(完整版)典型企业网络边界安全解决方案

典型中小企业网络边界安全解决方案
意见征询稿
Hillstone Networks Inc.
2010年9月29日
目录
1 前言 (4)
1.1 方案目的 (4)
1.2 方案概述 (4)
2 安全需求分析 (6)
2.1 典型中小企业网络现状分析 (6)
2.2 典型中小企业网络安全威胁 (8)
2.3 典型中小企业网络安全需求 (10)
2.3.1 需要进行有效的访问控制 (10)
2.3.2 深度应用识别的需求 (11)
2.3.3 需要有效防范病毒 (11)
2.3.4 需要实现实名制管理 (11)
2.3.5 需要实现全面URL过滤 (12)
2.3.6 需要实现IPSEC VPN (12)
2.3.7 需要实现集中化的管理 (12)
3 安全技术选择 (13)
3.1 技术选型的思路和要点 (13)
3.1.1 首要保障可管理性 (13)
3.1.2 其次提供可认证性 (13)
3.1.3 再次保障链路畅通性 (14)
3.1.4 最后是稳定性 (14)
3.2 选择山石安全网关的原因 (14)
3.2.1 安全可靠的集中化管理 (15)
3.2.2 基于角色的安全控制与审计 (16)
3.2.3 基于深度应用识别的访问控制 (17)
3.2.4 深度内容安全(UTMPlus®) (17)
3.2.5 高性能病毒过滤 (18)
3.2.6 灵活高效的带宽管理功能 (19)
3.2.7 强大的URL地址过滤库 (21)
3.2.8 高性能的应用层管控能力 (21)
3.2.9 高效IPSEC VPN (22)
3.2.10 高可靠的冗余备份能力 (22)
4 系统部署说明 (23)
4.1 安全网关部署设计 (24)
4.2 安全网关部署说明 (25)
4.2.1 部署集中安全管理中心 (25)
4.2.2 基于角色的管理配置 (29)
4.2.3 配置访问控制策略 (30)
4.2.4 配置带宽控制策略 (31)
4.2.5 上网行为日志管理 (33)
4.2.6 实现URL过滤 (35)
4.2.7 实现网络病毒过滤 (36)
4.2.8 部署IPSEC VPN (37)
4.2.9 实现安全移动办公 (38)
5 方案建设效果 (38)
1前言
1.1方案目的
本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在2千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的ERP系统，支撑企业员工处理日常事务的OA系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。

根据当前国内企业的发展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依赖也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严重的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着企业信息系统的正常运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。

而作为信息安全体系建设，涉及到各个层面的要素，从管理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。

1.2方案概述
本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部
集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。

典型中小型企业的网络结构可表示如下：
典型中小型企业网络结构示意图
为保障中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设效果：
●实现有效的访问控制：对员工访问互联网，以及员工访问业务系统的行为进行有效控制，
杜绝非法访问，禁止非授权访问，保障访问的合法性和合规性；
●实现有效的集中安全管理：中小型企业的管理特点为总部高度集中模式，通过网关的集中
管理系统，中小企业能够集中监控总部及各个分支机构员工的网络访问行为，做到可视化的安全。

●保障安全健康上网：对员工的上网行为进行有效监控，禁止员工在上班时间使用P2P、网
游、网络视频等过度占用带宽的应用，提高员工办公效率；对员工访问的网站进行实时监
控，限制员工访问不健康或不安全的网站，从而造成病毒的传播等；
●保护网站安全：对企业网站进行有效保护，防范来自互联网上黑客的故意渗透和破坏行为；
●保护关键业务安全性：对重要的应用服务器和数据库服务器实施保护，防范病毒和内部的
非授权访问；
●实现实名制的安全监控：中小型企业的特点是，主机IP地址不固定，但全公司有统一的用
户管理措施，通常通过AD域的方式来实现，因此对于访问控制和行为审计，可实现基于
身份的监控，实现所谓的实名制管理；
●实现总部与分支机构的可靠远程传输：典型中小型企业的链路使用模式为，专线支撑重要
的业务类访问，互联网链路平时作为员工上网使用，当专线链路故障可作为备份链路，为
此通过总部与分支机构部署网关的IPSEC VPN功能，可在利用备份链路进行远程通讯中，保障数据传输的安全性；
●对移动办公的安全保障：利用安全网关的SSL VPN功能，提供给移动办公人员进行远程安
全传输保护，确保数据的传输安全性；
2安全需求分析
2.1典型中小企业网络现状分析
中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支
机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。

