边界安全部署最佳实践.ppt

边界安全部署最佳实践 日期 2007年7月13日 杭州华三通信技术有限公司 网络园区边界定义边界安全部署简介边界安全部署典型应用场景 目录 网络园区边界定义 边界网络的定义是园区网连接到广域网 Internet等外部网络的边缘区域 在园区网的设计中按照区域的划分会产生多个边界网络 通常对于园区的边界有以下几种定义 广域网出口公共服务器区域分支结构VPN远程用户VPNPSTN拨号用户Internet出口 RemoteAcess BranchSite Router Switch InternetService LocalNetwork ExternalConnector 边缘 本地 网络园区边界定义 互联网 网络园区边界定义边界安全部署简介边界安全部署典型应用场景 目录 边界安全部署简介 为什么需要进行边界安全部署 因为现在的网络非常脆弱 不安全 导致现在网络脆弱的原因有很多种 三把双刃剑 大量业务服务器长时间暴露在公众环境中 使黑客轻易就可以找到想攻击的目标 攻击工具的高度发展 使攻击难度急剧下降 只要稍懂一点计算机操作的人就可以成功发起一次攻击 网络病毒的泛滥 带来的经济损失和应用规模成正比 IPv4是简单开放的 本身就没有考虑安全因素 边界安全部署简介 如何对脆弱的网络进行弥补 根据网络的病根对症下药 在园区边界出口通过部署防火墙和IPS 将网络攻击与病毒入侵终结在园区边界 VPN VirtualPrivateNetwork 虚拟私有网 在实现公用网络上构建私人专用网络的同时 IPSec隧道加密技术也弥补了IPv4的简单和开放 通过对园区网进出流量的分析和监控 及时发现流量异常 来消除无法预知的不稳定因素 边界安全部署简介 H3C解决方案 H3C边界安全部署最佳实践解决方案通过在边界入口处部署VPN网关 防火墙 IPS NSM NAM等设备 一方面阻止来自Internet对受保护网络的未授权或未认证的访问 另一方面允许内部网络的用户安全的对Internet进行Web访问或收发E mail等 企业中心可以使用双机热备 这样当故障发生的时候 业务也能很快恢复 给用户提供了十分可靠的运行环境 可通过在园区边界处部署双VPN网关和防火墙 为用户安全 可靠的使用网络提供了很好的保障 NSM NAM是网络安全监控的简称 是H3C公司在防火墙和路由器上开发的流量监控软硬件平台 NSM NAM单板 可以对流经设备上的所有在线流量进行统计和安全分析 对流量进行采样记录并对历史流量进行安全分析 能对包括IP none IP的 2至7层的多种协议进行分析 为网络管理员提供网络安全服务 NSM NAM提供方便友好的用户配置 支持图形化的分析结果查询 方便用户使用 边界安全部署简介 H3C解决方案 网管 Server LSW VPNserver VPNClient VPNClient 分支节点2 分支节点1 防火墙 IPS 攻击与病毒止步 NSM NAM 一切尽在掌握中 IPSecVPN 加密报文让黑客们一无所获 网络园区边界定义边界安全部署简介边界安全部署典型应用场景 目录 边界安全部署典型应用场景 H3C边界安全部署最佳实践解决方案针对不同用户群的需求 分别设计了多套应用组网 对于园区规模较小 性能 可靠性要求不高的用户 我们推荐使用单设备园区出口边界安全部署组网方式 本组网仅使用H3C的一台MSR路由器或者SecPath安全产品 集成VPN网关 防火墙功能 并可以通过在该设备上配置NAM MSR 或者NSM SecPath 对园区进出口流量进行监控 对于园区规模较大的用户 我们推荐在本组网中加入专业的防火墙 IPS等设备增加边界安全性 对边界安全性能 可靠性要求都较高的用户 我们推荐使用园区网络多出口边界安全部署组网方式 本组网在使用专业网关设备的同时 通过部署双VPN网关实现负载均衡和备份 部署双防火墙实现状态热备 提供园区出口的高可靠性 单设备园区出口边界安全部署组网 园区网络 Internet 公共服务器 路由器 安全网关 VPN网关 ISP路由器 园区边界 典型的单设备园区网出口组网 仅有Internet一个边界出口与外部网络互连有一个公共服务器区对外部提供WWW E MAIL等服务远程用户 包括移动接入用户和小型分支节点 通过Internet建立VPN隧道接入到园区网络内边界安全设计要求设备成本低 通常将出口路由器和VPN安全网关 防火墙集成在一台出口设备上通过在路由器 SecPath 上配置NAM NSM 板实现出口流量监控 设备MSR50 30 20AR28 46SecPath系列 