信达政府互联网出口解决方案
日期: 2019/8/16 浏览: 2 来源: 学海网收集整理 作者: 学海网
目录
1. 互联网出口基础架构设计 1
1.1 出口功能区划分 1
1.2 出口网络拓扑结构设计 2
2. 互联网功能设计 3
2.1 访问优化设计 3
2.2 审计功能设计 3
2.3 接入管理功能设计 4
3. 出口安全设计 4
3.1 用户安全性设计 4
3.2 应用系统安全性 5
3.3 WEB服务器安全性 5
4. 系统可靠性设计 5
4.1 设备可靠性设计 5
4.2 链路可靠性设计 6
4.3 路由可靠性设计 6
随着信息化建设的开展,政府经过多年持续不断的信息化建设和应用提升,已经形成了较为稳定的内部局域网基础架构。但是,随着政府电子政务的开展,信息化公开等丰富的应用上线,政府部门在科研、办公、公众服务等相关业务对于互联网出口平台的依赖性越来越强。建立一个稳定,可信的互联网出口成为政府部门的信息化工作的一个极为重要的工作。
某政府网络是一个集数据、语音、视频为一体的综合业务网络系统,需要在互联网出口上承载的业务不仅仅包括基本的互联网访问,还包括为公众提供应用服务的相关服务器的互联网出口,和远程用户接入的相关服务。所以政府互联网出口需要具有高可用性,提供稳定的互联网服务。并且由于互联网出口是整个政府与外界信息交互的主要途径,所以对于出口交互的各种重要数据和应用服务的安全性,必须要进行全面的保障。同时需要整体的审计技术,包括用户登录审计与用户行为审计。
锐捷网络经过对政府互联网出口业务的深入分析和对客户的充分调研,针对政府客户制定了一整套出口解决方案。整体方案在出口的优化访问、安全策略、全局审计、统一管理四个方面,进行整体上的规划。
1. 互联网出口基础架构设计
1.1 出口功能区划分
根据互联网出口所连接的不同功能,可以将其细分为四个功能区,分别为:核心设备区、互联网应用区、用户接入区、远程接入区。改造后的出口宏观结构如图1所示:
图1 宏观结构图
其中,核心设备区主要负责互联网出口链路的有效利用,和应用系统的服务保障。
互联网应用区分为DMZ区、应用数据库区、管理区三个安全区域,其中DMZ区用来放置针对公众提供信息发布的WEB服务器以及相应的应用服务器;应用数据库区放置用于存储前端服务器所产生的相关数据信息的数据库服务器;管理区主要用于对整个互联网出口设备进行统一管理和各个用户的管理和审计。
用户接入区主要提供本地用户的接入,并保证对接入用户的身份认证。
远程接入区通过相应的防火墙设备提供远程VPN的功能,并可以与CA体系对接,实现CA证书方式认证。
1.2 出口网络拓扑结构设计
图2 出口网络拓扑
整个互联网出口充分考虑到架构和设备的冗余,在与运营商的线路连接的设备,采用专用的出口NPE出口引擎设备,并且部署两台互为备份。NPE通过硬件优化,可以承载大容量的,并且在一台设备上同时实现多线路的负载均衡和智能DNS功能,满足用户对出口设备的各种要求。
为了保证整个互联网出口能够很好的为各种应用提供服务,在出口使用专业应用控制引擎ACE系列,为各种应用服务器保障服务质量,并且提供对各种P2P程序的控制,使带宽资源得到合理的应用。
互联网出口作为与外部网络连接的唯一出口,其安全性也是非常重要的,锐捷网络的高性能万兆防火墙可以在大业务量的情况下,很好的进行安全检测,保证数据包的线速转发。同时为了减少在整个链路上串联设备过多,防火墙支持IPS硬件模块,提供相应的IPS功能,减少用户投入。
同时防火墙根据客户的实际应用需求,针对不同的应用进行隔离,将防火墙虚拟为2台或者多台防火墙,并可根据虚拟出的防火墙配置不同的安全策略,并进行单独的管理。最大限度的保护应用系统间不会产生影响,保证应用系统的稳定和安全。防火墙本身提供 Bypass功能,在设备出现故障的情况下,首先保证业务的正常访问,提高网络的整体健壮性。
