| 出版日期:2002-12-09 总期号:1175 本年期号:92 |
|
 |
安全管理要分区
多区域安全防护网关提出新概念— 费宗莲 通常,运用防火墙和VPN设备可以控制来自完全没有防护的网络(例如因特网)的安全威胁。然而,一个企业内部往往拥有多个业务部门,各自对内部网安全的要求不尽相同,如果使用多个安全设备分别设防,必然造成资源的重复浪费。如何在同一安全平台上既整合资源,又达到满足各部门独特要求?多区域安全防御网关正是有效解决这一难题的产品。 内部防护更重要 预防网络外部非法用户对内部网的攻击是企业接入网外联的首要安全问题。企业外部网需要与因特网相联,企业和运营服务商通常要给分支办公室、异地工作人员提供信息存取;企业的网站还常常通过链接业务伙伴,为客户提供一体化服务;同时,一些新的技术,例如无线LAN,使攻击者甚至在没有物理连接的情况下接入内部网。 预防网络内部用户对主机设备和数据信息进行破坏,同样是严峻的课题。用户往往要求控制对网络内部的访问,特别是对系统资源的非授权访问。除了电子邮件、共享业务和接入Web以外,许多单位将网络用于内部应用,譬如涉及到保密的人力资源、财务信息等。企业还经常提供增值业务,对客户提供网上服务,电子商务和其它业务。内部网结构变得越来越复杂,新的威胁包括病毒/蠕虫、特洛伊木马等攻击,常常祸源来自内部资源。事实上,大多数对安全和生产率的威胁来源于单位内部,这就要求网络管理员将内部防护作为全面安全解决方案的一部分。 由于这些新业务和技术的引入,企业普遍感觉到,在内部网和公网之间防护一个单个网络界面的概念已变为过时了。网络拓展的结果使网络界面的定义变得模糊,取而代之的是,网络出现了立体交叉的多重界面。这就使得有必要采用网络安全设计的新办法,综合考虑各种不同的内部和外部区域对安全的要求,以便满足每一个部门独特的需求。 安全管理呼吁区域化 利用同一平台实施分区域管理,正是行之有效的办法。多区域安全网关能提供多个内部网和外部网之间通信安全的功能。通过分段分区域管理,达到满足向大型企业和运营服务商提供的分区域服务要求。 多区域安全网关体系结构,使得网络管理员可以按照他们的安全要求来配置不同的区域。为了在区域之间提供信息流,管理员根据协议,源和目标地址及时间表,建立允许或拒绝接入的安全策略。多区域体系结构还简化了网络拓扑,多个用户端口使得在多个网络之间很容易连接。一个安全网关能够使用一个相同的平台,来完成几个防火墙和VPN,入侵检测,病毒扫描和内容过滤系统的功能。带来的优点是节省初始购买设备,减少机架占地,简化产品生命期的管理,使得总体成本大大降低。 安全区域是多端口防御网关的基本单元。安全区域由一个或多个网络段组成,是各自认定了接入策略的公共集。每一个多区域安全网关单元是用三个安全区域预先配置的:即连接到一个安全内部网的内部区域;连接到公网的外部区域,和连接到一个安全服务器的网络DMZ区。除了这三个基本区域外,用户还能创建自定义的区域,以增加安全解决方案的灵活性,而避免使用多个网络保护网关。例如,在一个企业内部,可以方便地给财务部、工程部或人力资源部网络提供各自需要的专门的保护,都在一台设备上完成。每个区域可以根据实际需要拟定安全级别和安全策略。 分区管理关注三种网 作为一个多区域安全网关的应用实例,不妨分析一下在任何企业中可能找到的三种类型网络接入和保护要求,同时观察一下这三类网络是如何通过使用多区域管理受到保护的。这三种类型网络是:用户网、共享业务网和受限业务网。 保护用户网 用户网可以认为是最不安全的内部网络,因为它们提供广泛的用户,且相对而言是敞开大门接纳用户的。按照用户网的特点,它应该放在最低级别的区域,对安全业务接入的网络应当是受控制的。同时,用户网允许接入共享业务网Mail、Web和其它广泛应用的服务。用户网必须对可能进入Mail和Web的病毒/蠕虫加以防范。在用户网安全区之外的Mail和Web也可受限制地连接到授权获准的服务器和防病毒实施。为防止从用户网发起的对服务器网络的攻击,用户网安全区的连接可增加基于网络入侵检测NIDS的攻击保护。无线LAN网通常比用户网更不安全,也可加到客户安全区。它们对其它内部资源的接入,可以用VPN加密更严格地受限,或要求用户在增加对其它网络接入之前予以认证。 保护共享业务网 共享业务网可以安装在安全区域,它有非常严格的安全策略,但是仍然允许许多用户(都是从不太安全的用户网来的)接入这些业务。安全策略可控制谁能接入这些业务,从哪里接入。例如,所有用户应能接入公司的Mail服务器,但是对所有用户这些接入应该完全局限于从服务器下载和发送Mail到服务器的协议。 保护共享业务网病毒/蠕虫扫描防护也是很重要的。如果共享业务网受到感染,病毒可能会迅速地传播到所有接入服务器的用户。所以,防病毒保护必须加到所有进入和流出的服务器区域的连接。这样才能保护服务器防止病毒传播到用户。此外,基于NIDS的攻击保护也应该加到共享业务网,以保护服务器从用户或外部网来的基于网络的攻击。 保护受限业务网 对具有保密要求的信息,应该是受限制的业务。这些业务只能由授权的专门人员使用接入。为了提供最好的保护,它们可以分段为它们自己专用的安全区域。安全策略可以定为,只有授权的人员可以连接到这些区域。除了给服务器加上安全策略以外,也可以加到所有用户,仅有少数获准接入受限服务器的用户可以例外。 如果一个单位具有几个受限制的业务,可以建构不同的组,每一组能在它自己的安全区内进行分段。有时需要加另一层防护,可将需要访问受限服务器的业务部门和用户添加到他们自己的专用保密安全区域。这样,所有对受限服务器安全区的访问都被限制到只能从专用保密安全区连接过来。从而,只有从专有安全区网络来的连接,才能访问到机密安全区域。 
图 企业多区域网关分段配置举例 以Fortinet公司的FortiGate-500型网关为例,如图所示,一台FortiGate-500安全网关安装在企业网上。它对LAN和WAN传输流量都提供了线速的性能。它由四个内部网和两个外部WAN连接到主办公室组成。从图上可见,FortiGate-500带有12个端口,其中包括8个用户可定义端口,使网络可分段成不同的区。该系统配置为保护从外部WAN端和从不安全的内部LAN端可能造成攻击的两个内部网。 |
||||||||||||||||||||||||||
