看完视频,首先有容我先吐个槽。如果是真实的企业里,老克是无奈的,技术总监是混饭的,下面投诉的是不负责的,企业老板是什么都不懂的。
为什么这样讲,假设企业没有任何的标准的信息化规范,那么技术总监起码要知道企业网络将面临什么问题,恰恰又是一个外贸企业,涉密的就不说了,至少在提高内部办公的整体效率上,作为一个CTO,这种技术总监还不如网吧的网管。根据视频内容猜测,此类网络症状绝对不是突发的,应该是长期管理不当导致,涉及到的技术层面反而并非根本原因。OK,吐槽完毕 进入话题
在当今的信息化企业中,企业网络的搭建主要满足不断增长的商务拓展需求,其中以提高生产力以及办公效率为主,所以会有更多的IT设备和企业应用投入到企业的生产环境中,使得企业IT基础架构变得越来越复杂。可以承认一点一个公司的成立除了业务上的投资,剩下大量的内部预算有超过一半花费在不断的部署,配制,更新以及管理IT资产。
从网关安全到网内安全,从主动防御到行为审计,这些都在表明企业网络将来面临的问题会越来越多。
单从视频内容上看老克面临的问题和现在很多企业基本一样,企业仅仅单纯的为了解决internet可能会带来的网络滥用,非法访问,病毒入侵,内部信息丢失等一系列问题。很多企业也仅仅引入网关型的安全设备,如防火墙,IPS,UTM等。
但是被众多网管或技术人员忽略的是内网的安全,堡垒往往从内部攻破,而超过三分之一的问题都是内网传播的。
比如说APR病毒,ARP的变种带来影响至今是众多网管的噩梦,至于各个厂商提出的"绝对防御"如果不从实际环境考虑ARP,那么只是说明大部分商家在吹牛。
分析老克可能面临的问题基本如下:
1.移动设备未经安全检查直接接入到内部网络,未经允许介入内部设备给网络带来病毒传播、黑客入侵等不安全因素
2.内部网络用户中有人可能通过双网卡、无线网卡等网络设备进行违规的拨号上网。
3.可能将内部专网专用的计算机带出网络接入到其他网络中
4.网络出现类似病毒,蠕虫攻击等安全问题后,不能做安全事件实时的定位远程阻断操作。安全事件发生后,网管一般只会通过交换机和路由器防火墙进行阻截,但设置和操作风险较大,但是大多数的交换机也没有开启SNMP管理模式,所以不能快速进行隔离操作
5.老克的管理上缺少规划性,在大规模安全事件发生后,根本无法确定黑客事件的源头、无法找到网络中的薄弱环节,说白了就是事前猪一样,事后还不是诸葛亮,还是猪一样--------------事后需要分析以及加强安全预警。(关于这点群里的赵云童鞋曾经制作过过一个记录服务器远端访问的脚本,这个习惯非常好,相信很多人已经意识到这点了)
6.静态IP地址的网络由于用户的原因造成使用管理混乱、网关甚至无法知道IP地址的对应关系、IP同MAC地址的绑定情况和网络中IP的分配情况。
7.企业网络系统中区域结构复杂,不能够明确划分管理职责范围。(域控制可能没有规划)
8.网络中的计算机设备硬件繁多,可能没做到精确统计。
其实老克所有的问题总结就两点:安全和管理
内网问题的优化方案一直就没有停过,由于涉及到的技术领域和相关数据比较多我们仅以视频中可能出现的问题来讨论相对安全的内网规范。
老克的内网问题
个人认为的视频中内网安全涉及到两个广义的方面
安全方面:最终目的是保证终端提供正常工作的应用服务,即计算机安全可用。
管理方面:最终目的是保证生产环境内的计算机是用来工作的,即规范计算机在企业网络中的行为。
好了,剥丝抽茧,面对以上两大问题,防病毒软件以及防火墙的出现解决其中矛盾突出也是最基本的问题-------基础安全。现阶段日趋完善的桌面和终端内网安全管理类的产品出现,也集中解决内网计算机的安全管理漏洞,同时整合了对主机防病毒的监控。面对日益复杂的网络使得企业有必要部署一套扩展性非常强的企业网络,业务的扩展会让企业内部存在太多的应用系统以及支撑这个应用系统的服务器、数据库、中间件以及WEB服务等,面对众多的应用服务,不但要保证基础安全和基础的业务操作,并且也要保证整个网络的工作效率,也就是不能崩溃,所以想必很多企业现在已经开始走上了"中央集权式的管理与控制"。
说到此,我们和老克都已经清晰了一个观念,那就是集中的内网安全管理是完全可以实现的,其中包括监控与审计和行为控制等一系列的管理办法。(很多虚拟化平台业务的设计方案强调的就是这一点)
下面我们开始细化一下管理细节,与传统的防火墙、入侵监测系统、防病毒组成的安全网络相比,现阶段网络安全的复杂性、多样性突出的体现了传统的被动防御,边界防护等技术的局限。所以基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的检测、分析、统计、评估的网络架构已成趋势。
上面一系列大家都清楚的废话只表达一个问题,面对ARP欺骗、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDoS攻击、超大Ping包、格式错误数据、发包频率超标等协议病毒攻击等网络威胁。所产生的安全策略必须要有自主防御和管理,源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。不敢保证绝对安全,但是至少要保证不发作,尽可能的减少经济损失。
结合自身的工作经历和老克的实际环境,粗略设想了一个拓扑,至于架构的复杂性和实用性,个人倾向于后者。
(涉及到的具体操作实在太多比如,进程禁止、窗口禁止、进程保护、驱动防火墙、IE安全、远程集中管理客户、还原保护、关闭非常用端口号等等此处不讨论,全部包含在整体架构中)
