大型電信運營商企業網安全改造技術的研究與實現

高婭楠

[摘 要]本文針對該分公司企業網存在的網絡安全問題,進行了深入研究分析,以防火墻為核心,提出整網的、多層次、全面的安全解決方案。該方案不僅適用于該企業本身,對多數企業網都具有通用性,可以方便地推廣、移植到多數企業網的規劃建設中去。

[關鍵詞]企業網 防火墻 網絡安全

[中圖分類號]TP393[文獻標識碼]A[文章編號]1007-9416(2009)11-0075-03

對于大規模企業,既要訪問Internet的共享信息資源,又要把企業Intranet的一部分信息對外提供服務,資源共享的同時也帶來了安全問題;而作為大型電信運營商企業內部網,事關很多公司機密、企業形象等敏感信息,如何保護公司內部網絡的信息安全,防范來自外部網絡的黑客和非法入侵者的攻擊,建立起強健的網絡信息安全防范系統,在某種程度上決定著企業信息化建設的成敗[1]。

在構建安全網絡環境的過程中,防火墻成為企業網安全的第一道防線[2,3]。它可為各類企業網絡提供必要的訪問控制,但又不造成網絡的瓶頸,并通過安全策略控制進出系統的數據,保護企業的關鍵資源[4]。基于以上考慮,本文以防火墻為核心,提出了聯通某地市分公司企業網的安全改造方案。

1 企業網現狀

該分公司企業網絡從網絡設計模塊來看,由三個模塊組成:接入模塊、內網模塊與外網模塊。接入模塊負責與互聯網的連接而且端接VPN與公共服務(DNS、HTTP、FTP與SMTP)流量,撥號接入流量也在公司接入模塊上終止。內網模塊包含第二層與第三層交換基礎設施以及所有的公司用戶、管理服務器和內部網服務器。從外網模塊的角度看,遠程地點與中型機構網絡的連接一般有兩種方案:一種是采用外網模塊的專用WAN連接,另一種是與公司互聯網模塊連接的IPSec VPN。該分公司的外網模塊采用了第一種方式。

該分公司改造前的安全狀況是全網只在外網接口部署千兆級防火墻設備兩臺,進行冷備份和準入控制,劃分三個大的安全區域,外網區域接口負責整個公司和INTERNET的信息交互,DMZ區域部署對外的數據服務器,TRUST級區域安全按級別較高,負責對內信息處理。這種方案只能滿足企業基本的安全要求,不能滿足:

1.1 用戶接入的身份驗證

全網的安全以及概念不僅僅限于網絡骨干設備的安全,接入設備(如PC)的本身安全情況也會極大地影響到網絡的安全情況。

1.2 內網的細化管理

對于內部的不同子部門,根據在企業內部的作用和地位不同,其數據應該具有不同的機密程度,需要能細化安全區域的劃分并針對不同區域進行不同的安全策略部署。根據現在的網絡現狀還需要支持多種應用層業務。

1.3 針對新的安全隱患的控制

網絡越來越多的新攻擊手段或技術手段會導致網絡的工作不正常,如常見的dos,ddos攻擊和p2p等應用,都會導致網絡的擁塞或利用率下降,新的方案需要對這些問題給出解決對策。

1.4 日益增長的流量需求

隨著科技發展水平提高,企業網的數據流量越來越大,如該分公司的企業網,2000年部署安全解決方案時全網流量峰值不超過300兆B,到2005年子部門間流量已經超過這個值,考慮到后期擴容的計劃外網出口設備則需要5GB級的背板容量。

1.5 統一全面的管理

原來的安全設備基本是通過命令行進行管理,需要網絡管理員有一定的專業技術知識,但隨著需要納入安全考慮的內容越來越多,原先的設備不支持圖形化、與其它設備不統一的管理方式就成為一種不可回避的缺點。

