张 宁，唐 佳，刘 识，杨 芳，广泽晶，宋桂林，郭小溪

（国家电网公司信息通信分公司，北京 100761）

0 引言

多协议标签交换 MPLS（Multi-Protocol Label Switching），它是ATM和IP技术融合的最佳方式[1]。目前，MPLS一个重要的应用 VPN（虚拟专用网Virtual Private Network），可以实现各VPN之间数据和路由分离、地址空间的分离、核心网络的隐藏，网络安全性能较高。得到了越来越多的电信运营商、大型企业、政府单位的青睐，将其作为自己组网的首选方案[2]。

随着企业网络覆盖范围扩大，承载业务越来越重要，以及新技术的快速迭代，对企业网络安全提出更高的要求。因此，研究MPLS VPN大型网络安全防护体系具有非常重要的价值。

1 大型企业网络架构

如图1所示，某大型企业MPLS VPN网络架构，其中核心层、汇聚层和骨干层构成一张MPLS骨干网络，底层由OTN承载，实现网络高速通道负责流量快速转发[3]。各接入域通过MPLS BGP跨域实现对接，VPN业务均接入接入域内。通过多级路由反射器（RR）技术实现全网VPN路由控制。

图1 大型企业网络架构Fig.1 Large enterprise network architecture

2 安全防护要求

2.1 防护原则

安全防护设计应遵循合规性、体系化和风险管理原则，详细如下：

（1）合规性原则：符合国家信息安全等级保护要求[4]，符合企业“分区分域、安全接入、动态感知、全面防护”的安全策略，符合企业信息安全防护整体体系框架。

（2）体系化原则：按照信息安全防护要求，从物理安全、边界安全、应用安全、数据安全、主机安全、网络安全、终端安全及安全管理等方面对系统进行安全防护设计。

（3）风险管理原则：针对系统面临的风险采取针对性的安全防护措施，降低风险，提高系统安全性能。

2.2 风险分析

风险分析主要从网络层面、终端层面、物理层面和安全管理方面进行风险分析，详细如下。

终端层面风险：（1）客户内网终端感染病毒等恶意代码，不能正常工作；（2）客户网络网管机终端密码和设备远程登录泄露，被人非法登录。

物理层面风险：机房遭受地震、火灾、水灾等物理破坏；电力供应不正常等。

安全管理风险：边界出口增多，导致运维成本和运维负担增加；部分地市、县级运维人员和运维工具不到位，导致运维措施无法严格执行。

3 防护体系研究

3.1 总体防护架构

针对大型网络面临的安全风险，重点从物理安全、边界安全、网络安全、终端安全和运维安全管理等方面进行总体安全防护架构设计，详细如图 2所示。

图2 网络安全防护体系Fig.2 Network security protection system

3.2 边界安全管控

如图3所示，大型企业网络架构分为骨干网和接入网两级网络架构。骨干网和接入网均为 MPLS标签网络，为全网业务流量提供安全稳定的高速转发功能[5]。业务CE设备及以下网络为VPN业务局域网，作为企业提供业务接入服务和业务管控功能。

图3 边界示意图Fig.3 Boundary diagram

3.2.1 MPLS跨域对接边界

架构安全：安全设备部署及性能具备冗余空间、满足高峰期业务需要；按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要业务。

访问控制：针对跨域边界的双向访问，配置不同的防护策略，从设备的访问、管理、业务数据、终端用户等多方面实现安全防护功能；针对各网段的会话状态信息进行明确的允许/拒绝控制[6]。

安全防护：满足对数据通信网中环境下的每IP新建速率阈值的设置与监控以及对 TCP、ICMP、UDP等协议下报文速率的阈值设置，并可以实现观察、限速和阻断；实现对SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击、DNS Flood攻击等攻击的安全防护。

安全审计：对数据通信网中的各类信息需要记录，记录的内容包括：时间、事件类型、时间是否成功等。对网络流量、业务行为等进行日志记录；能够根据记录数据进行分析，并生成审计报表[7]。

流量深度检测：支持识别多种协议，对数据通信网网络中的流量进行深度分析，展现清晰的图形化界面可直观查看实时/历史流量走势、业务流量的排名、状态、连接数等信息，便于分析网络健康状况以及定位故障。多维度、丰富的分析和数据报表，可满足各种统计报告要求。

网络设备防护：对于登陆设备的用户需要进行认证；需要限制能够管理设备的IP地址数量范围；确保一对口令（用户名、密码）唯一标识一个用户、并且足够复杂以保证安全；设备具备超时退出功能。3.2.2 局域网边界

局域网边界范围是 CE及以下的接入网，应实现业务的安全接入与访问控制，保证进入骨干网的流量的安全可靠，因此局域网的安全管控措施如下：

（1）规范流程管理，严格执行信息网络、信息设备（包括网络设备、安全设备、主机设备、终端设备）、信息系统的准入审批制度，落实业务接入、网络接入管理要求，规范接入申请、审批、实施及监控的管理流程，杜绝在接入管理方面的违章现象。

（2）加强网络设备入网管理，严禁将网络设备和安全设备私自接入公司网络，扩大信息网络边界范围；严禁将未采取安全加固措施（系统默认口令，未关闭 FTP、SNMP等不必要的服务）的网络设备和安全设备接入公司网络。