2. 互联网功能设计
2.1 访问优化设计
根据对客户应用的实际调研,互联网的访问服务包含两个方面,分别是内部用户访问互联网,和外部用户访问相关服务器。锐捷网络针对不同的业务系统对互联网出口的利用特征,使用链路负载均衡、智能DNS等技术对相关的应用速度进行优化。
针对大量用户同时访问互联网时,NAT地址转化的问题,NPE出口引擎设备提供硬件优化的NAT转换功能, NPE基于多核处理器技术进行架构,具备转发高性能,内嵌状态防火墙、并且采用NAT与REF(锐捷快速转发)高效配合,并充分利用x-flow技术,实现高速NAT,NPE成为网络出口的高性能推力引擎。
目前用户多采用多链路的互联网出口的情况,NPE支持多链路的负载均衡技术,通过线路带宽大小、线路带宽利用率、链路响应等因素综合分析判断,智能的为用户选择最快速最优的访问线路。
通过智能DNS功能,可以保证外部用户访问应用服务器时通过最优的线路进行服务器的访问。智能DNS功能可以智能的判断访问用户所在运营商,而将访问数据智能解析定位到对应的ISP链路上,以加速对服务器的访问。同时对重要的服务器进行带宽保证,在链路带宽不足时,优先保证应用服务器的带宽,提供服务质量。
同时为了保证出口的带宽合理化利用,对一些P2P下载和视频流量进行统一管理。目前互联网出口大多数会有一定程度的P2P程序,此类程序占据着链路的大部分带宽,造成出口拥塞,造成正常的用户访问缓慢甚至无法打开页面等情况的发生,所以针对此类情况,使用专业的用户行为管理设备,对相关的应用进行灵活的控制。同时支持用户组功能,满足不同用户拥有不同上网权限的功能。提高了出口带宽利用的灵活性。
2.2 审计功能设计
对于网络中提供的审计功能,其目的是重现不法者的操作过程,提供认定其不法行为的证据,同时可以分析目前安全防御系统中的漏洞。锐捷从对国家法规法令的遵守和客户实际需求出发,结合以下两个关键点进行统一日志审计方案的设计:
(1)对所需的用户、应用和流量的日志数据进行融合管理。
(2)多台设备架构下的网络出口多种类型的日志数据。
锐捷统一日志审计解决方案通过整合各方网络资源,为IT管理者提供统一网络监管界面,最终将IT复杂问题简单化,提高IT工作效能。
统一的日志信息可以在审计界面直接显示包括用户身份、用户IP地址、访问内容等一系列信息,日志信息直接关联用户身份,可以保证管理人员快速定位责任人,并提供相关责任人的源IP、源端口、NAT后源IP、NAT后源端口、目的IP和目的端口的详细信息,同时在内容审计方面,可以实时的过滤相关服务器的敏感字,并对相关页面进行监控,了解每个页面访问情况,提供IP地址所访问的详细页面信息,在出现安全问题时,可以直接根据相关的IP地址定位到具体的人员。
在提供丰富的审计功能的同时,针对用户的流入、流出流量及建立的会话数设置告警条件,并实时监控日志数据,触发告警。
2.3 接入管理功能设计
(1) 内部用户接入管理
通过在网络中部署核心安全交换机,对内网接入的主机通过基于802.1X协议和Radius协议的身份验证体系,通过与网络交换机的联动,实现了对于用户访问网络的身份的控制。同时,可以采用用户名、密码、用户IP、用户MAC、认证交换机IP、认证交换机端口号等多达6个元素的灵活绑定,来保障用户的身份正确性,更可以根据用户身份的不同,来给用户赋予灵活的网络权限访问控制。
(2) 远程用户接入管理
VPN接入设备,通过与后端的用户管理服务器将所有VPN用户帐号进行整体的管理。并根据用户使用的硬件信息进行VPN主机的安全准入控制,防止因为远程用户的密码丢失,导致内部安全隐患。
同时通过与专业入侵检测设备IDS的联动,可以对用户的访问行为进行分析,并通过内置的安全事件库对网路安全事件进行及时的检测和上报,通过后台系统的联动处理来自动的处理发生的网络安全事件。
3. 出口安全设计
