基于重保场景的网络安全架构应用方案_吴国良.pdf

1、2023.7电脑编程技巧与维护1背景采用自动化来简化IT的安全运维工作，具有以下优点：（1）提高效益。自动化运维基本无需人工操作，不仅能增加产出，还能使运维人员摆脱繁杂传统的运维工作。（2）使网络安全运维更可靠。网络安全运维常常需要对突然发生的状况采取果断和及时的处置，而自动化网络安全运维可以明显提高可靠性。自动化网络安全运维能够对攻击进行预期和反应，可建立模式，可运用算法进行控制，使得网络安全监控平台可以对风险进行分析，从而降低损失，网络安全管理员履行职责的效率。2方案拓扑图网络架构拓扑总图如图1所示。按照功能进行分区设计，可以分为以下区域。（1）内部服务器区域，包括AD域控及对外、对内都需

2、要提供服务的Web服务器和为各服务器提供漏洞扫描的漏扫设备。（2）企业内为网的核心区域，包括2台对外连接互联网的防火墙和2台为内部行政部门等提供网关的核心路由器。（3）行政部门区域，包含行政办公人员的办公终端设备，以及为这些终端设备自动分配IP的DHCP服务器。（4）运维区域，该区域安装的设备为Zabbix，包括企业内网中的运维工作和运行情况监控工作。3环境搭建3.1核心区域配置核心区域中的设备包含路由器与防火墙，作为整个网络架构中的核心部分和核心路由部分。需要对4台设备使用动态路由协议来同步路由，该动态路由协议使用OSPF来实现，OSPF关键配置实例如下。核心路由器左：OSPF关键配置osp

3、f 1area 0.0.0.0network 1.1.1.0 0.0.0.3network 2.2.2.0 0.0.0.3area 0.0.0.2network 10.10.0.0 0.0.255.255network 100.10.10.0 0.0.0.3network 100.10.30.0 0.0.0.3area 0.0.0.3network 101.1.1.0 0.0.0.3network 101.1.3.0 0.0.0.3-说明：两台防火墙的OSPF配置与上述类似，要注意，开启安全策略时需要在安全策略中放行配置操作。由图1可知，在2台路由器中设置冗余网关协议，为甲方企业内行政办公的终

4、端进行网关冗余的设置，将基金项目：2022年广东省本科高校教学质量与教学改革项目-以工作室为载体，构建科产教协同培养卓越工程人才“一一二”新模式探索（1104）；2022年大学生创新创业训练计划项目（S202212668007）。作者简介：吴国良（1999），男，本科，研究方向为路由交换、网络安全；王煜林（1982），男，通信作者，副教授，硕士，研究方向为网络安全、云计算；刘绍然（1999），男，本科，研究方向为路由交换、网络安全；凌睿（2002），女，本科，研究方向为人工智能、计算机网络技术。基于重保场景的网络安全架构应用方案吴国良，王煜林*，刘绍然，凌睿（广州理工学院计算机科学与工程学院，

5、广州510540）摘要：项目根据 Zabbix 监控平台的特性，使用网络设备与 Zabbix 服务器之间相连接的 SNMP Trap 告警信息进行对应的自动化操作。利用这一自动化功能将防御系统和 DDOS 攻击联系起来，并实现对威胁的自动感知与判断。关键词：HRP 双机热备；DDOS 攻击；Shell 脚本自动化图1网络架构拓扑总图173DOI:10.16184/prg.2023.07.0162023.7电脑编程技巧与维护研发部和财务部的Master设备设置左1路由器，设置市场部和行政部在左1路由器为Standby。将市场部和行政部的Master设备设置为右1路由器，设置研发部和财务部在右1路

6、由器为Standby。核心路由器左：VRRP关键配置命令演示如下。interface GigabitEthernet0/0/2.10dot1q termination vid 10ip address 10.10.10.252 255.255.255.0vrrp vrid 1 virtual-ip 10.10.10.254/创建/10.10.10.254冗余组vrrp vrid 1 priority 120/调整该设备在本组的优先/级，越高越优，手动最高为254interface GigabitEthernet0/0/2.30dot1q termination vid 30ip address

7、 10.10.30.252 255.255.255.0vrrp vrid 3 virtual-ip 10.10.30.254/创建/10.10.30.254冗余组vrrp vrid 3 priority 80/为了使该设备不为本组/的MASTER设备采用手动/降级方式-说明：另外一端的核心路由器右配置与上述类似。3.2路由汇聚区域配置在路由汇聚区域一共有4台路由器，分别是为服务器提供路由支持的AR1和AR2，为Zabbix和其他运维设备提供路由支持的AR3和AR4。为服务器提供路由服务的AR1和AR2需要运行VRRP网关冗余协议，服务器另起一个网段（172.16.10.0/24网段），在两个路

