防護(hù)網(wǎng)絡(luò)邊界

企業(yè)網(wǎng)絡(luò)安全防護(hù)體系一般都是按照安全域來進(jìn)行設(shè)計(jì)的，而合理劃分安全域的基礎(chǔ)就是理順網(wǎng)絡(luò)邊界。網(wǎng)絡(luò)邊界是指內(nèi)部安全網(wǎng)絡(luò)與外部非安全網(wǎng)絡(luò)的分界線，由于網(wǎng)絡(luò)中的泄密、病毒、攻擊等安全事件的發(fā)生主要是透過網(wǎng)絡(luò)邊界來進(jìn)行，網(wǎng)絡(luò)邊界實(shí)際上是企業(yè)網(wǎng)絡(luò)安全的第一道防線，其重要性不言而喻，不少企業(yè)在網(wǎng)絡(luò)邊界安全防護(hù)方面投資巨大，購買各類安全設(shè)備進(jìn)行層層防護(hù)，但是效果并不明顯，安全事件仍然時(shí)有發(fā)生，導(dǎo)致企業(yè)逐步陷入“投資陷阱”中，其實(shí)這種現(xiàn)象很可能是網(wǎng)絡(luò)邊界防護(hù)方案設(shè)計(jì)不合理造成的，下面本文將結(jié)合一個實(shí)際案例介紹企業(yè)網(wǎng)絡(luò)邊界防護(hù)方案。

某公司的網(wǎng)絡(luò)架構(gòu)可抽象為三個安全域：Untrust域，Trust域 和 Usertrust域，其中Untrust域包含Internet區(qū)域，Trust域包含服務(wù)器區(qū)域，Usertrust域包含用戶區(qū)域，這三個安全域之間均有雙向的數(shù)據(jù)傳輸，如圖1所示。

圖1 某公司安全域示意圖

任意兩個安全域間均存在安全狀況不對等的情況，必須采取合理的邊界防護(hù)策略，防護(hù)策略必須覆蓋網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，根據(jù)安全域數(shù)據(jù)流向的不同，公司實(shí)施如下安全防護(hù)策略：

1.Untrust至 Trust：這個方向的數(shù)據(jù)流一般屬于外網(wǎng)用戶訪問發(fā)布在外網(wǎng)的應(yīng)用系統(tǒng)的流量，由 于Untrust區(qū)域的可信程度最低，所以需對來自該區(qū)域的流量進(jìn)行嚴(yán)格過濾，采取何種過濾措施還需結(jié)合具體業(yè)務(wù)來選擇。在網(wǎng)絡(luò)層面上，在兩個區(qū)域之間架設(shè)硬件防火墻，按照按需分配的原則進(jìn)行NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和PAT（端口地址轉(zhuǎn)換）設(shè)置，確保有需求的服務(wù)器和端口才能發(fā)布在外網(wǎng)，Trust區(qū)域內(nèi)的其他服務(wù)器一律不得與Untrust區(qū)域通信；在傳輸層面上，在防火墻上采取最低權(quán)限原則實(shí)施端口安全策略，只允許與業(yè)務(wù)相關(guān)的端口對Untrust區(qū)域開放，其他端口全部封禁；在應(yīng)用層面上，按照業(yè)務(wù)流量類型可在防火墻下方依次部署防毒墻、IPS入侵防御設(shè)備、Web應(yīng)用防護(hù)設(shè)備，并開啟相應(yīng)的安全策略，這些設(shè)備均以透明模式部署，僅開啟管理口供網(wǎng)絡(luò)管理人員進(jìn)行維護(hù)，最大程度減少對網(wǎng)絡(luò)架構(gòu)的變更，其中防毒墻主要針對來自Untrust區(qū)域的木馬、病毒進(jìn)行防護(hù)，IPS針對常見的服務(wù)器、操作系統(tǒng)以及中間件的漏洞和DDoS這類惡意攻擊進(jìn)行防護(hù)，Web應(yīng)用防護(hù)設(shè)備主要針對SQL注入、XSS攻擊、網(wǎng)站篡改等Web類型攻擊進(jìn)行防護(hù)。

2.Trust至 Untrust：這個方向的數(shù)據(jù)流屬于Trust區(qū)域內(nèi)服務(wù)器與Untrust區(qū)域通信流量，一般包括系統(tǒng)升級、中間件升級、殺毒軟件病毒庫更新等應(yīng)用程序產(chǎn)生的流量，對應(yīng)的Untrust區(qū)域中的目標(biāo)地址一般具有較高的可信度，如官方下載網(wǎng)站等，在網(wǎng)絡(luò)和傳輸層面上，利用防火墻做DNAT（動態(tài)地址轉(zhuǎn)換）設(shè)置進(jìn)行IP地址偽裝，確保數(shù)據(jù)流只能單向流動；在應(yīng)用層面，在防火墻下方部署防毒墻即可，主要防范來自Untrust的木馬、病毒等安全威脅。

