给虚拟网络一个真实安全环境
来源: 中关村 作者: 日期:2008-05-30 11:00:19 我要评论利用高性能价格比的虚拟主机技术帮助企业用最小的投资在互联网上建立起自己的网站,进行网络营销,是目前阶段最主要的虚拟网络技术(VPN)的应用方向,也是众多互联网服务提供商(ISP)的主要业务。由于VPN不需要专线接入,没有固定的物理链接,所以各接口之间存在许多漏洞,因此是网络安全事故的多发“地带”。为此,众多ISP不惜成本,购入全球领先水平的防火墙,在事故多发地带构建“安全栏”,以确保为客户建立的虚拟网...
利用高性能价格比的虚拟主机技术帮助企业用最小的投资在互联网上建立起自己的网站,进行网络营销,是目前阶段最主要的虚拟网络技术(VPN)的应用方向,也是众多互联网服务提供商(ISP)的主要业务。由于VPN不需要专线接入,没有固定的物理链接,所以各接口之间存在许多漏洞,因此是网络安全事故的多发“地带”。为此,众多ISP不惜成本,购入全球领先水平的防火墙,在事故多发地带构建“安全栏”,以确保为客户建立的虚拟网络空间足够安全和可靠。
以某大型ISP为例,经过多年耕耘,其已经建立起了强大的网络运行管理体系和软件开发能力,并先后帮助客户注册中英文域名300多万个,为几十万家企业提供快速、稳定、安全的网站和邮箱托管服务。该服务商分布于北京、上海、香港、美国等8个城市的庞大的服务器群已经成为广大中国企业走向电子商务、走向世界的新经济引擎。
随着市场化的深入推行,各级分支机构之间需要传递的数据量大大增加,对数据的实时性要求也越来越高。与此同时,信息传输的安全性也成为突出问题。为此,该服务商与领先的网络安全解决方案供应商凹凸科技携手,制定了一套周密的安全保障体系。
该体系根据服务商虚拟网络运营的现状和需求,提出了如下的安全目标:
1.VPN网络建成以后,公司总部和各分支机构之间能够通过Internet方便快捷地互访。
2.确保VPN链接的安全性,避免数据被窃听、篡改等。
3.确保VPN网络中关键节点的可靠性。
4.VPN网络便于管理和维护。
5.网络具有可扩展性。
针对上述需求,该VPN技术方案还遵循了以下八大设计原则完成设计:
1.符合国家相关法律规定。
2.需求、风险、代价平衡分析的原则。即对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
3.综合性、整体性原则。运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。
4.一致性原则。网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。
5.易操作性原则。措施过于复杂,对人的要求过高,本身就降低了安全性。
6.适应性、灵活性原则。能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。
7.多重保护原则。建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保护信息的安全。
8.冗余性原则。为了网络具有较好的可扩展性,需要考虑VPN设备的处理能力有一定的冗余,以便将来网络设备或链路扩充时仍能满足要求。
如图所示, 该方案在服务商总部的网络出口处部署了SifoWorks E400防火墙作为总部的VPN网关。在各个分支机构网关位置部署SifoWorks U-Series 作为分支的VPN网关。同时在防火墙上设定相应的访问规则,保证在有效的控制业务正常运行。
SifoWorks 系列防火墙是凹凸科技融合了自主研发高水平硬件芯片的能力和丰富的软件系统开发经验后,推出的高效能网络安全产品。作为一款用于千兆网络环境的安全网关系统,SifoWorks 通过其专有的硬件平台以及灵活且有伸缩性的应用界面,为网络未来的安全需求做好充足的准备。
通过配置SifoWorks系统后,该服务商还实施了相应的安全策略,主要包括:
1. 建立VPN连接。通过向导配置VPN系统,根据提示一步步建立总部与分公司的连接。
2.制定严格的访问控制策略。如:对于LAN区,仅开放必要的访问端口;并制定只允许必要的内部主机地址对WAN区的访问策略。
3.配置防火墙规则,对网络流量进行监控和过滤。例如:
(1)针对多种协议的流量进行即时扫描,包括:HTTP、FTP、POP3、SMTP等,确保企业网络不受潜藏于网页与邮件中的病毒、蠕虫及恶意软件的危害。
(2)通过URL过滤技术,可屏蔽绝大部分不健康网站,有效防止不良访问,同时也减少了感染病毒的风险。
(3)针对造成企业安全漏洞或占用网络带宽的即时通讯与P2P下载软件,SifoWorks U-Series 可根据企业需求轻松管理即时通讯与P2P下载软件。
(4)通过SifoWorks U-Series,可控制HTTP与FTP的上传下载内容,不仅可以阻挡特定附件名的文档,还可针对网页里面嵌入的ActiveX、Java与Cookie等内容也可进行过滤。
4.监控网络连接。利用防火墙上的强大的实时监控,可及时地切断特定的访问。同时,利用详细的网络审计功能,可以对通过防火墙的网络连接做详细的审计。
在SifoWorks系列产品的保障下,该服务商的VPN架构的安全性得到极大提升,并且呈现以下特点:
1.安全性。VPN设备内置安全操作系统,由专用芯片处理,具有良好的自身安全特征。
2.适应性。能很好适应系统网络结构的调整和发展。无缝的支持网络NAT穿越。
3.标准化。遵循标准的IPsec协议。
4.可实施性。安装、维护简单快速,可随时进行而不影响正常业务。
5.整体性。可同时提供网络安全访问控制、传输加密、节点认证、用户认证及安全审计功能。
6.灵活性。公司总部VPN网关支持固定IP,各分支机构的VPN网关支持动态IP。
7.低成本。可帮助企业以Internet为骨干网组建自己的私有网络。
8.安全性高。采用证书认证及非对称加密的方式保护密钥的交换,加密算法可靠性高。