引言： 目前大多數(shù)企業(yè)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界建立了較為完善的由外而內(nèi)的安全防護(hù)措施，能夠有效地防護(hù)來(lái)自互聯(lián)網(wǎng)的攻擊。筆者所在單位有線網(wǎng)絡(luò)用戶有1500個(gè)，無(wú)線網(wǎng)絡(luò)用戶有500個(gè)，面對(duì)龐大的網(wǎng)絡(luò)結(jié)構(gòu)和復(fù)雜的網(wǎng)絡(luò)應(yīng)用，我們通過(guò)基于行為管控的企業(yè)網(wǎng)絡(luò)出口安全改造加強(qiáng)了由內(nèi)而外訪問(wèn)的安全管理。

目前大多數(shù)企業(yè)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界建立了較為完善的由外而內(nèi)的安全防護(hù)措施，能夠有效地防護(hù)來(lái)自互聯(lián)網(wǎng)的攻擊。

筆者所在單位有線網(wǎng)絡(luò)用戶有1500個(gè)，無(wú)線網(wǎng)絡(luò)用戶有500個(gè)，面對(duì)龐大的網(wǎng)絡(luò)結(jié)構(gòu)和復(fù)雜的網(wǎng)絡(luò)應(yīng)用，如何對(duì)網(wǎng)絡(luò)效能行為進(jìn)行統(tǒng)計(jì)、分析和評(píng)估，如何監(jiān)控、控制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為，如何杜絕用戶通過(guò)電子郵件、IM等途徑泄漏內(nèi)部機(jī)密資料，如何在日常辦公過(guò)程中采取相應(yīng)的流控機(jī)制，以保障核心業(yè)務(wù)系統(tǒng)的正常訪問(wèn)，以及管理員如何在發(fā)生問(wèn)題時(shí)有查證的依據(jù)？這些都成為了網(wǎng)絡(luò)安全管理需要解決的問(wèn)題。為此，我們通過(guò)基于行為管控的企業(yè)網(wǎng)絡(luò)出口安全改造加強(qiáng)了由內(nèi)而外訪問(wèn)的安全管理，解決以上問(wèn)題。

方案設(shè)計(jì)

圖1 原網(wǎng)絡(luò)出口拓?fù)鋱D

原網(wǎng)絡(luò)出口拓?fù)淙鐖D1，公司網(wǎng)絡(luò)出口連接行業(yè)網(wǎng)、互聯(lián)網(wǎng)和DMZ區(qū)對(duì)外服務(wù)器。目前對(duì)網(wǎng)絡(luò)出口的安全防護(hù)采取二層防護(hù)的方式，第一層部署思科PIX525防火墻，通過(guò)NAT內(nèi)外網(wǎng)IP地址轉(zhuǎn)換和訪問(wèn)控制策略進(jìn)行防護(hù)；第二層部署UTM安全網(wǎng)關(guān)，通過(guò)ISP地址映射、訪問(wèn)控制策略、病毒和入侵防御，及流量控制對(duì)公司內(nèi)網(wǎng)連接行業(yè)網(wǎng)、互聯(lián)網(wǎng)和DMZ區(qū)服務(wù)器進(jìn)行安全防護(hù)。

改造后網(wǎng)絡(luò)出口拓?fù)淙鐖D2， 改造后，網(wǎng)絡(luò)出口第一層的PIX防火墻更換為負(fù)載均衡防火墻，原PIX防火墻上的NAT地址映射和訪問(wèn)控制策略遷移到負(fù)載均衡防火墻上。兩臺(tái)設(shè)備做主-備模式構(gòu)成冗余，并增加互聯(lián)網(wǎng)鏈路負(fù)載策略，實(shí)現(xiàn)訪問(wèn)電信的流量調(diào)度到電信線路，移動(dòng)的流量調(diào)度到移動(dòng)線路，達(dá)到多線路的自動(dòng)負(fù)載均衡，提高出口的可用性。

