公安边防支队网络安全建设方案设想

◆洪 峰

（广西边防总队北海市边防支队 广西 536000）

公安边防支队网络安全建设方案设想

◆洪 峰

（广西边防总队北海市边防支队 广西 536000）

通过在××公安边防支队部署综合性防火墙设备，建成支队及派出所、大队二级边防机关互联互通的安全防护专网，并形成全市边防机关关键枢纽防火墙设备的统一管理和安全规则的统一制定和下发，完善已有的网络安全措施，增加安全运维管理能力和手段，满足未来公安边防支队信息化及业务发展对网络安全、功能、性能、管理等方面要求，实现对主机的MAC 地址与IP地址的绑定，防止网络ARP攻击。

公安边防；网络安全建设；设想

1 网络安全现状与需求分析

××公安边防支队专网建设在移动专网上，信息化建设已覆盖到N个基层边防派出所、N个边防大队。支队计算机房建立了应用业务服务器、数据存储备份，建立了相应的二层网络交换平台及部分安全设备，基础环境建设已经初见成效。

当前，××公安边防支队派出所机关大部分接入了专网，实现了各基层边防派出所访问××公安边防支队日常办公以及视频会议系统等部分信息发布与业务的使用。这批设备采购时间较久，设备基本管理维护成本较高，随着边防业务发展，性能和功能无法满足未来需求。

随着信息化发展速度加快，××公安边防支队的信息安全措施和安全意识大幅提高，初步形成了一整套安全风险的预警和处置机制。

2 网络安全建设方案

2.1 方案综述

依据××公安边防支队专网网络与信息系统现状，将××公安边防支队专网依据单位的级别划分为支队节点、派出所、大队二级节点。

通过在市级边防支队、N个支队下属边防派出所、N个大队网络边界处各自部署1台防火墙设备，并通过支队安全管理平台实现对市级支队和派出所、大队所进行安全监控管理，实现统一的安全保障体系。同时，由于整个系统设计中包含有众多的防火墙设备，在××公安边防支队部署一套防火墙集中管理系统，并与现有××公安边防支队安全管理平台结合，通过该系统能够实现对防火墙设备的统一管理（包括安全策略配置、连接以及设备的升级和防火墙日志的收集等工作），提高全网防火墙的管理效率，提高网络整体的安全性和稳定性。为了保障专网业务连续性和稳定性，保证实现××公安边防支队和边防派出所、大队二级互联，本次方案采用的所有防火墙设备均同一品牌实现互联互通。

2.2 一级管理与监控建设

本次建设方案为××公安边防支队提供一套安全管理平台，主要提供设备监控、策略分发、统一升级、安全、事件告警等功能。

本次建设提供安全管理平台，主要实现以下功能：

2.2.1 资源监控预警

能够管理各个派出所和组织IT资源中的各种网络设备、安全设备、主机和服务器、服务和应用系统，以及机房设备，为用户提供一个全方位监控的统一管理平台，使得管理员通过一个单一控制台就能够进行实时全网监控，确保派出所和组织IT资源的可用性，以及业务的持续性。

通过网络拓扑图，管理员可以直接进入各种设备和系统的管理配置界面，进行各种细致的配置操作，使得安全管理平台成为一个日常管理的统一入口，提高管理员的工作效率，提升应急响应效率。

2.2.2 设备监控

利用集中管理软件可实现系统管理员对全市边防支队和N个边防派出所机关防火墙进行深入细致的监控。

2.2.3 策略管理

通过统一的界面，对专网防火墙进行安全策略的编辑和下发。策略管理的内容包括设备对象定义、安全规则管理和安全策略下发。

图1 添加VPN端点

（1）设备对象定义

对防火墙的对象进行定义，包含的项目有：

地址；地址列表；地址组；服务器地址；NAT地址池；服务；基本服务；动态服务；ICMP服务；服务组；时间；时间列表；时间组；带宽列表。

可以对以上项目进行添加、修改、删除、查询等操作。

（2）安全规则管理

本系统把安全规则抽象化，所有的安全规则都不与某个具体设备相关，是适用与多台设备的普遍性规则。每条安全规则中使用到的地址、服务等对象关联的都是设备对象定义中的别名。这样一来，维护人员只需定义抽象的安全规则，同时定义设备相关的对象定义，把安全规则使用到的别名与具体名称关联，即可以完成每个设备安全规则的配置。