8、由器之间创建172.16.10.254冗余网关组，由AR1作为该网段的Master设备，由AR2作为Standby进行备份。与企业内网进行路由同步也是采取OSPF动态路由协议。以AR1为例展示VRRP与OSPF的关键命令如下。interface GigabitEthernet0/0/0.10dot1q termination vid 10ip address 172.16.10.252 255.255.255.0vrrp vrid 1 virtual-ip 172.16.10.254vrrp vrid 1 priority 120/将AR1作为该组的MASTER设备quitospf 1area

9、 0.0.0.1network 172.16.10.0 0.0.0.255network 200.1.1.0 0.0.0.3network 200.1.2.0 0.0.0.3quit3.3防火墙安全防护配置（1）要对企业内网发起的Web网站访问请求进行审查，确保各部门都能正常访问位于服务器区域中的服务，并且要对这两个方向的流量进行内容过滤，防止从服务器横向传播的蠕虫病毒感染内网其他主机，同时也防止从各部门的终端设备向服务器横向传播的蠕虫病毒感染企业对内和对外的服务器，避免损失。（2）要对企业中对外提供服务的服务器进行严格的防护，确保从外网流向内部服务器区域的服务请求可以正常被服务器接受并处理回

10、应，同时也要确保该流量的内容没有安全风险。需要对该方向的所有流量进行入侵检测、反病毒扫描等，对所有流量进行过滤，进而确保流量的正常访问和安全性。（3）为处于运维保障区域中的Zabbix进行监控设备状态和自动化远程命令下发的流量进行放行。Zabbix基于SNMP协议对网络中的所有网络设备进行状态监控和发布对应的远程命令，对此对所有安全区域中的SN-MP和SNMP Trap流量进行放行，保障Zabbix与各网络设备可以正常交互。（4）由于网络中所有路由器均采用OSPF进行动态路由的生成，防火墙夹在各路由器之间无法正常与OSPF协商所需的各项报文交互，导致OSPF邻居无法建立，路由信息无法同步到每台

11、路由器与防火墙本体内，使得全网因没有底层路由支撑而无法全网贯通。因此，将各安全区域中有关OSPF的所有数据流量进行安全放行，确保OSPF的邻居关系与路由信息同步可以正常进行，建立网络架构中的底层路由支撑。3.4防火墙高可靠性配置防火墙的高可靠性保障了对外出口和对外防护能力不因受单机设备故障的影响而失能。配置高可靠性需要用到华为防火墙的HRP协议，并且使得这两个防火墙在一般情况中均采用负载均衡的模式协同运行。对上行运营商的链路进行检测，联动HRP协议。HRP的配置需要指定对端设备心跳线接口的地址建立HRP的链接，也要指定对应的心跳线接口编号，在HRP上联动了上联链路时，需要指定联动检测的上联接口

12、编号。3.5互联网对接技术配置防火墙作为直接连接互联网的设备有对应的公网地址进行互联网的访问，但是企业内部网络使用的是私有IP地址，无法在公网中进行传输。为解决这一问题，项目采取NAPT（或称Easy IP）技术，将以内网的10.10.0.0/16、172.16.0.0/16和192.168.0.0/16网段作为原地址的数据包进行转换，将源地址转换成防火墙的出口1742023.7电脑编程技巧与维护图2IPS安装后对网络进行防御并产生的概览图地址，使用动态端口号来标识每台发起外网访问的计算机内网IP，实现路由传递来回路径的闭环。3.6Zabbix 联动设备配置（1）添加路由器主机群组，为后期添加

13、多种同类型设备提供管理上的方便，并且只有创建了主机群组，才可以添加监控主机。然后在主机页面添加路由器，输入该主机的名称。为了方便管理，需要输入所对应的群组，并将主机的对接地址与SNMP的版本信息、SNMP的团体名输入对应的对话框，以便对主机进行识别和SNMP的协商。（2）添加所需监控参数模板，需要使用的主机链接到模版时，模板的所有实体包括项目、触发器、图形等都将被添加到主机。待添加成功后，需要启用路由器、FW1、FW2，建立设备与Zabbix之间的交互方式，从而能够正常交互信息并生成图形化可视界面。3.7Zabbix 自动化配置添加触发器前需要添加监控项，在华为白皮书中找到防火墙CPU状态对应

14、的SNMP-OID值，该OID值反馈给Zabbix时可以识别防火墙CPU的状态信息。在Zabbix中添加触发器，设置触发条件为受监控的防火墙CPU占用率大于75%，且严重性定义为严重程度。接下来联动触发动作，将触发动作设置为当触发器被触发时执行动作中的动作细节，而自动化设备命令下发的脚本就设置在该位置中，在Zabbix-server上创建脚本，该脚本命令为通过SSH使用Admin账号登录并出现CPU使用率超过75%的防火墙命令行内，然后进入防火墙与上联运营商连接的对应接口，将该端口通过命令的方式关闭。具体命令如下。rootZabbix#vi login#!/bin/expectset time

