大型电信运营商企业网安全改造技术的研究与实现
2009-01-06高娅楠
高娅楠
[摘 要]本文针对该分公司企业网存在的网络安全问题,进行了深入研究分析,以防火墙为核心,提出整网的、多层次、全面的安全解决方案。该方案不仅适用于该企业本身,对多数企业网都具有通用性,可以方便地推广、移植到多数企业网的规划建设中去。
[关键词]企业网 防火墙 网络安全
[中图分类号]TP393[文献标识码]A[文章编号]1007-9416(2009)11-0075-03
对于大规模企业,既要访问Internet的共享信息资源,又要把企业Intranet的一部分信息对外提供服务,资源共享的同时也带来了安全问题;而作为大型电信运营商企业内部网,事关很多公司机密、企业形象等敏感信息,如何保护公司内部网络的信息安全,防范来自外部网络的黑客和非法入侵者的攻击,建立起强健的网络信息安全防范系统,在某种程度上决定着企业信息化建设的成败[1]。
在构建安全网络环境的过程中,防火墙成为企业网安全的第一道防线[2,3]。它可为各类企业网络提供必要的访问控制,但又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业的关键资源[4]。基于以上考虑,本文以防火墙为核心,提出了联通某地市分公司企业网的安全改造方案。
1 企业网现状
该分公司企业网络从网络设计模块来看,由三个模块组成:接入模块、内网模块与外网模块。接入模块负责与互联网的连接而且端接VPN与公共服务(DNS、HTTP、FTP与SMTP)流量,拨号接入流量也在公司接入模块上终止。内网模块包含第二层与第三层交换基础设施以及所有的公司用户、管理服务器和内部网服务器。从外网模块的角度看,远程地点与中型机构网络的连接一般有两种方案:一种是采用外网模块的专用WAN连接,另一种是与公司互联网模块连接的IPSec VPN。该分公司的外网模块采用了第一种方式。
该分公司改造前的安全状况是全网只在外网接口部署千兆级防火墙设备两台,进行冷备份和准入控制,划分三个大的安全区域,外网区域接口负责整个公司和INTERNET的信息交互,DMZ区域部署对外的数据服务器,TRUST级区域安全按级别较高,负责对内信息处理。这种方案只能满足企业基本的安全要求,不能满足:
1.1 用户接入的身份验证
全网的安全以及概念不仅仅限于网络骨干设备的安全,接入设备(如PC)的本身安全情况也会极大地影响到网络的安全情况。
1.2 内网的细化管理
对于内部的不同子部门,根据在企业内部的作用和地位不同,其数据应该具有不同的机密程度,需要能细化安全区域的划分并针对不同区域进行不同的安全策略部署。根据现在的网络现状还需要支持多种应用层业务。
1.3 针对新的安全隐患的控制
网络越来越多的新攻击手段或技术手段会导致网络的工作不正常,如常见的dos,ddos攻击和p2p等应用,都会导致网络的拥塞或利用率下降,新的方案需要对这些问题给出解决对策。
1.4 日益增长的流量需求
随着科技发展水平提高,企业网的数据流量越来越大,如该分公司的企业网,2000年部署安全解决方案时全网流量峰值不超过300兆B,到2005年子部门间流量已经超过这个值,考虑到后期扩容的计划外网出口设备则需要5GB级的背板容量。
1.5 统一全面的管理
原来的安全设备基本是通过命令行进行管理,需要网络管理员有一定的专业技术知识,但随着需要纳入安全考虑的内容越来越多,原先的设备不支持图形化、与其它设备不统一的管理方式就成为一种不可回避的缺点。
针对以上不足,计划采用新的网络安全方案对原有企业内网进行升级改造,以解决现有的安全缺陷,最终实现整网的、多层次的、全面的安全保障。
2 全网安全改造设计方案
2.1 接入模块安全设计方案
ISP中客户边缘路由器的主要功能是提供与互联网或ISP网络的连接。ISP出口将限制那些超出预定阀值的次要信息流,以便减少DDoS攻击。在ISP路由器的入口处,满足RFC1918与RFC2827规定要求设置的过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。在中型网络上边缘路由器的入口处,基本的过滤功能可以限制访问,只允许合格的IP流量通过,从而提供了一个防御多数基本攻击的初级防火墙。
该分公司使用了华为的基于端点准入控制思路的EAD方案,EAD解决方案在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,合理控制用户的网络行为,提升整网的安全防御能力。
引入这一方案,可以实现:
(1) 完备的安全状态评估,可以对用户终端的安全状态,包括操作系统补丁、第三方软件版本、病毒库版本等反应终端防御能力的状态进行评估,使只有符合企业安全标准的终端才能访问网络。
(2) 实时的“危险”用户隔离。系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中,如果终端发生感染病毒等安全事件,EAD系统可实时隔离该“危险”终端。