圖2 改造后網(wǎng)絡(luò)出口拓?fù)鋱D

在UTM和內(nèi)網(wǎng)之間增加上網(wǎng)行為管理設(shè)備，兩臺(tái)設(shè)備做主-備或主-主模式形成冗余。通過(guò)策略實(shí)現(xiàn)基于用戶角色的接入認(rèn)證、權(quán)限控制、合規(guī)審計(jì)和帶寬分配等安全管理，并根據(jù)不同用戶、終端類別、應(yīng)用類別、時(shí)間等更多的元素，制定更精細(xì)的網(wǎng)絡(luò)管理策略。

改造實(shí)施

1.安全配置修改

因上網(wǎng)行為管理設(shè)備采取透明模式部署，UTM安全網(wǎng)關(guān)上網(wǎng)絡(luò)IP、路由和接口配置不變，訪問(wèn)行業(yè)網(wǎng)和DMZ區(qū)服務(wù)器的內(nèi)外NAT映射和安全策略不變。涉及互聯(lián)網(wǎng)訪問(wèn)的NAT映射和安全策略需要改動(dòng)，包括由內(nèi)而外和由外而內(nèi)的雙向訪問(wèn)。主要改動(dòng)在于原來(lái)訪問(wèn)互聯(lián)網(wǎng)的雙鏈路選擇由UTM轉(zhuǎn)到負(fù)載均衡防火墻上，原來(lái)在UTM上配置的電信、移動(dòng)的雙NAT地址映射改為單NAT地址映射，安全策略也需要根據(jù)NAT映射的不同進(jìn)行相應(yīng)的改動(dòng)。

2、用戶認(rèn)證

內(nèi)網(wǎng)訪問(wèn)行業(yè)網(wǎng)和DMZ區(qū)不做用戶認(rèn)證，在上網(wǎng)行為管理設(shè)備可以根據(jù)訪問(wèn)目的IP地址進(jìn)行例外。

互聯(lián)網(wǎng)訪問(wèn)：

（1）公司員工：有線和無(wú)線用戶均采用域用戶認(rèn)證。有線用戶結(jié)合公司AD域進(jìn)行單點(diǎn)登陸認(rèn)證，用域用戶登陸操作系統(tǒng)后自動(dòng)進(jìn)行認(rèn)證，上網(wǎng)時(shí)不需再次輸入用戶名和密碼。無(wú)線用戶結(jié)合公司AD域做外部認(rèn)證，通過(guò)連接WiFi，上網(wǎng)時(shí)彈出portal頁(yè)面，鍵入用戶的AD域帳號(hào)信息與密碼，實(shí)現(xiàn)外部認(rèn)證單點(diǎn)登錄。

（2）外部用戶：目前的認(rèn)證方式有短信、用戶名/密碼、微信和二維碼。

短信認(rèn)證：用戶只需要輸入手機(jī)號(hào)碼，獲得并輸入短信驗(yàn)證碼后，就可以獲得上網(wǎng)權(quán)限。

用戶名/密碼認(rèn)證：網(wǎng)絡(luò)管理員給上網(wǎng)人員統(tǒng)一下發(fā)用戶名/密碼，上網(wǎng)人員通過(guò)帳號(hào)接入，實(shí)現(xiàn)上網(wǎng)人員的身份認(rèn)證和行為管控。

微信認(rèn)證：用戶認(rèn)證頁(yè)面會(huì)自動(dòng)提醒用戶需要關(guān)注組織的“官方微信公眾賬號(hào)”，并發(fā)送上網(wǎng)請(qǐng)求，才能獲得上網(wǎng)權(quán)限。這可以幫助企業(yè)推廣社交媒體的粉絲數(shù)量，更好的幫助企業(yè)推廣品牌宣傳。

