要建造一个安全的企业网,首先要保证企业网边界的安全,可以说,企业网的边界是企业网络安全的第一道防线。
一个典型的企业网,其网络边界主要包含三大组成部分,即因特网接入模块、内联网VPN和远程接入模块以及外联网VPN接入模块。 大多数的企业网都注意到了因特网接入模块的安全问题,并且大都采取了相应的有效措施,保证了因特网接入模块的网络性。而目前VPN的商业优势非常吸引人,许多公司都开始制订自身的战略,要利用Internet作为主要的传输媒介,采用VPN技术进行互通。因此,本文主要介绍内联网VPN和远程接入模块,以及外联网VPN接入模块的网络安全问题。
1.内联网VPN和
远程接入模块
内联网VPN指的是公司内部不同地域之间采用VPN技术互通信息,以降低运营成本及增加网络安全性。用户可以采用高性能的Passport 8600骨干交换机作为与因特网接入模块的接口,并采用4台Alteon内容交换机对Contivity 4600 VPN网关实现负载均分。Contivity 4600带有硬件加密卡,进一步提高了VPN加解密的性能。解密后的数据流经Alteon交换式防火墙,对流入企业内部网的数据进行高性能的状态检测及攻击防范,IDS的负载均分进一步提高了入侵检测的性能。
● 远程用户VPN接入部分
远程用户的VPN数据首先流经因特网接入模块,然后通过Passport 8600流向Contivity 4600 VPN访问服务器。因此,需要在Passport 8600 上配置相应的过滤器,只允许IKE(UDP 500)、ESP及IPSEC NAT 方式所采用的UDP/TCP数据流向Contivity 4600 VPN访问服务器,而拒绝其余任何形式的数据流。
● 远程办公室VPN接入部分
远程办公室的VPN数据首先流经因特网接入模块,然后通过Passport 8600分别流向两台Contivity 4600 VPN网关(由Alteon 内容交换机实现负载均分)。因此,需要在Passport 8600 上配置相应的过滤器,只允许IKE(UDP 500)、ESP流向Contivity 4600 VPN网关,同时对数据流的端点IP进行限制。目的地址只能为Contivity 4600 VPN网关IP地址,而源地址只能为远程办公室VPN网关的IP地址,拒绝其余任何形式的数据流。
2.外联网VPN接入模块
外联网指的是不同公司之间采用VPN方式通过公网互相交流信息,以实现B2B的电子商务。
在本方案中,商业伙伴的VPN数据首先流经因特网接入模块,然后通过Passport 8600分别流向两台Contivity 4600 VPN网关(由Alteon 内容交换机实现负载均分)。因此,需要在Passport 8600 上配置相应的过滤器,只允许IKE(UDP 500)、ESP流向Contivity 4600 VPN网关,同时对数据流的端点IP进行限制。目的地址只能为Contivity 4600 VPN网关IP地址,而源地址只能为商业伙伴VPN网关的IP地址(如果其使用固定IP地址),拒绝其余任何形式的数据流。