中铁工程设计咨询集团有限公司 张立梅
编者按:
网络边界就是网络的大门,大门的安全防护是网络安全的基础需求。随着网络的日益复杂,域边界的概念逐渐替代了网络边界,边界成了网络安全区域之间安全控制的基本点。黑客攻击与厂家防护技术都会最先出现在这里,然后在对抗中逐步完善与成熟起来。
企业要防护网络边界的安全,首先就要知己知彼。从安全威胁的来源上讲,互联网的边界安全威胁主要有黑客入侵、病毒入侵、网络攻击和垃圾骚扰。现在很多黑客入侵和网络攻击行为都是由明显的商业目的驱动的,也许在你还不知道的情况下,就已经成为网络黑社会的帮凶。
在鱼龙混杂的互联网上,防护的难点是不知道攻击者是谁,攻击是从哪里来的,从哪个入口进入到网络系统的。而且不同类型的网络,其边界防护方案也是不一样的,只有了解清楚,才能对症下药。
图1 服务型网络的边界安全防护方案
图2 专用业务型网络的边界安全防护方案
边界安全防护技术是一个相对性的技术,投入的多少与你要保护的资源本身的价值是相关的。随着网络上业务量的增大,网络里信息泄密或被篡改带来的损失和被攻击后企业的损失都不断增大,这就要求安全防护的力度要加大。按照企业网络的规模大小与业务对网络的依赖性程度,不同的网络业务模式应该有不同的防护策略。
类型一:接入型网络
适用范围:小型的共享上网,或是30~50人的小网吧。它们的显著特征是利用拨号(电话、ADSL等)上网或通过大楼的宽带接入互联网,上网的目的就是与互联网连接,主要网络应用是收发邮件或浏览网页。
解决方案:接入型网络主要面临的威胁是病毒与木马,不是黑客的攻击对象。所以安全的重点是在所有计算机上安装防病毒软件,并及时更新。在网络出口一般采用代理服务器就可以了,没有固定IP地址,可以不选择专用的安全设备,代理的目的只是为了上网,同时还可以关闭一些不需要的业务。
类型二:通讯型网络
适用范围:面向中等规模的公司,用户少则百人,多则上千人,企业网络内部有自己的各种应用系统,与互联网之间的出口是为了邮件与信息的互通,但是没有对外的网络服务,企业的门户网站一般“租借”到其他地方。通讯型网络是企业中最常见的网络形式,其边界安全解决方案也比较典型。
解决方案:通讯型网络的特点是不提供对外的网络服务,但一般采用固定的公网连接,所以采用专用的网络安全设备,如防火墙、UTM多重安全网关等。该类网络防护的重点还是病毒与木马,而不是黑客。在互联网的出口,采用防火墙进行安全过滤,若具有固定的公网IP,还要增加设备以增强对DDoS攻击的抵御能力。对内部网络的保护,建议开启NAT地址翻译的功能,这不仅是为了节约IP地址,更重要的是隐藏内部网络结构。在网络的内部,一般采用安全区域隔离的方式,对服务器区域或重要数据区域可以再增加安全隔离,如增加防火墙等。为了管理的方便与缩小病毒的自由传播,也可以在不同部门之间通过网络VLAN隔离。安全区域隔离是内部网络管理的重要的安全基础理念,因为区域隔离后人为地增加了很多访问控制点,方便企业对内部信息的安全管理。由于内部计算机较多,所以建议安装网络版的防病毒系统,同时采用统一的补丁管理,及时、系统地为安全设备与各种应用系统打上最新的补丁,抵御无孔不入的病毒与木马的入侵。为了增强防护能力,建议安装入侵检测系统,建立网络安全监控体系,这是网络管理者随时了解网络状态与发现最新攻击的工作平台。同时,根据网络业务系统的需要,可以增加内部网络的身份认证体系与安全审计系统,防止内部人员的不规范行为。网络内部的安全措施与互联网出口的安全措施是一体的,不是孤立的,出口上的防护是面对常规的入侵,而内部的监控与防护是对漏网进来的入侵的进一步防护。
类型三:服务型网络
适用范围:由于企业业务的需要,企业要面向互联网提供各种服务,比如,出差人员远程办公需要接入内部网络,分支机构需要通过VPN接入到企业内网,合作伙伴需要通过互联网查询信息或递交业务申请等等。这种企业网络从内部上看与通讯型差别不大,主要是对外提供了服务。
解决方案:服务型网络的对外服务一般是非主要业务内容,往往容易忽视安全的防护,比较典型的是一些企业或政府的网络门户,觉得服务简单,没有人顾及,成为很多入侵练习者做“课堂作业”的地方。服务型网络面临的威胁由病毒与木马上升为黑客与攻击。服务型网络的安全防护特点是在网络的区域隔离上,常用的是DMZ(隔离区)方式,把服务与所提供的业务单独隔离开来。在互联网出口上采用UTM设备,增强应用层的安全过滤,同时DMZ区域与内部网络也采用UTM防护,在内部网络上建设与通讯型网络一样的监控系统。值得注意的是,在DMZ区域与内网分别建立安全系统,由于安全设备增多,一般需要建立统一的安全管理平台(SOC)。
类型四:专用业务型网络
适用范围:专用业务类型是指涉密网络、专用网络和生产型网络等安全级别高的网络,由于业务发展的需要,必须接入互联网。例如,银行网络需要提供网上支付业务,海关需要提供互联网审批和查询业务,税务系统需要提供互联网上报税业务,证券交易所需要提供互联网数据的实时查询业务,民航或铁路订票系统实现互联网票务信息查询……该类业务的流量大、实时性强,但内部网络的安全性远超过其经济利益,防护技术要求可靠而且要适应业务的发展需要。
解决方案:专用业务型网络的防护不再依赖于某个高级设备,而是采用综合的、立体的防护手段。数据交换网技术采用了“土地换安全”的思路,通过建设安全网络与互联网的“隔离区域”,实现业务数据的可控制交换,采用多重安全网关、安全监控和安全审计的三维立体防护体系,同时通过Clark-Wilson模型的代理与审核方式保证对内部安全网络数据的完整性访问。在与内部网络的连接上,还可以引入网闸技术,提高隔离的效果。根据业务本身的特点,相关企业还要对业务采用不同的代理方式,能单向的不双向(如只需要收集来自互联网的信息,则可以对反向的数据流进行限制),能关闭的不开启(没用的服务端口一律关闭)。
互联网是网络互联的海洋,与互联网互通的网络不是孤立的信息岛,互联网上充满了威胁。因此互联网边界上的安全防护一直是网络安全领域最前沿的战场。本文列举的只是几种常见的互联网边界的安全方案,涉及部分安全技术,还有很多常用的安全技术由于特殊场合才使用,本文没做介绍。
| 
