内网安全解决方案
前言
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
一般说来,内网安全应该考虑以下问题:
n 终端安全策略部署
终端安全是内网安全的核心问题,终端安全策略的部署也就是内网安全的最主要部分。但是受限于终端用户安全应用水平,如何确保网络中的终端安全状态符合企业安全策略,却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端,是一项费时费力的工作,往往造成企业安全策略与终端安全实施之间存在巨大的差距。
n 内网访问控制部署
传统上,在内网是通过划分VLAN,配合ACL进行访问控制,这虽然可以在一定程度上实现内网访问控制,却难以做到比较精细的安全控制,同时也可能会影响到VLAN间用户的访问,从而影响网络的使用效率。对于部分交换机,ACL数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。
n 网络自身安全保障
目前在内网安全事件中,出现从攻击主机转为攻击网络资源的趋势,而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。
方案概述
H3C的内网安全解决方案考虑到内网安全的方方面面,针对上述内网安全的主要问题都提出了有针对性的技术,这些技术相互关联、相互配合,形成完善的内网安全解决方案。
n 端点准入防御解决终端合规性问题
为了解决现有安全防御体系中存在的不足,H3C推出了端点准入防御(EAD),旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。
EAD将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
EAD方案通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括:
þ 检查——检查用户终端的安全状态,配合不同方式的身份验证技术(802.1x、VPN、Portal等),可以确保接入终端的合法与安全。
þ 隔离——隔离违规终端。不符合企业安全策略的终端,将被限制访问权限,只能访问“隔离区”内的病毒库/补丁服务器等用于系统修复的网络资源。
þ 修复——强制安装系统补丁、升级防病毒软件。
þ 管理与监控——EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合,强制实施终端安全配置(如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等),监控用户终端的安全事件(如查杀病毒、修改安全设置等)。
n 以防火墙为核心的内网访问控制
为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,H3C提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块,通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。
SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起,使得交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务。防火墙模块主要实现对企业网络的监控和业务的约束,插入交换机中实现企业网络和园区网络的安全隔离。
SecBlade 防火墙模块主要对需要保护的区域进行策略定制和控制,可以支持所有报文的安全检测,同时SecBlade 防火墙模块支持多安全区域的设置,支持SECURE VLAN,对于需要防火墙隔离或保护的VLAN区域,用户可以将SECURE VLAN绑缚到其中的一个SecBlade 防火墙插卡模块上,这样可以通过设置SECURE VLAN支持对交换机内网之间(不同VLAN之间)访问的策略定制和安全检测。
此外,端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。
n 交换机安全特性实现网络自身安全保障
以太网在设计时没有考虑安全性的要求,这造成了以太网自身存在很多的安全隐患,正是这种原因,目前出现了从攻击主机向攻击网络资源转变的趋势。
基于H3C在以太网安全领域积累的大量经验,在H3C交换机产品中提供了大量的安全特性,可以充分保障以太网的安全。这些安全特性同时也是内网安全解决方案中很多功能实现的基础,例如在EAD解决方案中就使用到了接入交换机的Port Security特性。这些安全特性包括:
þ 接入控制技术——Port Security
þ 接入安全技术——防IP伪装
þ 防中间人攻击——STP Root / BPDU 保护
þ 防ARP欺骗
þ DHCP server 保护
þ 路由协议攻击防护能力
以上特性的详细信息可参考H3C交换机操作手册。
典型部署
内网安全解决方案的典型部署如下图所示:
内网安全解决方案典型组网
全网都要部署具有丰富安全特性的交换机产品,这是内网安全实现的基础。根据内网应用的要求设计VLAN,并通过SecBlade防火墙安全插卡实现VLAN之间的访问控制,结合交换机的端口隔离特性实心VLAN内的访问限制。
在所有的终端上部署EAD解决方案所需的iNode客户端,对终端的安全策略进行检查,检查的结果将送至部署于网络管理区域的CAMS安全策略服务器,在同样部署于网络管理区的病毒库服务器和补丁服务器的配合下,结合交换机的Port Security安全特性,实现检查、隔离、修复以及管理监控的端点准入防御功能。
方案特点
H3C内网安全解决方案具有以下特点:
þ 企业级安全策略实施
本方案不仅仅可以在网络设备上实施统一的安全策略,还可以实施终端安全策略,以达到企业级安全策略统一实施的目的。
þ 可扩展的安全解决方案
本方案是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备进行简单升级,即可实现。
þ 灵活方便的部署与维护
SecBlade防火墙模块在提供精细化的VLAN间访问控制的同时,也简化了整个系统的部署与维护。而EAD方案则可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。
Powered by IXPUB.Net © 2001-2007 All Right Reserved. 