分支机构VPN网关 移动用户 211 2 10 1 24 192 168 0 1 24 192 168 1 1 24 192 168 0 100 24 211 4 1 2 24 单设备出口组网说明 本组网非常简单 仅一台出口设备 易于管理 H3C公司的MSR AR SecPath系列产品可提供强大的VPN功能 远程分支 移动用户可以通过单IPSec GREoverIPSec L2TPoverIPSec等多种VPN方式接入园区总部 L2TP可以提供用户认证功能 GRE隧道可以让企业分支与总部进行私网路由的交互 IPSec加密功能可以确保通讯报文的保密性和可靠性 H3C公司的MSR AR SecPath系列产品同时也可以作为安全网关使用 支持NAT ACL访问控制 ASPF 深度业务监控等典型应用 出口设备上配置的NAM NSM板卡对进出口流量进行有效的分析和监控 出口设备公网接口上配置NAT 让内部用户可以访问internet 出口设备公网接口上配置NATserver 让internet用户可以访问公共服务器 单设备出口组网配置说明 远程VPN接入 分支机构VPN接入 接入方式 单IPSec隧道方式IPSec的remote地址为园区出口VPN网关的公网地址 IPSec采用野蛮模式 支持NAT穿越功能 IPSec感兴趣流为分支机构私网网段地址到总部园区网网段地址 分支设备公网接口上启用IPSec策略 远程移动用户使用iNodeVPN客户端接入 接入方式 L2TPoverIPSec新建iNode连接 iNodeVPN启用IPSec安全协议 L2TPLNS服务器地址 IPSec服务器地址都设置为园区出口VPN网关的公网地址 IPSec使用隧道方式 启用NAT穿越功能 单设备出口组网配置说明 总部VPN配置 总部VPN网关配置作为L2TPLNS端的基本配置 包括用户名 地址池 虚接口 L2TP组相关配置 由于远程移动接入用户公网IP的不确定性 总部IPSec使用动态模板方式 先建立IPSec动态模板 然后用动态模板建立IPSec策略 在VPN网关公网接口上启用IPSec策略 单设备出口组网配置说明 防火墙配置 总部防火墙网关 SecPath系列放火墙可支持ACL访问控制 ASPF 基于应用层的报文过滤 深度业务监控等多种功能 下面仅以启用ASPF功能为例 系统视图下 新建ASPF策略 添加需要检测的应用层协议tcp aspf policy1detecttcp 在防火墙网关公网接口上启用ASPF策略 本策略仅允许从园区网内部主动发起的TCP连接 即如果报文是内部网络用户发起的TCP连接的返回报文 则允许其通过防火墙进入内部网络 其他报文被禁止 interfaceGigabitEthernet0 0firewallaspf1outbound 单设备出口组网配置说明 NAT配置 园区内部通过NAT访问internet首先需要确认访问internet的流量 然后对这些流量的地址进行NAT转换 其次要设置地址池 即申请到的公网地址 假设分支的IP地址都规划在172 0 0 0 8网段 园区内部IP地址规划在192 168 0 0 16网段 私网访问公网的流量需要进行NAT转换aclnumber3000rule0permitipsource192 168 0 00 0 255 255rule1denyipdestination172 0 0 00 0 0 255 申请到的公网IP 与公网接口在同一个网段nataddress group0211 2 10 1211 2 10 2 公网接口上启用natinterfaceGigabitEthernet0 1natoutbound3000address group0 单设备出口组网配置说明 NATServer配置 Internet用户访问园区内部公共服务器在园区出口配置NATServer 将一个公网的地址与内部服务器地址关联起来 Internet用户向公网地址发起连接 在网关设备的公网接口上将该报文IP目的地转换为内部服务器地址 即可以到达内部公共服务器的访问目的 假设设备公网接口地址为211 2 10 1 内部服务器地址为192 168 0 100 24 公网接口上启用natserver 提供www服务interfaceGigabitEthernet0 1natserverprotocoltcpglobal211 2 10 1wwwinside192 168 0 100www 单设备出口组网配置说明 NSM配置 1 设备侧流量镜像配置 NSM版卡插在SecPath防火墙上 