◆葉紅良 金萱躍

（江陰興澄特種鋼鐵有限公司 江蘇 214400）

基于MPLS VPN網(wǎng)絡(luò)的信息監(jiān)控與分析的研究

◆葉紅良 金萱躍

（江陰興澄特種鋼鐵有限公司 江蘇 214400）

本文分析MPLS VPN在企業(yè)網(wǎng)絡(luò)環(huán)境應(yīng)用的現(xiàn)狀，提出在VPN專網(wǎng)中引入IPS、UTM等網(wǎng)絡(luò)安全設(shè)備，建立監(jiān)控管理服務(wù)機(jī)制，探討強(qiáng)化MPLS VPN專線的網(wǎng)絡(luò)安全的方法及對策，實(shí)現(xiàn)對信息分析與事件跟蹤。

MPLS VPN；網(wǎng)絡(luò)安全；監(jiān)控服務(wù)；日志分析

0 引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，采用MPLS的虛擬專用網(wǎng)技術(shù)成為一些跨地域集團(tuán)性企業(yè)組網(wǎng)的重要手段。MPLS-VPN專線業(yè)務(wù)基于IP網(wǎng)絡(luò)，采用多協(xié)議標(biāo)記交換技術(shù)，在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)專網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)、語音、圖像多業(yè)務(wù)寬帶連接，并結(jié)合QoS服務(wù)、CoS服務(wù)等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)，特別是可通過MPLS VPN搭建企業(yè)統(tǒng)一的通信平臺。

但隨之而來的是網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的不斷增加，信息的安全性問題凸顯，對于外網(wǎng)入侵、DOS攻擊等，內(nèi)網(wǎng)的病毒蔓延、ARP攻擊，要求企業(yè)增加防護(hù)措施和強(qiáng)化防護(hù)手段。因此就信息在網(wǎng)絡(luò)中的傳遞、監(jiān)控、分析和管理，以及在VPN線路安全的管控，如何建立統(tǒng)一的安全管理策略，這也成為網(wǎng)絡(luò)安全研究的一個(gè)重要方向。

1 MPLS VPN組網(wǎng)安全性

MPLS VPN一般由用戶邊緣路由器CE，提供商邊緣路由PE，提供商核心路由器P三類設(shè)備組成。那么，MPLS VPN的安全是通過獨(dú)立的地址、路由的隔離、有效的攻擊防范等方法實(shí)現(xiàn)的。

對于企業(yè)網(wǎng)絡(luò)來講，地址獨(dú)立是非常重要的，它可以防止企業(yè)內(nèi)部網(wǎng)絡(luò)暴露在外部，并且可以對地址進(jìn)行訪問控制。在MPLS VPN的方案里，地址管理是占據(jù)很重的地位。

當(dāng)然通過靜態(tài)路由的設(shè)置可以解決用戶設(shè)備跟邊界設(shè)備之間的路由協(xié)議，保證邊界設(shè)備的地址獨(dú)立。同樣，邊界設(shè)備因不存在直接信息交換的通道，可以實(shí)現(xiàn)路由信息分離，不給雙方帶來安全隱患。

對于存在著大量用戶的業(yè)務(wù)數(shù)據(jù)的骨干網(wǎng)，如何保障上網(wǎng)的數(shù)據(jù)不泄漏是一個(gè)關(guān)鍵，所以這里面，采用隱藏骨干網(wǎng)絡(luò)拓?fù)涫荕PLS VPN的一個(gè)安全有效辦法。

此外，用戶還可以提高PE與CE之間的抵御能力，抵擋惡意攻擊侵入，采取設(shè)置防火墻、IPS等手段，使用數(shù)據(jù)安全加密等方法，進(jìn)一步提高安全性。

2 MPLS VPN信息監(jiān)控和分析探討

2.1 目前MPLS VPN面臨的信息安全現(xiàn)狀

目前國內(nèi)的基礎(chǔ)運(yùn)營商電信、移動、聯(lián)通均提供MPLS VPN服務(wù)，第三方運(yùn)營商以中企通信、太平洋電信為主要代表。他們共同的基本原理及拓?fù)涫且恢碌摹?/p>

圖1 MPLS VPN拓?fù)浣Y(jié)構(gòu)圖

他們擁有了VPN本身具有的安全技術(shù)，但也存在一些需要改進(jìn)的地方：

（1）每天產(chǎn)生的VPN網(wǎng)絡(luò)日志數(shù)量多，無法集中保存和管理。

（2）海量的數(shù)據(jù)沒法分析，可能的安全威脅淹沒在幾十萬條安全日志里。

（3）亡羊補(bǔ)牢式的事中、事后處理，無法及時(shí)全面的“查出根本原因”，且不能做出合理有效地風(fēng)險(xiǎn)和規(guī)避決策。

（4）因缺乏信息安全管理設(shè)備，無法做出有效的攔截和及時(shí)的處置。

（5）頻繁變化的安全攻擊技術(shù)及大量日志，需要更為專業(yè)人員的分析、處理。

因此企業(yè)建立一個(gè)網(wǎng)絡(luò)信息安全監(jiān)控、分析、處理的管理系統(tǒng)需求日趨迫切，也是對服務(wù)提供商網(wǎng)絡(luò)安全保障的一種要求。

