張 寧，唐 佳，劉 識，楊 芳，廣澤晶，宋桂林，郭小溪

（國家電網(wǎng)公司信息通信分公司，北京 100761）

0 引言

多協(xié)議標簽交換 MPLS（Multi-Protocol Label Switching），它是ATM和IP技術(shù)融合的最佳方式[1]。目前，MPLS一個重要的應(yīng)用 VPN（虛擬專用網(wǎng)Virtual Private Network），可以實現(xiàn)各VPN之間數(shù)據(jù)和路由分離、地址空間的分離、核心網(wǎng)絡(luò)的隱藏，網(wǎng)絡(luò)安全性能較高。得到了越來越多的電信運營商、大型企業(yè)、政府單位的青睞，將其作為自己組網(wǎng)的首選方案[2]。

隨著企業(yè)網(wǎng)絡(luò)覆蓋范圍擴大，承載業(yè)務(wù)越來越重要，以及新技術(shù)的快速迭代，對企業(yè)網(wǎng)絡(luò)安全提出更高的要求。因此，研究MPLS VPN大型網(wǎng)絡(luò)安全防護體系具有非常重要的價值。

1 大型企業(yè)網(wǎng)絡(luò)架構(gòu)

如圖1所示，某大型企業(yè)MPLS VPN網(wǎng)絡(luò)架構(gòu)，其中核心層、匯聚層和骨干層構(gòu)成一張MPLS骨干網(wǎng)絡(luò)，底層由OTN承載，實現(xiàn)網(wǎng)絡(luò)高速通道負責流量快速轉(zhuǎn)發(fā)[3]。各接入域通過MPLS BGP跨域?qū)崿F(xiàn)對接，VPN業(yè)務(wù)均接入接入域內(nèi)。通過多級路由反射器（RR）技術(shù)實現(xiàn)全網(wǎng)VPN路由控制。

圖1 大型企業(yè)網(wǎng)絡(luò)架構(gòu)Fig.1 Large enterprise network architecture

2 安全防護要求

2.1 防護原則

安全防護設(shè)計應(yīng)遵循合規(guī)性、體系化和風險管理原則，詳細如下：

（1）合規(guī)性原則：符合國家信息安全等級保護要求[4]，符合企業(yè)“分區(qū)分域、安全接入、動態(tài)感知、全面防護”的安全策略，符合企業(yè)信息安全防護整體體系框架。

（2）體系化原則：按照信息安全防護要求，從物理安全、邊界安全、應(yīng)用安全、數(shù)據(jù)安全、主機安全、網(wǎng)絡(luò)安全、終端安全及安全管理等方面對系統(tǒng)進行安全防護設(shè)計。

（3）風險管理原則：針對系統(tǒng)面臨的風險采取針對性的安全防護措施，降低風險，提高系統(tǒng)安全性能。

2.2 風險分析

風險分析主要從網(wǎng)絡(luò)層面、終端層面、物理層面和安全管理方面進行風險分析，詳細如下。

終端層面風險：（1）客戶內(nèi)網(wǎng)終端感染病毒等惡意代碼，不能正常工作；（2）客戶網(wǎng)絡(luò)網(wǎng)管機終端密碼和設(shè)備遠程登錄泄露，被人非法登錄。

物理層面風險：機房遭受地震、火災(zāi)、水災(zāi)等物理破壞；電力供應(yīng)不正常等。

安全管理風險：邊界出口增多，導致運維成本和運維負擔增加；部分地市、縣級運維人員和運維工具不到位，導致運維措施無法嚴格執(zhí)行。

3 防護體系研究

3.1 總體防護架構(gòu)

針對大型網(wǎng)絡(luò)面臨的安全風險，重點從物理安全、邊界安全、網(wǎng)絡(luò)安全、終端安全和運維安全管理等方面進行總體安全防護架構(gòu)設(shè)計，詳細如圖 2所示。

圖2 網(wǎng)絡(luò)安全防護體系Fig.2 Network security protection system

3.2 邊界安全管控

如圖3所示，大型企業(yè)網(wǎng)絡(luò)架構(gòu)分為骨干網(wǎng)和接入網(wǎng)兩級網(wǎng)絡(luò)架構(gòu)。骨干網(wǎng)和接入網(wǎng)均為 MPLS標簽網(wǎng)絡(luò)，為全網(wǎng)業(yè)務(wù)流量提供安全穩(wěn)定的高速轉(zhuǎn)發(fā)功能[5]。業(yè)務(wù)CE設(shè)備及以下網(wǎng)絡(luò)為VPN業(yè)務(wù)局域網(wǎng)，作為企業(yè)提供業(yè)務(wù)接入服務(wù)和業(yè)務(wù)管控功能。