需要在SecPath上将流量镜像到NSM板卡内部接口上 NSM对收到的报文进行分析 SecPath上需要进行的配置 将网关内网接口上的进出流量都镜像到NSM内部端口上进行统计 NSM插在三槽位 interfaceGigabitEthernet0 1mirrortoGigabitEthernet3 0bothNSM配置 管理口IP配置为192 0 0 1 默认网关为192 0 0 10 管理口直连设备接口地址 单设备出口组网配置说明 NSM配置 2 NSM配置 续 如果用户需要在远程监控室中登陆NSM 观察流量分析结果 需要将NSM的管理口eth1接入到园区网中 并将该路由发布出去 NSM管理口的默认网关设置为其直连设备接口的IP地址 选择eth0作为观察接口 即可以观察到SecPath上的流量情况 园区网与外界网络互连出口包括Internet PSTN和WAN几部分公共服务器对外部提供WWW E MAIL等服务移动用户可以通过Internet建立VPN接入园区网远程分支机构可以通过Internet建立VPN接入园区网 也可以通过私有的WAN网络接入园区网通过一台设备支持防火墙 VPN功能 降低组网成本 园区出口部署高可靠方案实现负载分担和冗余备份通过在防火墙 路由器上配置NSM NAM板实现出口流量监控 园区网 Internet 公共服务器 防火墙 VPN NAT Internet出口路由器 专网WAN出口路由器 远程分支机构 IPS IPS Internet WAN 移动用户 多出口网关集成边界安全部署组网 多出口网关集成出口组网说明 1 本组网中VPN网关 防火墙功能都集成在H3C的SecPath产品上 提供远程VPN接入及攻击防护功能 这里使用两台设备实现双VPN网关及防火墙的备份 网关备份实现方式 VPN隧道使用GREoverIPSec方式 在GREtunnel口上启用OSPF动态路由 并通过配置路由cost值的不同达到备份的目的 正常情况下流量进出走cost值小的隧道 当该隧道中断后 流量会自动切换到cost值大的隧道上 网关负载分担实现方式 不同的分支选择不同的VPN网关作为主设备 这样正常情况下 流量就会分布在两台设备上 在两台SecPath上都配置NSM板卡 NSM板工作在NSM nProbe方式下 该方式可以使两块NSM板卡的流量采集功能互为备份 后面对具体配置进行说明 多出口网关集成出口组网说明 2 如果内部用户需要访问internet 可以在两台SecPath的公网接口上配置NAT internet访问的备份实现方式 两台SecPath上的私网动态路由中都引入访问internet的默认路由 这样园区内部设备将有两条访问internet的默认路由 可以进行负载分担和冗余备份 如果园区内部有公共服务器需要对internet用户提供服务 则需要在两台SecPath的公网接口上配置NATserver 该服务的备份实现方式 NATserver的外网地址使用网关设备公网接口的VRRP虚地址 当VRRP主设备故障后 VRRP组的从设备将变为主设备 继续执行NATserver功能 多出口网关集成组网配置说明 远程VPN接入 分支机构VPN接入 接入方式 GREoverIPSec隧道方式分支设备分别与总部 园区出口 的两台VPN网关建立GREoverIPSEC隧道 分支的GRE隧道的源 目的IP分别为分支 总部网关的Loopback口地址 并在tunnel口上启用OSPF 与总部交互私网路由 分支IPSEC的感兴趣流源 目的IP分别为分支 总部网关的Loopback口地址 分支启用DPD功能 便于隧道的快速切换 分支设备公网接口上启用IPSec策略 远程移动用户使用iNodeVPN客户端接入 接入方式 L2TPoverIPSec新建连接 iNodeVPN启用IPSec安全协议 L2TPLNS服务器地址 IPSec服务器地址都设置为园区出口VPN网关的公网地址 因为有两个VPN网关 所以可以建立两个新连接 一个作为备用 多出口网关集成组网配置说明 总部VPN配置 总部VPN网关配置作为L2TPLNS端的基本配置 包括用户名 地址池 虚接口 L2TP相关配置 总部的GRE隧道的源 目的IP分别为总部 分支的Loopback口地址 并在Tunnel口上启用OSPF 与私网路由进行交互 由于远程移动接入用户公网IP的不确定性 IPSec使用动态模板方式 先建立IPSec动态模板 然后用动态模板建立IPSec策略 在VPN网关公网接口上启用IPSec策略 多出口网关集成组网配置说明 防火墙配置 总部防火墙网关 SecPath系列放火墙可支持ACL访问控制 