基于MPLS VPN大型網絡安全防護體系研究

張 寧，唐 佳，劉 識，楊 芳，廣澤晶，宋桂林，郭小溪

（國家電網公司信息通信分公司，北京 100761）

0 引言

多協議標簽交換 MPLS（Multi-Protocol Label Switching），它是ATM和IP技術融合的最佳方式[1]。目前，MPLS一個重要的應用 VPN（虛擬專用網Virtual Private Network），可以實現各VPN之間數據和路由分離、地址空間的分離、核心網絡的隱藏，網絡安全性能較高。得到了越來越多的電信運營商、大型企業、政府單位的青睞，將其作為自己組網的首選方案[2]。

隨著企業網絡覆蓋范圍擴大，承載業務越來越重要，以及新技術的快速迭代，對企業網絡安全提出更高的要求。因此，研究MPLS VPN大型網絡安全防護體系具有非常重要的價值。

1 大型企業網絡架構

如圖1所示，某大型企業MPLS VPN網絡架構，其中核心層、匯聚層和骨干層構成一張MPLS骨干網絡，底層由OTN承載，實現網絡高速通道負責流量快速轉發[3]。各接入域通過MPLS BGP跨域實現對接，VPN業務均接入接入域內。通過多級路由反射器（RR）技術實現全網VPN路由控制。

圖1 大型企業網絡架構Fig.1 Large enterprise network architecture

2 安全防護要求

2.1 防護原則

安全防護設計應遵循合規性、體系化和風險管理原則，詳細如下：

（1）合規性原則：符合國家信息安全等級保護要求[4]，符合企業“分區分域、安全接入、動態感知、全面防護”的安全策略，符合企業信息安全防護整體體系框架。

（2）體系化原則：按照信息安全防護要求，從物理安全、邊界安全、應用安全、數據安全、主機安全、網絡安全、終端安全及安全管理等方面對系統進行安全防護設計。

（3）風險管理原則：針對系統面臨的風險采取針對性的安全防護措施，降低風險，提高系統安全性能。

2.2 風險分析

風險分析主要從網絡層面、終端層面、物理層面和安全管理方面進行風險分析，詳細如下。

終端層面風險：（1）客戶內網終端感染病毒等惡意代碼，不能正常工作；（2）客戶網絡網管機終端密碼和設備遠程登錄泄露，被人非法登錄。

物理層面風險：機房遭受地震、火災、水災等物理破壞；電力供應不正常等。

安全管理風險：邊界出口增多，導致運維成本和運維負擔增加；部分地市、縣級運維人員和運維工具不到位，導致運維措施無法嚴格執行。

3 防護體系研究

3.1 總體防護架構

針對大型網絡面臨的安全風險，重點從物理安全、邊界安全、網絡安全、終端安全和運維安全管理等方面進行總體安全防護架構設計，詳細如圖 2所示。

圖2 網絡安全防護體系Fig.2 Network security protection system

3.2 邊界安全管控

如圖3所示，大型企業網絡架構分為骨干網和接入網兩級網絡架構。骨干網和接入網均為 MPLS標簽網絡，為全網業務流量提供安全穩定的高速轉發功能[5]。業務CE設備及以下網絡為VPN業務局域網，作為企業提供業務接入服務和業務管控功能。

圖3 邊界示意圖Fig.3 Boundary diagram

3.2.1 MPLS跨域對接邊界

架構安全：安全設備部署及性能具備冗余空間、滿足高峰期業務需要；按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要業務。

訪問控制：針對跨域邊界的雙向訪問，配置不同的防護策略，從設備的訪問、管理、業務數據、終端用戶等多方面實現安全防護功能；針對各網段的會話狀態信息進行明確的允許/拒絕控制[6]。

