互联网、移动互联网、移动办公等技术的不断发展,给园区网安全带来了巨大的挑战;园区网安全越来越受到用户的关注,用户对园区网安全也有着更高更全面的要求。目前园区网安全主要存在以下问题和需求:
1、 园区网需严格限制用户网络访问权限
对于移动办公用户,要求做到无论用户在哪办公、用什么方式接入网络(如:从办公室到会议室,有线接入变为无线接入),都可以获得相同的网络访问权限,做到有线/无线融合,使用便捷;用户接入网络后,要求对用户行为进行有效管控和轨迹可追踪。
2、 BYOD(Bring Your Own Device)带来了便利也存在风险
BYOD为企业带来了前所未有的便捷和高效,但同时也带来了前所未有的安全风险。如何保证BYOD办公安全?如何实现不同类型的终端可以接入网络的同时,进行严格的网络访问权限控制?要求针对不同的终端类型、操作系统及安全级别、根据不同的接入场景(内部接入/远程VPN接入)等设置相应的网络访问权限和执行严格的安全准入控制策略。
3、 多运营商出口链路,如何实现最优路径转发?
保证关键业务服务质量?要求做到基于应用的链路负载分担和带宽管理,保证关键业务选取最优路径转发,保障关键应用业务带宽,控制或阻断非关键应用业务或非法应用业务对带宽的占用。
4、 DDoS攻击防护
对于恶意网络攻击及数据恶意访问日趋严重,要求实现DDoS攻击防护及基于应用的深度安全防护;要求不同区域或不同安全级别的业务系统采取不同的安全访问控制策略,要求不同的部门/企业业务流量完全隔离、单独管理。
5、 园区网可视化管理
安全管理要求简捷、高效,实现网络安全可视化管理,提供整网安全设备统一管理,包括设备管理、配置管理、用户管理、认证用户信息同步、安全策略统一管理、网络状况实时监控、网络风险分析、实时攻击分析、应用流量分析、用户行为审计等。
针对传统园区网面临的众多安全问题和需求,各大厂商提出了新的安全解决方案,方案框架如图1 所示,该方案主要包括以下几点。
图 1 园区网安全解决方案
1、 用户身份识别和行为管控的目标
对于用户身份识别和行为管控,简而言之要实现“身份唯一、策略随行、行为可控、轨迹追踪”的目标。
- 身份唯一
园区网中,每个用户都使用自己的用户ID接入网络(用户ID与用户绑定,是唯一的),用户ID决定了用户身份(即用户可以获得的网络访问权限)。用户身份可划分为:VIP用户(公司高管)、普通用户(公司职员)、合作方用户、访客等,不同身份的用户网络的访问权限也不同。
- 策略随行
用户网络访问权限与用户ID绑定。对于移动办公用户,无论用户在什么地方、采用什么方式(有线/无线)接入园区网,只要用户在接入时输入用户ID,通过认证后即可获得相应的网络访问权限——用户通过认证后,用户信息会实时同步至全网所有NGFW(Next Generation Firewall)设备,用户ID与NGFW用户组绑定,用户组与NGFW安全策略绑定,相同功能位置点的(如:汇聚层)NGFW设备安全策略一致;无论用户在什么位置接入,都会受到NGFW相同策略的管控。通过NGFW基于用户/用户组的策略访问控制,实现了真正意义的策略随行,且简捷高效,可以替代传统网络设备维护用户访问控制策略的冗余、复杂的方式。用户可以通过重新认证等方式接入网络,实现有线与无线融合;也可以通过证书认证、认证客户端自动重认证等方式解决用户无缝接入(无感知)的要求,给用户带来便捷和高效的使用体验。
- 行为可控
用户接入网络后,NGFW设备会根据用户对应的安全策略对用户流量进行处理,并产生的用户行为日志发送给安全管理中心(SecCenter)。
- 轨迹追踪
NGFW设备发送用户行为日志到安全管理中心(SecCenter),由安全管理中心记录、监控和分析用户网络行为,实现用户行为可审计可追踪,满足企业内部治理和国家法规的要求。
该方案允许员工在任意位置接入网络办公,并获得一致的业务策略和网络体验,在提高整个企业的协同工作效率同时,实现了企业对园区用户安全、高效、简捷的管控。
2、 BYOD办公安全
BYOD所倡导的“Any device、Anywhere、Anytime”对园区网安全带来了极大的挑战,如何在保证企业高效办公的同时保护企业网络和数据安全?
