日志样式

园区网安全解决方案

概述 

        在很多人看来,园区网代表企业内部的数据交流,被看作是安全的,可信任的网络。但如同我们在前言中所述,内部用户不经意的差错或恶意的攻击,往往会被来自外部的威胁带来更直接和严重的后果--正是因为局域网的便利性,使数据侦听、地址欺骗、恶意斟测、信息窃取变得更为容易。为此,客户一方面要加强员工的安全培训,提高安全意识;另一方面,在网络架构上也应加强防御,将威胁可能性降到最小。

解决方案

        在本例中,我们考虑的是单纯的业务或办公网络,其核心是互为冗余的两台第三层交换机;重要的应用服务器可直接以高带宽接入核心交换机,而最终用户的客户机则接入各自的楼层交换机,再双线上连至核心;分支机构则通过两台路由器以冗余结构作专线接入。 

        鉴于局域网上运行了多种不同的应用,一般采用VLAN来实现数据和广播的隔离――如业务部、财务部、技术部可使用不同的VLAN,VLAN内部可以自由通讯,VLAN间的互访要通过第三层设备来完成。 

        为了将网络管理和安全监控的流量与业务或办公数据流分开,特别设定了一个管理VLAN,将所有网络设备的管理地址、网络管理服务器、安全监控和应用服务器等放置其中。具体包括:网管平台,IDS管理器,认证服务器,防病毒管理平台,日志服务器等

关键点描述 

       在第三层网络设备上可以实现的安全功能有:VLAN间的访问控制(通过对数据流的识别来实现),反向路由检测(防止地址欺骗),设备本身登录的AAA认证等。 

       在第二层交换机上可以实现的安全功能有:端口与MAC地址的绑定,802.1x用户身份认证、设备本身登录的AAA认证等。 

        在核心交换机上部署了IDS入侵检测系统,可以监控内部网络中存在的非法攻击行为。IDS一般由两部分组成,探测器和管理平台――具体实现时需要将被监控的数据流镜像到IDS探测器所连的交换机端口。由于许多交换机(如思科的Catalyst系列)支持多端口镜像(多个源端口的流量映射到同一目标端口)和远程镜像(不同交换机的多个源端口流量映射到同一目标端口)功能,使IDS的位置和数量设计显得不那么绝对――一般建议将IDS探测器连接到核心交换机的某个千兆或百兆端口上,其数量由网络中数据流和IDS的处理能力决定。IDS的管理平台可以放置于网络的任一位置,只要探测器的管理端口的IP地址能与其互通即可,一般建议将管理平台放置于管理VLAN内。

在管理VLAN内服务器的功能包括但不仅限于: 

网管平台:

        使用特定的网管软件对网络实行监控,以呈现设备工作状况、链接使用情况,汇报网络事件并生成日志和报表;

IDS管理平台:

        收集并整理由IDS探测器发来的攻击事件,实时显示与报警,日志存储,生成历史报表;

认证服务器:

        提供对被认证用户的身份存储,在用户登录应用系统时由服务器验证其身份的有效性和合法权限;

防病毒管理平台:

         从全面安全考虑,防病毒软件需要部署到园区网的每一个客户端,而这些部署和更新工作需要有一个集中的管理平台来实现,这就是置于管理VLAN内的防病毒管理平台的功能;