隨着網絡技術的不斷髮展以及網絡建設的複雜化,網絡邊界安全成爲最重要的安全問題,也是目前網絡安全建設中首要考慮的問題,在網絡邊界安全的建設中大多數企業的網絡建設者都會提出以下問題:
1)什麼是網絡邊界?
2)我們已經有了防火牆,還會有什麼安全問題嗎?
3)當網絡問題發生時,如何快速有效的對網絡出口的安全策略進行優化?
4)如何解決出口流量監控的問題?
今日,新的安全技術和產品層出不窮,各個企業可能已經擁有了網絡安全多個方面的專門技術,如防火牆、人侵檢測系統、***、防病毒等等,但實踐證明單個部件是不能很好地對網絡安全進行防禦的,只有將這些安全技術及產品結合起來,多個部件協同工作,進行立體的網絡邊界安全建設,才能達到保護整個網絡安全的目的。
1.網絡邊界簡介
什麼是網絡邊界呢?網絡邊界是我們的網絡與其他網絡的分界線,對邊界進行安全防護,首先必須明確哪些網絡邊界需要防護,這可以通過安全分區設計來確定。定義安全分區的原則就是首先需要根據業務和信息敏感度定義安全資產,其次對安全資產定義安全策略和安全級別,對於安全策略和級別相同的安全資產,就可以認爲屬於同一安全區域。一個企業建議可劃分爲:互聯網連接區、廣域網連接區、外聯數據區、數據中心區、內網辦公區、網絡管理區等。
網絡邊界是一個網絡的重要組成部分,負責對網絡流量進行最初及最後的過濾,對一些公共服務器區進行保護,***技術也是在網絡邊界設備建立和終結的,因此邊界安全的有效部署對整網安全意義重大。
2.邊界安全 立體防護
一個完整的邊界安全部署包括哪些方面呢?需要考慮邊界路由器、邊界防火牆、IPS 、*** 設備、邊界防病毒、邊界流量分析監控、日誌管理等幾個安全部件,及各安全部件之間的協同工作,這些部件僅僅依靠各自自身的力量是無法提供完整的網絡安全的。只有這些部件功能互補,相互結合,協同工作才能形成—個立體的防禦結構。下面結合具體的產品和技術來介紹一下各邊界安全部件。
·邊界路由器
路由器在網絡中承擔路由轉發的功能,它們將流量引導進入網絡、流出網絡或者在網絡中傳輸,由於邊界路由器具有豐富的網絡接口,一般置於internet出口或廣域網出口,是流量進入和流出之前我們可以控制的第一道防線。
H3C MSR系列路由器系列產品具有豐富的集成安全特性,包括Firewall、IPSec ***、MPLS ***、CA、Secure Shell(SSH)協議2.0、***保護、DDoS防禦、***防禦等。在網絡安全防禦戰略中起着重要作用。***技術方面,MSR 50系列產品提供專門的安全數據連接設計技術,採用內置硬件加密功能的CPU和主板上內置的硬件加密引擎(NDE),通過硬件的方式大大提高數據加密性能,保證轉發和加密同步高性能,同時可節省接口插槽。
·邊界防火牆
防火牆設備通過一組規則決定哪些流量可以通過而哪些流量不能通過防火牆。防火牆可以對邊界路由器不能監控的流量進行更加深人地分析和過濾,並能夠按照管理者所確定的策略來阻塞或者允許流量經過。
SecPath系列防火牆是H3C爲企業以及運營商用戶設計的專業網絡安全產品,通過將強大安全抵禦功能、專業***服務和智能網絡特性無縫集成在一個硬件平臺上,爲用戶提供全面的安全防護:包括增強型狀態安全過濾,虛擬防火牆技術,抗***防範能力,針對P2P應用進行深入內容檢測並且對這些應用採取阻斷、限流的控制措施,提供豐富的日誌功能和告警功能,全面NAT應用支持等等功能,在組網上SecPath系列硬件防火牆在網絡關鍵位置可部署爲狀態備份、負載分擔, 不但能爲用戶提供廣泛和深入的安全防護和安全連接功能,同時可以降低與安全相關的總體擁有成本,是網絡邊界安全部件的理想選擇。
·IPS
隨着互聯網的不斷髮展,******技術也出現了許多新的變化,這也促使網絡安全產品不斷的更新換代。一種新型的安全防護產品——網絡***防禦系統應運而生。網絡***防禦系統作爲一種在線部署的產品,其設計目標旨在準確監測網絡異常流量,自動對各類***性的流量,尤其是應用層的威脅進行實時阻斷,而不是在監測到惡意流量的同時或之後才發出告警。這類產品彌補了防火牆、***檢測等產品的不足,提供動態的、深度的、主動的安全防禦,爲企業提供了一個全新的***保護解決方案。
H3C系列IPS產品,具備對2層到7層流量的深度分析與檢測能力,同時配合以精心研究的***特徵知識庫和用戶規則,即可以有效檢測並實時阻斷隱藏在海量網絡流量中的病毒、***與濫用行爲,也可以對分佈在網絡中的各種流量進行有效管理,從而達到對網絡上應用的保護、網絡基礎設施的保護和網絡性能的保護。