(3) 基于角色的网络服务。在用户终端在通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全客户端下发系统配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一管理,并实时应用实施。
(4) 可扩展的、开放的安全解决方案。EAD是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资(见图1)。
2.2 内网模块安全设计方案
在这个层次上,安全设备更需要承担传统防火墙的角色,即是完成对企业多业务的支持,相关的应用层安全特性、与其它设备的协同工作,同时需要具备统一简便的管理手段。下面结合该分公司选用的3COM的secpath系列防火墙的部署进行分析。
2.2.1 对多业务的支持:
SecPath系列硬件防火墙提供ASPF(Application Specific Packet Filter)技术和NAT ALG技术,全面支持各种业务应用。ASPF是针对应用层的包过滤。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。它检查应用层协议信息(如FTP、HTTP、SMTP、RTSP、H.323等协议及其它基于TCP/UDP协议的应用层协议)并且监控基于连接的应用层协议状态,维护每一个连接的状态信息,并动态地决定数据包是否被允许通过防火墙或者被丢弃。ASPF能够检测应用层协议的信息,并对应用的流量进行监控。
ASPF还提供:DoS的检测和防范、Java阻断、支持端口到应用的映射和增强的会话日志功能。
最后,在这一层次中最为典型的应用NAT和NAT ALG,可实现跨NAT的H.323(包括T.120、RAS、Q.931和H.245等)通讯[7,8]。同时还支持FTP、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT,有效地保证了用户作为通信公司可能的流媒体、视频电话会议等等特殊使用要求。
2.2.2 相关的应用层安全特性支持
在这一部分中,涉及许多企业用户的业务协议,所以防火墙设备还需要能够对常用的应用层协议进行深度检测。在实际的项目施工中,兼顾性能的要求,在对内网的接口上启用对HTTP和SMTP等应用层协议的检测功能,提供对WEB网址过滤和网页内容过滤,通过设置需要过滤的WEB网址,以及过滤的网页内容,可以有效地管理上网的行为,提高工作的效率,节约出口带宽,保障正常的数据流量,屏蔽各种“垃圾”信息,从而保证内部网络的“绿色环境”。同时提供基于SMTP协议的邮件安全特性,具体包括对电子邮件地址过滤、主题过滤和内容过滤功能。
通过支持常见业务(WEB访问、SMTP邮件)的监测和过滤,有效的在应用层为用户提供安全防护。
2.2.3 可靠性和协同工作:
作为电信运营企业,对内外部网络的可靠性要求较高,同时由于各个时期网络建设的历史原因,企业使用的网络设备属于不同的厂家,作为全网安全的核心设备防火墙需要有电信级的软硬件可靠性和良好的协同工作能力。
在硬件可靠性方面,一般要求关键部件,如总线、电源、散热系统、bootrom等等采用冗余设计方案,对于扩展插卡一般要求支持热插拔特性。软件可靠性方面一般选用独有操作系统的安全设备,避免采用工控机结构和通用操作系统的安全设备。同时为了更进一步保证可靠性参数,组网上一般采用冗余的双机热备组网方案,避免单点故障并能够对业务实现实时的热备份。
协同性是对安全设备的另一项重要要求,主要包括两个方面,与网络内普通设备的有效互联互通和与网络内其它安全设备的联动要求。前者表现在防火墙设备需要支持业界通用的网络管理协议并支持相关应用层协议的最新标准,后者主要是因为可能需要更加专业的深度检测IDS设备来满足对更深层的攻击数据流的检测。
2.2.4 统一简便的管理
网络管理员一般不是专业的安全工程师,所以这一层上防火墙设备在管理上要求简便易行,同时由于安全设备在网络中的特殊作用,还需要支持与路由器、交换机等设备统一的管理手段和对流量的实时分析,邮件的实时告警、详尽的日志记录等等日常的安全管理功能。
在这一部分的组网以数据中心作为安全重点进行组网,企业的数据中心是安全的重点,性能、可靠性以及和IDS入侵检测的联动都必须有良好的表现。结合IDS入侵监测系统,可以实现高层次业务的数据安全。充分考虑到管理的方便性,如果需要在远程通过Internet接入的方法对内部网络进行管理,可以结合VPN业务,既保证了安全,也实现了管理的方便还具有良好的可扩展性。
