典型企业网络边界安全解决方案.docx
《典型企业网络边界安全解决方案.docx》由会员分享,可在线阅读,更多相关《典型企业网络边界安全解决方案.docx(28页珍藏版)》请在冰豆网上搜索。
典型企业网络边界安全解决方案
1前言
1.1方案目的
本方案的设计对象为国内中小企业,方案中定义的中小型企业为:
人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2方案概述
本方案涉及的典型中小型企业的网络架构为:
两级结构,纵向上划分为总部与分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为发布的链路途径。
典型中小型企业的网络结构可表示如下:
典型中小型企业网络结构示意图
为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:
●实现有效的访问控制:
对员工访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性;
●实现有效的集中安全管理:
中小型企业的管理特点为总部高度集中模式,通过网关的集中管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。
●保障安全健康上网:
对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的进行实时监控,限制员工访问不健康或不安全的,从而造成病毒的传播等;
●保护安全:
对企业进行有效保护,防X来自互联网上黑客的故意渗透和破坏行为;
●保护关键业务安全性:
对重要的应用服务器和数据库服务器实施保护,防X病毒和内部的非授权访问;
●实现实名制的安全监控:
中小型企业的特点是,主机IP地址不固定,但全公司有统一的用户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理;
●实现总部与分支机构的可靠远程传输:
典型中小型企业的链路使用模式为,专线支撑重要的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为此通过总部与分支机构部署网关的IPSECVPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;
●对移动办公的安全保障:
利用安全网关的SSLVPN功能,提供给移动办公人员进行远程安全传输保护,确保数据的传输安全性;
2安全需求分析
2.1典型中小企业网络现状分析
中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为发布的链路途径。
双链路给中小企业应用访问带来的好处是,业务访问走专线,可保障业务的高可靠性;上网走互联网链路,增加灵活性,即各个分支机构可根据自己的人员规模,采用合理的价格租用电信宽带;从网络设计上,中小企业各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器,有些中小型企业在VLAN的基础上还配置了ACL,对不同VLAN间的访问实行控制;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。
具体的组网结构可参考下图:
典型中小企业组网结构示意图
2.2典型中小企业网络安全威胁
在没有采取有效的安全防护措施,典型的中小型企业由于分布广,并且架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性安全弱点,使得中小型企业往往面临很多的安全威胁,其中典型的网络安全威胁包括:
【非法和越权的访问】
中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露;
【恶意代码传播】
大多数的中小企业,都在终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。
【防XARP欺骗】
大多数的中小企业都遭受过此类攻击行为,这种行为的典型特点是利用了网络的先天性缺陷,即两台主机需要通讯时,必须先相互广播ARP地址,在相互交换IP地址和ARP地址后方可通讯,特别是中小企业都需要通过边界的网关设备,实现分支机构和总部的互访;ARP欺骗就是某台主机伪装成网关,发布虚假的ARP信息,让内网的主机误认为该主机就是网关,从而把跨越网段的访问数据包(比如分支机构人员访问互联网或总部的业务系统)都传递给该主机,轻微的造成无法正常访问网络,严重的则将会引起泄密;
【恶意访问】
