摘 要: 近年来随着企业信息化建设步伐的加快,业务需求成倍增加,企业对信息化重视程度的提升,导致企业网络规模越来越大、结构也越来越复杂。目前企业网络主要存在如下问题:网络边界不够清晰;对内网安全需求缺乏统一规划;没能对核心业务系统进行很好的访问控制;各接入系统之间没有进行明确访问控制,局部安全问题容易威胁到整网安全。本文通过阐述模块化特性,将整个网络以模块形式分为多个安全域,通过安全域的划分,从纵深的角度全盘考虑安全的部署和应用,利用模块化的方法构筑大型企业网络的安全体系结构, 以灵活的适应不断变化的网络安全需求。
关键词:企业;网络;系统;安全;虚拟化;信息化
一、 企业网的组成和所面临的安全威胁
(一) 企业网的组成
企业网一般由两个大的功能区域组成:企业内网和企业外部接入网。我们可以逻辑上把这两大区域进一步划分成若干个模块,企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。企业外部接入网包括外网接入模块和远程接入模块两个部分。不同模块实现不同的功能,各自的安全需要也有所不同, 需要实施相应的安全策略。模块与模块之间的安全策略相互影响、相互作用并互为补充。典型的大型企业网络架构如下图:
(二) 企业网面临的安全威胁
1. 来自内部用户的安全威胁
大多数威胁来自于内部网络, 如缺乏安全意识的员工、心怀不满的员工、公司间谍等都是这类攻击的来源。
2. 来自外部网络的安全威胁
随着信息技术的不断发展,企业总部与分支以及合作伙伴之间的联网需求越来越迫切。它们之间不可避免的需要通过网络交换信息及共享资源。同时, 企业网还为内部合法员工提供了上互联网的途径, 互联网用户可以访问企业对外提供的公共服务器上的信息,由于信息资源的共享同时也给企业网的内、外网安全带来了一系列的挑战。
二、 企业内网的安全设计
企业内网包括管理模块、核心模块、分布层模块、服务器模块和边界接入模块五部分。下面分别分析各个模块的功能, 及面临的安全威胁和相对应的安全措施, 以及与其它模块之间的关系。
(一) 管理模块
管理模块的主要功能是实现企业网络的所有设备和服务器的安全管理。所面临最主要的安全威胁有未授权接入、口令攻击、中间人攻击等,为了消除以上管理模块面临的安全威胁,应采取以下的安全措施:
1. 管理数据流和生产网数据流需有效的安全隔离,包括尽可能使用安全性高的带外管理, 在不能使用带外管理的情况下,带内管理也要做到使用IPSec、SSH等加密传输。
2. 采用强力的认证授权技术对管理信息进行认证和授权,可以通过采用AAA认证和双因素认证技术, 保证只有合法的用户才能管理相应设备, 并能够防止密码泄漏和对密码窃听。
3. 采用完善的安全审计技术对整个网络(或重要网络部分)的运行进行记录和分析,可以通过对记录的日志数据进行分析、比较,找出发生的网络安全问题的原因,并为今后网络整改提供依据。
4. 部署网络入侵检测系统,从而能够对流入和流出管理模块的数据流进行实时的分析并及时发现可能的入侵行为。
由于管理模块全网可达, 且能够对全网的所有设备和服务器进行管理,所以它的安全防护策略应该是全网最严格的。
(二) 核心模块
核心模块的主要功能是快速转发。所面临主要安全威胁是分组窃听、功能区域划分模糊和如何实现快速故障隔离。当多种应用流量运行在核心模块时,如何防止不同应用流量被窃听篡改、如何对不同应用区域进行分类保护、如何在核心模块故障发生时进行有效快速的故障隔离成了当务之急。
核心模块的主要设备是三层交换机, 三层交换架构是消除分组窃听威胁的有效手段,而核心三层交换机的虚拟化技术则可以解决核心功能区域的精细划分、实现有效快速的隔离故障,提高系统的可用性,防止级联式的服务中断。通过核心交换机的虚拟化技术还可实现交换机控制和管理平面的虚拟化,在三层交换机上配置相应的安全策略,为多个应用或部门的流量提供安全的网络分区,让每个应用或部门可以独立管理和维护其各自的配置。
