保护分支机构办公网络
前言
通过与商业合作伙伴供应商和客户的互联,网络正不断地从一种封闭模式向更开放的系统迈进。这些开放式网络正在变得日趋依赖于难以信赖的网络,有时甚至是公共网络,如互联网,以便传输语音、视频和数据的融合信息。同时,来自网络内部和周边的安全威胁已成几何倍数增长。缺乏相应的安全策略、流程和产品,互联网连接会使工作效率方面的收益大打折扣,而工作效率正是决定公司赢利的关键标志。
内置集成安全性能必须能够保护网络各个部分免受内部和外部的威胁,并在接入需求与保护需求之间保持一种审慎的平衡。由于当前网络拓扑结构拥有额外的领域需要保护,因此开放式网络环境的使用增加了对功能强大的综合安全性能的需求。本文着重讨论分支机构办公网络安全保障的关键环节和问题。
全新拓扑结构推动了对安全的需求
随着越来越多的企业将公共互联网用于连接,典型的分支机构拓扑结构也在不断变化。无论外部网是连接到商业合作伙伴、经济有效的WAN更换、备份、VPN或简单的互联网接入,分支机构会发现自身已连接到不可靠的网络。这些新拓扑结构的工作效率收益和成本节省远远超出了为许多企业部署安全性能所添加的复杂性。因此问题不再是"分支机构是否需要安全性能",而变成了"如何保护分支机构办公网络"。
图1当今的开放式网络
内置集成安全性能
为分支机构办公网络提供安全保障所涉及的内容,不仅限于在凡是拥有互联网的地方就部署防火墙,而是需要部署一系列功能强大的安全功能,以便在攻击发生时,能迅速识别,必要时向管理员报警,并自动实现事件响应。为完成这一计划,需要将安全功能内置入网络并与整个网络实现集成。
集成安全功能对由联网设备提供的功能进行了定义,设备包括路由器、交换机或无线接入点。当信息流穿过一台联网设备时,必须要对它进行检查和分析,然后选择是继续执行,还是拒绝。这就要求集成安全设备拥有出色的智能、性能和可扩展性。内置安全特性对集成安全功能在网络重要环节中的分布进行了定义。
最后,要注意的是,安全功能对用户和运行在网络上的应用应尽可能透明。
保障分支机构办公网络的安全
要保证分支机构办公网络的安全,需要有组织地进行研究;首先,要确定您的安全策略,以及如何识别用户及其接入权。其次,确定哪种信息需要加密,以保守机密,以及在何处执行加密。在这些任务完成后,确定用来保护网络周边的功能,以及如何保护网络不受入侵威胁。最后,考虑如何在分支机构管理安全性的问题。
安全策略
安全策略对网络的安全目标和范围进行了定义。另外,安全策略对责任进行了划分,提供了常规配置标准,并对策略的执行方式进行探讨。需要重新检查现有的安全策略,以发现分支机构所存在的问题。这些问题包括管理数量日趋增加的设备,监控数量不断增加的用户,实施策略管理,监控远程站点,以及如何支持远程分支机构。
身份识别
为了保护分支机构办公网络的安全,对用户和管理人员接入网络进行控制是十分必要的。网络用户、主机、应用、服务和资源的准确,主动的识别,保证了移动的安全性,降低了运营费用,使员工和工作效率得以优化。以安全识别为基础实施的联网服务架构,为企业管理用户移动提供了支持,并减少了与授予和管理网络资源的接入权相关的成本开支。另外,基于身份识别的网络服务也为企业提供了提高用户工作效率、降低运营成本的能力。
验证
接入控制与用户策略的结合被用于保护网络的连接和资源。由于策略是与用户有关,而非与物理端口相关,用户可以获得更多的移动性和自由空间,IT管理也得以简化。通过策略执行和动态配置,实现了更高的可扩展性和管理的便利性。
支持身份识别的标准技术包括验证协议,如PADIUS、TACACS+、Kerberos和一次性口令工具,新技术和802.1x、数字许可证、智能卡,以及对灵活的策略、可扩展性、移动性的要求,在身份识别解决方案中发挥着日趋重要的作用。
数据专用性和安全连接
当利用公共网传输数据时,有时需要保护信息免受窃听或干扰。通过互联网连接的分支机构和总部,远程工作人员,或商业合作伙伴间的信息交流都对交流的验证和保密性提出了迫切需求。另外,政府已规定,一些信息,如病历记录,只能在保密的前提下传输。为满足这些要求,需要执行几项任务;首先,确定哪种信息为机密或专用信息,需要加密,哪些不需要。其次,利用身份识别服务验证远程站点。然后,在数据经过不安全网络发送前,选定加密地点。
