【51CTO.com 綜合報道】廣域網安全建設的特點分析

在企業的廣域網建設過程中，分布在不同位置的遠程企業分支作為廣域網絡的重要組成部分，是客戶完成與企業大多數業務往來的主要場所。從政府、金融銀行、大企業、零售業等行業來看，其分支機構都在想方設法提升分支機構的辦事效率，增強分支機構的多業務支持能力，以便在降低成本的同時滿足客戶對更多元化服務的需要。而安全的廣域網分支建設，又是各項業務能否正常開展的關鍵環節，和企業園區網絡的建設不同，企業廣域網遠程分支的安全建設有其自身的特點。

(i) 認證鑒權方面的需求多樣性

和企業總部局域網園區接入環境相比，各廣域分支在認證鑒權方面有其特有的要求。在局域網園區接入環境下，員工的辦公地點相對固定，局域網為其網絡接入方式，這意味著可以實現統一的認證授權管理方式。而廣域網分支辦事處因為工作性質的關系，員工可能缺乏固定的網絡接入點，部分員工還存在遠程辦公的需求。因此在認證方式上必然存在多種形式，除了基礎的802.1X或portal認證方式之外，還可能存在L2TP+IPSec 以及SSL VPN等遠程接入方式，或者是需要考慮如何在MPLS的環境下實現接入認證等。

各類不確定的認證方式必然帶來管理上的復雜性，使得企業在實施這些認證方式時，很難建設完整的覆蓋各種人員的認證鑒權系統。由于缺乏身份認證，出于對資源冒用的擔心，企業會實施嚴格的限制策略進行總部資源訪問控制，或者只是有限開放幾種應用給廣域網分支，從而無法實現多業務分支的構想。

(ii) 接入客戶端的安全狀況不可控性

廣域網分支辦事處員工本身因為工作性質的關系，可以自由開放的使用諸如USB和移動硬盤等形式的存儲介質，而這也將成為網絡安全風險的一個關鍵來源。同時，分支機構終端通過廣域網線路進行統一的補丁分發和修復，大數量的并發操作，會給廣域網帶寬帶來重大負荷。在這種情況下，如何實現對接入客戶端的安全可控？如何在廣域網下進行統一的終端接入控制管理？如何實現集中式的統一管理？在各接入客戶端的隨意個性化使用的同時，如何保證客戶端本身的安全狀態？

(iii) 多業務分支建設和廣域網鏈路服務質量之間的矛盾

在廣域網分支的業務擴充過程中，更多的業務被引入到分支機構，這意味著可能需要消耗更多的廣域網鏈路帶寬。對于諸如語音視頻會議等對時延敏感的業務，則需要提供更高的QoS服務質量來進行保證。這將導致：一方面，企業需要不斷的擴容廣域網鏈路的帶寬，以使分支承載更多的業務部署；另一方面，擴容必然導致網絡建設維護成本的提高，且不能保證完全達到預期的效果。往往是帶寬上去了，但有時候部分關鍵業務仍然沒有得到足夠的帶寬，反而是其他一些優先級相對較低的業務侵占了本來就很有限的鏈路帶寬。如何解決這個矛盾？

(iv) 更側重“點狀”的安全防護，缺乏系統的關聯耦合和統一的安全管理

與園區網絡和數據中心的安全策略部署的規范有序相比，廣域網分支在安全建設的重點上顯得不夠清晰。由于廣域網分支本身只是業務的使用部門，不提供對周邊部門的支撐服務，也很少涉及到大量服務器的安全防護。這使得現階段很多廣域網分支本身的安全防護比較簡單：企業通常的考慮是在分支出口部署防火墻實現基本的訪問控制和安全隔離，或者要求員工PC終端安裝殺毒軟件，或者是針對一些企業的關鍵應用通過IP五元組等方式進行帶寬的限制。這些安全防護策略更多的是體現在“點狀”的安全防護上，只是解決了安全防護的有無問題，但是系統之間缺乏有效的關聯耦合；同時網絡中可能存在多類型安全設備，日志格式的差異和配置方法的不同，將導致無法實現對多設備安全日志的統一關聯分析和總體把握，日常管理維護效率不高。 #p#

