文/孙松儿

  广域网安全建设的特点分析

  在企业的广域网建设过程中,分布在不同位置的远程企业分支作为广域网络的重要组成部分,是客户完成与企业大多数业务往来的主要场所。从政府、金融银行、大企业、零售业等行业来看,其分支机构都在想方设法提升分支机构的办事效率,增强分支机构的多业务支持能力,以便在降低成本的同时满足客户对更多元化服务的需要。而安全的广域网分支建设,又是各项业务能否正常开展的关键环节,和企业园区网络的建设不同,企业广域网远程分支的安全建设有其自身的特点。

  (i) 认证鉴权方面的需求多样性

  和企业总部局域网园区接入环境相比,各广域分支在认证鉴权方面有其特有的要求。在局域网园区接入环境下,员工的办公地点相对固定,局域网为其网络接入方式,这意味着可以实现统一的认证授权管理方式。而广域网分支办事处因为工作性质的关系,员工可能缺乏固定的网络接入点,部分员工还存在远程办公的需求。因此在认证方式上必然存在多种形式,除了基础的802.1X或portal认证方式之外,还可能存在L2TP+IPSec 以及SSL ×××等远程接入方式,或者是需要考虑如何在MPLS的环境下实现接入认证等。

  各类不确定的认证方式必然带来管理上的复杂性,使得企业在实施这些认证方式时,很难建设完整的覆盖各种人员的认证鉴权系统。由于缺乏身份认证,出于对资源冒用的担心,企业会实施严格的限制策略进行总部资源访问控制,或者只是有限开放几种应用给广域网分支,从而无法实现多业务分支的构想。

  (ii) 接入客户端的安全状况不可控性

  广域网分支办事处员工本身因为工作性质的关系,可以自由开放的使用诸如USB和移动硬盘等形式的存储介质,而这也将成为网络安全风险的一个关键来源。同时,分支机构终端通过广域网线路进行统一的补丁分发和修复,大数量的并发操作,会给广域网带宽带来重大负荷。在这种情况下,如何实现对接入客户端的安全可控?如何在广域网下进行统一的终端接入控制管理?如何实现集中式的统一管理?在各接入客户端的随意个性化使用的同时,如何保证客户端本身的安全状态?

  (iii) 多业务分支建设和广域网链路服务质量之间的矛盾

  在广域网分支的业务扩充过程中,更多的业务被引入到分支机构,这意味着可能需要消耗更多的广域网链路带宽。对于诸如语音视频会议等对时延敏感的业务,则需要提供更高的QoS服务质量来进行保证。这将导致:一方面,企业需要不断的扩容广域网链路的带宽,以使分支承载更多的业务部署;另一方面,扩容必然导致网络建设维护成本的提高,且不能保证完全达到预期的效果。往往是带宽上去了,但有时候部分关键业务仍然没有得到足够的带宽,反而是其他一些优先级相对较低的业务侵占了本来就很有限的链路带宽。如何解决这个矛盾?

  (iv) 更侧重“点状”的安全防护,缺乏系统的关联耦合和统一的安全管理

  与园区网络和数据中心的安全策略部署的规范有序相比,广域网分支在安全建设的重点上显得不够清晰。由于广域网分支本身只是业务的使用部门,不提供对周边部门的支撑服务,也很少涉及到大量服务器的安全防护。这使得现阶段很多广域网分支本身的安全防护比较简单:企业通常的考虑是在分支出口部署防火墙实现基本的访问控制和安全隔离,或者要求员工PC终端安装杀毒软件,或者是针对一些企业的关键应用通过IP五元组等方式进行带宽的限制。这些安全防护策略更多的是体现在“点状”的安全防护上,只是解决了安全防护的有无问题,但是系统之间缺乏有效的关联耦合;同时网络中可能存在多类型安全设备,日志格式的差异和配置方法的不同,将导致无法实现对多设备安全日志的统一关联分析和总体把握,日常管理维护效率不高。

  广域网安全部署的整体思路和方案实施建议

  (i) 广域网分支安全建设的整体思路

  1. 重点关注客户端的接入安全,建立完整的安全准入机制,实现对用户的认证鉴权

  在广域分支的安全建设过程中,员工的接入行为是造成安全风险的重要因素。因此需要合理规范员工的安全接入行为,针对不同属性的员工设定差异化的终端准入访问策略,并通过灵活的技术手段,实现对客户端安全准入组件(如杀毒软件、操作系统)的补丁自动升级维护,对于部分关键业务严格设定用户访问权限,确保整个广域分支用户的“合规”访问。

  2. 强调企业分支数据传输通道的安全性,为固定和移动接入用户创造安全的接入环境

  结合广域分支办事处员工的工作实际,通过远程接入×××等方式实现对移动用户办公的支持,同时对于企业分支和总部之间的传输线路。在保证安全的前提下可以利用×××进行加密,实现统一的×××安全传输。在产品的选择上,要考虑选择成熟的主流产品和符合技术发展趋势的产品,实现一体化的×××安全网关,以减少系统维护的工作。

