【51CTO.com 綜合報道】廣域網安全建設的特點分析

在企業(yè)的廣域網建設過程中，分布在不同位置的遠程企業(yè)分支作為廣域網絡的重要組成部分，是客戶完成與企業(yè)大多數(shù)業(yè)務往來的主要場所。從政府、金融銀行、大企業(yè)、零售業(yè)等行業(yè)來看，其分支機構都在想方設法提升分支機構的辦事效率，增強分支機構的多業(yè)務支持能力，以便在降低成本的同時滿足客戶對更多元化服務的需要。而安全的廣域網分支建設，又是各項業(yè)務能否正常開展的關鍵環(huán)節(jié)，和企業(yè)園區(qū)網絡的建設不同，企業(yè)廣域網遠程分支的安全建設有其自身的特點。

(i) 認證鑒權方面的需求多樣性

和企業(yè)總部局域網園區(qū)接入環(huán)境相比，各廣域分支在認證鑒權方面有其特有的要求。在局域網園區(qū)接入環(huán)境下，員工的辦公地點相對固定，局域網為其網絡接入方式，這意味著可以實現(xiàn)統(tǒng)一的認證授權管理方式。而廣域網分支辦事處因為工作性質的關系，員工可能缺乏固定的網絡接入點，部分員工還存在遠程辦公的需求。因此在認證方式上必然存在多種形式，除了基礎的802.1X或portal認證方式之外，還可能存在L2TP+IPSec 以及SSL VPN等遠程接入方式，或者是需要考慮如何在MPLS的環(huán)境下實現(xiàn)接入認證等。

各類不確定的認證方式必然帶來管理上的復雜性，使得企業(yè)在實施這些認證方式時，很難建設完整的覆蓋各種人員的認證鑒權系統(tǒng)。由于缺乏身份認證，出于對資源冒用的擔心，企業(yè)會實施嚴格的限制策略進行總部資源訪問控制，或者只是有限開放幾種應用給廣域網分支，從而無法實現(xiàn)多業(yè)務分支的構想。

(ii) 接入客戶端的安全狀況不可控性

廣域網分支辦事處員工本身因為工作性質的關系，可以自由開放的使用諸如USB和移動硬盤等形式的存儲介質，而這也將成為網絡安全風險的一個關鍵來源。同時，分支機構終端通過廣域網線路進行統(tǒng)一的補丁分發(fā)和修復，大數(shù)量的并發(fā)操作，會給廣域網帶寬帶來重大負荷。在這種情況下，如何實現(xiàn)對接入客戶端的安全可控？如何在廣域網下進行統(tǒng)一的終端接入控制管理？如何實現(xiàn)集中式的統(tǒng)一管理？在各接入客戶端的隨意個性化使用的同時，如何保證客戶端本身的安全狀態(tài)？

(iii) 多業(yè)務分支建設和廣域網鏈路服務質量之間的矛盾

在廣域網分支的業(yè)務擴充過程中，更多的業(yè)務被引入到分支機構，這意味著可能需要消耗更多的廣域網鏈路帶寬。對于諸如語音視頻會議等對時延敏感的業(yè)務，則需要提供更高的QoS服務質量來進行保證。這將導致：一方面，企業(yè)需要不斷的擴容廣域網鏈路的帶寬，以使分支承載更多的業(yè)務部署；另一方面，擴容必然導致網絡建設維護成本的提高，且不能保證完全達到預期的效果。往往是帶寬上去了，但有時候部分關鍵業(yè)務仍然沒有得到足夠的帶寬，反而是其他一些優(yōu)先級相對較低的業(yè)務侵占了本來就很有限的鏈路帶寬。如何解決這個矛盾？

(iv) 更側重“點狀”的安全防護，缺乏系統(tǒng)的關聯(lián)耦合和統(tǒng)一的安全管理

與園區(qū)網絡和數(shù)據(jù)中心的安全策略部署的規(guī)范有序相比，廣域網分支在安全建設的重點上顯得不夠清晰。由于廣域網分支本身只是業(yè)務的使用部門，不提供對周邊部門的支撐服務，也很少涉及到大量服務器的安全防護。這使得現(xiàn)階段很多廣域網分支本身的安全防護比較簡單：企業(yè)通常的考慮是在分支出口部署防火墻實現(xiàn)基本的訪問控制和安全隔離，或者要求員工PC終端安裝殺毒軟件，或者是針對一些企業(yè)的關鍵應用通過IP五元組等方式進行帶寬的限制。這些安全防護策略更多的是體現(xiàn)在“點狀”的安全防護上，只是解決了安全防護的有無問題，但是系統(tǒng)之間缺乏有效的關聯(lián)耦合；同時網絡中可能存在多類型安全設備，日志格式的差異和配置方法的不同，將導致無法實現(xiàn)對多設備安全日志的統(tǒng)一關聯(lián)分析和總體把握，日常管理維護效率不高。 #p#