对于中小型企业网而言,各个分支机构的广域网链路带宽是有限的,因此必须有计划地分配带宽资源,保障关键业务的进行,这就要求无论针对专线所转发的访问,还是互联网出口链路转发的访问,都要求对那些过度占用带宽的行为加以限制,避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。
这种恶意访问行为包括:
过度使用P2P进行大文件下载,长时间访问网游,长时间访问视频,访问恶意而引发病毒传播,直接攻击网络等行为。
【身份与行为的脱节】
常见的访问控制措施,还是QOS措施,其控制依据都是IP地址,而众所周知IP地址是很容易伪造的,即使大多数的防火墙都支持IP+MAC地址绑定,MAC地址也是能被伪造的,这样一方面造成策略的制定非常麻烦,因为中小型企业内员工的身份是分级的,每个员工因岗位不同需要访问的目标是不同的,需要提供的带宽保障也是不同的,这就需要在了解每个人的IP地址后来制定策略;另一方面容易形成控制缺陷,即低级别员工伪装成高级别员工的地址,从而可占用更多的资源。
身份与行为的脱节的影响还在于日志记录上,由于日志的依据也是根据IP地址,这样对发生违规事件后的追查造成极大的障碍,甚至无法追查。
【拒绝服务攻击】
大多数中小型企业都建有自己的,进行对外宣传,是企业对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。
这种攻击常常针对企业的,使得无法被正常访问,破坏企业形象;
【不安全的远程访问】
对于中小型企业,利用互联网平台,作为专线的备份链路,实现分支机构与总部的连接,是很一种提高系统可靠性,并充分利用现有网络资源的极好办法;另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。
【缺乏集中监控措施】
典型中小型企业的特点是,集中管理,分布监控,但是在安全方面目前尚缺乏集中的监控手段,对于各分支机构员工的上网行为,访问业务的行为,以及总部重要资源的受访问状态,都没有集中的监控和管理手段,一旦发生安全事件,将很难快速进行察觉,也很难有效做出反应,事后也很难取证,使得企业的安全管理无法真正落地。
2.3典型中小企业网络安全需求
针对中小企业在安全建设及运维管理中所暴露出的问题,山石网科认为,应当进行有针对性的设计和建设,最大化降低威胁,并实现有效的管理。
2.3.1需要进行有效的访问控制
网络安全建设的首要因素就是访问控制,控制的核心是访问行为,应实现对非许可访问的杜绝,限制员工对网络资源的使用方式。
中小企业的业务多样化,必然造成访问行为的多样化,因此如何有效鉴别正常的访问,和非法的访问是非常必要的,特别是针对中小企业员工对互联网的访问行为,应当采取有效的控制措施,杜绝过度占用带宽的访问行为,保障正常的业务和上网访问。
对于中小企业重要的应用服务器和数据库资源,应当有效鉴别出合法的业务访问,和可能的攻击访问行为,并分别采取必要的安全控制手段,保障关键的业务访问。
2.3.2深度应用识别的需求
引入的安全控制系统,应当能够支持深度应用识别功能,特别是对使用动态端口的P2P和IM应用,能够做到精准鉴别,并以此为基础实现基于应用的访问控制和QOS,提升控制和限制的精度和力度。
对于分支机构外来用户,在利用分支机构互联网出口进行访问时,基于身份识别做到差异化的控制,提升系统总体的维护效率。
2.3.3需要有效防X病毒
在访问控制的技术上,需要在网络边界进行病毒过滤,防X病毒的传播;在互联网出口上要能够有效检测出挂马,对访问此类而造成的病毒下发,能够快速检测并响应;同时也能够防X来自其他节点的病毒传播。
2.3.4需要实现实名制管理
应对依托IP地址进行控制,QOS和日志的缺陷,应实现基于用户身份的访问控制、QOS、日志记录,应能够与中小企业现有的安全准入系统整合起来,当员工接入办公网并对互联网访问时,先进行准入验证,验证通过后将验证信息PUSH给网关,网关拿到此信息,在用户发出上网请求时,根据IP地址来索引相关的认证信息,确定其角色,最后再根据角色来执行访问控制和带宽管理。
在日志记录中,也能够根据确定的身份来记录,使得日志可以方便地追溯到具体的员工。
2.3.5需要实现全面URL过滤
应引入专业性的URL地址库,并能够分类和及时更新,保障各个分支机构在执行URL过滤策略是,能够保持一致和同步。
2.3.6需要实现IPSECVPN
利用中小企业现有的互联网出口,作为专线的备份链路,在不增加链路投资的前提下,使分支机构和总公司的通信得到更高的可靠性保障。
但是由于互联网平台的开放性,如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时,容易遭到窃听和篡改的风险,为此需要设备提供IPSECVPN功能,对传输数据进行加密和完整性保护,保障数据传输的安全性。
2.3
升级会员 