边界安全部署最佳实践
园区网络
192.168.1.1/24
路由器/ 安全网关/ VPN网关
典型的单设备园区网出口 组网:仅有Internet一个 边界出口与外部网络互连
有一个公共服务器区对外 部提供等服务
远程用户(包括移动接入 用户和小型分支节点)通 过Internet建立VPN隧道 接入到园区网络内
边界安全设计要求设备成 本低,通常将出口路由器 和VPN安全网关/防火墙集 成在一台出口设备上
6
边界安全部署简介—H3C解决方案
H3C边界安全部署最佳实践解决方案通过在边界入口处部署VPN网关、防火 墙、IPS、NSM/NAM等设备,一方面阻止来自Internet对受保护网络的未授权或 未认证的访问,另一方面允许内部网络的用户安全的对Internet进行Web访问或 收发E-mail等。企业中心可以使用双机热备,这样当故障发生的时候,业务也能 很快恢复,给用户提供了十分可靠的运行环境。可通过在园区边界处部署双VPN 网关和防火墙,为用户安全、可靠的使用网络提供了很好的保障。
5
边界安全部署简介
如何对脆弱的网络进行弥补? 根据网络的病根对症下药:
在园区边界出口通过部署防火墙和IPS,将网络攻击与病毒入侵终结在园区 边界; VPN(Virtual Private Network :虚拟私有网)在实现公用网络上构建私 人专用网络的同时,IPSec隧道加密技术也弥补了IPv4的简单和开放; 通过对园区网进出流量的分析和监控,及时发现流量异常,来消除无法预 知的不稳定因素;
NSM/NAM是网络安全监控的简称,是H3C公司在防火墙和路由器上开发的 流量监控软硬件平台。NSM/NAM单板,可以对流经设备上的所有在线流量进行 统计和安全分析,对流量进行采样记录并对历史流量进行安全分析,能对包括 IP/none-IP的、2至7层的多种协议进行分析,为网络管理员提供网络安全服务。 NSM/NAM提供方便友好的用户配置,支持图形化的分析结果查询,方便用户使 用。
7
边界安全部署简介—H3C解决方案
Server
网管
NSM/NAM: 一切尽在掌握中
VPN server LSW
防火墙/IPS: 攻击与病毒止步
IPSec VPN: 加密报文让黑客 们一无所获
VPN Client 分支节点1
VPN Client 分支节点2
边界安全部署最佳实践
日期:2007年7月13日
目录
网络园区边界定义 边界安全部署简介 边界安全部署典型应用场景
网络园区边界定义
边界网络的定义是园区网连接到广域网/Internet等外部网络的边缘区域; 在园区网的设计中按照区域的划分会产生多个边界网络; 通常对于园区的边界有以下几种定义:
广域网出口 公共服务器区域 分支结构VPN 远程用户VPN PSTN拨号用户 Internet出口
8
目录
网络园区边界定义 边界安全部署简介 边界安全部署典型应用场景9边界安全部署典型应用场景
H3C边界安全部署最佳实践解决方案针对不同用户群的需求,分别设计了 多套应用组网。
对于园区规模较小,性能、可靠性要求不高的用户,我们推荐使用单设 备园区出口边界安全部署组网方式,本组网仅使用H3C的一台MSR路由器或 者SecPath安全产品,集成VPN网关、防火墙功能,并可以通过在该设备上 配置NAM(MSR)或者NSM(SecPath)对园区进出口流量进行监控;对 于园区规模较大的用户,我们推荐在本组网中加入专业的防火墙、IPS等设备 增加边界安全性; 对边界安全性能、可靠性要求都较高的用户,我们推荐使用园区网络多 出口边界安全部署组网方式,本组网在使用专业网关设备的同时,通过部署 双VPN网关实现负载均衡和备份,部署双防火墙实现状态热备,提供园区出 口的高可靠性;
4
边界安全部署简介
为什么需要进行边界安全部署?因为现在的网络非常脆弱,不安全。 导致现在网络脆弱的原因有很多种,三把双刃剑:
大量业务服务器长时间暴露在公众环境中,使黑客轻易就可以找到想攻击 的目标; 攻击工具的高度发展,使攻击难度急剧下降,只要稍懂一点计算机操作的 人就可以成功发起一次攻击;网络病毒的泛滥,带来的经济损失和应用规模成 正比; IPv4是简单开放的,本身就没有考虑安全因素。
10
单设备园区出口边界安全部署组网
设备
MSR50/30/20 AR28/46 SecPath系列
园区边界
公共服务器
192.168.0.100/24
分支机构VPN网关
211.4.1.2 /24
Internet ISP路由器
移动用户
192.168.0.1/24
211.2.10.1 /24
2
网络园区边界定义-互联网
Remote Acess
边缘
Branch Site
External Connector
外部
本地
Local Network
Router
Switch
Internet Service
3
目录
网络园区边界定义 边界安全部署简介 边界安全部署典型应用场景
通过在路由器(SecPath) 上配置NAM(NSM)板实 现出口流量监控
11
单设备出口组网说明
1. 本组网非常简单,仅一台出口设备,易于管理; 2. H3C公司的MSR/AR/SecPath系列产品可提供强大的VPN功能,远程分支、
移动用户可以通过单IPSec、GRE over IPSec、L2TP over IPSec等多种 VPN方式接入园区总部;L2TP可以提供用户认证功能,GRE隧道可以让企 业分支与总部进行私网路由的交互,IPSec加密功能可以确保通讯报文的保 密性和可靠性; 3. H3C公司的MSR/AR/SecPath系列产品同时也可以作为安全网关使用,支 持NAT、ACL访问控制、ASPF、深度业务监控等典型应用; 4. 出口设备上配置的NAM/NSM板卡对进出口流量进行有效的分析和监控; 5. 出口设备公网接口上配置NAT,让内部用户可以访问internet; 6. 出口设备公网接口上配置NAT server,让internet用户可以访问公共服务器;