通过执行严格的用户身份认证和终端安全准入控制策略,可以解决终端接入的身份识别、权限控制和终端安全风险控制的问题。对于接入网络的终端识别接入方式、终端类型、操作系统及补丁版本,进行安全级别判定,根据安全级别给用户分配相应的网络访问权限;同时强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查,防止非法用户和不符合企业安全策略的终端接入网络,降低病毒、蠕虫等安全威胁在企业扩散的风险。这样可以有效保护企业网络和数据的安全。
3、 多供应商出口链路管理
针对园区网多供应商出口, NGFW设备支持基于应用的链路负载分担(LLB),通过对应用业务、链路状态等健康性检测,为应用业务流量选取最优的转发路径,保障用户业务的网络服务质量。另外,通过基于应用的带宽管理,可以优先保证用户关键应用业务的带宽,控制或阻断非关键应用业务和非法应用业务,有效利用链路资源,保障用户应用业务高效运转。
4、 园区安全防护、业务系统隔离
位于园区出口的NGFW设备针对外部流量实现DDoS攻击检测防御、基于应用的入侵检测防御、并对关键应用业务提供病毒检测防护;对内部流量针对单个用户支持新建连接速率、并发连接数限制及基于应用的带宽管理,防止单个用户对网络资源的攻击和消耗。
NGFW设备将园区不同安全级别的区域或业务系统划分至不同的安全域,通过安全域实现区域间安全隔离和访问控制。同时,通过虚拟防火墙技术,将有着不同安全策略要求的部门、企业划分至不同的虚拟防火墙,实现各部门、企业安全业务独立管理、业务流量完全隔离,进一步提高园区网的安全性。
5、 园区网安全可视化管理
园区网安全设备由安全管理中心(SecCenter)统一管理(如图2),并分析处理NGFW设备发送来的安全日志(包括设备管理日志、设备告警日志、NAT日志、策略日志、异常流量告警日志、攻击告警日志、应用流量统计日志、用户行为审计日志等),通过安全管理中心实现园区网安全可视化管理,保障园区业务支撑系统简捷、高效的运行,最大程度满足企业运维管理需求。安全管理中心(SecCenter)可以实现如下功能。
- 安全设备管理:包括安全设备状态监控、版本升级、配置管理、用户管理、认证用户信息同步、安全策略管理、特征库升级等;
- 网络状况监控:包括链路状态异常告警、异常流量告警、攻击检测告警、日志收集、统计和分析等;
- 网络状况分析:包括网络风险分析、应用流量分析、用户行为审计分析等。
图 2 园区网安全可视化管理
1、 部署场景:
园区网典型逻辑结构如图3所示,分为园区内部和园区外部,园区内部划分为终端层、接入层、汇聚层、核心层及园区出口,还包括数据中心和网络管理中心;园区外部即Internet,主要包括远程VPN接入的办公用户。
图 3传统园区网典型逻辑结构图
2、 部署说明:
参考园区网逻辑组网,园区网安全设备主要部署在园区网汇聚层、核心层和网络出口(如图4所示)。另外,还需要部署安全管理中心(SecCenter,包括安全策略服务器)、认证服务器、接入层/汇聚层设备(认证点设备)、EAD客户端,实现整网安全可视化管理、与NGFW安全设备联动、用户身份认证、终端安全准入控制、认证用户信息同步、安全策略下发、基于用户的深度安全访问控制、攻击检测防御、多ISP链路管理等功能。园区网安全设备的主要功能实现:
a)汇聚层,NGFW主要实现如下功能:
- 实现基于用户的深度安全策略访问控制、用户流量分析、用户行为审计等功能;
- (可作为)用户终端三层网关;
- (可作为)认证点设备,对接入用户进行用户身份认证;
b)核心层,NGFW主要实现如下功能:
- 重点实现整网的深度安全访问控制,包括部门间、到数据中心、管理中心流量的安全访问控制、整网应用流量统计等功能;
- 汇聚层三层网关;
c)园区出口,NGFW主要实现如下功能:
- 实现园区出口的深度攻击检测防御;
- 实现基于应用的多ISP出口链路负载分担和带宽管理;
- 实现基于用户的深度安全防护,包括园区网用户到Internet的安全访问控制、基于用户的连接速率/连接数限制/带宽管理、NAT会话日志等。
- 远程BYOD客户端VPN接入;
- 园区出口网关。
图4展示了园区网安全设备典型部署组网模型,安全设备分别部署于园区出口、园区核心、汇聚层,并由安全管理中心(SecCenter)统一管理,每个位置的安全设备分工明确,各司其职,实现了整个园区网全面、简捷、高效、安全、可靠的园区网安全解决方案。
图 4 传统园区网安全设备典型部署组网模型
园区网安全要求可以总结为安全、准入、管控、审计,在这个基础上用户希望能做到简捷和高效。园区网安全解决方案也正是以这个要求为目标,通过NGFW安全设备和安全管理中心(SecCenter),为用户提供园区网安全可视化管理、深度的网络安全防护、用户权限访问控制及应用业务带宽保证;在充分考虑了用户使用简捷和高效的同时,实现了园区网的安全、准入、管控和审计,让用户用的放心、用的舒心!
浙公网安备 33010802004375号