廣域網安全部署的整體思路和方案實施建議

(i) 廣域網分支安全建設的整體思路

1. 重點關注客戶端的接入安全，建立完整的安全準入機制，實現對用戶的認證鑒權

在廣域分支的安全建設過程中，員工的接入行為是造成安全風險的重要因素。因此需要合理規范員工的安全接入行為，針對不同屬性的員工設定差異化的終端準入訪問策略，并通過靈活的技術手段，實現對客戶端安全準入組件（如殺毒軟件、操作系統）的補丁自動升級維護，對于部分關鍵業務嚴格設定用戶訪問權限，確保整個廣域分支用戶的“合規”訪問。

2. 強調企業分支數據傳輸通道的安全性，為固定和移動接入用戶創造安全的接入環境

結合廣域分支辦事處員工的工作實際，通過遠程接入VPN等方式實現對移動用戶辦公的支持，同時對于企業分支和總部之間的傳輸線路。在保證安全的前提下可以利用VPN進行加密，實現統一的VPN安全傳輸。在產品的選擇上，要考慮選擇成熟的主流產品和符合技術發展趨勢的產品，實現一體化的VPN安全網關，以減少系統維護的工作。

3. 持續進行廣域網鏈路質量的優化，保障關鍵應用的服務質量，提升應用的交付性能

在規劃建設多業務的廣域分支時，無論是通過廣域網的專線互聯，還是利用internet鏈路進行互聯，都需要考慮到多業務對帶寬的占用情況。除了不斷的擴容之外，持續的優化廣域分支的鏈路質量，對分支業務進行優先級排序并合理安排帶寬占用比例，可以有效的分支業務的服務質量和交付性能，同時也可以減緩廣域分支鏈路擴容維護的壓力，用最小的代價獲得更大的收益。

4. 合理劃分廣域網的安全區域，加固防護邊界安全風險，實現整體安全事件的統一管理

邊界安全防護和安全域的劃分一直是安全建設的重點，對于廣域網的安全建設來說也不例外。在廣域網的總部匯聚場合，除了部署傳統的防火墻等產品，還可以根據對外提供服務器的位置部署諸如入侵防護等產品；在廣域網的分支，安全邊界的建設重點聚焦在廣域網分支出口的位置。同時針對這些安全防護策略，將廣域分支的安全事件進行集中的上報和統一的安全管理，可以及時發現網絡中存在的安全風險狀況，為后續的策略調整提供技術的支撐。

(ii) 廣域網分支安全方案實施建議

如圖1所示為廣域網安全部署的典型組網。考慮到廣域網分支的關鍵業務職能是滿足分支到總部的集中訪問，及部分總部應用到分支的及時交付，在進行分支的安全部署時，可以重點關注以下幾個方面：

1. 建設綜合的VPN接入平臺

無論是采用專線方式接入或者是采用internet進行廣域分支互聯，在涉及到傳輸通道的加密安全方面，采用合適的VPN技術進行數據加密傳輸是必然的選擇。面對企業的多樣化需求，在部署綜合VPN接入平臺時，需要考慮以下幾個方面：

1） 按需選擇技術實現。為確保遠程分支固定接入點人員和總部的數據安全，選擇site-to-site IPSec VPN實現分支和總部的鏈路加密，為了保證路由協議的正常交付，建議采取GRE+IPSec的方式。

2） 針對內部員工遠程移動訪問的需求，如果需要訪問較多的內部資源，原則上建議采用L2TP+IPSec的遠程接入方式，同時客戶端要求使用iNode VPN客戶端，以便實現較嚴格的端點安全接入檢查；針對部分合作方員工的遠程接入訪問需求，可以采取SSL VPN的方式進行，用戶不需要客戶端軟件，而且對于訪問的資源管理員將嚴格限定，避免客戶端的安全風險對網絡造成大的影響。

