dcn网络安全解决方案分析.docVIP

DCN网络安全解决方案分析 1引言 DCN(数据通信网)是网通A公司的专用数据通信网,作为公司的Intranet,不仅是公司的生产网,同时也承载了大量的业务系统,网管系统,呼叫中心和计费采集系统等. 作为内部IT系统的基础承载网络,网通A公司DCN采用VLAN+MPLS技术来隔离各业务系统,网络安全问题由各业务系统自己解决.在网络建设之初,缺乏统一规划,主要以满足各业务系统自身需求为出发点，欠缺整体上的安全保护策略，安全保护策略的部署差异很大，无法提供整体的安全解决芳案，同时在一定程度上带来了维护和管理上的难度。而且，DCN的网络设备在整体上缺乏保护措施，面临被黑客控制甚至被当作攻击跳板的危险，同时由于运营商的特殊角色，其网络设备面临严重的拒绝服务攻击的威胁。 本文从网络安全域角度出发，从网络边界防护，主机安全策略，身份人证和终端安全控制等多方面分析了网通A公司DCN网络安全解决方案。 2网络安全域的划分 为规划和建设一个安全可靠的IT系统，目前通用的做法是引入一个安全域的概念。本文所讲述的安全域的概念是，在安全策略的统一指导下，根据各套IT系统的工作属性，组成设备，所带的信息性质，使用主体，安全目标等，将DCN及其所承载的IT系统划分成不同的域，将不同的IT系统中具有相近安全属性组成部分归纳在同级或同一域中。一个安全域内可进一步被划分为多个安全子域，安全子域也可继续依次细化，这里需要明确的是，安全域划分并不是传统意义上的物理隔离。物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程，隔断网络使信息不能共享；而安全域哈是在人证分析各套IT系统的安全需求和面临的安全威胁的前提下，既重视各类安全威胁，也允许IT系统之间以及与系统之间正常传输和交换合法的数据。 本文将网通A公司DCN及其所承载的IT系统规划5个安全域，如图1所示。 *核心主机域：各业务系统业务主机。 *网络域：包括路由器，交换机等网络设备。 *终端用户域：本区域按照终端类型分为固定终端用户（主要是特定权限人员的固定坐席人员），第三方接入拥护（漫游区，现场支持等），外部拨号拥护接入（OA用户接入，远程内部用户接入，远程第三方人员接入，拨号接入和维护接入）。 *公共接口区：包括与Internet相连，与银行借口以及与公司企业内其他网络的连接。 *公共安全服务区：包括终端安全策略强制系统，病毒监控中心，人证中心，安全管理中心等，本次工程在二枢纽三蹭“九七”机房新增华为S6503交换机，用于安全服务区设备DCN的接入。 3网络安全解决方案 网络安全域划分的目的是根据设备所承担的工作角色和安全方面，有针对性地考虑安全产品的部署。一方面安全域的划分为安全产品的部署提供了一个健康，规范，灵活，的网络环境；另一方面，将安全域划分为域内和域外，域和域之间主要通过VPN和防火墙彼此隔离，在域内主要根据不同被保护对象的安全需求部署AAA，IDS和防病毒系统。 3.1网络边界防护技术 网络边界安全防护技术包括访问控制，入侵检测，漏洞扫描等。通过防火墙实现细粒度的访问控制，从而对非法的访问进行阻断，确保只有被许可的访问才能在DCN上被传递；利用入侵检测对访问数据包进行细实时侦听，发现异常给予报警或阻断，并且与防火墙配合，实现动态安全防护，杜绝异常的访问行为；采用安全扫描系统测试和评价系统的安全性，并及时发现安全漏洞。这样，利用边界防护技术，可以将大多数的攻击行为拦在DCN之外，为DCN的正常运转提供一个安全可靠的环境。 （1）防火墙 用放火墙等成熟技术，能够做到细粒度的网络访问控制。防火墙能够规避大多数的攻击行为，根据地址，协议，端口，访问方式（比如针对FTP的PUT和GET操作），访问内容等关键选项，对DCN内的访问进行严格控制，避免非法的访问，达到安全目标。 （2）入侵检测/防护设备 利用防火墙技术，经过细配置，通常能够在内，外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，或者入侵者可能就在防火墙内。 入侵检测系统位于有敏感数据需要保护的安全区域，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。入侵检测系统与防火墙配合，在防火墙访问控制的基础上，进一步分析访问数据包是否存在异常，并进行报警和阻断，可以提升DCN的抗攻击能力。 （3）安全扫描产品 漏洞检测和安全风险评估技术，因其可预知主体受攻击的可能性，并具体指证将要放生的行为和产生的后果，而受到网络安全业界的重视。这一技术的应用可能助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。 网通A公司DC