企業(yè)網(wǎng)絡(luò)出口安全改造

引言： 目前大多數(shù)企業(yè)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界建立了較為完善的由外而內(nèi)的安全防護(hù)措施，能夠有效地防護(hù)來自互聯(lián)網(wǎng)的攻擊。筆者所在單位有線網(wǎng)絡(luò)用戶有1500個，無線網(wǎng)絡(luò)用戶有500個，面對龐大的網(wǎng)絡(luò)結(jié)構(gòu)和復(fù)雜的網(wǎng)絡(luò)應(yīng)用，我們通過基于行為管控的企業(yè)網(wǎng)絡(luò)出口安全改造加強(qiáng)了由內(nèi)而外訪問的安全管理。

目前大多數(shù)企業(yè)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界建立了較為完善的由外而內(nèi)的安全防護(hù)措施，能夠有效地防護(hù)來自互聯(lián)網(wǎng)的攻擊。

筆者所在單位有線網(wǎng)絡(luò)用戶有1500個，無線網(wǎng)絡(luò)用戶有500個，面對龐大的網(wǎng)絡(luò)結(jié)構(gòu)和復(fù)雜的網(wǎng)絡(luò)應(yīng)用，如何對網(wǎng)絡(luò)效能行為進(jìn)行統(tǒng)計(jì)、分析和評估，如何監(jiān)控、控制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為，如何杜絕用戶通過電子郵件、IM等途徑泄漏內(nèi)部機(jī)密資料，如何在日常辦公過程中采取相應(yīng)的流控機(jī)制，以保障核心業(yè)務(wù)系統(tǒng)的正常訪問，以及管理員如何在發(fā)生問題時有查證的依據(jù)？這些都成為了網(wǎng)絡(luò)安全管理需要解決的問題。為此，我們通過基于行為管控的企業(yè)網(wǎng)絡(luò)出口安全改造加強(qiáng)了由內(nèi)而外訪問的安全管理，解決以上問題。

方案設(shè)計(jì)

圖1 原網(wǎng)絡(luò)出口拓?fù)鋱D

原網(wǎng)絡(luò)出口拓?fù)淙鐖D1，公司網(wǎng)絡(luò)出口連接行業(yè)網(wǎng)、互聯(lián)網(wǎng)和DMZ區(qū)對外服務(wù)器。目前對網(wǎng)絡(luò)出口的安全防護(hù)采取二層防護(hù)的方式，第一層部署思科PIX525防火墻，通過NAT內(nèi)外網(wǎng)IP地址轉(zhuǎn)換和訪問控制策略進(jìn)行防護(hù)；第二層部署UTM安全網(wǎng)關(guān)，通過ISP地址映射、訪問控制策略、病毒和入侵防御，及流量控制對公司內(nèi)網(wǎng)連接行業(yè)網(wǎng)、互聯(lián)網(wǎng)和DMZ區(qū)服務(wù)器進(jìn)行安全防護(hù)。

改造后網(wǎng)絡(luò)出口拓?fù)淙鐖D2， 改造后，網(wǎng)絡(luò)出口第一層的PIX防火墻更換為負(fù)載均衡防火墻，原PIX防火墻上的NAT地址映射和訪問控制策略遷移到負(fù)載均衡防火墻上。兩臺設(shè)備做主-備模式構(gòu)成冗余，并增加互聯(lián)網(wǎng)鏈路負(fù)載策略，實(shí)現(xiàn)訪問電信的流量調(diào)度到電信線路，移動的流量調(diào)度到移動線路，達(dá)到多線路的自動負(fù)載均衡，提高出口的可用性。

圖2 改造后網(wǎng)絡(luò)出口拓?fù)鋱D

在UTM和內(nèi)網(wǎng)之間增加上網(wǎng)行為管理設(shè)備，兩臺設(shè)備做主-備或主-主模式形成冗余。通過策略實(shí)現(xiàn)基于用戶角色的接入認(rèn)證、權(quán)限控制、合規(guī)審計(jì)和帶寬分配等安全管理，并根據(jù)不同用戶、終端類別、應(yīng)用類別、時間等更多的元素，制定更精細(xì)的網(wǎng)絡(luò)管理策略。

改造實(shí)施

1.安全配置修改

因上網(wǎng)行為管理設(shè)備采取透明模式部署，UTM安全網(wǎng)關(guān)上網(wǎng)絡(luò)IP、路由和接口配置不變，訪問行業(yè)網(wǎng)和DMZ區(qū)服務(wù)器的內(nèi)外NAT映射和安全策略不變。涉及互聯(lián)網(wǎng)訪問的NAT映射和安全策略需要改動，包括由內(nèi)而外和由外而內(nèi)的雙向訪問。主要改動在于原來訪問互聯(lián)網(wǎng)的雙鏈路選擇由UTM轉(zhuǎn)到負(fù)載均衡防火墻上，原來在UTM上配置的電信、移動的雙NAT地址映射改為單NAT地址映射，安全策略也需要根據(jù)NAT映射的不同進(jìn)行相應(yīng)的改動。

