华为整体网络解决方案
网络,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块,可以很好的缓解风险的传播,阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备(或核心交换机内置的防火墙模块),需要满足高性能、高可靠、高安全的要求,是企业园区网的第一道安全屏障。
园区内部边界防御是将企业内部划分为多个区域,分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块(单板)来实现园区内部的边界防御功能。
园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部,都必须支持灵活的业务流控制策略配置,能把特定的流量引到防火墙进行处理,其他流量进行旁路。
防火墙本身需要保证高可靠性,需要考虑防火墙的冗余设计,支持Active/Active HA 设计方式,即交换机内集成的多块防火墙板卡支持负载分担和主备模式,不同交换机内的防火墙支持Active/Active模式,同时能够处理流量。
3.3.4 园区网出口安全
随着现代社会网络经济的发展,企业日益发展扩大,办事处、分支机构以及商业合作伙伴逐步增多,如何将这些小型的办公网络和企业总部网络进行经济灵活而有效的互联,并且与整个企业网络安全方案有机融合,提高企业信息化程度,优化商业运作效率,成为企业IT网络设计亟待解决的问题;大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 21
华为整体网络解决方案
企业园区网出口设备是企业内部网络与外部网络的连接点,其安全保证能力非常重要,企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是企业传输数据非常理想的选择,因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性,包括IPSec VPN和SSL VPN。企业办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络,那么分之机构网络中的每个主机需要单独拨号接入,VPN接入不可控造成内部网络安全隐患,同时也大量消耗企业总部VPN网关隧道资源;如果采用单独的VPN网关与企业总部网关建立VPN隧道,又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾。
3.3.5 数据中心安全设计
数据中心的安全对企业来说,非常重要,企业在享受数据中心带来生产力提高的同时,其内在的安全建设成为了业内的热点。让数据中心远离安全威胁,促使其在管理、运维上向安全靠拢,已经成为建设的趋势。
数据中心的网络安全设计中,我们采用以两台交换机为中心的双星型冗余结构的网络,可以在网络交换机上通过插卡的方式实现防火墙、负载均衡等功能,保障数据中心的安全。
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 22
华为整体网络解决方案
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。具体地说,设置防火墙的目的是隔离数据中心和局域网,保护数据中心不受攻击,实现以下基本功能:
负载均衡的作用是可以为用户访问数据中心时,能够实现应用级的负载分担。
3.3.6 无线安全设计
无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点。但是由于无线局域网开放访问的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。园区用户大多容易接受新鲜事物,虽然一方面对无线网络的需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。
目前有很多种无线局域网的安全技术,包括物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。
3.3.6.1 无线局域网的安全威胁
利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN产品,它的安全隐患主要有以下几点:
? 未经授权使用网络服务
由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服务质量。
? 地址欺骗和会话拦截
在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 23
华为整体网络解决方案
比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
? 高级入侵
一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
3.3.6.2 华为无线网络的安全策略
针对目前无线校园网应用中的种种安全隐患,华为的无线局域网产品体系能够提供强有力的安全特性,除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施:
? 可靠的加密和认证、设备管理
能够支持目前802.11小组所提出的全部加密方式,包括高级WPA 256位加密(AES),40/64位、128位和152位WEP共享密钥加密,WPA TKIP,特有的128位动态安全链路加密,动态会话密钥管理。
802.1x 认证使用802.1x RADIUS认证和MAC地址联合认证,确保只有合法用户和客户端设备才可访问网络。
支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSH v2或Telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。
? 用户和组安全配置
和传统的无线局域网安全措施一样,华为无线网络可以依靠物理地址(MAC)过滤、服务集标识符(SSID)匹配、访问控制列表(ACL)来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接AP。
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 24
华为整体网络解决方案
同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基础。例如,子网、ACL 以及服务等级(CoS)在路由器和交换机的端口上定义,需要通过台式机的MAC地址来管理用户的连接。华为采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(Vertual Private Group),VLAN不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。
? 非法接入检测和隔离
华为无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况,提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,但是网络规模越大就越容易受到攻击。
为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源,例如微波炉和无绳电话。
并且,射频监测配合基于用户身份的组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表 (ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。
? 监视和告警
华为无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络,甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计,它提供了配置更改的自动告警功能。向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。
____________________________________________________________________________________________ 神州数码(中国)有限公司 47 - 25