上海安达通安全解决方案案例
www.adtsec.com 24 Tel,021-64325693; 64325694
案例二 某服装集团公司的安全方案
一、项目简介
某服装集团 是中国服装行业的龙头企业 之一,经过 20 多年的发展,逐步确立了以纺织服装、房地产、对外贸易三大板块为核心的经营格局。 2001 年公司完成销售 收入 12.46 亿元,利润 1.78 亿元 。集团现拥有净资产 16.5 多亿元,员工 6500 余人 。
随着集团规模的不断扩大和服装行业竞争的日益加剧,对企业信息化的要求越来越强烈。 如何有效地、安全地将全国的各服装分支机构互联 成为一体,及时地使各种信息共享,是该集团迫切需要解决的问题。
该 服装集团 的网络接入情况如下,总部通过光纤连到电信 运营商,然后接入互联网 。 全 国各地 的 分公司和卖场,以 ADSL 或拨号接入 的方式连入 Internet。
分公司及卖场需要实时将商业数据上报集团总部,总部也需要根据反馈的信息实时向分公司和卖场下发商业调整指令等信息,上述整个 流程由一套 BI
( Business Intelligence) 系统来完成。目前集团总部的一台高性能服务器,对总部的内部局域网提供访问互联网的 PROXY 服务,对 全国的 分公司和 各个 卖场提供 EMAIL,WEB 和 BI 服务。网络示意图如下,
上海安达通安全解决方案案例
www.adtsec.com 25 Tel,021-64325693; 64325694
二,安全需求
首先,BI 系统的数据都通过公网( Internet)直接传输,因 为 BI 系统的数据体现了集团的经营和决策等敏感信息,属于商业机密,在公网上直接传输存在着很大的安全隐患,如果这些数据被公布或透露给竞争对手,对于这样大型的集团公司而言,后果是非常严重的。
其次,集团总部的 服务器和总部局域网处于同一个网段,而网络的边界没有防火墙来保护内部网络,也没有做任何访问控制,安全 漏洞非常明显; 外部网络可以随意访问服务器,一旦服务器的密码被破解,或者黑客利用操作系统的某些漏洞进入了服务器,不但服务器 BI 系统的数据面临危险,而且黑客容易利用服务器作为跳板,转而攻击内部网络的机器,那么整个系统将 毫 无安全性可言。
另外,将四种服务安装在同一台服务器上也是系统的潜在安全隐患,这 种 做法 不仅加重了服务器的负担,而且使系统整体安全性下降 ; 因为每种服务程序都会有易受攻击的脆弱点或尚未公布的安全漏洞,那么 四个服务的安全漏洞相当于只安装一个服务的四倍,一旦黑客利用某个服务程序的 缺陷 攻破了操作系统,那么其他的服务 将 同时受到牵连,使整个系统崩溃。
综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点要 讨论解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。
三,安全方案
3.1 集团总部
1) 将总部 提供 的四 种 服务 (WEB,EMAIL,PROXY和 BI )分别安装在四台服务器上,分解总的 负荷,也提高系统的整体安全性。
2) 部署 安达通公司的 SGW 系列 安全网关,考虑到将服务器和内部网络的隔离,对内 网 的保护和访问控制等被动防御目的以及远程安全接入目的,在内外网的边界,即路由器之后部署 安达通公司的 安全网关 SGW25C。
安全网关的工作目前可以考虑两种模式,即 NAT 模式和透明代理模式。下面将分别阐述这两种模式。
NAT 模式
将 安达通公司 安全网关的 WAN 端 口 连 接路由器,LAN 端 口 连 接内部局域网
上海安达通安全解决方案案例
www.adtsec.com 26 Tel,021-64325693; 64325694
的 交换机,将服务器群单独划分一个网段,将该网段的交换机接到安全网关的
DMZ端 口。