針對以上不足,計劃采用新的網絡安全方案對原有企業內網進行升級改造,以解決現有的安全缺陷,最終實現整網的、多層次的、全面的安全保障。

2 全網安全改造設計方案

2.1 接入模塊安全設計方案

ISP中客戶邊緣路由器的主要功能是提供與互聯網或ISP網絡的連接。ISP出口將限制那些超出預定閥值的次要信息流,以便減少DDoS攻擊。在ISP路由器的入口處,滿足RFC1918與RFC2827規定要求設置的過濾功能將防止針對本地網絡及專用地址的源地址電子欺騙。在中型網絡上邊緣路由器的入口處,基本的過濾功能可以限制訪問,只允許合格的IP流量通過,從而提供了一個防御多數基本攻擊的初級防火墻。

該分公司使用了華為的基于端點準入控制思路的EAD方案,EAD解決方案在用戶接入網絡前,強制檢查用戶終端的安全狀態,并根據對用戶終端安全狀態的檢查結果,強制實施用戶接入控制策略,對不符合企業安全標準的用戶進行“隔離”并強制用戶進行病毒庫升級、系統補丁安裝等操作;在保證用戶終端具備自防御能力并安全接入的前提下,合理控制用戶的網絡行為,提升整網的安全防御能力。

引入這一方案,可以實現:

(1) 完備的安全狀態評估,可以對用戶終端的安全狀態,包括操作系統補丁、第三方軟件版本、病毒庫版本等反應終端防御能力的狀態進行評估,使只有符合企業安全標準的終端才能訪問網絡。

(2) 實時的“危險”用戶隔離。系統補丁、病毒庫版本不及時更新或已感染病毒的用戶終端,如果不符合管理員設定的企業安全策略,將被限制訪問權限,只能訪問病毒服務器、補丁服務器等用于系統修復的網絡資源。用戶上網過程中,如果終端發生感染病毒等安全事件,EAD系統可實時隔離該“危險”終端。

(3) 基于角色的網絡服務。在用戶終端在通過病毒、補丁等安全信息檢查后,EAD可基于終端用戶的角色,向安全客戶端下發系統配置的接入控制策略,按照用戶角色權限規范用戶的網絡使用行為。終端用戶的ACL訪問策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施均可由管理員統一管理,并實時應用實施。

(4) 可擴展的、開放的安全解決方案。EAD是一個可擴展的安全解決方案,對現有網絡設備和組網方式改造較小。在現有企業網中,只需對網絡設備和第三方軟件進行簡單升級,即可實現接入控制和防病毒的聯動,達到端點準入控制的目的,有效保護用戶的網絡投資(見圖1)。

2.2 內網模塊安全設計方案

在這個層次上,安全設備更需要承擔傳統防火墻的角色,即是完成對企業多業務的支持,相關的應用層安全特性、與其它設備的協同工作,同時需要具備統一簡便的管理手段。下面結合該分公司選用的3COM的secpath系列防火墻的部署進行分析。

2.2.1 對多業務的支持:

SecPath系列硬件防火墻提供ASPF(Application Specific Packet Filter)技術和NAT ALG技術,全面支持各種業務應用。ASPF是針對應用層的包過濾。ASPF能夠檢測試圖通過防火墻的應用層協議會話信息,阻止不符合規則的數據報文穿過。它檢查應用層協議信息(如FTP、HTTP、SMTP、RTSP、H.323等協議及其它基于TCP/UDP協議的應用層協議)并且監控基于連接的應用層協議狀態,維護每一個連接的狀態信息,并動態地決定數據包是否被允許通過防火墻或者被丟棄。ASPF能夠檢測應用層協議的信息,并對應用的流量進行監控。

ASPF還提供:DoS的檢測和防范、Java阻斷、支持端口到應用的映射和增強的會話日志功能。

最后,在這一層次中最為典型的應用NAT和NAT ALG,可實現跨NAT的H.323(包括T.120、RAS、Q.931和H.245等)通訊[7,8]。同時還支持FTP、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT,有效地保證了用戶作為通信公司可能的流媒體、視頻電話會議等等特殊使用要求。