廣域網安全部署的整體思路和方案實施建議

(i) 廣域網分支安全建設的整體思路

1. 重點關注客戶端的接入安全，建立完整的安全準入機制，實現(xiàn)對用戶的認證鑒權

在廣域分支的安全建設過程中，員工的接入行為是造成安全風險的重要因素。因此需要合理規(guī)范員工的安全接入行為，針對不同屬性的員工設定差異化的終端準入訪問策略，并通過靈活的技術手段，實現(xiàn)對客戶端安全準入組件（如殺毒軟件、操作系統(tǒng)）的補丁自動升級維護，對于部分關鍵業(yè)務嚴格設定用戶訪問權限，確保整個廣域分支用戶的“合規(guī)”訪問。

2. 強調企業(yè)分支數(shù)據(jù)傳輸通道的安全性，為固定和移動接入用戶創(chuàng)造安全的接入環(huán)境

結合廣域分支辦事處員工的工作實際，通過遠程接入VPN等方式實現(xiàn)對移動用戶辦公的支持，同時對于企業(yè)分支和總部之間的傳輸線路。在保證安全的前提下可以利用VPN進行加密，實現(xiàn)統(tǒng)一的VPN安全傳輸。在產品的選擇上，要考慮選擇成熟的主流產品和符合技術發(fā)展趨勢的產品，實現(xiàn)一體化的VPN安全網關，以減少系統(tǒng)維護的工作。

3. 持續(xù)進行廣域網鏈路質量的優(yōu)化，保障關鍵應用的服務質量，提升應用的交付性能

在規(guī)劃建設多業(yè)務的廣域分支時，無論是通過廣域網的專線互聯(lián)，還是利用internet鏈路進行互聯(lián)，都需要考慮到多業(yè)務對帶寬的占用情況。除了不斷的擴容之外，持續(xù)的優(yōu)化廣域分支的鏈路質量，對分支業(yè)務進行優(yōu)先級排序并合理安排帶寬占用比例，可以有效的分支業(yè)務的服務質量和交付性能，同時也可以減緩廣域分支鏈路擴容維護的壓力，用最小的代價獲得更大的收益。

4. 合理劃分廣域網的安全區(qū)域，加固防護邊界安全風險，實現(xiàn)整體安全事件的統(tǒng)一管理

邊界安全防護和安全域的劃分一直是安全建設的重點，對于廣域網的安全建設來說也不例外。在廣域網的總部匯聚場合，除了部署傳統(tǒng)的防火墻等產品，還可以根據(jù)對外提供服務器的位置部署諸如入侵防護等產品；在廣域網的分支，安全邊界的建設重點聚焦在廣域網分支出口的位置。同時針對這些安全防護策略，將廣域分支的安全事件進行集中的上報和統(tǒng)一的安全管理，可以及時發(fā)現(xiàn)網絡中存在的安全風險狀況，為后續(xù)的策略調整提供技術的支撐。

(ii) 廣域網分支安全方案實施建議

如圖1所示為廣域網安全部署的典型組網。考慮到廣域網分支的關鍵業(yè)務職能是滿足分支到總部的集中訪問，及部分總部應用到分支的及時交付，在進行分支的安全部署時，可以重點關注以下幾個方面：

1. 建設綜合的VPN接入平臺

無論是采用專線方式接入或者是采用internet進行廣域分支互聯(lián)，在涉及到傳輸通道的加密安全方面，采用合適的VPN技術進行數(shù)據(jù)加密傳輸是必然的選擇。面對企業(yè)的多樣化需求，在部署綜合VPN接入平臺時，需要考慮以下幾個方面：

1） 按需選擇技術實現(xiàn)。為確保遠程分支固定接入點人員和總部的數(shù)據(jù)安全，選擇site-to-site IPSec VPN實現(xiàn)分支和總部的鏈路加密，為了保證路由協(xié)議的正常交付，建議采取GRE+IPSec的方式。

2） 針對內部員工遠程移動訪問的需求，如果需要訪問較多的內部資源，原則上建議采用L2TP+IPSec的遠程接入方式，同時客戶端要求使用iNode VPN客戶端，以便實現(xiàn)較嚴格的端點安全接入檢查；針對部分合作方員工的遠程接入訪問需求，可以采取SSL VPN的方式進行，用戶不需要客戶端軟件，而且對于訪問的資源管理員將嚴格限定，避免客戶端的安全風險對網絡造成大的影響。