因为电信给信息中心分配了 16 个固定公有 IP 地址,公共服务器通过安全网关的静态地址映射( Static NAT)功能使用不同的公有 IP 地址对外部网络提供服务 ( PROXY 服务器例外,因为它是向内网用户提供服务)。具体的做法为将服务器设置为私有的 IP 地址(比如 192.168.1.254 等),在安全网关上做静态 NAT
设置,将该服务器的地址静态地映射成一个公有的固定 IP,对外界而言,所有对该公有地址的访问都是透明的。
使用静态 NAT 而不直接使用外部固定 IP 地址避免服务器直接暴露在公网上,向外界暴露内部的网络拓扑,另外也能抵抗一些比如组播等网络攻击行为,
并且在安全网关上作一些策略设置,对 一些发现存在危险的地址和端口可以作细粒度的访问控制。
考虑到更改某些服务器的 IP 地址对外部用户的影响,可以通过更改 DNS 的记录来保证对用户的屏蔽(因为还是使用原来的域名)。
如果用户希望仍然使用一个公有 IP 来提供以上四种服务,一样可以实现,
使用安全网关的地址端口映射( NAPT)功能来把各种服务的特定端口相应地映射到每台服务器的该端口上,这样的设计可以使服务器的安全性进一步得到加强,因为对外部网络而言,只有提供服务的端口(比如 WEB 的 80,POP3的 110、
SMTP 的 25)是可见的,而其他的端口都被安全网关屏 蔽了。另外使用这种方式还节省了 IP 地址。
使用 NAT 模式的总部机房网络拓扑如下,
在此模式下网络配置相对较合理,缺点在于整个网络的正常运行都取决于安
上海安达通安全解决方案案例
www.adtsec.com 27 Tel,021-64325693; 64325694
全网关,其负荷比较重,但是安达通安全网关经过严格的性能测试,能经受得住大流量、长时间的运行。在试点阶段,使用一台安全网关足够能保证网络的正常运行,当一期系统大规模实施的时候,可以通过增加安全网关、统一规划来分担每台安全网关的负荷,具体方案将在下文具体阐述。
透明代理模式
安全网关支持使用透明代理模式,在这种模式下,原来的网络拓扑和服务器
IP 地址都不需要改变,只需要在网络的边界上把内部网络和外部网络做到物理上的隔离,安全网关使用 ARP 代理的技术对每个进出网络的 IP 数据包进行检查和状态检测,把不合法的数据包阻挡在外。在透明代理模式安全网关同样支持
VPN,可以和远程的分公司和卖场建立安全隧道。但是在这种情况下,因为网关本身使用公有固定 IP,总部局域网内只有公有 IP 的主机或服务器才能和远端进行 直接 安全通信,当然其他私有 IP 的主机可以通过代理服务器和远端进行安全通信。
在此透明代理模式下,DMZ口将不能使用(任何防火墙都如此),服务器和总部局域网主机处于同一局域网,并没 有做到物理隔离,一旦代理服务器或其他服务器被攻破,内网的主机将直接面临危险。
安全网关支持使用透明代理模式,在这种模式下,原来的网络拓扑和服务器 IP 地址都不需要改变,只需要在网络的边界上把内部网络和外部网络做到物理上的隔离,安全网关使用 ARP 代理的技术对每个进出网络的 IP 数据包进行检查和状态检测,把不合法的数据包阻挡在外。在透明代理模式安全网关同样支持 VPN,可以和远程的分公司和卖场建立安全隧道。但在这种情况下,因为网关本身使用公有固定 IP,总部局域网内只有公有 IP 的主机或服务器才能和远端进行直接安全通信,当然其他私有 IP 的主机可以通过代理服务器和远端进行安全通信。
在此透明代理模式下,DMZ 口将不能使用(任何防火墙都如此),服务器和总部局域网主机处于同一局域网,并没有做到物理隔离,一旦代理服务器或其他服务器被攻破,内网的主机将直接面临危险。
透明代理模式下的网络拓扑如下,
上海安达通安全解决方案案例
www.adtsec.com 28 Tel,021-64325693; 64325694
NAT 模式和透明代理模式的比较
综合来看,透明代理模式下的整体网络安全不如 NAT 模式;透明模式下外部动态 IP 安全接入访问内部网络也有不便;另外,由于在透明模式下,安全网关要占用两个公有 IP 地址,这样,也不利于将来网络的扩展。因此建议总 部中心网络采用 NAT 模式。
3.2 分公司和卖场网络设计方案