2.2.2 相關的應用層安全特性支持

在這一部分中,涉及許多企業用戶的業務協議,所以防火墻設備還需要能夠對常用的應用層協議進行深度檢測。在實際的項目施工中,兼顧性能的要求,在對內網的接口上啟用對HTTP和SMTP等應用層協議的檢測功能,提供對WEB網址過濾和網頁內容過濾,通過設置需要過濾的WEB網址,以及過濾的網頁內容,可以有效地管理上網的行為,提高工作的效率,節約出口帶寬,保障正常的數據流量,屏蔽各種“垃圾”信息,從而保證內部網絡的“綠色環境”。同時提供基于SMTP協議的郵件安全特性,具體包括對電子郵件地址過濾、主題過濾和內容過濾功能。

通過支持常見業務(WEB訪問、SMTP郵件)的監測和過濾,有效的在應用層為用戶提供安全防護。

2.2.3 可靠性和協同工作:

作為電信運營企業,對內外部網絡的可靠性要求較高,同時由于各個時期網絡建設的歷史原因,企業使用的網絡設備屬于不同的廠家,作為全網安全的核心設備防火墻需要有電信級的軟硬件可靠性和良好的協同工作能力。

在硬件可靠性方面,一般要求關鍵部件,如總線、電源、散熱系統、bootrom等等采用冗余設計方案,對于擴展插卡一般要求支持熱插拔特性。軟件可靠性方面一般選用獨有操作系統的安全設備,避免采用工控機結構和通用操作系統的安全設備。同時為了更進一步保證可靠性參數,組網上一般采用冗余的雙機熱備組網方案,避免單點故障并能夠對業務實現實時的熱備份。

協同性是對安全設備的另一項重要要求,主要包括兩個方面,與網絡內普通設備的有效互聯互通和與網絡內其它安全設備的聯動要求。前者表現在防火墻設備需要支持業界通用的網絡管理協議并支持相關應用層協議的最新標準,后者主要是因為可能需要更加專業的深度檢測IDS設備來滿足對更深層的攻擊數據流的檢測。

2.2.4 統一簡便的管理

網絡管理員一般不是專業的安全工程師,所以這一層上防火墻設備在管理上要求簡便易行,同時由于安全設備在網絡中的特殊作用,還需要支持與路由器、交換機等設備統一的管理手段和對流量的實時分析,郵件的實時告警、詳盡的日志記錄等等日常的安全管理功能。

在這一部分的組網以數據中心作為安全重點進行組網,企業的數據中心是安全的重點,性能、可靠性以及和IDS入侵檢測的聯動都必須有良好的表現。結合IDS入侵監測系統,可以實現高層次業務的數據安全。充分考慮到管理的方便性,如果需要在遠程通過Internet接入的方法對內部網絡進行管理,可以結合VPN業務,既保證了安全,也實現了管理的方便還具有良好的可擴展性。

2臺熱備的SecPath防火墻將數據中心內部服務器和數據中心外部的Intranet隔離起來,有效的保護了數據中心內部服務器。防火墻可以根據VLAN劃分虛擬安全區,從而可以方便地把不同業務服務器劃分到不同安全區里,實現了數據中心內部的不同業務區的隔離和訪問控制。管理員通過IPSec VPN保證管理流量的私密性和完整性。專門部署了一個VPN設備作為VPN網關,管理員終端設備上安裝SecPoint安全客戶端,結合證書認證和USB key,保證管理員的身份不被冒充,從而實現方便的管理。防火墻和IDS入侵監測系統聯動,業務流量通過交換機鏡像到IDS設備,一旦IDS檢測到異常,通過防火墻的聯動功能,實現整網的深層次安全。(見圖2)

2.3 外網模塊安全設計方案

在這一層的防火墻部署方案是將防火墻部署網絡邊界,以網關的形式出現。部署在網絡邊界的防火墻,同時承擔著內網、外網、DMZ區域的安全責任,針對不同的安全區域,其受信程度不一樣,安全策略也不一樣。

