在所有的安全事件中,有超過70%是發生在內網上的,隨著網絡的龐大化和復雜化,這一比例仍有增長趨勢,內網安全面臨著前所未有的挑戰。
以太網交換機是組建內網的主要設備,其安全性比較弱;雖然劃分VLAN、ACL訪問控制可以在一定程度上控制內網安全,但這種控制是比較粗的方式,難以做到比較精細的安全控制,同時也會影響到VLAN間用戶的訪問,從而影響網絡的使用效率。另外在內網安全事件中,攻擊對象也從攻擊主機、網絡設備而改為對網絡資源進行攻擊為主要特征,而以太網交換機的工作原理和開放特征決定其難以對此類攻擊進行有效防控。
病毒和攻擊手段的發展成就了防火墻、防病毒網關、IDS等安全設備,但是這幾種設備均是基于對已知攻擊手段的防范,無法有效防范未知攻擊手段。防火墻沒有辦法實現對內部用戶安全攻擊的控制;IDS不能實現對所有業務的監測和控制;防病毒軟件沒有辦法控制病毒在網絡內的傳播;可以看出分別部署這些設備的網絡在安全措施上缺乏系統性,防火墻、IDS、防病毒各自為政,難以對整網形成有效防控。
由于全部工作在OSI參考模型的傳輸層之上,防火墻、IDS、防病毒等設備都要求復雜的算法、豐富的功能、不斷的升級,這些特點注定防火墻、IDS、防病毒設備出生在x86平臺上。而網絡設備已經經歷了翻天覆地的變化,采用專有的ASIC芯片,核心交換機已經具備近千個G的交換處理能力。基于x86平臺的安全設備,性能通常不到這些網絡設備的1%,會成為整網性能的瓶頸。
為了迎接這些挑戰,產生了內部網絡與安全的融合。
內網與安全的融合可以在四個層面上剖析,包括技術層面的融合、產品層面的融合、方案層面的融合、安全管理的融合。
技術層面的融合
技術層面的融合主要是在硬件平臺技術。在CPU、NP、ASIC三種技術上。NP技術在性能和功能上可以滿足安全設備下一步的發展,成為業界公認的必然趨勢。
產品層面的融合
大多數核心交換機都能夠支持基于NP技術的接口模塊,具備為安全功能提供硬件平臺的基礎,從而使安全和網絡在設備層面的融合成為可能,采用防火墻模塊的方式就是典型代表。通過在核心交換機上部署防火墻模塊,可以實現多個VLAN間的安全控制,降低了安全部署的難度,同時降低了整體建設成本。此外IDS、防病毒等安全功能模塊也可以融合到核心交換機中。
方案層面的融合
對于已經部署安全產品的網絡而言,在方案層面進行融合是一個不錯的選擇。將以太網交換機、IDS、防病毒網關、防火墻這些分屬于不同的設備實現聯動已經成為一種趨勢。
安全管理的融合
不管是內網安全在設備層面的融合,還是在方案層面的融合,都涉及到管理的問題。網絡管理通常包括設備管理、配置管理等,安全管理則包含審計管理、數據監控與流量管理、安全策略管理等。一旦設備或方案融合后,要求必須有統一的網管平臺來對網絡和安全設備進行統一的管理,這樣才能實現安全對于網絡的有效性。尤其是對于策略的制定與分發管理,要求網絡設備與安全功能模塊或設備進行密切的配合,才能實現對未知網絡攻擊/網絡濫用行為的及時阻斷。
網絡與安全的融合對安全領域產生了深遠影響,促使各廠商站在整網的角度看待安全,從而可以為用戶提供更系統、更完整的安全解決方案。港灣網絡有限公司正是站在整網角度為用戶提供內網安全解決方案。
出于整體網絡安全的考慮,港灣公司采用“自主研發+合作”的方式,為用戶提供融合的內網安全解決方案。
港灣公司的內網安全解決方案主要是由BigHammer6800系列核心交換機、μHammer3550E系列智能接入交換機、SmartHammer系列智能防火墻、啟明星辰IDS、防病毒服務器和安全管理控制中心等構成,其典型組網如下圖所示。該內網解決方案可以有效防止外部攻擊、內部用戶攻擊、內網病毒擴展等,可以在最大程度上確保內網數據的安全、網絡資源的安全。
1、防止外部攻擊并保障出口帶寬。通過在網絡出口位置部署SmartHammer系列智能防火墻,可以有效防止外部各種攻擊行為;通過SmartHammer內置的NetFlow功能可以對應用流進行監控,并做出有效控制,例如SmartHammer可以實現對BT限流來確保出口帶寬不被濫用,從而有效保障出口帶寬資源;
2、 核心交換機防火墻模塊確保內網用戶安全攻擊的控制。通過在BigHammer6800核心交換機上部署防火墻模塊,可以控制任意兩個VLAN、任意兩個用戶間的數據流,有效地解決了占安全問題70%以上的內網安全問題,保證內網信息的安全、保證內網資源的安全。該防火墻模塊具有高達2G的吞吐量,并且可以通過負載均衡的方式,達到最多20G的吞吐量
(如圖中①所示)。
3、 交換機和IDS聯動實現檢測全面化。通過IDS和以太網交換機的配合,可以準確定位并控制內網攻擊。主機發起攻擊(如圖中②所示),μHammer3550E系列智能交換機檢測到網絡流量異常,隨即將異常上報IDS(如圖中③所示),IDS檢測確定為攻擊,通知以太網交換機切斷主機(如圖中④所示),從而確保網絡資源的安全。通過以太網交換機和IDS的聯動,可以使IDS的檢測范圍擴展到整網,大大提高可用性。目前,港灣公司的交換機與啟明星辰公司的IDS配合,已經取得了大規模的應用。
4、 交換機與AV聯動防止病毒擴散。μHammer3550E智能以太網交換機還可以與防病毒軟件/網關一起聯動防止病毒擴散。當用戶登錄網絡時,μHammer3550E交換機可以強制用戶登錄由AAA服務器、防病毒服務器、安全策略服務器組成的受控域(如圖中⑤所示),并對用戶進行病毒檢查,在確認用戶滿足防毒要求時,才會通知安全管理中心開放用戶訪問權限(如圖中⑥所示)。通過交換機和AV的聯動,有效的防止了病毒在內網的擴散。
通過前面的介紹可以看出,港灣公司在網絡與安全的融合方面已經邁出了很大的一步,從技術融合、設備融合、方案融合、管理融合四個層面滿足了用戶的安全需求。