安全规则管理可对全网的安全规则进行添加、修改、删除、查询等操作。

（3）安全策略下发

提供同时对多台安全设置批量下发多条安全策略的功能。可下发的安全策略有安全规则。

根据安全策略的内容和每台设备的对象定义，生成待下发的安全策略命令行，通过SSH登录设备，下发策略命令。支持安全策略的增量下发。

此外，为了维护人员使用方便，本系统提供查看设备现有安全策略的功能，维护人员在下发安全策略前，可以事先查看设备上现有的安全策略，避免新下发的策略与原有策略的冲突。

2.2.4 设备升级管理

系统提供防火墙升级的功能。北海边防支队可以通过本系统上传升级包，对防火墙进行升级操作。

图2 升级管理

包含如下三大功能：

（1）升级包管理。可上传升级包、删除升级包、建立文件夹等。

（2）查看设备当前版本。

（3）下发升级命令，执行设备升级。

2.2.5 安全报表

安全能够实时地对专网防火墙采集到的不同类型的信息进行归一化和实时关联分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故，提高工作效率。

安全能够实时，对一段时间内的网络流量或者网络连接数进行统计，并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，进而对异常流量和行为进行。

对于集中存储起来的海量信息，可以让人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。

安全能够自动地或者在管理员人工干预的情况下对告警进行各种响应，并与防火墙系统等在内的众多其他安全设备和系统进行预定义的策略联动，实现安全的管理闭环。

为××公安边防支队维护人员提供丰富的报表模板，使得能够从各个角度对北海边防支队专网的安全状况进行，并自动、定期地产生报表，也能够自定义报表。

一级ARP欺骗防护：

通过在一级边防支队出口部署一台边界防火墙，实现出入边防支队数据的访问控制，同时对边防支队办公终端进行终端的IP、MAC绑定，防止ARP欺骗造成的网络瘫痪。

2.3 二级派出所及大队建设

2.3.1 拓扑概要

图3 拓扑结构

支队派出所专网分为用户区和接入区，用户接入区通过网访问到上级支队。

2.3.2 建设说明

边防派出所及大队出口部署一台防火墙,主要实现以下功能：

（1）状态包过滤：根据边防派出所数据访问规则的实际，在防火墙上制定合理的包过滤规则。依据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等条件限制对数据包进行访问控制，同时记录通过操作的连接状态，直接对数据进行处理；通过状态检测表追踪连接会话状态，并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过。通过对协议内容的实时分析，动态开放所需的端口，传输结束后实时关闭端口，确保专网安全。

（2）地址转化和对外映射：区县机关内部设置的IP地址，由于地址不规范或和其他机关地址冲突等问题，无法在专网通讯，通过部署的防火墙设备将内部用户内部IP转换成专网IP地址，业务及其他数据的通讯。

（3）地址绑定与ARP欺骗防护：提供二层、三层攻击防护功能，支持对ARP Flood攻击、ARP欺骗攻击的防护。

通过定期发送SNMP请求，防火墙可以获取到三层设备的ARP表，进而获取主机地址在被该台三层设备改写前的MAC地址是多少。如果防火墙需要跨越的三层设备不止一台，那这些需要跨越的三层设备都必须开启SNMP功能协助防火墙完成跨三层设备的地址绑定。防火墙支持最大跨越16台三层网络设备。

（4）流量整形和带宽管理：通过拥塞控制算法、流量调度算法以及优先级排队机制，根据用户定义的带宽策略（最大峰值带宽，最小保证带宽和优先级），动态实现带宽分配的实时控制，保障重要数据带宽，如视频会系统、办公传输等业务的正常使用。

3 方案总结

通过本方案的建设和实施，可以完全实现××公安边防支队与下属N个边防派出所和N个大队的无缝安全互联，主要技术指标和产品性能全面达到技术要求。同时，实现了××公安边防支队对N个边防派出所和N个大队防火墙设备的统一管理（包括安全策略下发、配置调整、以及设备的升级维护等），以此大大降低在专网安全运维上的投入，加强××公安边防支队对全网安全的集中管理能力，完善已有的专网安全保障体系，防止网络中存在的APR攻击造成的网络瘫痪问题，为落实、建设全市边防机关的专网安全保障体系打下坚实的基础。