二維碼認(rèn)證：用戶認(rèn)證頁(yè)面會(huì)自動(dòng)彈出一個(gè)二維碼，只有內(nèi)部人員用自己的移動(dòng)終端掃描二維碼，確認(rèn)同意后，用戶才能獲得上網(wǎng)權(quán)限。而且，為了滿足合規(guī)要求，接待人員，可以在頁(yè)面上備注用戶身份信息，便于后續(xù)查找。認(rèn)證方式優(yōu)缺點(diǎn)分析如表1。根據(jù)管理要求，對(duì)長(zhǎng)時(shí)間駐留公司的外來(lái)人員，如維護(hù)人員、開(kāi)發(fā)人員等采用用戶名/密碼的認(rèn)證方式，對(duì)臨時(shí)來(lái)訪人員采用二維碼認(rèn)證方式。

表1 認(rèn)證方式優(yōu)缺點(diǎn)分析

3.行為管控和帶寬分配

通過(guò)設(shè)備內(nèi)置的URL庫(kù)和應(yīng)用識(shí)別規(guī)則庫(kù)，識(shí)別目前網(wǎng)絡(luò)中各種主流應(yīng)用，如IM聊天軟件、金融軟件、微博、社區(qū)論壇、網(wǎng)盤(pán)、在線視頻等。根據(jù)不同應(yīng)用制定不同的管理策略，限制與工作無(wú)關(guān)的行為。

通過(guò)多級(jí)父子通道技術(shù)，完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過(guò)用戶和應(yīng)用的通道化后，給不同通道分配不同帶寬。同時(shí)，帶寬的分配并不是一成不變的。通過(guò)配置線路空閑閥值，以及定義線路的空閑和繁忙狀態(tài)，實(shí)現(xiàn)針對(duì)性制定流控策略。當(dāng)線路空閑時(shí)可以放寬通道帶寬限制，應(yīng)用流量可突破原來(lái)設(shè)定的最大帶寬限制；當(dāng)線路繁忙時(shí)可以下壓通道帶寬，使帶寬恢復(fù)到被限制狀態(tài)，執(zhí)行原有的流控策略。

4.多鏈路負(fù)載均衡

（1）出站負(fù)載均衡

內(nèi)網(wǎng)的用戶訪問(wèn)互聯(lián)網(wǎng)資源時(shí)，負(fù)載均衡防火墻根據(jù)預(yù)先設(shè)定負(fù)載策略和IP地址表將訪問(wèn)電信的資源的出站流量分配到電信的鏈路之上，并做源地址的NAT，保證數(shù)據(jù)包返回時(shí)能夠正確接收；同理，訪問(wèn)移動(dòng)資源的流量會(huì)通過(guò)相應(yīng)策略和IP地址表被分配到移動(dòng)的鏈路之上。

（2）入站負(fù)責(zé)均衡

當(dāng)外部用戶訪問(wèn)內(nèi)部資源時(shí)，通過(guò)智能DNS解析技術(shù)將一個(gè)域名綁定多個(gè)運(yùn)營(yíng)商的公網(wǎng)地址，負(fù)責(zé)解析來(lái)自不同運(yùn)營(yíng)商用戶的域名解析請(qǐng)求；根據(jù)不同負(fù)載均衡策略為不同運(yùn)營(yíng)商的用戶返回最佳的訪問(wèn)地址，實(shí)現(xiàn)用戶入站流量的負(fù)載均衡。

應(yīng)用效果

通過(guò)安全改造，企業(yè)加強(qiáng)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的安全防護(hù)和管理，達(dá)到網(wǎng)絡(luò)用戶、行為和流量可視可控的目的，實(shí)現(xiàn)了網(wǎng)絡(luò)安全管理的精細(xì)化，滿足了企業(yè)安全管理和合規(guī)審計(jì)的要求，并通過(guò)鏈路負(fù)載均衡策略提高網(wǎng)絡(luò)出口的可靠性和訪問(wèn)速度。