双链路给中小企业应用访问带来的好处是，业务访问走专线，可保障业务的高可靠性；上网走互联网链路，增加灵活性，即各个分支机构可根据自己的人员规模，采用合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心往往采用三层交换机，通过VLAN来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在VLAN的基础上还配置了ACL，对不同VLAN间的访问实行控制；各分支机构的网络结构则相对简单，通过堆叠二层交换连接到不同终端。

具体的组网结构可参考下图：
典型中小企业组网结构示意图
2.2典型中小企业网络安全威胁
在没有采取有效的安全防护措施，典型的中小型企业由于分布广，并且架构在TCP/IP网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临很多的安全威胁，其中典型的网络安全威胁包括：
【非法和越权的访问】
中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统，在缺乏访问控制的前提下很容易受到非法和越权的访问；虽然大多数软件都实现了身份认证和授权访问的功能，但是这种控制只体现在应用层，如果远程通过网络层的嗅探或攻击工具（因为在网络层应用服务器与任何一台企业网内的终端都是相通的），有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业秘密，造成泄露；
【恶意代码传播】
大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，但是随着蠕虫、木马等网络型病毒的出现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特征是，在网络中能够进行大量的扫描，当发现有弱点的主机后快速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。

【防范ARP欺骗】
大多数的中小企业都遭受过此类攻击行为，这种行为的典型特点是利用了网络的先天性缺陷，即两台主机需要通讯时，必须先相互广播ARP地址，在相互交换IP地址和ARP地址后方可通讯，特别是中小企业都需要通过边界的网关设备，实现分支机构和总部的互访；ARP欺骗就是某台主机伪装成网关，发布虚假的ARP信息，让内网的主机误认为该主机就是网关，从而把跨越网段的访问
数据包（比如分支机构人员访问互联网或总部的业务系统）都传递给该主机，轻微的造成无法正常访问网络，严重的则将会引起泄密；
【恶意访问】
对于中小型企业网而言，各个分支机构的广域网链路带宽是有限的，因此必须有计划地分配带宽资源，保障关键业务的进行，这就要求无论针对专线所转发的访问，还是互联网出口链路转发的访问，都要求对那些过度占用带宽的行为加以限制，避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。

这种恶意访问行为包括：过度使用P2P进行大文件下载，长时间访问网游，长时间访问视频网站，访问恶意网站而引发病毒传播，直接攻击网络等行为。

【身份与行为的脱节】
常见的访问控制措施，还是QOS措施，其控制依据都是IP地址，而众所周知IP地址是很容易伪造的，即使大多数的防火墙都支持IP+MAC地址绑定，MAC地址也是能被伪造的，这样一方面造成策略的制定非常麻烦，因为中小型企业内员工的身份是分级的，每个员工因岗位不同需要访问的目标是不同的，需要提供的带宽保障也是不同的，这就需要在了解每个人的IP地址后来制定策略；另一方面容易形成控制缺陷，即低级别员工伪装成高级别员工的地址，从而可占用更多的资源。

身份与行为的脱节的影响还在于日志记录上，由于日志的依据也是根据IP地址，这样对发生违规事件后的追查造成极大的障碍，甚至无法追查。

【拒绝服务攻击】
大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，但是由于该平台面向互联网开放，很容易受到黑客的攻击，其中最典型的就是拒绝服务攻击，该行为也利用了现有TCP/IP网络传输协议的先天性缺陷，大量发送请求连接的信息，而不发送确认信息，使得遭受攻击
的主机或网络设备长时间处于等待状态，导致缓存被占满，而无法响应正常的访问请求，表现为就是拒绝服务。

