随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问题,也是目前网络安全建设中首要考虑的问题,在网络边界安全的建设中大多数企业的网络建设者都会提出以下问题:
1)什么是网络边界?
2)我们已经有了防火墙,还会有什么安全问题吗?
3)当网络问题发生时,如何快速有效的对网络出口的安全策略进行优化?
4)如何解决出口流量监控的问题?
今日,新的安全技术和产品层出不穷,各个企业可能已经拥有了网络安全多个方面的专门技术,如防火墙、人侵检测系统、×××、防病毒等等,但实践证明单个部件是不能很好地对网络安全进行防御的,只有将这些安全技术及产品结合起来,多个部件协同工作,进行立体的网络边界安全建设,才能达到保护整个网络安全的目的。
1.网络边界简介
什么是网络边界呢?网络边界是我们的网络与其他网络的分界线,对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。一个企业建议可划分为:互联网连接区、广域网连接区、外联数据区、数据中心区、内网办公区、网络管理区等。
网络边界是一个网络的重要组成部分,负责对网络流量进行最初及最后的过滤,对一些公共服务器区进行保护,×××技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大。
2.边界安全 立体防护
一个完整的边界安全部署包括哪些方面呢?需要考虑边界路由器、边界防火墙、IPS 、××× 设备、边界防病毒、边界流量分析监控、日志管理等几个安全部件,及各安全部件之间的协同工作,这些部件仅仅依靠各自自身的力量是无法提供完整的网络安全的。只有这些部件功能互补,相互结合,协同工作才能形成—个立体的防御结构。下面结合具体的产品和技术来介绍一下各边界安全部件。
·边界路由器
路由器在网络中承担路由转发的功能,它们将流量引导进入网络、流出网络或者在网络中传输,由于边界路由器具有丰富的网络接口,一般置于internet出口或广域网出口,是流量进入和流出之前我们可以控制的第一道防线。
H3C MSR系列路由器系列产品具有丰富的集成安全特性,包括Firewall、IPSec ×××、MPLS ×××、CA、Secure Shell(SSH)协议2.0、***保护、DDoS防御、***防御等。在网络安全防御战略中起着重要作用。×××技术方面,MSR 50系列产品提供专门的安全数据连接设计技术,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE),通过硬件的方式大大提高数据加密性能,保证转发和加密同步高性能,同时可节省接口插槽。
·边界防火墙
防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。防火墙可以对边界路由器不能监控的流量进行更加深人地分析和过滤,并能够按照管理者所确定的策略来阻塞或者允许流量经过。
SecPath系列防火墙是H3C为企业以及运营商用户设计的专业网络安全产品,通过将强大安全抵御功能、专业×××服务和智能网络特性无缝集成在一个硬件平台上,为用户提供全面的安全防护:包括增强型状态安全过滤,虚拟防火墙技术,抗***防范能力,针对P2P应用进行深入内容检测并且对这些应用采取阻断、限流的控制措施,提供丰富的日志功能和告警功能,全面NAT应用支持等等功能,在组网上SecPath系列硬件防火墙在网络关键位置可部署为状态备份、负载分担, 不但能为用户提供广泛和深入的安全防护和安全连接功能,同时可以降低与安全相关的总体拥有成本,是网络边界安全部件的理想选择。
·IPS
随着互联网的不断发展,******技术也出现了许多新的变化,这也促使网络安全产品不断的更新换代。一种新型的安全防护产品——网络***防御系统应运而生。网络***防御系统作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类***性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、***检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的***保护解决方案。
H3C系列IPS产品,具备对2层到7层流量的深度分析与检测能力,同时配合以精心研究的***特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、***与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。