ASPF 基于应用层的报文过滤 深度业务监控等多种功能 下面仅以启用ASPF功能为例 两台防火墙上都进行如下配置 系统视图下 新建ASPF策略 添加需要检测的应用层协议tcp aspf policy1detecttcp 在防火墙网关公网接口上启用ASPF策略 本策略仅允许从园区网内部主动发起的TCP连接 即如果报文是内部网络用户发起的TCP连接的返回报文 则允许其通过防火墙进入内部网络 其他报文被禁止 interfaceGigabitEthernet0 0firewallaspf1outbound 多出口网关集成组网配置说明 NAT配置 园区内部通过NAT访问internet首先需要确认访问internet的流量 然后对这些流量的地址进行NAT转换 其次要设置地址池 即申请到的公网地址 假设分支的IP地址都规划在172 0 0 0 8网段 园区内部IP地址规划在192 168 0 0 16网段 两台网关设备上都进行如下配置后 将默认路由引入到私网动态路由中即可 私网访问公网的流量需要进行NAT转换aclnumber3000rule0permitipsource192 168 0 00 0 255 255rule1denyipdestination172 0 0 00 0 0 255 申请到的公网IP 与公网接口在同一个网段nataddress group0211 2 10 1211 2 10 2 公网接口上启用natinterfaceGigabitEthernet0 1natoutbound3000address group0 多出口网关集成组网配置说明 NATServer配置 Internet用户访问园区内部公共服务器在园区出口配置NATServer 将一个公网的地址与内部服务器地址关联起来 Internet用户向公网地址发起连接 在网关设备的公网接口上将该报文IP目的地转换为内部服务器地址 即可以到达内部公共服务器的访问目的 假设设备公网接口VRRP虚地址为211 2 10 1 内部服务器地址为192 168 0 100 24 公网接口上启用natserver 提供www服务interfaceGigabitEthernet0 1natserverprotocoltcpglobal211 2 10 1wwwinside192 168 0 100www 多出口网关集成组网配置说明 NSM配置 1 在本组网中存在两台网关设备进行负载分担和冗余备份 为了实时 方便的采集园区网进出口的所有流量 我们在两台网关设备上分别部署一块NSM板卡 使用NSM nProbe方式对流量进行采集 该方式是在设备将原始流量镜像到NSM的内部口eth0上后 nProbe首先对原始流量进行处理 将其统计为netflow流 然后将netflow流发给两块NSM板卡的内部管理口eth1 NSM上启用netflow口接收并处理该netflow流 达到流量统计的目的 设备侧流量镜像配置 NSM板卡插在SecPath防火墙上 需要在SecPath上将流量镜像到NSM板卡内部接口上 NSM对收到的报文进行分析 SecPath上需要进行的配置 将网关内网接口上的流量都镜像到NSM内部端口上进行统计 NSM插在三槽位 interfaceGigabitEthernet0 1mirrortoGigabitEthernet3 0both 多出口网关集成组网配置说明 NSM配置 2 防火墙网关a NSM板卡配置 管理口IP配置为192 0 0 1默认网关为192 0 0 10 管理口直连设备接口地址 nProbe产生的netflow发送地址 为主备网关的管理口IP地址 多出口网关集成组网配置说明 NSM配置 3 防火墙网关a NSM板卡配置 续 netflow接口 端口号为65535 与nProbe上的配置相对应 选择该netflow接口作为显示接口即可 防火墙网关b NSM板卡配置与防火墙网关a上NSM的配置基本相同 除了管理口IP设置为192 0 0 2 两台防火墙的NSM管理口需要连着同一个交换机上 并接入到园区网设备 设备将该路由在园区网中发布出去 这样客户就可以远程登陆NSM观察流量统计情况 多出口网关分离边界安全组网 Internet 公共服务器 防火墙 园区边界 Internet出口路由器 专网WAN出口路由器 远程分支机构 VPN网关 IPS IPS Internet WAN 移动用户 园区网 园区网与外界网络互连出口包括Internet PSTN和WAN几部分公共服务器对外部提供WWW E MAIL等服务移动用户可以通过I