2、用戶認(rèn)證

內(nèi)網(wǎng)訪問行業(yè)網(wǎng)和DMZ區(qū)不做用戶認(rèn)證，在上網(wǎng)行為管理設(shè)備可以根據(jù)訪問目的IP地址進(jìn)行例外。

互聯(lián)網(wǎng)訪問：

（1）公司員工：有線和無線用戶均采用域用戶認(rèn)證。有線用戶結(jié)合公司AD域進(jìn)行單點(diǎn)登陸認(rèn)證，用域用戶登陸操作系統(tǒng)后自動進(jìn)行認(rèn)證，上網(wǎng)時不需再次輸入用戶名和密碼。無線用戶結(jié)合公司AD域做外部認(rèn)證，通過連接WiFi，上網(wǎng)時彈出portal頁面，鍵入用戶的AD域帳號信息與密碼，實(shí)現(xiàn)外部認(rèn)證單點(diǎn)登錄。

（2）外部用戶：目前的認(rèn)證方式有短信、用戶名/密碼、微信和二維碼。

短信認(rèn)證：用戶只需要輸入手機(jī)號碼，獲得并輸入短信驗(yàn)證碼后，就可以獲得上網(wǎng)權(quán)限。

用戶名/密碼認(rèn)證：網(wǎng)絡(luò)管理員給上網(wǎng)人員統(tǒng)一下發(fā)用戶名/密碼，上網(wǎng)人員通過帳號接入，實(shí)現(xiàn)上網(wǎng)人員的身份認(rèn)證和行為管控。

微信認(rèn)證：用戶認(rèn)證頁面會自動提醒用戶需要關(guān)注組織的“官方微信公眾賬號”，并發(fā)送上網(wǎng)請求，才能獲得上網(wǎng)權(quán)限。這可以幫助企業(yè)推廣社交媒體的粉絲數(shù)量，更好的幫助企業(yè)推廣品牌宣傳。

二維碼認(rèn)證：用戶認(rèn)證頁面會自動彈出一個二維碼，只有內(nèi)部人員用自己的移動終端掃描二維碼，確認(rèn)同意后，用戶才能獲得上網(wǎng)權(quán)限。而且，為了滿足合規(guī)要求，接待人員，可以在頁面上備注用戶身份信息，便于后續(xù)查找。認(rèn)證方式優(yōu)缺點(diǎn)分析如表1。根據(jù)管理要求，對長時間駐留公司的外來人員，如維護(hù)人員、開發(fā)人員等采用用戶名/密碼的認(rèn)證方式，對臨時來訪人員采用二維碼認(rèn)證方式。

表1 認(rèn)證方式優(yōu)缺點(diǎn)分析

3.行為管控和帶寬分配

通過設(shè)備內(nèi)置的URL庫和應(yīng)用識別規(guī)則庫，識別目前網(wǎng)絡(luò)中各種主流應(yīng)用，如IM聊天軟件、金融軟件、微博、社區(qū)論壇、網(wǎng)盤、在線視頻等。根據(jù)不同應(yīng)用制定不同的管理策略，限制與工作無關(guān)的行為。

通過多級父子通道技術(shù)，完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過用戶和應(yīng)用的通道化后，給不同通道分配不同帶寬。同時，帶寬的分配并不是一成不變的。通過配置線路空閑閥值，以及定義線路的空閑和繁忙狀態(tài)，實(shí)現(xiàn)針對性制定流控策略。當(dāng)線路空閑時可以放寬通道帶寬限制，應(yīng)用流量可突破原來設(shè)定的最大帶寬限制；當(dāng)線路繁忙時可以下壓通道帶寬，使帶寬恢復(fù)到被限制狀態(tài)，執(zhí)行原有的流控策略。

4.多鏈路負(fù)載均衡

（1）出站負(fù)載均衡

內(nèi)網(wǎng)的用戶訪問互聯(lián)網(wǎng)資源時，負(fù)載均衡防火墻根據(jù)預(yù)先設(shè)定負(fù)載策略和IP地址表將訪問電信的資源的出站流量分配到電信的鏈路之上，并做源地址的NAT，保證數(shù)據(jù)包返回時能夠正確接收；同理，訪問移動資源的流量會通過相應(yīng)策略和IP地址表被分配到移動的鏈路之上。

（2）入站負(fù)責(zé)均衡

當(dāng)外部用戶訪問內(nèi)部資源時，通過智能DNS解析技術(shù)將一個域名綁定多個運(yùn)營商的公網(wǎng)地址，負(fù)責(zé)解析來自不同運(yùn)營商用戶的域名解析請求；根據(jù)不同負(fù)載均衡策略為不同運(yùn)營商的用戶返回最佳的訪問地址，實(shí)現(xiàn)用戶入站流量的負(fù)載均衡。

應(yīng)用效果

通過安全改造，企業(yè)加強(qiáng)內(nèi)網(wǎng)訪問外網(wǎng)的安全防護(hù)和管理，達(dá)到網(wǎng)絡(luò)用戶、行為和流量可視可控的目的，實(shí)現(xiàn)了網(wǎng)絡(luò)安全管理的精細(xì)化，滿足了企業(yè)安全管理和合規(guī)審計(jì)的要求，并通過鏈路負(fù)載均衡策略提高網(wǎng)絡(luò)出口的可靠性和訪問速度。