·×××
×××技术是通过公众IP网络建立私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,减轻企业的远程访问费用负担,节省电话费用开支,并且提供安全的端到端数据通讯。
H3C提供专业的SecPath V 系列×××网关设备,考虑到不同用户的组网及投资需求,H3C路由器和防火墙设备上也集成×××功能,可支持多种×××业务,如SSL ×××、L2TP ×××、GRE ××× 、IPSec ×××、MPLS ×××和动态×××等,可以构建多种形式的×××,可以很好的满足不同组网要求。
·边界防病毒
近年来计算机病毒趁着网络信息化的热潮,不断骚扰和破坏人们正常的工作秩序。病毒已逐渐成为网络安全的祸首,严重的病毒爆发将直接导致网络的瘫痪,在边界安全防护中也同样要考虑对病毒的防护。
H3C ASM(Anti-Virus Security Module) 防病毒模块系列产品是H3C公司面向企业用户开发的新一代专业安全产品,可以快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的***,防御外部网络的蠕虫病毒、后门***和垃圾邮件侵袭,与传统防病毒软件相比,H3C ASM 防毒卡产品与H3C SecPath系列防火墙可以实现无缝融合,在网络层次上实现病毒查杀,在网络边界处即可降低病毒风险,为整网提供更全面的安全服务。
·出口流量监控
网络用户有众多的数据业务流量;终端用户也可能会访问各种各样的Internet资源,包括访问各种WEB网站、下载各种软件、玩各种网络游戏等,那么如何来监控网络中的应用情况?对于宝贵的出口带宽资源如何进行有效规划?以上问题都需要管理员能及时对网络流量进行监控,因此近年来流量监控技术也是网络用户的一个关注重点。
由于防火墙、路由器在网络中得天独厚的位置,使任何Internet通讯的流量都会经过防火墙设备,因此H3C设计制作了NSM(用于防火墙)/NAM(用于路由器)流量监控 板卡,流量监控板卡采用B/S结构,管理员只需使用安装了IE的PC,即可登录NSM配置平台,进行流量查看和监控。NSM/NAM做为板卡放置在出口防火墙和路由器设备上,既可以方便的监控出口流量,又节省空间,方便管理维护。
·日志审计
以上已经介绍了边界安全部署的几个关键部件,还有一个关键部件是边界安全中最富挑战性但是值得去做的一项工作,是各关键部件协同工作的一个重要环节――日志分析,日志文件包含了重要的安全信息,但由于各网络设备和主机的日志都是信息孤岛,且信息量巨大,不仅给管理员带来很大的工作量,并且无法快速有效的定位问题。
SecCenter是H3C公司推出的安全管理解决方案中的重要组成部分,是一款基于硬件的智能、高效的安全信息及事件管理(SIEM)系统。能够提供对全网海量安全事件和日志的集中收集与统一分析,兼容异构网络中多厂商的各种设备,对收集到的信息高度聚合及归一化处理,实时监控全网安全状况。另外,SecCenter 还能根据不同用户需求,提供丰富的网络安全状况与政策符合性审计报告。系统自动执行网络事件监控、收集、分析、告警、报告、归档等所有任务,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注企业业务。
3.部署举例
边界安全防护部署
·园区网与外界网络互连出口包括Internet/WAN等几部分,根据业务情况,在各出口均需要考虑部署防火墙和路由器设备。
·公共服务器对外部提供WWW/E-MAIL等服务,通过防火墙的策略及IPS深入检测来保护公共服务器的安全。
·远程用户(包括移动接入用户和小型分支节点)通过Internet建立×××隧道接入到园区网络内。
·考虑到大中型网络对性能的要求,边界安全设计时可选择专业的防火墙设备、×××设备及路由器设备。
·可以在边界路由器或防火墙上配置NAM板/NSM板来实现出口流量监控。
·在边界路由器或防火墙上配置ASM防病毒卡来进行病毒防护。
·在网络管理区部署SecCenter日志审计系统来对搜集防火墙、路由器、IPS、交换机等设备的日志信息,并进行关联分析。
4.总结
H3C边界安全解决方案可向广大用户提供全面立体的边界安全防护,通过对安全区域的设计、配合病毒防护和流量监控功能,在网络边界部署防火墙、×××、IPS等安全设备,不仅能够保证2至7层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防护。
转载于:https://blog.51cto.com/442669/89052