圖3 邊界示意圖Fig.3 Boundary diagram

3.2.1 MPLS跨域?qū)舆吔?/p>

架構(gòu)安全：安全設(shè)備部署及性能具備冗余空間、滿足高峰期業(yè)務(wù)需要；按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)。

訪問控制：針對跨域邊界的雙向訪問，配置不同的防護策略，從設(shè)備的訪問、管理、業(yè)務(wù)數(shù)據(jù)、終端用戶等多方面實現(xiàn)安全防護功能；針對各網(wǎng)段的會話狀態(tài)信息進行明確的允許/拒絕控制[6]。

安全防護：滿足對數(shù)據(jù)通信網(wǎng)中環(huán)境下的每IP新建速率閾值的設(shè)置與監(jiān)控以及對 TCP、ICMP、UDP等協(xié)議下報文速率的閾值設(shè)置，并可以實現(xiàn)觀察、限速和阻斷；實現(xiàn)對SYN Flood攻擊、UDP Flood攻擊、ICMP Flood攻擊、DNS Flood攻擊等攻擊的安全防護。

安全審計：對數(shù)據(jù)通信網(wǎng)中的各類信息需要記錄，記錄的內(nèi)容包括：時間、事件類型、時間是否成功等。對網(wǎng)絡(luò)流量、業(yè)務(wù)行為等進行日志記錄；能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表[7]。

流量深度檢測：支持識別多種協(xié)議，對數(shù)據(jù)通信網(wǎng)網(wǎng)絡(luò)中的流量進行深度分析，展現(xiàn)清晰的圖形化界面可直觀查看實時/歷史流量走勢、業(yè)務(wù)流量的排名、狀態(tài)、連接數(shù)等信息，便于分析網(wǎng)絡(luò)健康狀況以及定位故障。多維度、豐富的分析和數(shù)據(jù)報表，可滿足各種統(tǒng)計報告要求。

網(wǎng)絡(luò)設(shè)備防護：對于登陸設(shè)備的用戶需要進行認證；需要限制能夠管理設(shè)備的IP地址數(shù)量范圍；確保一對口令（用戶名、密碼）唯一標識一個用戶、并且足夠復(fù)雜以保證安全；設(shè)備具備超時退出功能。3.2.2 局域網(wǎng)邊界

局域網(wǎng)邊界范圍是 CE及以下的接入網(wǎng)，應(yīng)實現(xiàn)業(yè)務(wù)的安全接入與訪問控制，保證進入骨干網(wǎng)的流量的安全可靠，因此局域網(wǎng)的安全管控措施如下：

（1）規(guī)范流程管理，嚴格執(zhí)行信息網(wǎng)絡(luò)、信息設(shè)備（包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機設(shè)備、終端設(shè)備）、信息系統(tǒng)的準入審批制度，落實業(yè)務(wù)接入、網(wǎng)絡(luò)接入管理要求，規(guī)范接入申請、審批、實施及監(jiān)控的管理流程，杜絕在接入管理方面的違章現(xiàn)象。

（2）加強網(wǎng)絡(luò)設(shè)備入網(wǎng)管理，嚴禁將網(wǎng)絡(luò)設(shè)備和安全設(shè)備私自接入公司網(wǎng)絡(luò)，擴大信息網(wǎng)絡(luò)邊界范圍；嚴禁將未采取安全加固措施（系統(tǒng)默認口令，未關(guān)閉 FTP、SNMP等不必要的服務(wù)）的網(wǎng)絡(luò)設(shè)備和安全設(shè)備接入公司網(wǎng)絡(luò)。

（3）加強網(wǎng)絡(luò)安全域管理，局域網(wǎng)應(yīng)加強安全訪問控制措施與安全防護措施，嚴格限制網(wǎng)絡(luò)訪問策略與權(quán)限管理，與其它域僅進行必要的信息交互。

（4）加強信息內(nèi)網(wǎng)例行檢查，定期對辦公計算機防病毒軟件的升級、操作系統(tǒng)補丁更新、系統(tǒng)弱口令設(shè)置情況等進行常規(guī)性檢查。