3） 在具體的認證方式上，對于L2TP+IPSec的接入或者是SSL VPN的接入，無論是采取USBKEY或者是token令牌都可以很好的保證認證安全。

4） 在總部資源的訪問上，嚴格限制通過SSL VPN接入的訪問，以保密度不高的web類訪問為主。

5） 在設備的選擇上，分支設備建議采取UTM多功能網關，在實現(xiàn)基礎的安全防護功能的同時，兼作為VPN client網關設備；在總部VPN網關的選擇上，如果是中小企業(yè)建議選擇IPSec VPN和SSL VPN網關合一的設備進行部署，這種方式可以簡化組網結構；對于大型廣域網而言，可以旁掛部署專業(yè)的高性能SSL VPN網關配合高性能防火墻IPSEC VPN網關實現(xiàn)綜合的VPN接入。

6） 從可靠性的角度，總部VPN網關建議進行HA雙機部署，保證故障情況下的雙機業(yè)務切換。 

圖1 企業(yè)綜合VPN組網示意圖

2. 優(yōu)化安全域的隔離和控制，實現(xiàn)L2-L7層的應用安全防護

在建設安全邊界防護控制過程中，面對企業(yè)的多個業(yè)務部門和分支機構，合理安全域劃分是保證安全防護效果的重要環(huán)節(jié)。尤其是通過internet實現(xiàn)廣域各分支安全接入的企業(yè)，遠程分支和internet之間的安全邊界，企業(yè)總部匯聚和internet的安全邊界，企業(yè)總部的DMZ安全防護，各遠程分支之間的安全隔離和訪問控制等需求更加明顯。在具體的安全域隔離和防護方面，主要的部署建議如下：

1） 廣域網遠程分支的安全防護，建議使用多功能合一的UTM產品實現(xiàn)，除了傳統(tǒng)的安全隔離之外，如果遠程分支具備internet邊界，利用該產品還可以實現(xiàn)對web類應用威脅的訪問控制，anti-virus和IPS等特性都可以很好的保證這一點。

2） 在遠程分支的內部，基于UTM產品實現(xiàn)對安全區(qū)域的嚴格劃分，各個業(yè)務部門可以有自己獨立的安全域，通過安全域可以很好的實現(xiàn)相互之間的訪問控制。

3） 總部廣域匯聚區(qū)域的安全隔離方面，需要考慮各個分支之間的安全隔離，涉及到internet接入方式的情況下，還需要考慮DMZ安全區(qū)域的安全防護，需要考慮對web應用層安全威脅的防護；其整體的部署示意圖如圖2所示。

4） 在設備形態(tài)方面，對于廣域網的總部匯聚位置，建議使用多功能集成的安全平臺，通過在交換路由平臺集成高性能的安全模塊進行組網，以簡化設備的部署和管理。

5） 在設備的功能要求方面，除了傳統(tǒng)的安全特性之外，如果設備支持的情況下，可以考慮使用虛擬化防火墻特性，實現(xiàn)不同業(yè)務之間或者是企業(yè)不同分支之間的徹底安全隔離，如圖3所示。      

圖2 廣域網安全典型部署組網                

圖3 廣域分支和總部防火墻虛擬化部署

3. 強調廣域網應用的交付質量，聚焦低成本的廣域網帶寬管理和優(yōu)化

面對多業(yè)務廣域分支建設對高帶寬的需求，單純的鏈路擴容并不能解決可持續(xù)性發(fā)展的問題。如果選擇昂貴的廣域網優(yōu)化設備，建設成本會提高很多給企業(yè)帶來壓力。在這種情況下，利用現(xiàn)有的深度業(yè)務識別技術，在充分了解現(xiàn)有鏈路帶寬的利用情況下，優(yōu)先保證重點業(yè)務的服務質量、并有策略的限制與工作無關的流量，也可以在一定程度上緩解多業(yè)務應用和高帶寬之間的矛盾，業(yè)務部署流程如下：

1）先看：通過設備部署對現(xiàn)有網絡流量應用情況進行學習監(jiān)控，獲取整個廣域分支的流量分布和帶寬占用情況，同時依托智能管理平臺實現(xiàn)業(yè)務的多維度精細化呈現(xiàn)，幫助網絡維護人員真正了解企業(yè)網絡狀況。