下面阐述一下,此图的设计思路(从外网向内网里说吧)
面向外网的设计考虑(路由,访问控制,入侵防护)
1.路由思路。在设备选型上首先考虑实现基于源/目的的智能选路。按照查找优先级排列分别是:策略路由、源接口路由、源路由、目的路由。即不仅可以实现基于srcIP的源路由、基于In-interface(源接口)+srcIP的源接口路由、还可以按照srcIP+srcPort+dstIP+dstPort+Protocol五元组来完成智能选路的高级PBR功能。与之配套的是采用ECMP智能负载均衡技术的设备,最大可以实现在多条路径之间作负载均衡。
2.出口策略设计思路。按照上面拓扑的思路,在面对外网的路由设备上,一定要支持透明、路由、NAT、混合等四种部署模式。尤其是把NAT/路由模式以及透明模式无缝结合在一起,辅助以灵活的物理端口类型和数量,完全可以替换传统的路由器加防火墙的接入方式,简化网络拓扑,降低投资,方便管理。
3.访问控制思路。出口策略设置完毕,开始考虑防火墙安全防护能力,首先访问控制:根据安全策略对数据流进行检查,让合法的流量通过,将非法的流量阻止,从而达到访问控制的目的。现在大部分市面上的设备都有状态检测技术和优化的规则匹配算法,
举个例子。DOS/DDOS攻击,由于其攻击的突发性和随机性的特点,最有效的防御方式其实就是做到实时的检测和即时防御。
面向内网的设计考虑(流量控制,内网监控,上网行为控制,提升可靠性)
1.流控思路。优化企业内部网络第一个要求大部分同行想到的可能就是流控。P2P的应用越来越广泛,所以曾经提高应用带宽早变成治标不治本的办法。
而现在生产环境要求,保证重要业务最大带宽(如HTTP应用),减少外部用户对带宽的消耗,支持基于时间段生效的带宽控制策略(可以通过配置不同的时间段策略进行时间与应用带宽上的管理与控制),精准的应用协议精确识别等相对人性化策略。在此提句题外话,或许有些朋友把专业流控设备与上网行为管理混淆,二者有本质区别,比方说后者强调的技术是URL特征库的识别,而专业流控设备强调的是协议特征库的精准识别。当然本质区别还请童鞋们百度。
2.监控思路。如果按照上面拓扑展示,那么老克的单位规模并不小,所以内网监控是解决视频中一些员工不遵守规定偷看小电影等问题的有效手段。对于员工访问成人、反动、挂病毒木马的网站--URL过滤这类的功能(这是行为管理产品最起码的技术亮点),根据URL黑名单、关键字列表有选择性地限制用户对某些网页的访问。此外,企业中如果有需要,还可以对用户的IM使用(Yahoo! Messenger 、MSN、Windows Messenger、QQ、新浪UC、网易POPO、搜Q)进行控制,如阻止登录、阻止文本聊天行为或者阻止文件传输行为等。
3.高性能,高可靠性思路。我们往往忽视了一个重点-------企业网络安全的最重要的一方面就是设备的性能、可靠性。
有很多人为了节省成本,采购一批性能强劲的流控设备,但偏偏网卡选择买杂牌,最后导致设备频繁崩溃,软件性能再高,硬件承载能力不够等于自毁城墙
当然,至于在事业型单位工作的朋友来说,基于这一点很多有钱的单位选择了"烧钱"的方式来提升整体性能,这里涉及到领导那点内幕,此处忽略一万字。
网络安全的设备必须要具备先进的多核处理器,安全处理芯片+内部高效的交换总线硬件平台,稳定的操作系统,最高的吞吐能力、并发会话和的每秒TCP/UDP会话创建速率,这样才能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力
必须支持双机热备,主机和备机之间可以同步规则、对象、路由和Session等信息。当主机出现问题后,各种网络服务都可以平滑的切换到备机上,保证用户不断网。减少企业网络中单点故障,增强网络的可靠性,稳定性。
以上想法和建议仅仅是针对老克的情况做出的一个分析,当然本人经验有限,在遍布高手的天朝帝都中,还是抱着学习的心态与大家交流探讨。
针对老克的情况推荐2种相对简单的方案,并贴出以下可能涉及到的厂家以及设备(排名不分先后),仅供大家参考。
方案1:安全网关产品(UTM:Unified Threat Management)+流量控制
方案2:防火墙产品+防病毒(AV:Anti Virus) +入侵检测(IPS: Intrusion Prevention System) +虚拟专用网络(VPN:Virtual Private Network ) +流控系统
推荐产品方案:
安全网关产品: 飞塔(Fortinet) 、山石网科(Hillstone) 、瞻博网络(Juniper)启明星辰、天融信(Topsec)等…
流量控制产品:派网科技(Panabit) 、网康科技(NetentSec Inc) 、迈科网络(Maxnet) 、Allot、Packeteer等…(建议选择国内产品,国外产品识别率有局限)
防病毒产品:飞塔(Fortinet) 、山石网科(Hillstone) 、启明星辰、天融信(Topsec)等….
入侵检测产品:飞塔(Ftotinet) 、山石网科(Hillstone) 、启明星辰、天融信(Topsec)等…
VPN产品:深信服(Sangfor) 、网康科技(NetentSec Inc) 、飞塔(Fortinet) 、山石网科(Hillstone) 、启明星辰、天融信(Topsec) 、居易科技(Vigor) 等…