（5）加強帳號權(quán)限管理，應(yīng)按照用戶最小服務(wù)授權(quán)原則進行網(wǎng)絡(luò)授權(quán)，并定期清理無關(guān)用戶。防止崗位變更、人員離職、臨時帳戶長期生效等情況發(fā)生，信息系統(tǒng)中相關(guān)帳戶、權(quán)限未做調(diào)整，造成不良后果。

（6）加強網(wǎng)絡(luò)訪問限制管理，因信息系統(tǒng)升級、維護、聯(lián)調(diào)等原因而授權(quán)開通的臨時防火墻訪問控制策略與端口，在操作結(jié)束后必須立即履行注銷手續(xù)，消除網(wǎng)絡(luò)訪問權(quán)限管理隱患。

3.3 網(wǎng)絡(luò)安全

大型數(shù)據(jù)通信骨干網(wǎng)為其承載的各項業(yè)務(wù)提供快速轉(zhuǎn)發(fā)通道，應(yīng)當為各項業(yè)務(wù)轉(zhuǎn)發(fā)提供正確的路由，保證各項業(yè)務(wù)轉(zhuǎn)發(fā)所需的帶寬以及保障正常的轉(zhuǎn)發(fā)性能[8]。原則上不對入網(wǎng)的流量進行太多限制，只負責轉(zhuǎn)發(fā)。數(shù)據(jù)通信骨干網(wǎng)應(yīng)對數(shù)據(jù)平面、控制平面、管理平面等三個層面做相應(yīng)安全部署。

數(shù)據(jù)平面是指網(wǎng)絡(luò)設(shè)備對各種數(shù)據(jù)處理過程中的各種處理轉(zhuǎn)發(fā)過程。數(shù)據(jù)數(shù)據(jù)平面的安全措施主要防止非法流量消耗正常網(wǎng)絡(luò)帶寬，保障正常的網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能。

控制平面是網(wǎng)絡(luò)設(shè)備用于控制和管理所有網(wǎng)絡(luò)協(xié)議的過程，主要作用是提供了業(yè)務(wù)數(shù)據(jù)處理轉(zhuǎn)發(fā)前的各種網(wǎng)絡(luò)信息和轉(zhuǎn)發(fā)查詢表項。控制平面的安全措施主要是收集和處理網(wǎng)絡(luò)的路由信息，為業(yè)務(wù)流量的轉(zhuǎn)發(fā)提供正確路由，必須防御利用各種路由協(xié)議流對網(wǎng)絡(luò)設(shè)備路由控制引擎實施拒絕服務(wù)攻擊。

管理平面是網(wǎng)絡(luò)管理人員利用各種方式登錄管理網(wǎng)絡(luò)設(shè)備的平臺，支持、理解和執(zhí)行管理人員對網(wǎng)絡(luò)設(shè)備的各種命令。管理平面要防御未授權(quán)的設(shè)備訪問，進而非法控制網(wǎng)絡(luò)設(shè)備的配置和管理，并利用管理信息流實施拒絕服務(wù)攻擊。

3.3.1 數(shù)據(jù)層面策略部署

（1）網(wǎng)絡(luò)基礎(chǔ)設(shè)施防護

為實現(xiàn)對路由器設(shè)備防護，在所有路由器上對外互聯(lián)接口部署ACL，僅允許必要的源地址訪問，其它任何目的地址為本網(wǎng)絡(luò)設(shè)備的流量，均予以拒絕，即可防范流量攻擊、更可增強組網(wǎng)設(shè)備的安全性，提升網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性[9]。

（2）垃圾流量過濾

在接入網(wǎng) PE路由器的下聯(lián)接口上，對進入數(shù)據(jù)通信網(wǎng)的數(shù)據(jù)流量進行過濾，使用ACL技術(shù)阻止一些有害的流量進入數(shù)據(jù)通信網(wǎng)。具體措施如下：

（1）拒絕源、目的地址明顯非法的數(shù)據(jù)包，如127.*.*.*，128.*.*.*等不應(yīng)出現(xiàn)在公網(wǎng)上的數(shù)據(jù)包；