具體的劃分策略是:

(1)防火墻防置在內網和外網之間,實現內網和外網的安全隔離;(2)防火墻上劃分DMZ區,隔離服務器群。保護服務器免受來自公網和內網的攻擊;(3)在防火墻上配置安全訪問策略,設置訪問權限,保護內部網絡的安全;(4)當網絡有多個ISP出口,并要求分別按業務、人員實現分類訪問時,啟用策略路由功能,保證實現不同業務/人員定向不同ISP的需求。

防火墻具有對業務的支持能力,作為NAT ALG或者ASPF過濾,都能夠滿足正常業務的運行。同時,由于現在P2P技術的發展,越來越多的業務打破了原來的C/S模式,在對等網絡中每個節點都具備客戶端和服務器的雙重特性,INTERNET現有的以網站為中心的流量狀態受到影響改變為“內容分散存儲的模式”。在對外的接口部分上,防火墻設備需要有對P2P應用的限制功能[9]。因為P2P的流量模型使得個人用戶的上行和下行流量都很大,不加以限制的話會導致網絡的極度擁塞。該分公司使用的SECPATH1800F防火墻對P2P流量提供了以下的解決方案:

深度檢測技術:對常見的P2P軟件,如BT、EDONKEY、EMULE等進行檢測,識別P2P流量一道道對這些流量進行限制的目的。

基于不同時間段的進行控制:根據不同的時間段對P2P流量采用不同的控制策略,例如在晚上對P2P帶寬放大,白天加以限制。

提供不同的流量限制策略:提供不同的流量限制閾值,提供靈活的P2P限制方案,例如把本地網內的P2P流量限制閾值放大而網間的流量閾值調小。也可以基于特定用戶(IP)或用戶的連接數目進行帶寬管理。(見圖3)

3 結語

本文針對該分公司企業網存在的網絡安全問題,進行了深入研究分析,提出整網的、多層次、全面的安全解決方案。此方案對企業網的網絡安全規劃有一定的參考價值,對于網通從傳統通信運營商到信息服務提供商轉型業務拓展的探索也具有一定的積極意義。

雖然是針對該分公司企業網設計的,但本方案中企業網絡功能、模塊劃分和安全域的規劃及整個安全方案,則不僅適用于企業本身,對多數企業網都具有通用性,可以方便地推廣、移植到多數企業網的規劃建設中去。可以作為企業網的解決方案,推廣使用。網通公司正處于由傳統電信運營商向綜合的信息服務商轉變的轉型期,正在積極探索和推廣企業和家庭的ICT業務。本方案對于網通的ICT業務推廣,也具有一定的現實意義和探索價值。

[參考文獻]

[1] 孫夫雄,向繼東,孫東,任清珍.企業網絡防火墻的選型與研究[J].北京:中國數據通信,2003,02:10-14.

[2] 李賽峰,景建勛.防火墻技術發展的分析與研究[J]. 北京:網絡安全技術與應用, 2003, 06:3-9.

[3] 努南,達布斯基,陳麒帆.Firewall fundamentals[M].北京:人民郵電出版社,2007,23-27.

[4] Syme,Matthew,Goldie,Philip.Optimizing network performance with content switching : server, firewall, and cache load balancing[M].Upper Saddle River, NJ,2004,44-45.

[5] Indrek Peri.Firewalls:Security in Distributed Systems[J].Internet,2000,01:1-2.

[6] Utz Roedig.Performance Modelling and Evaluation of Firewall Architectures for Multimedia Applications?[J].Internet,2004,11:17-20.

[7] 雷斌,方勇.基于聯防理論的主動防御安全網絡研究[J].北京:技術與創新管理,2007,28(4),77-79.

[8] 雷為民,張偉.SIPNAT問題闡述及其解決方案分析[J]. 北京:通信世界,2005,23,31-36

[9] 李婧瑜.網絡信息系統的安全防御[J].內蒙古:內蒙古科技與經濟,2007,01,89-89,100.