安全防護：滿足對數據通信網中環境下的每IP新建速率閾值的設置與監控以及對 TCP、ICMP、UDP等協議下報文速率的閾值設置，并可以實現觀察、限速和阻斷；實現對SYN Flood攻擊、UDP Flood攻擊、ICMP Flood攻擊、DNS Flood攻擊等攻擊的安全防護。

安全審計：對數據通信網中的各類信息需要記錄，記錄的內容包括：時間、事件類型、時間是否成功等。對網絡流量、業務行為等進行日志記錄；能夠根據記錄數據進行分析，并生成審計報表[7]。

流量深度檢測：支持識別多種協議，對數據通信網網絡中的流量進行深度分析，展現清晰的圖形化界面可直觀查看實時/歷史流量走勢、業務流量的排名、狀態、連接數等信息，便于分析網絡健康狀況以及定位故障。多維度、豐富的分析和數據報表，可滿足各種統計報告要求。

網絡設備防護：對于登陸設備的用戶需要進行認證；需要限制能夠管理設備的IP地址數量范圍；確保一對口令（用戶名、密碼）唯一標識一個用戶、并且足夠復雜以保證安全；設備具備超時退出功能。3.2.2 局域網邊界

局域網邊界范圍是 CE及以下的接入網，應實現業務的安全接入與訪問控制，保證進入骨干網的流量的安全可靠，因此局域網的安全管控措施如下：

（1）規范流程管理，嚴格執行信息網絡、信息設備（包括網絡設備、安全設備、主機設備、終端設備）、信息系統的準入審批制度，落實業務接入、網絡接入管理要求，規范接入申請、審批、實施及監控的管理流程，杜絕在接入管理方面的違章現象。

（2）加強網絡設備入網管理，嚴禁將網絡設備和安全設備私自接入公司網絡，擴大信息網絡邊界范圍；嚴禁將未采取安全加固措施（系統默認口令，未關閉 FTP、SNMP等不必要的服務）的網絡設備和安全設備接入公司網絡。

（3）加強網絡安全域管理，局域網應加強安全訪問控制措施與安全防護措施，嚴格限制網絡訪問策略與權限管理，與其它域僅進行必要的信息交互。

（4）加強信息內網例行檢查，定期對辦公計算機防病毒軟件的升級、操作系統補丁更新、系統弱口令設置情況等進行常規性檢查。

（5）加強帳號權限管理，應按照用戶最小服務授權原則進行網絡授權，并定期清理無關用戶。防止崗位變更、人員離職、臨時帳戶長期生效等情況發生，信息系統中相關帳戶、權限未做調整，造成不良后果。

（6）加強網絡訪問限制管理，因信息系統升級、維護、聯調等原因而授權開通的臨時防火墻訪問控制策略與端口，在操作結束后必須立即履行注銷手續，消除網絡訪問權限管理隱患。

3.3 網絡安全

大型數據通信骨干網為其承載的各項業務提供快速轉發通道，應當為各項業務轉發提供正確的路由，保證各項業務轉發所需的帶寬以及保障正常的轉發性能[8]。原則上不對入網的流量進行太多限制，只負責轉發。數據通信骨干網應對數據平面、控制平面、管理平面等三個層面做相應安全部署。

數據平面是指網絡設備對各種數據處理過程中的各種處理轉發過程。數據數據平面的安全措施主要防止非法流量消耗正常網絡帶寬，保障正常的網絡轉發性能。

控制平面是網絡設備用于控制和管理所有網絡協議的過程，主要作用是提供了業務數據處理轉發前的各種網絡信息和轉發查詢表項。控制平面的安全措施主要是收集和處理網絡的路由信息，為業務流量的轉發提供正確路由，必須防御利用各種路由協議流對網絡設備路由控制引擎實施拒絕服務攻擊。

管理平面是網絡管理人員利用各種方式登錄管理網絡設備的平臺，支持、理解和執行管理人員對網絡設備的各種命令。管理平面要防御未授權的設備訪問，進而非法控制網絡設備的配置和管理，并利用管理信息流實施拒絕服務攻擊。

