完整的安全体系结构应覆盖系统的各个层面,由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。因此作为一个完整的系统,网络必须对网络系统进行全方位的考虑,需要依靠技术方面的安全保护和管理方面的安全管理进行全面防护。
“i3安全”以时间、空间、网络层次为三维,主要由路由器、以太网交换机、防火墙、网管、业务平台多个网络设备支撑,由安全认证、访问控制、过滤检测、扫描、IDS检测、VPN、审计分析、策略服务管理等多方面构成完善的防护体系。图一为“i3安全”网络体系架构。
“i3安全”方案从空间上保证了内部局域网和内网广域网两方面的安全;在时间上,事前通过数据隔离、加密、过滤、管理等技术,事后通过对用户上网端口、时间、访问地的记录,全面提供用户上网的追溯能力,从而为后期的分析提供第一手的资料。
内网局域网安全
针对以太网存在的各种链路层和网络层安全隐患,以太网交换机采用多种网络安全机制,包括访问控制、用户验证、防地址假冒、入侵与防范、安全管理等技术。
访问控制和用户验证
在用户接入层和业务层,方案确保合法的用户接入,访问合法的网络范围,并保障用户信息的隔离等用户接入网络的安全。内网的数据库、服务器等资源是受限访问的。一般一个部门内的用户的权限是相同的,可以将这些用户划分在一个VLAN内,只要设置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。这样可以看出基于VLAN 的报文过滤是最简单实用的某个用户群的访问控制策略。可以设定以太网交换机端口禁止或允许转发来自或去往某个VLAN的报文。可以通过标准的ACL 只设定一个简单的地址范围,也可以使用扩展的ACL 设定具体到协议、源地址范围、目的地址范围、源端口范围以及优先级与服务类型等。这样可以实现复杂的访问控制策略。
用户验证的目的是在用户层保证接入内网的用户是合法的或通过某个以太网交换机端口接入内网局域网的用户是预先配置的。
入侵检测与设备安全管理
“i3安全”三维度集成安全体系架构
在网络层安全方面,方案保障网络路由,网络地址等基础网络的安全。内网的局域网有可能受到入侵流量攻击,对于一些连接关键部门的端口,可以将以太网交换机连接协议分析仪,通过报文镜像、报文统计来监控端口流量和统计某个应用流的流量。
内网广域网安全
由于构成Internet的TCP/IP协议本身缺乏安全性,内网广域网的网络安全成为必须面对的一个实际问题。内网广域网上存在着各种类型的攻击方式,包括网络层攻击、应用级攻击和系统级攻击。针对内网广域网存在以上各种安全隐患,建议采取如下的网络级、应用级和系统级安全措施来保证广域网的安全。
身份认证和访问控制
内网广域网在用户接入层和业务层也要解决身份认证和访问可能控制的问题。只有网络管理员才有权访问内网广域网路由器,所以对访问路由器的用户需要进行身份认证。内网广域网由骨干路由器组成,路由器之间需要对端路由器的身份进行认证,对端路由器不仅仅指物理上的直接点对点相连的路由器,同时还包括虚拟的点对点(如通过隧道协议)相连的路由器。
基于IP地址的访问控制。内网的网络用户是通过IP地址来区分的,不同的用户具有不同的权限。通过路由器的包过滤可以实现基于IP地址的访问控制和重要资源的保护。
基于用户的访问控制。路由器也可以提供接入服务功能。对于以接入方式的用户来说,他们之间的权限也有可能是不一样的。通过对用户设置特定的过滤属性,可实现对接入用户的访问控制。
数据加密
通过采用手工配置或自动协商密钥两种方式,在传输或隧道模式下能够单独或组合应用AH(Authentication Header,认证报头)和ESP(Extended Services Processor,扩展业务处理器)安全协议,对整个IP报文或数据载荷内容进行不同粒度级别的加密和认证。
MPLS VPN
为了避免内网广域网因为数据窃听而造成的信息泄漏,有必要对所传输的信息进行加密,只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密,即使在广域网上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。对于利用公网构建VPN的情况,数据加密能够保证通过隧道传输的数据安全。MPLS VPN是实现VPN方案的技术之一,它使用基于标记的转发模式,MPLS VPN可以达到DDN的安全性能,但配置、管理、调度更方便,同时也降低了用户接入门槛。
攻击探测和防范
内网的广域网路由器作为一个内网对外的接口设备,是攻击者进入内网的第一个攻击目标。交换机上可提供报文过滤、ASPF攻击检测等特性,可实现有效融合业务与安全思路的组网方案,在攻击的第一阶段阻止攻击行为。
安全策略管理
内部网络与外部网络之间的每一个数据报文都会通过路由器,在路由器上进行报文的审计可以提供网络运行的必要信息,有助于分析网络的运行情况。另一方面,路由器的安全运行牵涉到越来越多的安全策略,为了达到这些安全策略的有效利用,进行安全策略管理是必需的。
在骨干网上通过划分VPN或逻辑信道对不同的业务进行隔离,同时辅以安全访问控制功能,保证各业务系统、各级网络之间互不干扰,增强数据通信的安全性。网络管理员可以形象地设定安全需求,策略管理中心自动进行策略的配置,并把策略下载到相应的网络设备上。