在金融危机的大背景下,政府、能源、教育等各行各业都在想尽各种办法增收减资,应对难关。而从内部挖掘潜力,提高工作效率是最有效、最可行的方式之一。但是,95%以上的企业在信息化过程中都遇到了一些问题,并且已经成为了生产力提升的瓶颈。
需要完善的整体设计
“上午10:00办公室的9个人中,4个外出,3个在开心网玩得很开心,2个在QQ交友,1个一边看K线图一边默念怎么又跌了”,像这种非法或者影响工作的应用可以通过部署应用层控制网关、高端设备上的深度包检测(DPI)模块、统一威胁管理网关UTM等设备控制。
“第七宿舍的大部分节点上不去网,但网线未断,交换机业务问题”,这很可能是宿舍区爆发了ARP攻击造成的,可以通过IP+端口+MAC地址绑定、DHCPsnooping等技术来解决。
“参观的贵宾随便找个网口进入内网数据库盗取了公司成立3年来的所有客户名单”,不提安保问题,网络技术上的缺陷主要是用户接入安全的忽略,要通过一整套用户安全接入策略部署来防控。
“升级到100M的出口带宽,网速依然慢如牛”,这是P2P的流量吞噬了90%以上的带宽造成的,流量整形网关、高端设备上的深度包检测(DPI)模块、统一威胁管理网关UTM设备可以部署在网络边界解决。
可以说,现在网络任何部分出现的任何问题都有先进的技术和设备可以解决和防范,但怎样把这些局部的安全整合为整网安全,使其具备智能的、动态的自防护能力,还有怎样把不同厂家的不同产品的安全策略有机地结合、调配,并且使整网安全具有无限扩展的能力,这都需要一个完善、缜密的设计过程。那么,怎样为园区网设计一个固若金汤的的动态防护网呢?可以总结为“内外兼顾有机结合”8个字。
内外兼顾有机结合
内外兼顾是要求整网安全设计时,要由里到外,由核心到接入,再到网络边界,对于数据中心边界或者特殊部门(如研发)网段都要综合考虑。由里到外是要求园区网核心层、汇聚层、接入层交换设备,都要部署相关的安全策略,现在主流的交换机都具备丰富的安全特性,例如中兴通讯的ZXR108900、6900、5900、3900A、2900、2800等全系列以太网交换机产品具备DDOS、红色代码、冲击波、震荡波等攻击的防御能力,同时部署合理的ACL、QoS等相关策略,使每台交换机都具备抗攻击能力。
在园区网内部关键区域部署防火墙也是大型园区网安全策略必要的组成部分,独立的防火墙网关是普遍的、可接受的选择,象Netscreen、CheckPoint的高端防火墙。高性能核心交换机上防火墙模块插卡由于其优异的性能和与网络的无缝融合是大型园区网更好的选择,比如中兴通讯ZXR108900核心交换机的防火墙业务板在某能源行业大型城域网骨干部署时,平均吞吐量是6.35Gbit/s、平均TCP最大连接数为180万,结合虚拟防火墙、路由策略和ACL技术同时针对数据中心、财务等关键部门进行逻辑隔离和保护(如图1所示)。
安全功能下移到接入层也是整网安全的关键。业界把IP+端口+MAC+账户绑定、DHCPSNOOPING防ARP攻击等特性整合到DAI(动态ARP检测)功能中,结合用户接入安全策略(如CISCO的NAC、中兴通讯的ZSA、Microsoft的NAP)可以最大限度地防范来自内网的不安全因素。
网络边界的安全部署时,大型园区网可以选择防火墙、防病毒网关、流量整形网关、防DDOS网关、VPN网关等高性能独立设备以“串糖葫芦”方式部署在网络边界,虽然这种部署方式增加的单点故障或者单一设备可能会成为瓶颈,但对于大型园区网这种部署方式是必须的,也是可行的方式,一些问题可以通过选择业界最优厂家的高端设备、启用Bypass功能来避免。小型局域网可以采用UTM统一威胁管理系统部署,获得最优的性价比。
另外,高性能核心交换机上DPI(DeepPacketInspection)模块插卡也是园区网边界安全部署时的很好选择(如图2所示)。例如,中兴通讯ZXR108900核心交换机的DPI业务板,利用深度包检测技术可以基于“特征字”的识别、应用层网关识别、行为模式识别,对于园区网传统安全技术和防火墙技术无法防控的7层业务应用,DPI技术可以轻松实现。ZXR10 8900结合DPI业务版在某重点高校网络边界部署时,开启十几条策略,并且35%的流量为64字节小包,承受的吞吐量平均为3.9Gbit/s、平均TCP最大连接数170万,结合Vlan技术、路由策略和ACL技术对来自外网和内网的威胁实现业务识别、业务控制、业务统计。
好的设计使网管气定神闲
一个先进的园区网,整网的安全部署是由多个部分组成的,涉及多种技术,多个厂家的安全设备,现在需要一个非常好的安全管理系统软件能把这些设备和技术统一到一个安全网管平台下。以“内外兼顾,有机结合”为原则设计园区网安全部署方案,可以实现把局部安全有机结合地、合理地整合为整网安全,并且可以弹性地随时扩展应对层出不穷的各种威胁,为园区网铸就固若金汤的动态防护网。