  3. 持续进行广域网链路质量的优化,保障关键应用的服务质量,提升应用的交付性能

  在规划建设多业务的广域分支时,无论是通过广域网的专线互联,还是利用internet链路进行互联,都需要考虑到多业务对带宽的占用情况。除了不断的扩容之外,持续的优化广域分支的链路质量,对分支业务进行优先级排序并合理安排带宽占用比例,可以有效的分支业务的服务质量和交付性能,同时也可以减缓广域分支链路扩容维护的压力,用最小的代价获得更大的收益。

  4. 合理划分广域网的安全区域,加固防护边界安全风险,实现整体安全事件的统一管理

  边界安全防护和安全域的划分一直是安全建设的重点,对于广域网的安全建设来说也不例外。在广域网的总部汇聚场合,除了部署传统的防火墙等产品,还可以根据对外提供服务器的位置部署诸如入侵防护等产品;在广域网的分支,安全边界的建设重点聚焦在广域网分支出口的位置。同时针对这些安全防护策略,将广域分支的安全事件进行集中的上报和统一的安全管理,可以及时发现网络中存在的安全风险状况,为后续的策略调整提供技术的支撑。

  (ii) 广域网分支安全方案实施建议

  如图1所示为广域网安全部署的典型组网。考虑到广域网分支的关键业务职能是满足分支到总部的集中访问,及部分总部应用到分支的及时交付,在进行分支的安全部署时,可以重点关注以下几个方面:

  1. 建设综合的×××接入平台

  无论是采用专线方式接入或者是采用internet进行广域分支互联,在涉及到传输通道的加密安全方面,采用合适的×××技术进行数据加密传输是必然的选择。面对企业的多样化需求,在部署综合×××接入平台时,需要考虑以下几个方面:

  1) 按需选择技术实现。为确保远程分支固定接入点人员和总部的数据安全,选择site-to-site IPSec ×××实现分支和总部的链路加密,为了保证路由协议的正常交付,建议采取GRE+IPSec的方式。

  2) 针对内部员工远程移动访问的需求,如果需要访问较多的内部资源,原则上建议采用L2TP+IPSec的远程接入方式,同时客户端要求使用iNode ×××客户端,以便实现较严格的端点安全接入检查;针对部分合作方员工的远程接入访问需求,可以采取SSL ×××的方式进行,用户不需要客户端软件,而且对于访问的资源管理员将严格限定,避免客户端的安全风险对网络造成大的影响。

  3) 在具体的认证方式上,对于L2TP+IPSec的接入或者是SSL ×××的接入,无论是采取USBKEY或者是token令牌都可以很好的保证认证安全。

  4) 在总部资源的访问上,严格限制通过SSL ×××接入的访问,以保密度不高的web类访问为主。

  5) 在设备的选择上,分支设备建议采取UTM多功能网关,在实现基础的安全防护功能的同时,兼作为××× client网关设备;在总部×××网关的选择上,如果是中小企业建议选择IPSec ×××和SSL ×××网关合一的设备进行部署,这种方式可以简化组网结构;对于大型广域网而言,可以旁挂部署专业的高性能SSL ×××网关配合高性能防火墙IPSEC ×××网关实现综合的×××接入。

  6) 从可靠性的角度,总部×××网关建议进行HA双机部署,保证故障情况下的双机业务切换。

  

  图1 企业综合×××组网示意图

  2.优化安全域的隔离和控制,实现L2-L7层的应用安全防护

  
在建设安全边界防护控制过程中,面对企业的多个业务部门和分支机构,合理安全域划分是保证安全防护效果的重要环节。尤其是通过internet实现广域各分支安全接入的企业,远程分支和internet之间的安全边界,企业总部汇聚和internet的安全边界,企业总部的DMZ安全防护,各远程分支之间的安全隔离和访问控制等需求更加明显。在具体的安全域隔离和防护方面,主要的部署建议如下:

  1) 广域网远程分支的安全防护,建议使用多功能合一的UTM产品实现,除了传统的安全隔离之外,如果远程分支具备internet边界,利用该产品还可以实现对web类应用威胁的访问控制,anti-virus和IPS等特性都可以很好的保证这一点。

  2) 在远程分支的内部,基于UTM产品实现对安全区域的严格划分,各个业务部门可以有自己独立的安全域,通过安全域可以很好的实现相互之间的访问控制。

  3) 总部广域汇聚区域的安全隔离方面,需要考虑各个分支之间的安全隔离,涉及到internet接入方式的情况下,还需要考虑DMZ安全区域的安全防护,需要考虑对web应用层安全威胁的防护;其整体的部署示意图如图2所示。