3） 在具體的認證方式上，對于L2TP+IPSec的接入或者是SSL VPN的接入，無論是采取USBKEY或者是token令牌都可以很好的保證認證安全。

4） 在總部資源的訪問上，嚴格限制通過SSL VPN接入的訪問，以保密度不高的web類訪問為主。

5） 在設備的選擇上，分支設備建議采取UTM多功能網關，在實現基礎的安全防護功能的同時，兼作為VPN client網關設備；在總部VPN網關的選擇上，如果是中小企業建議選擇IPSec VPN和SSL VPN網關合一的設備進行部署，這種方式可以簡化組網結構；對于大型廣域網而言，可以旁掛部署專業的高性能SSL VPN網關配合高性能防火墻IPSEC VPN網關實現綜合的VPN接入。

6） 從可靠性的角度，總部VPN網關建議進行HA雙機部署，保證故障情況下的雙機業務切換。 

圖1 企業綜合VPN組網示意圖

2. 優化安全域的隔離和控制，實現L2-L7層的應用安全防護

在建設安全邊界防護控制過程中，面對企業的多個業務部門和分支機構，合理安全域劃分是保證安全防護效果的重要環節。尤其是通過internet實現廣域各分支安全接入的企業，遠程分支和internet之間的安全邊界，企業總部匯聚和internet的安全邊界，企業總部的DMZ安全防護，各遠程分支之間的安全隔離和訪問控制等需求更加明顯。在具體的安全域隔離和防護方面，主要的部署建議如下：

1） 廣域網遠程分支的安全防護，建議使用多功能合一的UTM產品實現，除了傳統的安全隔離之外，如果遠程分支具備internet邊界，利用該產品還可以實現對web類應用威脅的訪問控制，anti-virus和IPS等特性都可以很好的保證這一點。

2） 在遠程分支的內部，基于UTM產品實現對安全區域的嚴格劃分，各個業務部門可以有自己獨立的安全域，通過安全域可以很好的實現相互之間的訪問控制。

3） 總部廣域匯聚區域的安全隔離方面，需要考慮各個分支之間的安全隔離，涉及到internet接入方式的情況下，還需要考慮DMZ安全區域的安全防護，需要考慮對web應用層安全威脅的防護；其整體的部署示意圖如圖2所示。

4） 在設備形態方面，對于廣域網的總部匯聚位置，建議使用多功能集成的安全平臺，通過在交換路由平臺集成高性能的安全模塊進行組網，以簡化設備的部署和管理。

5） 在設備的功能要求方面，除了傳統的安全特性之外，如果設備支持的情況下，可以考慮使用虛擬化防火墻特性，實現不同業務之間或者是企業不同分支之間的徹底安全隔離，如圖3所示。      

圖2 廣域網安全典型部署組網                

圖3 廣域分支和總部防火墻虛擬化部署

3. 強調廣域網應用的交付質量，聚焦低成本的廣域網帶寬管理和優化

面對多業務廣域分支建設對高帶寬的需求，單純的鏈路擴容并不能解決可持續性發展的問題。如果選擇昂貴的廣域網優化設備，建設成本會提高很多給企業帶來壓力。在這種情況下，利用現有的深度業務識別技術，在充分了解現有鏈路帶寬的利用情況下，優先保證重點業務的服務質量、并有策略的限制與工作無關的流量，也可以在一定程度上緩解多業務應用和高帶寬之間的矛盾，業務部署流程如下：

1）先看：通過設備部署對現有網絡流量應用情況進行學習監控，獲取整個廣域分支的流量分布和帶寬占用情況，同時依托智能管理平臺實現業務的多維度精細化呈現，幫助網絡維護人員真正了解企業網絡狀況。