(三) 分布层模块
分布层模块主要提供包括路由、QoS和访问控制。所面临的主要安全威胁有未授权访问、欺骗、病毒和特洛伊木马的应用。为了消除以上分布层模块面临的安全威胁, 分布层模块应采取以下的安全措施:
1. 针对二层网络的安全威胁,利用网络设备本身的二层网络安全性能,进行二层网络安全策略的部署,如二层VLAN划分、DHCP窥探保护、动态ARP检查、IP源地址保护等安全策略。
2. 通过在分布层使用访问控制, 可以减少一个部门访问另一部门服务器上保密信息的机会,利用设备包过滤技术,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
3. 通过RFC2827过滤可有效防止源地址欺骗。
4. 部署防病毒系统,防止各个工作站感染病毒和特洛伊木马的应用。
5. 部署网络准入控制系统,通过在网络中部署网络准入控制系统,可以实现最大限度减少内部网络安全威胁,降低病毒和蠕虫造成的停机时间。
根据网络规模和性能要求的不同, 核心层和分布层可以结合起来合二为一, 从而达到减少硬件设备,达到减少投资与节能等目的。
(四) 服务器模块
服务器模块的主要目标是向最终用户和设备提供应用服务。所面临的主要安全威胁有未授权访问、应用层攻击、IP欺骗、分组窃听和端口重定向等。为了消除以上安全威胁,应采取以下的安全措施:
1. 使用基于主机和网络的IDS/IPS系统。
2. 在交换机上配置私有VLAN,实现对服务器的访问限制, 限制对关健服务器的随意访问。
3. 对服务器及时打上最新的补丁程序。
4. 对服务器区域(DMZ区域)进行不同安全级别划分,通过对不同应用的服务器进行安全级别的划分,并通过防火墙模块进行DMZ逻辑区域的隔离,可以实现服务器故障的快速隔离和服务器间访问的有效控制。
5. 针对企业较为重要的邮件应用服务器,可以单独部署电子邮件安全产品,从而减少与垃圾邮件、病毒和其它各种威胁有关的宕机,以求减轻技术人员的负担。
像分布层模块一样, 根据公司规模、应用性能及需求的不同, 服务器模块可以与核心模块相结合。
(五) 边界接入模块
边界接入模块的目标是在网络边缘集中来自各个接入网模块的连接,信息流从边界接入模块过滤后路
由至至核心。边界接入模块在整体功能方面和分布层模块有些类似,都采用接入控制来过滤信息流,但边界接入模块在一定程度上依赖整个接入网功能区域来执行附加安全功能。像服务器和分布层模块一样,如果性能要求不高, 边界接入模块可与核心模块结合起来。
在边界接入模块比较常见的安全措施为应用流量观察分析和安全网关代理。应用流量观察分析是通过部署流量控制设备,使用其二至七层强大的应用分析能力,能够第一时间获得核心模块和接入网模块之间应用流量能见度,并以此为基础在企业网络中部署相应的安全策略(比如限制病毒端口号、限制特定内网IP地址、限制特定MAC地址)。安全网关代理是通过采用专用的安全网关代理技术,实现核心模块和外网接入网模块之间的Web内容过滤,Web病毒扫描,间谍软件防御,HTTPS安全控制,防机密数据外泄等等安全功能。
三、 企业接入网的安全设计
企业接入网由外网接入模块和远程接入模块两个部分组成。以下分别阐述各个模块的功能、面临的安全威胁和相应的安全措施。
(一) 外网接入模块
大多企业网虽然都是专网,但是不可避免要和外网连接。外网包括企业分支网络、第三方接入网络和互联网。所面临的主要安全威胁有未授权接入、应用层攻击、病毒和特洛伊木马、拒绝服务攻击等。主要防御措施有:
1. 在外网接入模块和外网之间部署防火墙。防火墙应分为两组防护, 一组用于企业网与分支机构网络的连接, 另一组用于企业网与互联网的连接。防火墙为内网的网络资源提供保护,从而确保只有合法信息流穿过防火墙。部署在企业网与互联网的连接上的防火墙时可以使用目前先进的“云火墙”技术,该技术可以持续收集互联网上已知威胁的详细信息,实现企业到互联网的网络安全。