3.Untrust至User trust：由于這兩個安全域間采用了DNAT地址轉(zhuǎn)換技術(shù)，數(shù)據(jù)流呈單向流動，從邏輯上考慮，該方向并沒有有效的業(yè)務(wù)流量，但是可能存在Usertrust區(qū)域內(nèi)用戶主機(jī)不慎被植入病毒或木馬，成為“肉雞”或者“僵尸主機(jī)”的現(xiàn)象，這時(shí)就需要對該方向上的數(shù)據(jù)流進(jìn)行識別和過濾，斬?cái)郩ntrust區(qū)域內(nèi)的控制主機(jī)與Usertrust區(qū)域內(nèi)受控主機(jī)的通信，保護(hù)內(nèi)部網(wǎng)絡(luò)安全，所以需要在應(yīng)用層面上部署IPS設(shè)備，重點(diǎn)針對僵尸主機(jī)進(jìn)行防護(hù)。

4.Untrust至Untrust：這個方向的數(shù)據(jù)流屬于Usertrust區(qū)域內(nèi)用戶主機(jī)與Untrust區(qū)域之間通信的流量，主要包括用戶訪問Internet資源的流量，由于用戶行為的不確定性，所以流量類型非常復(fù)雜，如P2P下載、在線視頻、HTTP訪問等，該方向上的防護(hù)目的主要是避免用戶主機(jī)訪問異常資源而感染病毒。在網(wǎng)絡(luò)和傳輸層面上，利用防火墻做DNAT設(shè)置進(jìn)行IP地址偽裝，同時(shí)可以利用ACL對Untrsut區(qū)域中的惡意IP進(jìn)行封禁；在應(yīng)用層面上，可利用防毒墻針對網(wǎng)頁腳本病毒、郵件病毒、木馬等安全威脅進(jìn)行防護(hù)。

5.Trust至 Usertrust：按照安全域的職能劃分，這個方向數(shù)據(jù)流實(shí)際很少，基本不涉及到業(yè)務(wù)數(shù)據(jù)，但為防止Trust區(qū)域內(nèi)服務(wù)器被挾持，成為攻擊Usertrust內(nèi)網(wǎng)區(qū)域的跳板，還是需要部署一些安全策略；由于Trust區(qū)域和Usertrust區(qū)域本質(zhì)上都屬于企業(yè)內(nèi)網(wǎng)，所以網(wǎng)絡(luò)和傳輸層面上并不需要部署安全策略，在應(yīng)用層上可以部署IPS設(shè)備，重點(diǎn)對DDoS攻擊、主流操作系統(tǒng)漏洞進(jìn)行防護(hù)。

6.Usertrust至Trust：這個方向的數(shù)據(jù)流屬于Usertrust區(qū)域內(nèi)用戶訪問Trust區(qū)域業(yè)務(wù)系統(tǒng)的流量，是需要重點(diǎn)保障的業(yè)務(wù)數(shù)據(jù)流，避免Trust區(qū)域內(nèi)的服務(wù)器遭受攻擊。在網(wǎng)絡(luò)層面上通過劃分VLAN對兩個區(qū)域進(jìn)行三層隔離，然后利用ACL控制不同的用戶僅能訪問對應(yīng)的業(yè)務(wù)系統(tǒng)，如財(cái)務(wù)系統(tǒng)僅允許財(cái)務(wù)人員訪問，其他人員訪問請求全部被封禁；應(yīng)用層面上，在安全域之間可部署防毒墻、IPS設(shè)備，重點(diǎn)針對傳染性較強(qiáng)的病毒和木馬進(jìn)行防范，同時(shí)針對常見的服務(wù)器、操作系統(tǒng)以及中間件的漏洞和DDoS惡意攻擊進(jìn)行防護(hù)。

由于現(xiàn)在的安全設(shè)備絕大多數(shù)支持多路并行防護(hù)，所以一臺安全設(shè)備可以針對多個方向的數(shù)據(jù)流進(jìn)行安全防護(hù)，這樣也大大節(jié)約了設(shè)備投資成本；部分安全設(shè)備甚至集成了覆蓋網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的安全模塊，單臺設(shè)備即可實(shí)現(xiàn)多層次、立體化的安全防護(hù)功能，這樣也大幅降低了網(wǎng)絡(luò)架構(gòu)的復(fù)雜性，有利于網(wǎng)絡(luò)運(yùn)維工作的開展。

網(wǎng)絡(luò)邊界防護(hù)必須是一個完善的體系，能夠形成一個有機(jī)整體，必須按照企業(yè)實(shí)際業(yè)務(wù)流量進(jìn)行細(xì)粒度定制，否則將造成邊界不明確、效果不佳，甚至?xí)绊憳I(yè)務(wù)正常運(yùn)轉(zhuǎn)。只有合理劃分網(wǎng)絡(luò)邊界，按不同數(shù)據(jù)流設(shè)計(jì)不同的安全策略，才能實(shí)現(xiàn)邊界防護(hù)水平的提升。