2）后控：在深度業(yè)務識別的基礎上，根據(jù)自身的業(yè)務優(yōu)先級，對業(yè)務流量進行優(yōu)先級的標記，對高優(yōu)先級業(yè)務進行帶寬的保證，對工作無關業(yè)務實現(xiàn)速率限制或者丟棄，確保帶寬不被濫用。

3）再調整：策略部署完成之后，可以基于可視化的報表平臺，進一步監(jiān)控分析策略部署的效果，同時可以根據(jù)實時的業(yè)務需求繼續(xù)對策略進行調整控制，以便做到對業(yè)務從識別到控制再到調整再到監(jiān)控的閉環(huán)流程。如圖4所示。 

圖4 廣域網業(yè)務識別和流量管理典型部署示意圖

4. 實施端點安全準入控制，確保分支網絡接入安全

盡管很多客戶端PC都已經安裝有專業(yè)的殺毒軟件，但是由于安全狀況不可控的終端接入而導致整個分支網絡受到病毒攻擊的行為仍然時有發(fā)生，因此對于終端的安全接入控制顯得尤其重要。考慮到廣域網分支的組網環(huán)境，典型的部署建議如下：

1）在認證網關的選擇上，建議使用廣域分支出口設備或總部入口作為認證網關，實現(xiàn)集中的portal認證；用戶通過廣域網訪問總部數(shù)據(jù)需要進行安全認證和端點健康狀況的檢查，在保證訪問控制權限的基礎上，確保總部資源不會因為終端安全風險而受到影響。

2）企業(yè)所有用戶均集中到企業(yè)總部的EAD管理中心進行認證；對于個分支機構管理員賦予分權管理能力，即分支機構的管理員可登錄企業(yè)總部的EAD管理中心，對于其分支機構的接入用戶、接入設備和安全策略進行維護管理，而無權訪問其它機構的EAD信息。

3）認證服務器、補丁服務器等可集中部署、統(tǒng)一管理，便于執(zhí)行全網一致的安全策略、降低分支維護管理的復雜度。同時還可支持服務器分布部署、分權管理、分級管理等應用方案。

4）對于小于50人、且廣域帶寬比較緊張的分支，建議將終端分成N組，每次同時有1/N的用戶升級，并且下發(fā)基于用戶和業(yè)務的QoS策略，控制升級業(yè)務對帶寬的占用；對于大于50人的分支，建議在遠程分支內部署區(qū)域補丁服務器服務器，在線路閑時與中心補丁服務器同步，完成用戶本地補丁自動升級

5）基于上述的組網模型，可以忽略分支內部多廠商的設備組網，無需調整分支內部網絡，即能實現(xiàn)安全加固的平滑升級。如圖5所示。 

圖5 廣域網分支端點準入典型組網圖

5. 建設統(tǒng)一的安全管理平臺，實現(xiàn)對整網安全的“可視、可控和可管”

優(yōu)秀的安全管理平臺，不但可以實現(xiàn)對整個廣域分支和總部網絡的多設備統(tǒng)一配置管理，同時可以作為整網安全事件的集中處理平臺，通過對整網安全日志的關聯(lián)分析，發(fā)現(xiàn)各廣域分支存在的安全攻擊事件，從而為防護策略的制定及策略推送到指定安全設備提供基礎，實現(xiàn)從安全事件的監(jiān)控-關聯(lián)分析-策略響應-再監(jiān)控的閉環(huán)操作。具體的部署建議主要有4個方面：

1）在多廠商設備共存的情況下，要求各廠商設備的日志格式遵循統(tǒng)一日志規(guī)范，以便管理平臺分析。

2）需要根據(jù)自身的信息安全制度設定恰當?shù)陌踩呗裕⒍ㄖ七m合自身需求的安全事件分析報表的模板。

3）對各種安全事件的優(yōu)先級制定緊急事件應急響應流程；加強對內部員工的安全風險培訓。

4）定期進行安全事件的分析評審，結合當前的安全威脅狀況調整安全策略，真正實現(xiàn)安全事件的可視、可控制和可管理。如圖6所示。

圖6 企業(yè)統(tǒng)一安全管理平臺邏輯示意圖

結束語

廣域網的安全體系的建設，既離不開通用安全建設理論（如ISO27001）的指導，也需要考慮廣域網在自身業(yè)務開展過程中的實際的安全需求。在理論結合實際的基礎上，通過不斷研究安全威脅的新變化，并及時動態(tài)調整自身的安全防護策略，可以使得整個廣域網的安全防護體系與時俱進，為多業(yè)務廣域分支的建設保駕護航。