（2）采用嚴格反向路徑查找技術(shù)過濾掉源地址非法的流量；

3.3.2 控制平面策略部署

（1）邊界對接設(shè)備所運行協(xié)議建立鄰居時采用md5認證。

（2）核心網(wǎng)絡(luò)設(shè)備access端口開啟反向路徑查找功能，并禁止 isis運行，未使用端口應(yīng)處于關(guān)閉狀態(tài)。

（3）在各 VPN業(yè)務(wù)接入設(shè)備上對業(yè)務(wù)路由進行整合、匯總，嚴格限制vpn路由表大小。

（4）路由反射器傳遞路由時，應(yīng)按照規(guī)劃路由，嚴格做好路由策略過濾，只接受或發(fā)布合法路由。

（5）骨干網(wǎng)ASBR對接入域ASBR發(fā)布公網(wǎng)路由時，應(yīng)進行路由過濾，只發(fā)布特定互通路由，接入域ASBR禁止向下發(fā)布公網(wǎng)路由。

3.3.3 管理平面策略部署

（1）所有網(wǎng)絡(luò)設(shè)備關(guān)閉http、direct broadcast、icmp redirect、proxy ARP服務(wù)。

（2）遠程登錄控制：所有網(wǎng)絡(luò)設(shè)備禁止 telnet登陸，只允許 ssh登陸，并進行最大連接限制，最大連接數(shù) 5，idle-timeout時限為 5分鐘；采用 acl控制，過濾掉非合法地址遠程登錄。加強密碼管理，采用集中認證技術(shù)，同時進行認證、授權(quán)、審計操作

（3）SNMP安全：所有網(wǎng)絡(luò)設(shè)備snmp采用v3安全版本，采用md5認證和des加密算法，并采用mib view關(guān)閉大數(shù)據(jù)量的表類型變量；設(shè)置復(fù)雜的字符串作為SNMP的community，不使用設(shè)備的缺省值；設(shè)置SNMP的訪問控制列表，嚴格限制訪問設(shè)備SNMP進程的源IP地址[10]。

3.4 終端安全

公司辦公人員使用現(xiàn)有信息內(nèi)網(wǎng)辦公計算機訪問數(shù)據(jù)通信網(wǎng)業(yè)務(wù)時，應(yīng)按照公司管理要求進行統(tǒng)一的安全防護和管理。

網(wǎng)管終端必須部署在網(wǎng)管大廳，由特定的網(wǎng)管人員管理，嚴格對網(wǎng)管人員進行分級授權(quán)，并按照相關(guān)管理要求進行統(tǒng)一的安全防護和管理。

3.5 物理安全

設(shè)備物理安全，應(yīng)依據(jù)屬地管理要求，由各屬地單位負責按照公司機房管理要求執(zhí)行安全防護和管理。

3.6 運維安全

在運維管理上除嚴格遵守有關(guān)規(guī)定外，應(yīng)滿足以下幾點：

（1）加強機房進出管理，保證網(wǎng)絡(luò)設(shè)備和通道物理安全。

（2）加強網(wǎng)絡(luò)管理員管理，有條件的省份可采用集中認證技術(shù)，同時進行認證、授權(quán)、審計操作。

（3）加強網(wǎng)管設(shè)備和網(wǎng)絡(luò)設(shè)備用戶名、密碼管理，防止關(guān)鍵信息泄露[11]。

（4）限制遠程登錄設(shè)備，網(wǎng)管設(shè)備必須限定在網(wǎng)管大廳，由特定的網(wǎng)管人員管理，嚴格對網(wǎng)管人員進行分級授權(quán)。

（5）加強安全審計，定期上傳、檢查設(shè)備syslog。

（6）完善設(shè)備配置備份。

（7）合理規(guī)劃ip地址、net地址等網(wǎng)絡(luò)資源。

（8）監(jiān)控網(wǎng)絡(luò)運行狀況，對于突發(fā)異常流量及時查明原因，未能及時查明原因的突發(fā)流量，應(yīng)暫時關(guān)閉其端口。

4 結(jié)論

本文提出了大型企業(yè)MPLS VPN網(wǎng)絡(luò)安全防護體系。通過分析大型企業(yè)網(wǎng)絡(luò)技術(shù)特點，明確了安全防護要求，如防護原則和風險分析。針對大型網(wǎng)絡(luò)面臨的安全風險，重點從物理安全、邊界安全、網(wǎng)絡(luò)安全、終端安全和運維安全管理等方面進行總體安全防護架構(gòu)設(shè)計。