筆者工作的單位因為業(yè)務性質的特殊性,需要與多個領域的企業(yè)公司進行數(shù)據交換,這部分的業(yè)務構建的網絡就是外聯(lián)網,絕大部分業(yè)務是通過租用運營商的專線來搭建網絡的。因為業(yè)務發(fā)展得過快,網絡搭建缺乏規(guī)劃管理,導致了這部分區(qū)域較為混亂,存在網絡安全問題。原來的外聯(lián)網拓撲圖,如圖1所示。
租用運營商專線搭建外聯(lián)網的方式,一方面考慮的是信息在傳遞過程中較為安全,降低被竊取的可能性;另一方面為了加強網絡的可靠性與穩(wěn)定性,保證業(yè)務能正常交換數(shù)據。最大的缺點是費用較為昂貴,這一點在這里就不加以討論了。由拓撲圖分析存在的問題是這部分網絡邊界不明晰,外聯(lián)網的專線都通過一臺匯聚交換機直接與核心骨干網對接。倘若從專線那邊發(fā)起過的網絡攻擊,內部的網絡將會變得十分脆弱,沒有任何防御的措施,對外聯(lián)網的實時網絡性能缺乏監(jiān)控手段。
圖1 原來的外聯(lián)網拓撲圖
從最初的設計分析,使用的匯聚交換機是為了簡單化組網,把外聯(lián)網的接入企業(yè)當成了局域網的成員。其實這兩部分是有明確的區(qū)別的。外聯(lián)網的第一個特點是業(yè)務性質單一,它的接入成員僅是與服務器進行數(shù)據對接,不需要提供服務給企業(yè)內部人員使用,也不需要使用企業(yè)的互聯(lián)網出口。外聯(lián)網使用的專線都是低帶寬的鏈路,一般帶寬為2M、4M的較多。分配的IP地址較為凌亂,劃分的子網掩碼較為隨意且沒有規(guī)律可循。
結合上述問題,筆者單位計劃改造這部分的網絡。首先部署邊界防火墻,這里我們使用的是山石網科的下一代防火墻,對整個外聯(lián)網的業(yè)務提供安全訪問策略。為什么使用下一代防火墻,因為不僅有傳統(tǒng)防火墻的功能,而且還集成了防病毒、流量控制、入侵檢測等功能模塊。最重要的一點是集合在一臺設備上面實現(xiàn)多個功能,這樣使得我們部署起來較為容易。簡要拓撲圖如圖2所示。為此,我們需要進行以下改造工作。
表1 分配地址情況
圖2 改造后的簡要網絡拓撲圖
新規(guī)劃出一個IP網段地址為 192.168.100.0/24,通過劃分子網掩碼劃分給多個外聯(lián)企業(yè)使用。原則上業(yè)務數(shù)據交換只需要兩個對接IP就可以,分配的地址情況如表1所示。
這部分更改IP地址是最為重要的一個環(huán)節(jié),在推進的時候遇到了一些困難涉及到程度代碼的一些更改,但為了統(tǒng)一部署我們還是很強硬地推進下去,有一些特殊的情況改不了,我們也用地址轉換的方式解決。過去的地址使用混亂導致很多問題,規(guī)范地址之后新增加的業(yè)務分配就很清淅了。
簡單來說就是要控制外互聯(lián)網的權限,這部分區(qū)域默認的策略是禁止訪問所有的地址(deny any)。然后跟據業(yè)務開放訪問權限,盡量控制到最精細度僅開放某個IP的某個應用端口。每做一條策略都要標注是什么業(yè)務,這能夠將業(yè)務與策略結合起來。
通過外聯(lián)網傳送的數(shù)據都是一些比較重要的數(shù)據,雖然專線本身已有一定的安全防泄漏的功能,但是為進一步保障我們開啟防火墻的入侵檢測和防病毒模塊功能,實時監(jiān)控著整個外聯(lián)網的運行情況。