2台热备的SecPath防火墙将数据中心内部服务器和数据中心外部的Intranet隔离起来,有效的保护了数据中心内部服务器。防火墙可以根据VLAN划分虚拟安全区,从而可以方便地把不同业务服务器划分到不同安全区里,实现了数据中心内部的不同业务区的隔离和访问控制。管理员通过IPSec VPN保证管理流量的私密性和完整性。专门部署了一个VPN设备作为VPN网关,管理员终端设备上安装SecPoint安全客户端,结合证书认证和USB key,保证管理员的身份不被冒充,从而实现方便的管理。防火墙和IDS入侵监测系统联动,业务流量通过交换机镜像到IDS设备,一旦IDS检测到异常,通过防火墙的联动功能,实现整网的深层次安全。(见图2)
2.3 外网模块安全设计方案
在这一层的防火墙部署方案是将防火墙部署网络边界,以网关的形式出现。部署在网络边界的防火墙,同时承担着内网、外网、DMZ区域的安全责任,针对不同的安全区域,其受信程度不一样,安全策略也不一样。
具体的划分策略是:
(1)防火墙防置在内网和外网之间,实现内网和外网的安全隔离;(2)防火墙上划分DMZ区,隔离服务器群。保护服务器免受来自公网和内网的攻击;(3)在防火墙上配置安全访问策略,设置访问权限,保护内部网络的安全;(4)当网络有多个ISP出口,并要求分别按业务、人员实现分类访问时,启用策略路由功能,保证实现不同业务/人员定向不同ISP的需求。
防火墙具有对业务的支持能力,作为NAT ALG或者ASPF过滤,都能够满足正常业务的运行。同时,由于现在P2P技术的发展,越来越多的业务打破了原来的C/S模式,在对等网络中每个节点都具备客户端和服务器的双重特性,INTERNET现有的以网站为中心的流量状态受到影响改变为“内容分散存储的模式”。在对外的接口部分上,防火墙设备需要有对P2P应用的限制功能[9]。因为P2P的流量模型使得个人用户的上行和下行流量都很大,不加以限制的话会导致网络的极度拥塞。该分公司使用的SECPATH1800F防火墙对P2P流量提供了以下的解决方案:
深度检测技术:对常见的P2P软件,如BT、EDONKEY、EMULE等进行检测,识别P2P流量一道道对这些流量进行限制的目的。
基于不同时间段的进行控制:根据不同的时间段对P2P流量采用不同的控制策略,例如在晚上对P2P带宽放大,白天加以限制。
提供不同的流量限制策略:提供不同的流量限制阈值,提供灵活的P2P限制方案,例如把本地网内的P2P流量限制阈值放大而网间的流量阈值调小。也可以基于特定用户(IP)或用户的连接数目进行带宽管理。(见图3)
3 结语
本文针对该分公司企业网存在的网络安全问题,进行了深入研究分析,提出整网的、多层次、全面的安全解决方案。此方案对企业网的网络安全规划有一定的参考价值,对于网通从传统通信运营商到信息服务提供商转型业务拓展的探索也具有一定的积极意义。
虽然是针对该分公司企业网设计的,但本方案中企业网络功能、模块划分和安全域的规划及整个安全方案,则不仅适用于企业本身,对多数企业网都具有通用性,可以方便地推广、移植到多数企业网的规划建设中去。可以作为企业网的解决方案,推广使用。网通公司正处于由传统电信运营商向综合的信息服务商转变的转型期,正在积极探索和推广企业和家庭的ICT业务。本方案对于网通的ICT业务推广,也具有一定的现实意义和探索价值。
[参考文献]
[1] 孙夫雄,向继东,孙东,任清珍.企业网络防火墙的选型与研究[J].北京:中国数据通信,2003,02:10-14.
[2] 李赛峰,景建勋.防火墙技术发展的分析与研究[J]. 北京:网络安全技术与应用, 2003, 06:3-9.
[3] 努南,达布斯基,陈麒帆.Firewall fundamentals[M].北京:人民邮电出版社,2007,23-27.
[4] Syme,Matthew,Goldie,Philip.Optimizing network performance with content switching : server, firewall, and cache load balancing[M].Upper Saddle River, NJ,2004,44-45.
[5] Indrek Peri.Firewalls:Security in Distributed Systems[J].Internet,2000,01:1-2.
[6] Utz Roedig.Performance Modelling and Evaluation of Firewall Architectures for Multimedia Applications?[J].Internet,2004,11:17-20.
[7] 雷斌,方勇.基于联防理论的主动防御安全网络研究[J].北京:技术与创新管理,2007,28(4),77-79.
[8] 雷为民,张伟.SIPNAT问题阐述及其解决方案分析[J]. 北京:通信世界,2005,23,31-36
[9] 李婧瑜.网络信息系统的安全防御[J].内蒙古:内蒙古科技与经济,2007,01,89-89,100.