（3）加强网络安全域管理，局域网应加强安全访问控制措施与安全防护措施，严格限制网络访问策略与权限管理，与其它域仅进行必要的信息交互。

（4）加强信息内网例行检查，定期对办公计算机防病毒软件的升级、操作系统补丁更新、系统弱口令设置情况等进行常规性检查。

（5）加强帐号权限管理，应按照用户最小服务授权原则进行网络授权，并定期清理无关用户。防止岗位变更、人员离职、临时帐户长期生效等情况发生，信息系统中相关帐户、权限未做调整，造成不良后果。

（6）加强网络访问限制管理，因信息系统升级、维护、联调等原因而授权开通的临时防火墙访问控制策略与端口，在操作结束后必须立即履行注销手续，消除网络访问权限管理隐患。

3.3 网络安全

大型数据通信骨干网为其承载的各项业务提供快速转发通道，应当为各项业务转发提供正确的路由，保证各项业务转发所需的带宽以及保障正常的转发性能[8]。原则上不对入网的流量进行太多限制，只负责转发。数据通信骨干网应对数据平面、控制平面、管理平面等三个层面做相应安全部署。

数据平面是指网络设备对各种数据处理过程中的各种处理转发过程。数据数据平面的安全措施主要防止非法流量消耗正常网络带宽，保障正常的网络转发性能。

控制平面是网络设备用于控制和管理所有网络协议的过程，主要作用是提供了业务数据处理转发前的各种网络信息和转发查询表项。控制平面的安全措施主要是收集和处理网络的路由信息，为业务流量的转发提供正确路由，必须防御利用各种路由协议流对网络设备路由控制引擎实施拒绝服务攻击。

管理平面是网络管理人员利用各种方式登录管理网络设备的平台，支持、理解和执行管理人员对网络设备的各种命令。管理平面要防御未授权的设备访问，进而非法控制网络设备的配置和管理，并利用管理信息流实施拒绝服务攻击。

3.3.1 数据层面策略部署

（1）网络基础设施防护

为实现对路由器设备防护，在所有路由器上对外互联接口部署ACL，仅允许必要的源地址访问，其它任何目的地址为本网络设备的流量，均予以拒绝，即可防范流量攻击、更可增强组网设备的安全性，提升网络基础设施的安全性[9]。

（2）垃圾流量过滤

在接入网 PE路由器的下联接口上，对进入数据通信网的数据流量进行过滤，使用ACL技术阻止一些有害的流量进入数据通信网。具体措施如下：

（1）拒绝源、目的地址明显非法的数据包，如127.*.*.*，128.*.*.*等不应出现在公网上的数据包；

（2）采用严格反向路径查找技术过滤掉源地址非法的流量；

3.3.2 控制平面策略部署

（1）边界对接设备所运行协议建立邻居时采用md5认证。

（2）核心网络设备access端口开启反向路径查找功能，并禁止 isis运行，未使用端口应处于关闭状态。

（3）在各 VPN业务接入设备上对业务路由进行整合、汇总，严格限制vpn路由表大小。

（4）路由反射器传递路由时，应按照规划路由，严格做好路由策略过滤，只接受或发布合法路由。

（5）骨干网ASBR对接入域ASBR发布公网路由时，应进行路由过滤，只发布特定互通路由，接入域ASBR禁止向下发布公网路由。

3.3.3 管理平面策略部署

（1）所有网络设备关闭http、direct broadcast、icmp redirect、proxy ARP服务。

（2）远程登录控制：所有网络设备禁止 telnet登陆，只允许 ssh登陆，并进行最大连接限制，最大连接数 5，idle-timeout时限为 5分钟；采用 acl控制，过滤掉非合法地址远程登录。加强密码管理，采用集中认证技术，同时进行认证、授权、审计操作

（3）SNMP安全：所有网络设备snmp采用v3安全版本，采用md5认证和des加密算法，并采用mib view关闭大数据量的表类型变量；设置复杂的字符串作为SNMP的community，不使用设备的缺省值；设置SNMP的访问控制列表，严格限制访问设备SNMP进程的源IP地址[10]。

3.4 终端安全

公司办公人员使用现有信息内网办公计算机访问数据通信网业务时，应按照公司管理要求进行统一的安全防护和管理。

网管终端必须部署在网管大厅，由特定的网管人员管理，严格对网管人员进行分级授权，并按照相关管理要求进行统一的安全防护和管理。

3.5 物理安全

设备物理安全，应依据属地管理要求，由各属地单位负责按照公司机房管理要求执行安全防护和管理。

3.6 运维安全

在运维管理上除严格遵守有关规定外，应满足以下几点：

（1）加强机房进出管理，保证网络设备和通道物理安全。

（2）加强网络管理员管理，有条件的省份可采用集中认证技术，同时进行认证、授权、审计操作。

（3）加强网管设备和网络设备用户名、密码管理，防止关键信息泄露[11]。

（4）限制远程登录设备，网管设备必须限定在网管大厅，由特定的网管人员管理，严格对网管人员进行分级授权。

（5）加强安全审计，定期上传、检查设备syslog。

（6）完善设备配置备份。

（7）合理规划ip地址、net地址等网络资源。

（8）监控网络运行状况，对于突发异常流量及时查明原因，未能及时查明原因的突发流量，应暂时关闭其端口。

4 结论

本文提出了大型企业MPLS VPN网络安全防护体系。通过分析大型企业网络技术特点，明确了安全防护要求，如防护原则和风险分析。针对大型网络面临的安全风险，重点从物理安全、边界安全、网络安全、终端安全和运维安全管理等方面进行总体安全防护架构设计。