·***
***技術是通過公衆IP網絡建立私有數據傳輸通道,將遠程的分支辦公室、商業夥伴、移動辦公人員等連接起來,減輕企業的遠程訪問費用負擔,節省電話費用開支,並且提供安全的端到端數據通訊。
H3C提供專業的SecPath V 系列***網關設備,考慮到不同用戶的組網及投資需求,H3C路由器和防火牆設備上也集成***功能,可支持多種***業務,如SSL ***、L2TP ***、GRE *** 、IPSec ***、MPLS ***和動態***等,可以構建多種形式的***,可以很好的滿足不同組網要求。
·邊界防病毒
近年來計算機病毒趁着網絡信息化的熱潮,不斷騷擾和破壞人們正常的工作秩序。病毒已逐漸成爲網絡安全的禍首,嚴重的病毒爆發將直接導致網絡的癱瘓,在邊界安全防護中也同樣要考慮對病毒的防護。
H3C ASM(Anti-Virus Security Module) 防病毒模塊系列產品是H3C公司面向企業用戶開發的新一代專業安全產品,可以快速有效的阻斷蠕蟲王、衝擊波、麥託、尼姆達、震盪波和高波等網絡蠕蟲病毒的***,防禦外部網絡的蠕蟲病毒、後門***和垃圾郵件侵襲,與傳統防病毒軟件相比,H3C ASM 防毒卡產品與H3C SecPath系列防火牆可以實現無縫融合,在網絡層次上實現病毒查殺,在網絡邊界處即可降低病毒風險,爲整網提供更全面的安全服務。
·出口流量監控
網絡用戶有衆多的數據業務流量;終端用戶也可能會訪問各種各樣的Internet資源,包括訪問各種WEB網站、下載各種軟件、玩各種網絡遊戲等,那麼如何來監控網絡中的應用情況?對於寶貴的出口帶寬資源如何進行有效規劃?以上問題都需要管理員能及時對網絡流量進行監控,因此近年來流量監控技術也是網絡用戶的一個關注重點。
由於防火牆、路由器在網絡中得天獨厚的位置,使任何Internet通訊的流量都會經過防火牆設備,因此H3C設計製作了NSM(用於防火牆)/NAM(用於路由器)流量監控 板卡,流量監控板卡採用B/S結構,管理員只需使用安裝了IE的PC,即可登錄NSM配置平臺,進行流量查看和監控。NSM/NAM做爲板卡放置在出口防火牆和路由器設備上,既可以方便的監控出口流量,又節省空間,方便管理維護。
·日誌審計
以上已經介紹了邊界安全部署的幾個關鍵部件,還有一個關鍵部件是邊界安全中最富挑戰性但是值得去做的一項工作,是各關鍵部件協同工作的一個重要環節――日誌分析,日誌文件包含了重要的安全信息,但由於各網絡設備和主機的日誌都是信息孤島,且信息量巨大,不僅給管理員帶來很大的工作量,並且無法快速有效的定位問題。
SecCenter是H3C公司推出的安全管理解決方案中的重要組成部分,是一款基於硬件的智能、高效的安全信息及事件管理(SIEM)系統。能夠提供對全網海量安全事件和日誌的集中收集與統一分析,兼容異構網絡中多廠商的各種設備,對收集到的信息高度聚合及歸一化處理,實時監控全網安全狀況。另外,SecCenter 還能根據不同用戶需求,提供豐富的網絡安全狀況與政策符合性審計報告。系統自動執行網絡事件監控、收集、分析、告警、報告、歸檔等所有任務,使IT及安全管理員脫離繁瑣的管理工作,極大提高工作效率,能夠集中精力關注企業業務。
3.部署舉例
邊界安全防護部署
·園區網與外界網絡互連出口包括Internet/WAN等幾部分,根據業務情況,在各出口均需要考慮部署防火牆和路由器設備。
·公共服務器對外部提供WWW/E-MAIL等服務,通過防火牆的策略及IPS深入檢測來保護公共服務器的安全。
·遠程用戶(包括移動接入用戶和小型分支節點)通過Internet建立***隧道接入到園區網絡內。
·考慮到大中型網絡對性能的要求,邊界安全設計時可選擇專業的防火牆設備、***設備及路由器設備。
·可以在邊界路由器或防火牆上配置NAM板/NSM板來實現出口流量監控。
·在邊界路由器或防火牆上配置ASM防病毒卡來進行病毒防護。
·在網絡管理區部署SecCenter日誌審計系統來對蒐集防火牆、路由器、IPS、交換機等設備的日誌信息,並進行關聯分析。
4.總結
H3C邊界安全解決方案可向廣大用戶提供全面立體的邊界安全防護,通過對安全區域的設計、配合病毒防護和流量監控功能,在網絡邊界部署防火牆、***、IPS等安全設備,不僅能夠保證2至7層的安全,同時也保證了數據傳輸的安全性,形成動態、立體、深層次的全面安全防護。