2）后控：在深度業務識別的基礎上，根據自身的業務優先級，對業務流量進行優先級的標記，對高優先級業務進行帶寬的保證，對工作無關業務實現速率限制或者丟棄，確保帶寬不被濫用。

3）再調整：策略部署完成之后，可以基于可視化的報表平臺，進一步監控分析策略部署的效果，同時可以根據實時的業務需求繼續對策略進行調整控制，以便做到對業務從識別到控制再到調整再到監控的閉環流程。如圖4所示。 

圖4 廣域網業務識別和流量管理典型部署示意圖

4. 實施端點安全準入控制，確保分支網絡接入安全

盡管很多客戶端PC都已經安裝有專業的殺毒軟件，但是由于安全狀況不可控的終端接入而導致整個分支網絡受到病毒攻擊的行為仍然時有發生，因此對于終端的安全接入控制顯得尤其重要。考慮到廣域網分支的組網環境，典型的部署建議如下：

1）在認證網關的選擇上，建議使用廣域分支出口設備或總部入口作為認證網關，實現集中的portal認證；用戶通過廣域網訪問總部數據需要進行安全認證和端點健康狀況的檢查，在保證訪問控制權限的基礎上，確保總部資源不會因為終端安全風險而受到影響。

2）企業所有用戶均集中到企業總部的EAD管理中心進行認證；對于個分支機構管理員賦予分權管理能力，即分支機構的管理員可登錄企業總部的EAD管理中心，對于其分支機構的接入用戶、接入設備和安全策略進行維護管理，而無權訪問其它機構的EAD信息。

3）認證服務器、補丁服務器等可集中部署、統一管理，便于執行全網一致的安全策略、降低分支維護管理的復雜度。同時還可支持服務器分布部署、分權管理、分級管理等應用方案。

4）對于小于50人、且廣域帶寬比較緊張的分支，建議將終端分成N組，每次同時有1/N的用戶升級，并且下發基于用戶和業務的QoS策略，控制升級業務對帶寬的占用；對于大于50人的分支，建議在遠程分支內部署區域補丁服務器服務器，在線路閑時與中心補丁服務器同步，完成用戶本地補丁自動升級

5）基于上述的組網模型，可以忽略分支內部多廠商的設備組網，無需調整分支內部網絡，即能實現安全加固的平滑升級。如圖5所示。 

圖5 廣域網分支端點準入典型組網圖

5. 建設統一的安全管理平臺，實現對整網安全的“可視、可控和可管”

優秀的安全管理平臺，不但可以實現對整個廣域分支和總部網絡的多設備統一配置管理，同時可以作為整網安全事件的集中處理平臺，通過對整網安全日志的關聯分析，發現各廣域分支存在的安全攻擊事件，從而為防護策略的制定及策略推送到指定安全設備提供基礎，實現從安全事件的監控-關聯分析-策略響應-再監控的閉環操作。具體的部署建議主要有4個方面：

1）在多廠商設備共存的情況下，要求各廠商設備的日志格式遵循統一日志規范，以便管理平臺分析。

2）需要根據自身的信息安全制度設定恰當的安全策略，并定制適合自身需求的安全事件分析報表的模板。

3）對各種安全事件的優先級制定緊急事件應急響應流程；加強對內部員工的安全風險培訓。

4）定期進行安全事件的分析評審，結合當前的安全威脅狀況調整安全策略，真正實現安全事件的可視、可控制和可管理。如圖6所示。

圖6 企業統一安全管理平臺邏輯示意圖

結束語

廣域網的安全體系的建設，既離不開通用安全建設理論（如ISO27001）的指導，也需要考慮廣域網在自身業務開展過程中的實際的安全需求。在理論結合實際的基礎上，通過不斷研究安全威脅的新變化，并及時動態調整自身的安全防護策略，可以使得整個廣域網的安全防護體系與時俱進，為多業務廣域分支的建設保駕護航。