2. 使用防火墙的虚拟化技术,将单一防火墙设备逻辑划分为多个虚拟防火墙,每个防火墙有自己的策略且分别进行管理,可以实现不同区域模块之间的安全控制和设备资源的高效利用。
3. 部署IDS/IPS入侵检测/防御系统,有条件的情况下, 在防火墙的内网区、外网区和DMZ区域都要部署入侵检测/防御系统, 以实时检测来自外网的入侵行为。
4. 建立统一的应用代理服务器用于与其它分支网络构建统一接入平台,应用代理服务器作为所有应用服务的代理, 通过代理进行更严格的应用数据流检查和过滤,有利于外网接入模块的标准化和可扩展性的提升。
5. 在与互联网连接的企业网络边缘部署路由器,并通过在路由器入口进行数据流的过滤,路由器对大多数攻击提供了过滤器,同时进行RFC1918和RFC2827过滤, 作为对过滤的验证, 路由器还应丢弃‘碎片’的数据包。对于过滤造成的合法数据包丢弃相比这些数据包带来的安全风险是值得的。
(二) 远程接入模块
远程接入模块的主要目标有三个:从远程用户端接VPN信息流、为从远程站点VPN信息流提供一个集线器以及拨号用户。远程接入模块面临的主要安全威胁有口令攻击、未授权接入和中间人攻击等。此模块的核心要求是拥有三个独立外部用户服务验证和端接,对于此模块来说信息流的来源是来自于企业网络外的不可信源, 因此要为这三种服务的每一种提供一个防火墙上的独立接口。
1. 远程接入VPN,远程接入VPN推荐使用IPSec协议。此服务的安全管理是通过将所有IPSec的安全参数从中央站点推向远程用户实现的。
2. 拨号接入用户,AAA和一次性口令服务器可用来验证和提供口令。
3. 站点间VPN,与站点间连接相关的IP信息流在传输模式下由配置成GRE隧道来实现。
以上来自三种服务的信息流应集中接入到防火墙的一个专用接口上。条件允许时在防火墙的内口或外口部署IDS/IPS系统, 以检测可能的攻击行为。
四、 模块之间的相互关系
采用模块化设计时, 不是简单地将网络安全设计分解成各个孤立的模块, 各模块之间紧密联系,其安全防护措施也直接影响到其它模块的安全。
管理模块是整个网络安全体系的核心、位于其它所有模块的最顶层。网络安全体系的建立, 应该首先建立管理模块的安全结构。它相对于其它模块有着很大的独立性, 但它是建立其它模块安全结构的基础和前提。
核心模块、服务器模块和分布层模块构成企业网络的内部网络。这三个模块主要防范来自企业网内部的安全威胁:分布层模块提供了针对内部发起攻击的第一道防线;核心模块的主要目标是线速的转发数据流, 其安全性主要依赖于核心模块交换设备本身的安全设置以及分布层模块的安全防护;服务器模块往往会成为内部攻击的主要目标, 安全性除了自身的安全措施和分布层模块的安全防护外, 严格的安全管理是极为重要的。
边界接入模块是连接企业内网和外部接入网的桥梁和纽带。边界接入模块在外部接入网安全措施的基础上, 为企业内网提供附加的安全功能。
外部接入网为企业内网提供了第一道安全防线, 也是外网接入企业网内网统一的接入平台。
模块化的设计将复杂的大型网络划分为几个相对简单的模块, 以模块为基本单位构筑整个网络的安全体系结构。使用模块化的网络安全设计能够很容易实现单个模块的安全功能,并实现模块与模块间的安全关系,从而在整个企业网络中形成分层次的纵深防御体系。还能够使设计者进行逐个模块的安全风险评估和实施安全, 而非试图在一个阶段就完成整个体系结构。
参考文献:
[1] 崔国庆. 计算机网络安全技术与防护的研究?. 电脑知识与技术,2009年9月.
[2] Diane Teare著.园区网络设计.人民邮电出版社,2007年2月第一版.
[3] Catherine Paquet、Diane Teare著.组建可扩展的 Cisco 网络.人民邮电出版社,2001年3月第一版.