这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象；
【不安全的远程访问】
对于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是很一种提高系统可靠性，并充分利用现有网络资源的极好办法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访问往往面临很多的安全威胁，最为典型的就是攻击者嗅探数据包，或篡改数据包，破坏正常的业务访问，或者泄露企业的商业秘密，使企业遭受到严重的损失。

【缺乏集中监控措施】
典型中小型企业的特点是，集中管理，分布监控，但是在安全方面目前尚缺乏集中的监控手段，对于各分支机构员工的上网行为，访问业务的行为，以及总部重要资源的受访问状态，都没有集中的监控和管理手段，一旦发生安全事件，将很难快速进行察觉，也很难有效做出反应，事后也很难取证，使得企业的安全管理无法真正落地。

2.3典型中小企业网络安全需求
针对中小企业在安全建设及运维管理中所暴露出的问题，山石网科认为，应当进行有针对性的设计和建设，最大化降低威胁，并实现有效的管理。

2.3.1需要进行有效的访问控制
网络安全建设的首要因素就是访问控制，控制的核心是访问行为，应实现对非许可访问的杜绝，限制员工对网络资源的使用方式。

中小企业的业务多样化，必然造成访问行为的多样化，因此如何有效鉴别正常的访问，和非法的访问是非常必要的，特别是针对中小企业员工对互联网的访问行为，应当采取有效的控制措施，杜绝过度占用带宽的访问行为，保障正常的业务和上网访问。

对于中小企业重要的应用服务器和数据库资源，应当有效鉴别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全控制手段，保障关键的业务访问。

2.3.2深度应用识别的需求
引入的安全控制系统，应当能够支持深度应用识别功能，特别是对使用动态端口的P2P和IM 应用，能够做到精准鉴别，并以此为基础实现基于应用的访问控制和QOS，提升控制和限制的精度和力度。

对于分支机构外来用户，在利用分支机构互联网出口进行访问时，基于身份识别做到差异化的控制，提升系统总体的维护效率。

2.3.3需要有效防范病毒
在访问控制的技术上，需要在网络边界进行病毒过滤，防范病毒的传播；在互联网出口上要能够有效检测出挂马网站，对访问此类网站而造成的病毒下发，能够快速检测并响应；同时也能够防范来自其他节点的病毒传播。

2.3.4需要实现实名制管理
应对依托IP地址进行控制，QOS和日志的缺陷，应实现基于用户身份的访问控制、QOS、日志记录，应能够与中小企业现有的安全准入系统整合起来，当员工接入办公网并对互联网访问时，
先进行准入验证，验证通过后将验证信息PUSH给网关，网关拿到此信息，在用户发出上网请求时，根据IP地址来索引相关的认证信息，确定其角色，最后再根据角色来执行访问控制和带宽管理。

在日志记录中，也能够根据确定的身份来记录，使得日志可以方便地追溯到具体的员工。

2.3.5需要实现全面URL过滤
应引入专业性的URL地址库，并能够分类和及时更新，保障各个分支机构在执行URL过滤策略是，能够保持一致和同步。

2.3.6需要实现IPSEC VPN
利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公司的通信得到更高的可靠性保障。

但是由于互联网平台的开放性，如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供IPSEC VPN功能，对传输数据进行加密和完整性保护，保障数据传输的安全性。

2.3.7需要实现集中化的管理
集中化的管理首先要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。

总部能够统一对各个分支机构的安全设备进行全局性配置管理，各个分支机构也能够在不违背全局性策略的前提下，配置符合本节点特点的个性化策略。

由于各个厂商的技术壁垒，不同产品的功能差异，因此要实现集中化管理的前提就是统一品牌，
统一设备，而从投资保护和便于维护的角度，中小企业应当选择具有多种功能的安全网关设备。

3安全技术选择
3.1技术选型的思路和要点
现有的安全设备无法解决当前切实的安全问题，也无法进一步扩展以适应当前管理的需要，因此必须进行改造，统一引入新的设备，来更好地满足运行维护的要求，在引入新设备的时候，必须遵循下属的原则和思路。