图2 安全、专用的连接
IPSec VPN在IP网络层采用了一整套灵活的加密和隧道化机制。点到点加密隧道可以在路由器、VPN集中器、防火墙或运行在远程工作人员笔记本电脑上的软件间构成,以使数据可以在公共网络上的安全发送。在这些隧道上传输的数据,将利用若干算法来加密,包括数据加密标准(DES),3DES和高级加密标准(AES)。
周边安全性
与从前相比,当今的网络开放性更强。无线联网、企业间通信、远程工作人员和VPN的出现增加了人们接入网络的途径。相应地,可能的网络入点也已从企业总部发展到包括了分支机构的更大范围。当今的网络从一种网络周边较容易定义的封闭模式,发展成更开放的模式,以获得更高的工作效率。
图3 网络周边
周边问题最常表现在网络的出点上,例如,到商业合作伙伴,到互联网的连接,甚至机构中各部门间的连接。保护周边主要围绕着未授权接入的保护问题,多采用基于边界应用的过滤功能,以及逐户验证和授权。周边安全功能提供了控制网络应用、数据和服务接入的手段。路由器、交换机和指定设备提供了这一控制能力。
传统上,周边安全是由防火墙提供的,它负责对分组和话路进行检测,以确定是传输,还是丢弃。防火墙为网络提供了一个空间,根据诸如应用或IP地址之类的参数,对源于远程用户的信息和输出到互联网的信息进行分析和监控。
入侵保护
入侵保护的目的是保护网络周边,外部网和内部网,使其不受未授权活动和网络攻击的影响,从运行随处可见的服务拒绝(DOS)攻击的编程新手到经验丰富的黑客,来自互联网的威胁可以说是无所不在。连接到互联网上的任何一个人都可能是目标。为确保网络的安全稳定,定期测试和监控安全的准备状况是一项十分重要的内容。网络易损点扫描仪可以主动地确认问题所在域,而监测系统则负责检测,并随着安全事件的发生做出相应的反应。利用入侵保护解决方案,机构可以获得史无前例的透视能力,对网络数据流和网络的安全状态进行深入地观察。
图4
入侵保护涉及实时保护网络周边、外部网和问题呈增长趋势的内部网,传感器被用于对分组逐个进行分析,以检测可疑活动。如果网络的数据流显示出未授权接入或网络攻击,传感器可以实时检测到这种误用,向管理员报警,并对网络攻击予以化解。
安全管理
随着网络在规模和复杂性方面的发展,对中央管理工具的需求也在不断增长,这种管理工具被用于管理设备、配置和安全事件。对安全策略的确定、发布和审计,使网管得以利用基于浏览器的用户界面,保持安全性能。管理工具增强了网络安全解决方案的可用性和有效性。
分支机构办公网络安全问题
上文对网络安全的各种因素进行了讨论,从而明确了保护分支机构办公网络所需要的安全功能。在这一节中,将进一步讨论一些额外的设计问题,有关安全产品供应商的问题,以及分支机构办公网络的安全支持问题。
现有网络的需求
当确定分支机构的安全实施时,重要的是要注意现有网络的需求。服务质量、多协议支持和路由选择只是分支机构网络除安全性以外,所需大量特性中的几个。
与现有网络设备(如路由器)的集成,为实现成本节省和持续的用户体验提供了帮助。值得注意的是,许多未实施这些的特性的安全设施,可能会给您的网络造成负面影响。
管理设备过多
为了全面保护网络周边和提供诸如语音、视频和VPN等服务,您可以在每个分支机构分别部署一台路由器、防火墙、入侵保护系统和VPN集中器。这无疑造成您目前需要管理的设备数量剧增,在很短的时间内就难以承受。集成安全路由器可以在同一台设备中提供所有这些服务,因而减少了需管理的设备数量,提供了便利的成本节省和较高的运营效率。
监控
要了解分支机构如何监控网络安全是极其复杂的一个过程,尤其当部署了多供应商产品和技术时,更是如此。如果您已部署了防火墙,路由器和IDS,只是简单地决定正常监控网络所需的记录级别这一工作量就已无法承受。与其如此,不如考虑一下单一供应商集成设备解决方案。利用单一供应商集成设备提供这些服务,要决定正常管理网络所需的记录和报告级别,就相对较为容易。另外,由于监控网络只采取了较少的工具套件,该解决方案将降低OPEX成本。
维护
分支机构安全设备维护的一个重要环节是持续地实施补丁和安全更新,以预防最新的联网攻击和网络安全漏洞的出现。在多供应商和多技术环境中,保持安全设备更新所需的工作量将聚增。
故障查寻
