大型电信运营商企业网安全改造技术研究与实现.docVIP

大型电信运营商企业网安全改造技术研究与实现 　　[摘 要]本文针对该分公司企业网存在的网络安全问题,进行了深入研究分析,以防火墙为核心,提出整网的、多层次、全面的安全解决方案。该方案不仅适用于该企业本身,对多数企业网都具有通用性,可以方便地推广、移植到多数企业网的规划建设中去。 　　[关键词]企业网 防火墙 网络安全 　　[中图分类号]TP393[文献标识码]A[文章编号]1007-9416(2009)11-0075-03 　　 　　对于大规模企业,既要访问Internet的共享信息资源,又要把企业Intranet的一部分信息对外提供服务,资源共享的同时也带来了安全问题;而作为大型电信运营商企业内部网,事关很多公司机密、企业形象等敏感信息,如何保护公司内部网络的信息安全,防范来自外部网络的黑客和非法入侵者的攻击,建立起强健的网络信息安全防范系统,在某种程度上决定着企业信息化建设的成败[1]。 　　在构建安全网络环境的过程中,防火墙成为企业网安全的第一道防线[2,3]。它可为各类企业网络提供必要的访问控制,但又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业的关键资源[4]。基于以上考虑,本文以防火墙为核心,提出了联通某地市分公司企业网的安全改造方案。 　　 　　1 企业网现状 　　 　　该分公司企业网络从网络设计模块来看,由三个模块组成:接入模块、内网模块与外网模块。接入模块负责与互联网的连接而且端接VPN与公共服务(DNS、HTTP、FTP与SMTP)流量,拨号接入流量也在公司接入模块上终止。内网模块包含第二层与第三层交换基础设施以及所有的公司用户、管理服务器和内部网服务器。从外网模块的角度看,远程地点与中型机构网络的连接一般有两种方案:一种是采用外网模块的专用WAN连接,另一种是与公司互联网模块连接的IPSec VPN。该分公司的外网模块采用了第一种方式。 　　该分公司改造前的安全状况是全网只在外网接口部署千兆级防火墙设备两台,进行冷备份和准入控制,划分三个大的安全区域,外网区域接口负责整个公司和INTERNET的信息交互,DMZ区域部署对外的数据服务器,TRUST级区域安全按级别较高,负责对内信息处理。这种方案只能满足企业基本的安全要求,不能满足: 　　1.1 用户接入的身份验证 　　全网的安全以及概念不仅仅限于网络骨干设备的安全,接入设备(如PC)的本身安全情况也会极大地影响到网络的安全情况。 　　1.2 内网的细化管理 　　对于内部的不同子部门,根据在企业内部的作用和地位不同,其数据应该具有不同的机密程度,需要能细化安全区域的划分并针对不同区域进行不同的安全策略部署。根据现在的网络现状还需要支持多种应用层业务。 　　1.3 针对新的安全隐患的控制 　　网络越来越多的新攻击手段或技术手段会导致网络的工作不正常,如常见的dos,ddos攻击和p2p等应用,都会导致网络的拥塞或利用率下降,新的方案需要对这些问题给出解决对策。 　　1.4 日益增长的流量需求 　　随着科技发展水平提高,企业网的数据流量越来越大,如该分公司的企业网,2000年部署安全解决方案时全网流量峰值不超过300兆B,到2005年子部门间流量已经超过这个值,考虑到后期扩容的计划外网出口设备则需要5GB级的背板容量。 　　1.5 统一全面的管理 　　原来的安全设备基本是通过命令行进行管理,需要网络管理员有一定的专业技术知识,但随着需要纳入安全考虑的内容越来越多,原先的设备不支持图形化、与其它设备不统一的管理方式就成为一种不可回避的缺点。 　　针对以上不足,计划采用新的网络安全方案对原有企业内网进行升级改造,以解决现有的安全缺陷,最终实现整网的、多层次的、全面的安全保障。 　　 　　2 全网安全改造设计方案 　　 　　2.1 接入模块安全设计方案 　　ISP中客户边缘路由器的主要功能是提供与互联网或ISP网络的连接。ISP出口将限制那些超出预定阀值的次要信息流,以便减少DDoS攻击。在ISP路由器的入口处,满足RFC1918与RFC2827规定要求设置的过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。在中型网络上边缘路由器的入口处,基本的过滤功能可以限制访问,只允许合格的IP流量通过,从而提供了一个防御多数基本攻击的初级防火墙。 　　该分公司使用了华为的基于端点准入控制思路的EAD方案,EAD解决方案在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,合理控制用户的网络行为,提升整网的安全防御能力。