防護網絡邊界

企業網絡安全防護體系一般都是按照安全域來進行設計的，而合理劃分安全域的基礎就是理順網絡邊界。網絡邊界是指內部安全網絡與外部非安全網絡的分界線，由于網絡中的泄密、病毒、攻擊等安全事件的發生主要是透過網絡邊界來進行，網絡邊界實際上是企業網絡安全的第一道防線，其重要性不言而喻，不少企業在網絡邊界安全防護方面投資巨大，購買各類安全設備進行層層防護，但是效果并不明顯，安全事件仍然時有發生，導致企業逐步陷入“投資陷阱”中，其實這種現象很可能是網絡邊界防護方案設計不合理造成的，下面本文將結合一個實際案例介紹企業網絡邊界防護方案。

某公司的網絡架構可抽象為三個安全域：Untrust域，Trust域 和 Usertrust域，其中Untrust域包含Internet區域，Trust域包含服務器區域，Usertrust域包含用戶區域，這三個安全域之間均有雙向的數據傳輸，如圖1所示。

圖1 某公司安全域示意圖

任意兩個安全域間均存在安全狀況不對等的情況，必須采取合理的邊界防護策略，防護策略必須覆蓋網絡層、傳輸層和應用層，根據安全域數據流向的不同，公司實施如下安全防護策略：

1.Untrust至 Trust：這個方向的數據流一般屬于外網用戶訪問發布在外網的應用系統的流量，由 于Untrust區域的可信程度最低，所以需對來自該區域的流量進行嚴格過濾，采取何種過濾措施還需結合具體業務來選擇。在網絡層面上，在兩個區域之間架設硬件防火墻，按照按需分配的原則進行NAT（網絡地址轉換）和PAT（端口地址轉換）設置，確保有需求的服務器和端口才能發布在外網，Trust區域內的其他服務器一律不得與Untrust區域通信；在傳輸層面上，在防火墻上采取最低權限原則實施端口安全策略，只允許與業務相關的端口對Untrust區域開放，其他端口全部封禁；在應用層面上，按照業務流量類型可在防火墻下方依次部署防毒墻、IPS入侵防御設備、Web應用防護設備，并開啟相應的安全策略，這些設備均以透明模式部署，僅開啟管理口供網絡管理人員進行維護，最大程度減少對網絡架構的變更，其中防毒墻主要針對來自Untrust區域的木馬、病毒進行防護，IPS針對常見的服務器、操作系統以及中間件的漏洞和DDoS這類惡意攻擊進行防護，Web應用防護設備主要針對SQL注入、XSS攻擊、網站篡改等Web類型攻擊進行防護。

2.Trust至 Untrust：這個方向的數據流屬于Trust區域內服務器與Untrust區域通信流量，一般包括系統升級、中間件升級、殺毒軟件病毒庫更新等應用程序產生的流量，對應的Untrust區域中的目標地址一般具有較高的可信度，如官方下載網站等，在網絡和傳輸層面上，利用防火墻做DNAT（動態地址轉換）設置進行IP地址偽裝，確保數據流只能單向流動；在應用層面，在防火墻下方部署防毒墻即可，主要防范來自Untrust的木馬、病毒等安全威脅。

3.Untrust至User trust：由于這兩個安全域間采用了DNAT地址轉換技術，數據流呈單向流動，從邏輯上考慮，該方向并沒有有效的業務流量，但是可能存在Usertrust區域內用戶主機不慎被植入病毒或木馬，成為“肉雞”或者“僵尸主機”的現象，這時就需要對該方向上的數據流進行識別和過濾，斬斷Untrust區域內的控制主機與Usertrust區域內受控主機的通信，保護內部網絡安全，所以需要在應用層面上部署IPS設備，重點針對僵尸主機進行防護。

4.Untrust至Untrust：這個方向的數據流屬于Usertrust區域內用戶主機與Untrust區域之間通信的流量，主要包括用戶訪問Internet資源的流量，由于用戶行為的不確定性，所以流量類型非常復雜，如P2P下載、在線視頻、HTTP訪問等，該方向上的防護目的主要是避免用戶主機訪問異常資源而感染病毒。在網絡和傳輸層面上，利用防火墻做DNAT設置進行IP地址偽裝，同時可以利用ACL對Untrsut區域中的惡意IP進行封禁；在應用層面上，可利用防毒墻針對網頁腳本病毒、郵件病毒、木馬等安全威脅進行防護。

5.Trust至 Usertrust：按照安全域的職能劃分，這個方向數據流實際很少，基本不涉及到業務數據，但為防止Trust區域內服務器被挾持，成為攻擊Usertrust內網區域的跳板，還是需要部署一些安全策略；由于Trust區域和Usertrust區域本質上都屬于企業內網，所以網絡和傳輸層面上并不需要部署安全策略，在應用層上可以部署IPS設備，重點對DDoS攻擊、主流操作系統漏洞進行防護。

6.Usertrust至Trust：這個方向的數據流屬于Usertrust區域內用戶訪問Trust區域業務系統的流量，是需要重點保障的業務數據流，避免Trust區域內的服務器遭受攻擊。在網絡層面上通過劃分VLAN對兩個區域進行三層隔離，然后利用ACL控制不同的用戶僅能訪問對應的業務系統，如財務系統僅允許財務人員訪問，其他人員訪問請求全部被封禁；應用層面上，在安全域之間可部署防毒墻、IPS設備，重點針對傳染性較強的病毒和木馬進行防范，同時針對常見的服務器、操作系統以及中間件的漏洞和DDoS惡意攻擊進行防護。

由于現在的安全設備絕大多數支持多路并行防護，所以一臺安全設備可以針對多個方向的數據流進行安全防護，這樣也大大節約了設備投資成本；部分安全設備甚至集成了覆蓋網絡層、傳輸層和應用層的安全模塊，單臺設備即可實現多層次、立體化的安全防護功能，這樣也大幅降低了網絡架構的復雜性，有利于網絡運維工作的開展。

網絡邊界防護必須是一個完善的體系，能夠形成一個有機整體，必須按照企業實際業務流量進行細粒度定制，否則將造成邊界不明確、效果不佳，甚至會影響業務正常運轉。只有合理劃分網絡邊界，按不同數據流設計不同的安全策略，才能實現邊界防護水平的提升。