2.2 網(wǎng)絡(luò)信息分析方法

企業(yè)通過網(wǎng)絡(luò)所提供的信息與數(shù)據(jù)必須符合國際、政策、行業(yè)標(biāo)準(zhǔn)等，必須受控及合規(guī)。網(wǎng)絡(luò)信息的傳輸過程、傳輸?shù)娜罩驹诠收吓挪椤⑹鹿侍幹蒙隙家蟊挥涗?，提高事故的?yīng)變，提供鑒別方法，協(xié)助企業(yè)迅速恢復(fù)對其 IT 資產(chǎn)的掌控。其包含監(jiān)測及管理安全設(shè)備和應(yīng)用，含防火墻、路由器、防毒系統(tǒng)、入侵偵測和防御系統(tǒng)等等。

2.2.1 建立安全管理監(jiān)控服務(wù)

區(qū)別于防火墻等產(chǎn)品專注于解決某一問題，建立安全信息和事件管理服務(wù)機(jī)制，將事件、威脅和風(fēng)險(xiǎn)數(shù)據(jù)集中到一起，以提供強(qiáng)大安全情報(bào)、快速事件響應(yīng)、無縫日志管理以及可擴(kuò)展合規(guī)報(bào)告。

采用貫通應(yīng)用層、執(zhí)行層和管理層的平臺，把信息日志、安全監(jiān)控規(guī)則進(jìn)行自動收集及實(shí)時(shí)關(guān)聯(lián)和優(yōu)先級排序，確定事件的根本原因，幫助企業(yè)IT分析、預(yù)測并生成切實(shí)可行的信息，更快更準(zhǔn)做出運(yùn)營決策。

2.2.2 整合IT安全設(shè)備，建立監(jiān)控系統(tǒng)

通過將不同的IT設(shè)備進(jìn)行整合，采用商業(yè)級的SIEM技術(shù)，進(jìn)行事件分析和事件管理。包括IPS、防火墻、服務(wù)器和桌面操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等其他安全產(chǎn)品融入到安全監(jiān)控服務(wù)中，對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行捕獲、分析，從而提高信息威脅的跟蹤與風(fēng)險(xiǎn)評估，實(shí)現(xiàn)實(shí)時(shí)協(xié)作、受控響應(yīng)及精確報(bào)告。

措施一、利用IPS實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)防護(hù)機(jī)制：

來自網(wǎng)路的危險(xiǎn)和攻擊日益增多（如DoS拒絕服務(wù)，DDoS分布式拒絕服務(wù)，暴力破解等），在IDC機(jī)房或核心設(shè)備前設(shè)置managed IPS，對流經(jīng)MPLS VPN網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行漏洞掃描，查找識別庫中定義的攻擊代碼特征，過濾有害數(shù)據(jù)流，并記載入監(jiān)控服務(wù)數(shù)據(jù)庫方便事后分析。

同時(shí)結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸中的異常情況，識別入侵和攻擊，記錄用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時(shí)段出現(xiàn)、作業(yè)系統(tǒng)或應(yīng)用程序弱點(diǎn)正在被利用等現(xiàn)象。

措施二、UTM接入收集網(wǎng)絡(luò)日志：

在MPLS VPN 各PE出口部署UTM，遠(yuǎn)程日志收集，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)安全日志，對惡意流量進(jìn)行記錄和警告，上傳至監(jiān)控管理系統(tǒng)，保障整個(gè)網(wǎng)絡(luò)環(huán)境下收集信息的完整，為監(jiān)控、分析、排查補(bǔ)充提供依據(jù)。

措施三、形成監(jiān)控、事件分析報(bào)告：

通過被監(jiān)控的IPS、UTM設(shè)備的日志收集、分析、關(guān)聯(lián)和聚合，提供潛在信息安全事件發(fā)生時(shí)的實(shí)時(shí)告警和報(bào)告，提供在線的信息安全事件查詢。

2.3 網(wǎng)絡(luò)日志、安全事件的分析意義

建立網(wǎng)絡(luò)日志、安全事件的監(jiān)控收集服務(wù)，提供實(shí)時(shí)的分析，對可能存在的攻擊告警，識別真正的威脅信息、危害行為；根據(jù)分析報(bào)告、告警信息，優(yōu)化改進(jìn)網(wǎng)絡(luò)配置或增加硬件防護(hù)，提高VPN網(wǎng)絡(luò)的安全性。

3 結(jié)束語

對于企業(yè)來講，每天警告一萬條、或者一千萬條的威脅數(shù)據(jù)，對于決策者來說是沒有意義的。他們希望看到的是跟實(shí)際業(yè)務(wù)結(jié)合，綜合評估在可預(yù)見范圍內(nèi)將會有多大損失，需要投入多少資金、人力解決相關(guān)問題。管理監(jiān)控服務(wù)最重要的就是數(shù)據(jù)的動態(tài)分析，根據(jù)數(shù)據(jù)的分析做出臨時(shí)性應(yīng)對決策，接著在確定相關(guān)聯(lián)事件及其對基礎(chǔ)設(shè)施的影響后，采取針對性的行動，因此管理服務(wù)的建立將幫助網(wǎng)絡(luò)工程師快速做出決策提供堅(jiān)實(shí)的判斷依據(jù)。

[1]高海英，薛元星，辛陽.VPN技術(shù)[M ].北京：機(jī)械工業(yè)出版社，2004.

[2]李曉東.MPLS技術(shù)與實(shí)現(xiàn)[M].電子工業(yè)出版社，2002.

[3]石永紅，劉嘉勇，湯云革.基于MPLS的VPN技術(shù)原理及其實(shí)現(xiàn)[J].電子技術(shù)應(yīng)用，2004.