3.3.1 數據層面策略部署

（1）網絡基礎設施防護

為實現對路由器設備防護，在所有路由器上對外互聯接口部署ACL，僅允許必要的源地址訪問，其它任何目的地址為本網絡設備的流量，均予以拒絕，即可防范流量攻擊、更可增強組網設備的安全性，提升網絡基礎設施的安全性[9]。

（2）垃圾流量過濾

在接入網 PE路由器的下聯接口上，對進入數據通信網的數據流量進行過濾，使用ACL技術阻止一些有害的流量進入數據通信網。具體措施如下：

（1）拒絕源、目的地址明顯非法的數據包，如127.*.*.*，128.*.*.*等不應出現在公網上的數據包；

（2）采用嚴格反向路徑查找技術過濾掉源地址非法的流量；

3.3.2 控制平面策略部署

（1）邊界對接設備所運行協議建立鄰居時采用md5認證。

（2）核心網絡設備access端口開啟反向路徑查找功能，并禁止 isis運行，未使用端口應處于關閉狀態。

（3）在各 VPN業務接入設備上對業務路由進行整合、匯總，嚴格限制vpn路由表大小。

（4）路由反射器傳遞路由時，應按照規劃路由，嚴格做好路由策略過濾，只接受或發布合法路由。

（5）骨干網ASBR對接入域ASBR發布公網路由時，應進行路由過濾，只發布特定互通路由，接入域ASBR禁止向下發布公網路由。

3.3.3 管理平面策略部署

（1）所有網絡設備關閉http、direct broadcast、icmp redirect、proxy ARP服務。

（2）遠程登錄控制：所有網絡設備禁止 telnet登陸，只允許 ssh登陸，并進行最大連接限制，最大連接數 5，idle-timeout時限為 5分鐘；采用 acl控制，過濾掉非合法地址遠程登錄。加強密碼管理，采用集中認證技術，同時進行認證、授權、審計操作

（3）SNMP安全：所有網絡設備snmp采用v3安全版本，采用md5認證和des加密算法，并采用mib view關閉大數據量的表類型變量；設置復雜的字符串作為SNMP的community，不使用設備的缺省值；設置SNMP的訪問控制列表，嚴格限制訪問設備SNMP進程的源IP地址[10]。

3.4 終端安全

公司辦公人員使用現有信息內網辦公計算機訪問數據通信網業務時，應按照公司管理要求進行統一的安全防護和管理。

網管終端必須部署在網管大廳，由特定的網管人員管理，嚴格對網管人員進行分級授權，并按照相關管理要求進行統一的安全防護和管理。

3.5 物理安全

設備物理安全，應依據屬地管理要求，由各屬地單位負責按照公司機房管理要求執行安全防護和管理。

3.6 運維安全

在運維管理上除嚴格遵守有關規定外，應滿足以下幾點：

（1）加強機房進出管理，保證網絡設備和通道物理安全。

（2）加強網絡管理員管理，有條件的省份可采用集中認證技術，同時進行認證、授權、審計操作。

（3）加強網管設備和網絡設備用戶名、密碼管理，防止關鍵信息泄露[11]。

（4）限制遠程登錄設備，網管設備必須限定在網管大廳，由特定的網管人員管理，嚴格對網管人員進行分級授權。

（5）加強安全審計，定期上傳、檢查設備syslog。

（6）完善設備配置備份。

（7）合理規劃ip地址、net地址等網絡資源。

（8）監控網絡運行狀況，對于突發異常流量及時查明原因，未能及時查明原因的突發流量，應暫時關閉其端口。

4 結論

本文提出了大型企業MPLS VPN網絡安全防護體系。通過分析大型企業網絡技術特點，明確了安全防護要求，如防護原則和風險分析。針對大型網絡面臨的安全風險，重點從物理安全、邊界安全、網絡安全、終端安全和運維安全管理等方面進行總體安全防護架構設計。