  4) 在设备形态方面,对于广域网的总部汇聚位置,建议使用多功能集成的安全平台,通过在交换路由平台集成高性能的安全模块进行组网,以简化设备的部署和管理。

  5) 在设备的功能要求方面,除了传统的安全特性之外,如果设备支持的情况下,可以考虑使用虚拟化防火墙特性,实现不同业务之间或者是企业不同分支之间的彻底安全隔离,如图3所示。

  

  图2 广域网安全典型部署组网

  

  图3 广域分支和总部防火墙虚拟化部署

  3.强调广域网应用的交付质量,聚焦低成本的广域网带宽管理和优化

  
面对多业务广域分支建设对高带宽的需求,单纯的链路扩容并不能解决可持续性发展的问题。如果选择昂贵的广域网优化设备,建设成本会提高很多给企业带来压力。在这种情况下,利用现有的深度业务识别技术,在充分了解现有链路带宽的利用情况下,优先保证重点业务的服务质量、并有策略的限制与工作无关的流量,也可以在一定程度上缓解多业务应用和高带宽之间的矛盾,业务部署流程如下:

  1)先看:通过设备部署对现有网络流量应用情况进行学习监控,获取整个广域分支的流量分布和带宽占用情况,同时依托智能管理平台实现业务的多维度精细化呈现,帮助网络维护人员真正了解企业网络状况。

  2)后控:在深度业务识别的基础上,根据自身的业务优先级,对业务流量进行优先级的标记,对高优先级业务进行带宽的保证,对工作无关业务实现速率限制或者丢弃,确保带宽不被滥用。

  3)再调整:策略部署完成之后,可以基于可视化的报表平台,进一步监控分析策略部署的效果,同时可以根据实时的业务需求继续对策略进行调整控制,以便做到对业务从识别到控制再到调整再到监控的闭环流程。如图4所示。

  

  图4 广域网业务识别和流量管理典型部署示意图

  4.实施端点安全准入控制,确保分支网络接入安全

  
尽管很多客户端PC都已经安装有专业的杀毒软件,但是由于安全状况不可控的终端接入而导致整个分支网络受到病毒攻击的行为仍然时有发生,因此对于终端的安全接入控制显得尤其重要。考虑到广域网分支的组网环境,典型的部署建议如下:

  1)在认证网关的选择上,建议使用广域分支出口设备或总部入口作为认证网关,实现集中的portal认证;用户通过广域网访问总部数据需要进行安全认证和端点健康状况的检查,在保证访问控制权限的基础上,确保总部资源不会因为终端安全风险而受到影响。

  2)企业所有用户均集中到企业总部的EAD管理中心进行认证;对于个分支机构管理员赋予分权管理能力,即分支机构的管理员可登录企业总部的EAD管理中心,对于其分支机构的接入用户、接入设备和安全策略进行维护管理,而无权访问其它机构的EAD信息。

  3)认证服务器、补丁服务器等可集中部署、统一管理,便于执行全网一致的安全策略、降低分支维护管理的复杂度。同时还可支持服务器分布部署、分权管理、分级管理等应用方案。

  4)对于小于50人、且广域带宽比较紧张的分支,建议将终端分成N组,每次同时有1/N的用户升级,并且下发基于用户和业务的QoS策略,控制升级业务对带宽的占用;对于大于50人的分支,建议在远程分支内部署区域补丁服务器服务器,在线路闲时与中心补丁服务器同步,完成用户本地补丁自动升级

  5)基于上述的组网模型,可以忽略分支内部多厂商的设备组网,无需调整分支内部网络,即能实现安全加固的平滑升级。如图5所示。

  

  图5 广域网分支端点准入典型组网图

  5.建设统一的安全管理平台,实现对整网安全的“可视、可控和可管”

  
优秀的安全管理平台,不但可以实现对整个广域分支和总部网络的多设备统一配置管理,同时可以作为整网安全事件的集中处理平台,通过对整网安全日志的关联分析,发现各广域分支存在的安全攻击事件,从而为防护策略的制定及策略推送到指定安全设备提供基础,实现从安全事件的监控-关联分析-策略响应-再监控的闭环操作。具体的部署建议主要有4个方面:

  1)在多厂商设备共存的情况下,要求各厂商设备的日志格式遵循统一日志规范,以便管理平台分析。

  2)需要根据自身的信息安全制度设定恰当的安全策略,并定制适合自身需求的安全事件分析报表的模板。

  3)对各种安全事件的优先级制定紧急事件应急响应流程;加强对内部员工的安全风险培训。

  4)定期进行安全事件的分析评审,结合当前的安全威胁状况调整安全策略,真正实现安全事件的可视、可控制和可管理。如图6所示。

  

  图6 企业统一安全管理平台逻辑示意图 结束语

  广域网的安全体系的建设,既离不开通用安全建设理论(如ISO)的指导,也需要考虑广域网在自身业务开展过程中的实际的安全需求。在理论结合实际的基础上,通过不断研究安全威胁的新变化,并及时动态调整自身的安全防护策略,可以使得整个广域网的安全防护体系与时俱进,为多业务广域分支的建设保驾护航。