目前针对互联网出口的安全攻击手段层出不穷,任何一个独立的安全手段都不足以保护整个互联网出口上承载的应用系统的安全。通过对互联网出口的整体安全性考虑,锐捷网络为出口建立起用户安全、网络安全、应用系统安全、Web服务安全的立体安全防护体系。
3.1 用户安全性设计
(1) 本地用户安全性
为了保证本地用户的接入安全,通过对互联网出口用户的身份认证,做到用户的权限的统一管理。在用户通过用户认证后,针对用户的分组信息,对用户进行相应的带宽分配,并根据用户的相应权限,限制用户所能使用的相关互联网程序和能访问的相关资源。
(2)远程用户安全性
在互联网出口部署VPN接入设备,通过与后端的用户管理服务器对所有的VPN用户进行整体的管理。并根据用户使用的硬件信息进行VPN主机的安全准入控制。
同时,锐捷网络防火墙提供虚拟防火墙功能,虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
用户可以根据不同的用户组或者不同的接入部门,针对各个类型的远程接入用户虚拟出若干虚拟防火墙,进行单独的安全权限管理和应用接入,做到应用系统级别的隔离。
3.2 应用系统安全性
根据项目的实际情况,分析用户当前的应用系统情况,提出合理性的访问控制策略,主要从对内部用户的访问控制进行分析和规划。
3.3 WEB服务器安全性
针对专门为公众提供服务的相关服务器,锐捷网络提供了专业的WEB应用防护系统,防止重要的WEB服务器被恶意用户进行攻击,WEB应用防护系统,主要对DDOS防护、SQL注入、XSS等常见的方式进行保护。由于是应用层而非网络层的入侵,安全应用防护系统产品部署在服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必需的。
WEB应用防护系统主要从以下几个方面对服务器进行保护:
(1)采用事前防御和事后恢复的双层策略。既能在事前防御防范于未然,又能在事后进行页面恢复。
(2)基于DDSE(深度解码扫描引擎)解析Web交互信息,在进行解码的基础上,对攻击的形式逻辑进行判断过滤,实现HTTP深度识别。
(3)站点隐身使攻击者无法获取服务器信息,避免攻击前的渗透扫描,避免Web服务器出错信息暴露出系统架构,从而无法执行下一步攻击。
(4)虚拟补丁技术保护操作系统、数据库、Apache、IIS等Web应用服务平台,避免Web应用服务平台被攻击导致系统隐患。
(5)危险文件下载检测,阻断下载数据库等危险文件,避免攻击者下载用户密码等敏感内部信息。
4. 系统可靠性设计
4.1 设备可靠性设计
整个出口的设计将打造高可用性作为一个重要的目标。从架构上看,出口采用了双设备、多链路的互联。一方面可以实现分流,即用户区域的流量通过特定路径,服务器区域的流量经过另外独立的路径;另一方面,当出现问题的时候,互为备份的设备或者冗余链路之间能够实现自动的切换。对于网络管理者而言,出口能够在最短的时间内进行切换,实现可用性,而不需要24小时进行值班,出现问题也无需立刻进行解决。
出口设备提供丰富的HA功能,带来最大化降低网络的设备风险,其工作模式包括Active-Standby和Active-Active。在AS模式下,主机和备机之间可以同步规则、对象、路由和Session等信息。当主机出现问题后,各种网络服务都可以平滑的切换到备机上,保证用户不断网。在AA模式下,两台设备可以同时工作,信息也是即时同步的,包括Session。同时采用一个优化算法,将流量平均的放在两个设备上进行处理。当一个设备出现问题后,另一个设备就可以自动切换,提供网络服务。而当问题设备被修复后,工作的设备也会将Session等信息同步回问题设备。同步完成后,双机就可以正常工作。
4.2 链路可靠性设计
根据实际情况进行描述
4.3 路由可靠性设计
根据实际情况进行描述,或者在方案中路由环节进行整体的叙述。
