大型企业统一威胁管理安全解决方案

随着网络应用的发展,企业面临的安全威胁不仅仅来自于网络层,更多的是应用层的威胁(如病毒、垃圾邮件、不良Web内容等)。网络安全的需求也在发生变化,用户需要能够防御混合型威胁的安全设备。IDC最近命名包含防火墙、入侵检测和防病毒的综合平台为统一威胁管理(UTM)设备,正是这样一类产品。本文结合国内某著名大型能源企业的案例,来介绍UTM设备在网络安全保护中的作用和特点。

用户需求分析

目前某大型能源企业广域网呈星形分布,以北京为中心,通过专线方式与全国十个区域网络中心相连,各区域中心直接连接地区分公司。广域网IP地址采用保留地址10.x.x.x。地址段由总部统一分配,各地区公司内部的地址由各自分配。总部和各区域网络中心有独立的Internet入口,均可通过当地的ISP直接接入Internet,出口带宽根据网络规模从10M到100M不等。由于业务关系,该企业用户经常出差进行远程办公,需要通过 Internet访问企业内网资源。 从企业广域网的实际情况来看,应该从以下几方面对安全进行分析:

链路层

用户通过Internet访问内网资源,黑客可能在公网链路上使用网络嗅探器窃取用户的机密信息。

网络层

由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。整个网络就会受到来自网络外部和内部的双重威胁。尤其在Internet中存在着大量的黑客攻击,他们常常针对Web服务器和邮件服务器作为突破口,进行网络攻击和渗透。常见得一些手法包括 IP欺骗、重放或重演、拒绝服务攻击、分布式拒绝服务攻击、篡改、堆栈溢出等。

应用层

在任何的网络结构中都运行着不同的操作系统,这些系统都或多或少地存在着各种各样的漏洞。一名黑客可以通过缓存溢出、造成死机等方式进行破坏,甚至取得主机管理员的权限。企业广域网与Internet相连,进行着包括WEB、FTP、E-mail、DNS等各种Internet应用。黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的,例如针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、为索引的Web页、有缺陷的浏览器甚至是利用Oracle、 SAP 等的缺省帐户。

应用层的安全威胁还包括对各种不良网络内容的访问,例如内网用户访问非法或不良网站。每天发送的大量垃圾邮件也占用了大量的系统资源和网络带宽,还可能将病毒传入内网。近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同,它们本身是一个病毒与黑客工具的结合体,当网络中一台计算机感染蠕虫病毒后,它会自动的以极快速度(每秒几百个线程)扫描网络中其他计算机的安全漏洞,并主动将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式攻击(DoS)。产品选择

从用户的安全威胁分析我们可以看出,传统的网络层防火墙只能针对IP地址、端口等参数对网络流量进行过滤,对应用层的安全威胁的防御能力很有限。复杂的网络入侵、病毒、不良内容、垃圾邮件等可以轻易的穿越传统防火墙进入用户内网。需要使用集成多种安全功能的综合安全产品来保护用户的网络。统一威胁管理(UTM)设备是集防火墙、防病毒、入侵检测、VPN等多项功能于一身的安全产品,能给用户提供最全面的安全保护。

要完全过滤应用层安全威胁(病毒、不良内容等),就必须在安全设备上对网络数据包进行缓存和重组,然后调用各个安全扫描引擎(如防病毒、入侵检测、内容检查等)进行扫描,这些工作对于系统性能的要求非常高。使用软件方式来实现统一威胁管理(UTM)的产品往往由于性能上的瓶颈大大降低了网络传输速度,因此在高带宽网络中的实用性不强。而Fortinet公司的FortiGate系列是业界唯一集防火墙、防病毒、入侵防御(IPS)、VPN和内容过滤、反垃圾邮件等多项功能于一身的统一威胁管理(UTM)设备,可对进出企业网络的流量进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。自主研发的ASIC芯片硬件处理方式大大提升了UTM产品的性能,在几乎不影响网络速度的情况下提供千兆级的内容处理能力,适合各种规模企业的安全应用需求。

首先在企业总部出口处部署2台FortiGate-3000,配置成负载均衡式HA结构。负载均衡式HA不但可以提供网络的高可靠性,在两台设备同时工作时还可提供约2倍于单台设备的性能,为企业出口安全过滤提供足够的性能。

同样,在每个区域网络中心与Internet之间各部署1台FortiGate-3000,提供与总部同样的安全功能。出于网络高可用性的考虑,并考虑到用户的成本问题,在每个区域网络中心部署1台FortiGate-400,进行冷备份。企业对外服务的服务器放置在FortiGate的 DMZ区中,使得整个网络区域划分更加清晰,安全级别更高。安全功能如下:

防火墙:配置防火墙功能模块,通过IP地址、协议、端口、时间、用户等参数对数据包进行过滤,并通过带宽管理优化服务质量(QoS)。

防病毒:基于特征和启发式的扫描可以在网关处过滤各种已知和未知病毒。FortiGate-3000基于 ASIC芯片的扫描引擎可以达到100M以上的防毒吞吐量,而不会影响用户的网络性能。

入侵防御(IPS):通过特征和异常检测方式检测和阻挡1300以上的复杂攻击行为,并对各种DoS/DDoS攻击进行防御。病毒库和攻击特征库均可进行自动更新,以防御最新的安全威胁。

VPN:开启各地FortiGate上的VPN功能,并在移动用户的计算机上安装FortiClient VPN客户端软件,实现高强度(3DES、AES、SHA-1、MD5)的加密和认证,防止公网链路上的数据窃取和篡改。可以通过LDAP方式调用用户现有的Windows域用户帐号信息来对VPN用户进行身份验证,无需新建用户数据库。移动用户出差时可以选择就近的VPN接入点进行连接,以获取最快的速度。各接入点之间也实现了接入的冗余。

Web过滤:通过URL地址、不良关键字、网页分类的方式屏蔽有害内容,并阻挡有威胁的Java、ActiveX等程序。

反垃圾邮件:通过IP地址、邮件地址、RBL、关键字等技术过滤大量的垃圾邮件。

技术特色

1. 该系统提供从网络层到应用层的全面安全保护;
2. 各安全功能无缝结合,使复杂的混合型攻击也无处藏身;
3. 基于ASIC芯片的硬件扫描可以提供极高的处理性能;
4. 维护开销小,总体拥有成本(TCO)低。

自从该企业使用统一威胁管理(UTM)安全解决方案以来,困扰其已久的病毒、攻击、不良内容、垃圾邮件等安全威胁大大减少,网络流量得以净化,企业的安全水平和工作效率得到了明显的提高。UTM解决方案能为各种规模的企业防御各类安全威胁,是今后网络安全技术和市场发展的趋势。