15、out 120spawn ssh-l admin 1.1.1.2expect Password:send huawei12#$rexpect send system-viewrsend interface GigabitEthernet 1/0/1rsend shutdownrinteract3.8部署漏洞扫描系统将漏洞扫描的网络参数配置好后，通过旁挂的方式接入网络架构中，接入网络后对整个网络架构进行初次系统及漏洞扫描，并且生成概览图，根据概览图的反馈情况做对应的安全防御操作。例如，对系统进行打补丁，对软件、系统、中间件进行升级。3.9部署 Web 应用防火墙将WAF的网络参数配置好后，将其上

16、架安装在DMZ受控服务器区域的入口处，对访问Web服务器和数据库的流量进行过滤和防护。3.10部署 IPS 入侵检测将IPS通过旁路挂载在DMZ公网服务器区域，将出口流量和从公网进入内网的流量镜像传输到IPS设备进行监控。防止公网访问DMZ对外服务的服务器被攻击，防止横向渗透，从攻击源头阻断攻击，保护数据或预防文件丢失。IPS安装后对网络进行防御并产生的概览图，如图2所示。IPS对一些比较高危的攻击进行拦截和干预，如将IP地址封禁，对攻击的方式和目的进行预判，对沿途的所有系统、数据库、中间件和软件版本进行升级。1752023.7电脑编程技巧与维护2马煜.基于区块链的星间通信网络安全加密控制系统

17、设计J.计算机测量与控制,2021,29(3):171-175.3芦效峰,付淞兵.属性基加密和区块链结合的可信数据访问控制方案J.信息网络安全,2021(3):7-14.4张菡,林浩,张兴波,等.PLC控制系统的上下位机安全通信方案J.信息技术与网络安全,2022,41(3):65-70.5耿伟智,付道俊,邱鹏,等.一种多加密技术的网络安全监控系统设计J.工业控制计算机,2019,32(12):108-110.4项目测试4.1HRP 双机热备效果在防火墙的Web管理界面查看双机热备的运行状态，如监控项的运行模式是否为负载分担、运行角色是否为主/备用、心跳接口的编号是否与需求对应、带宽利用率是否

18、低于50%、主动抢占功能是否有开启，配置一致性检查时间间隔是否小于等于3 min、对于上联接口状态的检测是否运行正常，并且在详细信息中显示UP状态。4.2安全策略和 NAT配置安全策略放行所需服务对应的协议，同时对于访问外网的安全策略需要搭配内容过滤、反病毒等一系列的安全过滤策略，以保障流量内容安全性。并且在防火墙默认的安全策略中Default的动作为禁止的情况下，各项业务流量和网络协议保活传输都运行正常，在开启了HRP的情况下，安全策略会自动同步到另一台防火墙上。4.3NAT 访问公网使用行政办公的终端主机访问百度，可以看到百度网页有正常回显，Ping百度的域名也能正常被解析，并且终端主机的

19、IP地址私有地址的范围，这证明该访问成功是NAT进行地址转换的功劳，同时也间接证明VRRP的网关冗余配置和运行处于正常状态。4.4Zabbix 自动化联动效果模拟CPU达到75%且触发脚本，使得FW1、FW2主/备切换，可以看到防火墙双机热备的当前状态还在负载分担，这说明设置测试前运行正常。然后模拟CPU触发器发现严重状态，Zabbix上的问题页面已经弹出了严重警告提示和该问题的持续时间。查看设置的触发器动作有无被执行，可以看到动作日志中的反馈，该故障的动作状态已经为执行。然后来到防火墙的Web管理界面，并查看触发了Zabbix自动化脚本后防火墙的状态，可以看到防火墙的双机热备运行模式从负载分

20、担变成了主/备备份，并且该设备的运行角色为备用状态，HRP检测上联端口的状态由UP状态变成了DOWN状态，这说明Zabbix自动化的下发命令关闭上联端口的目的端为该防火墙FW1，查看触发自动化脚本后的防火墙状态，如图3所示。查看防火墙HRP角色与运行状态变更情况。自动化脚本执行后查看HRP主备角色切换情况和切换后访问公网的NAT策略命中记录，出接口已经切换到FW2的上联公网接口。5结语该项目的创新点是将Zabbix监控和自动化操作两者相结合，实现报警之后根据对应的特征识别攻击类型，从而对特定的攻击进行相应的自动化处理，对软硬件资源运行状态进行监控并设置告警阈值，以运维监控资源数据为基础，结合整个网络安全运维流程，完成网络安全运维监控与自动化操作平台的高度集成。参考文献1魏姗姗.网络攻击溯源技术研究综述J.保密科学技术,2022(1):8-17.2崔孟娇.面向网络攻击的层次化溯源分析技术及应用J.保密科学技术,2022（1）:26-32.3陈志忠.下一代防火墙（NGFW）特性浅析J.网络安全技术与应用,2017（10）:24-25.4张晓鹏.浅论如何提高网络运维管理效率J.网络安全和信息化,2021（11）:82-84.5缑伟.计算机网络运维与发展趋势探析J.企业科技与发展,2020（3）:123-124.图3查看触发自动化脚本后的防火墙状态(上接第169页)176