。该DDOS防御系统包括监控和分析中心、控制和清洁中心和安全管理中心三个部分。三个中心互联,可实现自动检测、自动识别攻击或手动排水清洗,定期生成统计分析报告。
2.通过业务监控系统部署一套业务监控系统DPI技术[2]对网络流量进行深入协议分析,控制业务区分和业务所需网络流量的质量控制。此外,通过对业务流量统计数据的深入挖掘,我们可以更深入地了解网络的使用,如用户使用宽带的习惯和方法。业务监控系统的部署对业务流量的分配和调动起到了及时的监控作用。一套业务监控系统可以为现有网络环境提供优化改造意见,也可以为新业务和增值业务的开放提供指导。因此,有必要部署一个业务监控系统。
3.部署一套互联网缓存系统
对于广播电视网络传输的视频、图片、音频等大数据内容,保证了用户的流畅性和所有业务的质量,使网络“不卡”业务“不顿”特别是缓存系统中的调度子系统采用负载平衡、热内容搜索管理调度、缓存记录搜索等技术,引导用户与缓存数据设备进行数据交换,提高缓存数据设备的利用率。另外,没有限制P2P,网络视频等新兴业务威胁当前带宽超负荷使用。因此,需要高速、优质的网络服务。为了实现网络的高质量,高速需要部署一套互联网缓存系统。采用分析定位、自动缓存、精确调度、速度搜索等技术,总出口带宽将占60%~80%P2P流量、在线视频和大文件下载流量本地化,节省出口带宽,降低网间结算成本,提高网络利用效率,降低网络运营成本,最终实现高质量、高速的广播电视网,提高用户流畅性和所有业务的高质量发展。
4.部署一套日志管理系统
在信息管理系统中,日志是指对计算机设备运行中重要活动或事件的完整记录和描述,可以记录信息系统中的动作和行为,向外界展示信息系统运行的完整轨迹和本质。帮助网络管理实现日志的统一管理,系统可以收集、过滤、合并、分析、存储、监控和报告成为专业的防火墙会话日志,并支持报警和输出报告的发送。形成完整的报告日志可以检查系统中的任何行为、跟踪和报告,对解决系统问题和业务起着非常重要的作用。此外,问题的可追溯性和记录可以以报告的形式进行,为后续问题的验证和问责提供了重要的依据。本部署的日志管理系统可以对网络出口的防火墙和服务器防火墙进行统一的日志分析,以检测当前网络中的最新攻击类型。
5.部署一套安全管理平台
随着广播电视信息化的深入,网络规模逐渐扩大,使用的网络和安全设备也逐渐增加。如何更好、更方便地管理网络和安全设备是每个用户的首要任务。然而,网络设备的管理存在着设备类型复杂、管理信息多样性等问题。如何更好地解决这些问题,网络管理尤为重要。统一安全网络管理系统[3]应支持网络拓扑管理、故障排除管理、网络元管理、设备性能管理、集中战略配置管理、VPN管理和其他一系列功能。安全管理平台需要能够直观地显示网络架构,帮助管理员快速定位网络故障,提高管理能力,提高工作效率,降低维护成本,为用户提供高效管理全网设备的平台。
6.在网络出口部署一套功能强大的防火墙
目前网络出口位置的网络防火墙暂时可以满足当前用户数量的安全需求,但随着用户数量的增加,现有的网络防火墙性能逐渐不能满足需求,因此需要考虑新的防火墙的布局。新型防护墙的性能要求具有强大的入侵防御功能、反病毒功能、强大的性能要求GTP保护功能,IDS联动等主要功能。(1)强大的入侵防御功能需求:传统IPS策略[4]是通过分析现有系统的漏洞,提取现有攻击方法引起的攻击事件的特征,制定防御规则。例如:防止有针对性的操作系统漏洞攻击、邮箱服务器漏洞攻击、文件服务器攻击、浏览器漏洞攻击等。对目前大多数木马、蠕虫、间谍软件等都能很好的防御和检测。现有防火墙功能缺陷需要IPS能够识别运行在非知名端口的常用数据流类型,减少对特定介质流量的误报。(2)反病毒功能:反病毒功能是指支持邮件传输协议SMTP,POP3,网页协议HTTP在传输数据扫描中删除病毒或发送给用户。但现在防火墙对10多种、多层压缩文件、病毒壳操作的压缩文件进行扫描,发现病毒能力较弱。因此,需要部署具有病毒脱壳操作能力和文件类别智能识别功能的新型防火墙。(3)强大的GTP保护功能[5]:Gn,Gp和Gi接口进行GTP安全功能需要支持R97GTP,R99GTP,GTP协议、报文分析控制能力和按规则过滤报文的能力;在路由模式和透明模式下工作;可以解决GTP隧道的限制可以检测到GTP隧道信息,GTP隧道双机热备功能;支持分片缓存功能等。(4)IDS联动[6]是指IDS该设备可以自动检测整个网络中是否存在恶意攻击、入侵或其他安全风险行为,并通过发布指令通知统一安全网关,统一安全网关丢弃或处理攻击报告。运用IDS防止恶意攻击的联动方式是将恶意攻击分为入侵检测和攻击处理,充分发挥各设备的优势,提高系统性能。通过和IDS统一安全网关可提供高可靠的主动防御模型和安全解决方案。用户优先配置静态安全性能配置信息,通过静态安全性能配置信息,IDS设备可动态发现安全隐患,通过统一安全网关设备修改安全策略,实时动态修改防御策略,确保整个网络的安全。要有灵活的联动接口协议,可以与许多接口协议合作IDS设备交换,方便支持各种设备,IDS设备与统一安全网关联合工作。
为了应对许多网络不安全因素,本文提出的解决方案包括外部网络出口、入侵检测和日志审计,并提供了统一的安全管理中心模块,可以有效地解决当前视频网站所面临的问题。面对广播电视产业化转型的历史机遇,建立高起点、高技术内容、多功能、智能、可扩展性好的综合信息平台至关重要。让安徽电视视台视频网络信息高速、高质量,让广播电视网络高效传递信息,成为人们获取信息咨询、丰富文化知识的良好载体,成为国家信息基础设施建设和现代信息服务的重要组成部分。