3.1.1首要保障可管理性
网络安全设备应当能够被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着非常重要的意义，因此系统必须能够被统一管理起来，实现日志行为，特别是各种防护手段形成的记录进行集中的记录与分析。

此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可根据自身的特点，在不违背全局性策略的前提下，进行灵活定制。

3.1.2其次提供可认证性
设备必须能够实现基于身份和角色的管理，设备无论在进行访问控制，还是在QOS，还是在日志记录过程中，依据必须是真实的访问者身份，做到精细化管理，可追溯性记录。

对于中小企业而言，设备必须能够与中小企业的AD域管理整合，通过AD域来鉴别用户的身份和角色信息，并根据角色执行访问控制和QOS，根据身份来记录上网行为日志。

3.1.3再次保障链路畅通性
对于多出口链路的分支机构，引入的安全设备应当支持多链路负载均衡，正常状态下设备能够根据出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路异常的状态下，能够自动切换负载，保障员工的正常上网。

目前中小企业利用互联网的主要应用就是上网浏览，因此系统应提供强大的URL地址过滤功能，对员工访问非法网站能够做到有效封堵，这就要求设备应提供强大的URL地址库，并能够自动升级，降低管理难度，提高控制精度。

中小企业的链路是有限的，因此应有效封堵P2P、IM等过度占用带宽的业务访问，保障链路的有效性。

3.1.4最后是稳定性
选择的产品必须可靠稳定，选择产品形成的方案应尽量避免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全网通信的故障，因此采取集成化的安全产品应当是必然选择。

另外，安全产品必须有多种稳定性的考虑，既要有整机稳定性措施，也要有接口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的情况，并保持系统整体工作的稳定性。

3.2选择山石安全网关的原因
基于中小企业的产品选型原则，方案建议采用的山石网科安全网关，在多核Plus G2硬件架构的基础上，采用全并行架构，实现更高的执行效率。

并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。

山石网科安全网关在技术上具有如下的安全技术优势，包括：
3.2.1安全可靠的集中化管理
山石网科安全管理中心采用了一种全新的方法来实现设备安全管理，通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。

山石网科安全管理中心可以清楚地分配角色和职责，从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率，减少开销并降低运营成本。

利用山石网科安全管理中心，可以为特定用户分配适当的管理接入权限（从只读到全面的编辑权限）来完成多种工作。

可以允许或限制用户接入信息，从而使用户可以作出与他们的角色相适应的决策。

山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。

为了实现这一目标，山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。

管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。

同时，只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。

山石网科安全管理中心还带有一种高性能日志存储机制，使IT部门可以收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。

利用内置的报告功能，管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。

山石网科安全管理中心采用了一种3层的体系结构，该结构通过一条基于TCP的安全通信信道－安全服务器协议（SSP）相连接。

SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。

利用经过认证的加密TCP通信链路，就不需要在不同分层之间建立VPN隧
道，从而大大提高了性能和灵活性。

山石网科安全管理中心提供统一管理功能，在一个统一界面中集成了配置、日志记录、监控和报告功能，同时还使网络管理中心的所有工作人员可以协同工作。

山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡，对于安全网关这类安全设备的大规模部署非常重要。

3.2.2基于角色的安全控制与审计
针对传统基于IP的访问控制和资源控制缺陷，山石网科采用RBNS（基于身份和角色的管理）技术让网络配置更加直观和精细化，不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。

基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。

在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。

另外，在采用了RBNS技术后，使得审计记录可以直接反追溯到真实的访问者，更便于安全事件的定位。

在本方案中，利用山石网科安全网关的身份认证功能，可结合AD域认证等技术，提供集成化的认证+控制+深度检测+行为审计的解决方案，当访问者需跨网关访问时，网关会根据确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后根据角色执行访问控制，限制其访问范围，然后再对访问数据包进行深度检测，根据角色执行差异化的QOS，并在发现非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。