该集团下属的 分公司大多 使 用 ADSL 方式 接入 Internet,而卖场大多使用拨号 方式 接入 。 因为分公司和卖场相对规模较小,本地网络规模也较小或者没有本地网络,因此对于这些点 来说,其主要 的技术 要求集中体现在安全 地 接入集团总部,而 对 本地网络 的 安全 性 要求不高,因此可以视分公司和卖场的大小和具体情况采取不 同 的方案。
1) 对于一些较小的点,如卖场和小的分公司,只有一台机器上网。 就 可以采用 安装安达通公司的 安全客户端软件 的方法 来实现 VPN 功能。
安全客户端是安达 通公司 为 配合安全网关 而 开发的动态 IP 主机安全接入的软件,该软件支持 Windows 98/2000/XP 三种操作系统,配合 SureID 使用,操作简单,使用灵活,对接入方式没有限制。
2) 对于一些规模较大 的分公司,内部网络具备一定规模并对本地安全有要求,推荐使用支持 PPPoE 的 SGW25B 安全网关,该安全网关支持 ADSL 接入,
加密吞吐率可达到 6Mbps; 另外 网关内置 防火墙模块,可以做到基于状态检测的访问控制,保护分公司内部网络的安全 。
上海安达通安全解决方案案例
www.adtsec.com 29 Tel,021-64325693; 64325694
分公司和总部整体网络结构示意图如下,
密钥管理体系
安全网关和安全客 户端 软件 支持预共享密钥和证书两种密钥体系,对证书的支持完全符合 X.509V3 版本的标准 。 安达通公司还具备整套企业级 CA 产品,对于大规模的应用,可以搭建一套完整的基于 PKI 架构的安全网络系统。对于已经有 PKI 体系的网络,安全网关和客户端也可以完全支持。
3.3 第二阶段系统扩展方案
随着网络规模的不断扩大和试点的成功,应该考虑到第二阶段网络系统的可扩展性 。 按照规模,第二阶段远程接入 的 分公司和卖场将达到 3000 个点的规模,
这样,一台安全网关将难以承受得住如此巨大的并发流量,此时就需要考虑增加安全网关来分担负荷,但是多台网关如何协同工作来均衡流量是关系到整个网络运行高效和稳定的一个重要问题。
此时有两种解决方案:分别为静态和动态负载均衡。下面分别阐述 (注意:
这两种解决方案都是在 NAT 模式下的扩展) 。
静态负载均衡
在这个方案中,将远程接入点分区(比如华东区、华北区等等),统一规划私有 IP 地址,每台安全网关静态地负责每块区域的安全接入,在安全网关上根
上海安达通安全解决方案案例
www.adtsec.com 30 Tel,021-64325693; 64325694
据规划的地址,添加静态路由以保证返回的数据包能到达正确的网关,在每一个区域的安全客户端的对等网关都指向负责该区域的安全网关(这由统一分发给该点的策略中指定,客户端用 SureID 或文件的形式分发策略,ADSL 安全网关通过网管平台直接在上面配置相应策略),使用该方案的网络示意图如下,
动态负载均衡
在此方案中就需要使用专门的负载均衡设备,在此以北电的负载均衡设备
Alteon 180 为例,需要两台 Alteon 180 将安全网关群隔在中间,对外屏蔽安全网关群的拓扑,IP 等信息,对远端的客户端或总部局域网内部而言,安全网关群只有一个内部地址和一个外部地址,通过负载均衡设备来自动判断流量,动态地将流量平均加载到各个安全网关之上,当然为了保证进和出的数据通过的是同一个安全网关,需要 在负载均衡设备上作一些特殊的设置。
动态负载均衡网络结构示意图如下,
上海安达通安全解决方案案例
www.adtsec.com 31 Tel,021-64325693; 64325694
两种负载均衡方案的比较,
静态负载均衡不需要额外的设备,通过 IP 的规划即可以实现较好的负载均衡效果,但是前提需要规划的每个区域的数据流量差异不大,而且随着时间的推移流量变化不大,否则静态的负载均衡恐怕难以发挥正常的作用 。
动态负载均衡能够自动适应流量的变化,不怕各点的流量变化,但是国外的负载均衡设备价格昂贵,投入比较大。
相比而言,推荐使用静态的负载均衡方案。