最后,当为保护您的分支机构网络选择安全设备时,应选择拥有您所需支持和服务的供应商和技术。如果安全设备采用熟悉的命令行界面或GUI,将为大幅度削减培训开支,以及降低这些设备的平均修复时间(MTTR)提供帮助。
思科分支机构办公网络安全解决方案
思科集成安全路由器使分支机构用户得以充分享受网络服务,如路由选择、服务质量、互联网接入、语音和传统客户机/服务器应用所带来的优势,并为所有应用提供安全可靠的连接性能。
基于Cisco IOS的安全路由器为您将内容丰富的Cisco IOS防火墙特性集与其他业内领先的Cisco IOS特性,如VPN、QoS和动态路由选择的组合提供了支持,借助出色的连接平台思科路由器,Cisco IOS VPN提供了安全的连接功能,使集成入您的网络的安全连接平台得面世。基于Cisco IOS的安全路由器可以利用56位数据加密标准(DES),168位3DES或高达256位的高级加密标准(AES)加密数据,基于Cisco IOS的路由器还可以加入X.509公共密钥基础设施(PKI)。加密可以在软件或专门的加密模块中执行,后者从上方路由器卸载加密处理技术。
图5 集成安全路由器
Cisco IOS防火墙特性集为希望将防火墙集成入联网服务的企业和商业客户提供了先进的安全功能。Cisco IOS防火墙特性集提供了内容广泛的安全特性,使强劲的Cisco IOS站到站VPN功能锦上添花。
Cisco IOS防火墙是一种状态检测部署,为IP信息流提供了基于应用的控制能力,这些应用包括标准TCP和UDP互联网应用,多媒体应用,如SIP、SCCP、H.323和其他语音/视频应用。名为基于环境的接入检测(CBAC)的防火墙检测引擎,可对TCP和UDP分组进行检测,并跟踪其"状态"或连接情况。Cisco IOS防火墙可以锁定源和目的地地址,以提高TCP和用户数据报协议(UDP)应用的安全性,这些应用采用了已知的端口,如文件传输协议(FTP)和电子邮件信息。
Cisco IOS防火墙通过提供额外的安全特性,如基于应用的过滤功能,动态用户验证和授权,以及URL过滤功能,增加现有的Cisco IOS安全解决方案(验证、加密、故障转换和入侵保护)的深度和灵活性。
基于Cisco IOS的安全路由器还可利用对100多个攻击签名的支持能力,支持内部IDS。通常作为网络入点的路由器是执行IDS的理想场所,因为这经常是设备直联入互联网,以及VPN、GRE和隧道终结的地方。
当今复杂、融合的网络要求为延迟和抖动敏感信息流,如语音和视频,提供支持。除了这些"新领域"服务外,传统的客户机/服务器信息流(非IP)经常也必须通过您的VPN传输。Cisco IOS QoS特性集及对通用路由选择封装(GRE)的支持,使基于Cisco IOS的VPN得以支持与租赁线或帧中继网络相同的应用,并为VPN提供了资金节省。
除了增强站到站VPN功能外,思科安全路由器还提供了安全的远程接入VPN头端连接功能,使安全路器可以用作远程VPN头端,或硬件VPN客户机,从而实现了经济有效,便于管理的远程接入能力。
内置思科安全设备管理器(SDM)提供了方便的管理和监控功能,是思科安全路由器的一种直观,安全和基于网络的服务管理工具。SDM利用智能向导和先进的模式配置支持,为接入路由器提供了基于网络的设备管理功能。不要求一定了解Cisco IOS CLI 。SDM还提供了一步式路由器锁定和创新的安全审计功能,对路由器配置进行检查并根据ICSA NS建议提供建议。
总结
通过与商业合作伙伴、供应商和客户互联,分支机构网络从更开放的网络所带来的工作效率收益中获益良多。这些开放式网络需要一种保护途径,这种途径经将对安全的需求与安全对用户和运行在网络上的应用的影响相平衡。实现这一平衡的最佳途径是将安全集成入您现有的网络,而非更换整个网络的点产品。
要确定如何为分支机构网络提供安全保护需要若干步骤。首选是拥有明确的规定和要求的安全策略,然后利用一种有效的识别系统,确定用户的身份及享有的接入权。其次,确定在何处用IPSec加密欲发送至不安全网络的保密数据。最后,利用将基于状态应用的防火墙,入侵保护功能VPN功能和逐户验证和授权集于一身的设备提供周边保护,从而有效地保护您的网络,并使分支机构更易于管理。
(编辑:sun-train) 
