MPLS VPN的網絡安全
在網絡安全的實施過程當中,涉及到多種產品和設備,業(yè)界各大產商對于網絡安全的重要性有著一致的認識,但是可能有著不同的側重面。我們憑借在系統集成領域長期的工作實踐,積累了大量的相關經驗,這同時也有助于我們提供給用戶一套非常完整的網絡解決方案。
以下是我們提供給企業(yè)級用戶的一套完整的網絡安全解決方案:
網絡安全隱患來自于方方面面,主要可以分為內部和外部兩種。與Internet相連的企業(yè)網絡,可能遭受來自于互聯網上任何一臺PC機的惡意攻擊和破壞;在企業(yè)內部,也不排除存在對于企業(yè)心懷不滿的員工或者是潛伏在企業(yè)內部的商業(yè)間諜,他們也極大的威脅著網絡的安全。一旦攻擊得逞,企業(yè)所受的損失將是不可估量的。
我們充分考慮到來自于網絡方方面面的威脅,試圖給出一套完整的解決方案。
首先,由于企業(yè)網絡與Internet存在物理連接,故在Internet入口處的安全性是首當其沖的。我們在接入路由器的后面必須放置一道防火墻,攔截來自于互聯網的攻擊。目前業(yè)界的防火墻技術已經非常成熟,各大廠商都有自己的產品,而不同的產品也是各有所長。大致上來說,防火墻一般可分為兩類。一類是純軟件,運行在多網卡的UNIX主機上。這樣比較便于實現,使用比較靈活,但是由于Unix操作系統本身存在一定的安全隱患,其安全性也大打折扣。此類產品當中比較有名的,如:CA公司的CheckPoint防火墻系列。另一類產品則是一套軟硬件結合的產品,由于它本身的系統平臺不為人所知,故減少了許多安全隱患。同時由于它是一種專業(yè)安全產品,能夠實現更多諸如Failover等特性。該類產品比如Cisco公司的PIX防火墻系列。
考慮到企業(yè)可能有一部分服務需要在Internet上公開發(fā)布,如WEB網頁。這時,我們可以再增加一道防火墻,做為公共訪問區(qū)和內部網的隔離區(qū),進一步增強安全性。如上圖所示,第一道防火墻放置在接入路由器后面,保護公共訪問區(qū)的WEB服務器、文件服務器;第二道防火墻則放置在內部網和公共訪問區(qū)之間,直接保護內部網的安全。注意到不同類型防火墻的優(yōu)劣性,我們可以在兩個接入點放置不同的防火墻,形成所謂的quot;異構防火墻”。
企業(yè)在外地的分公司希望連接入企業(yè)內部網,這種需求早期都是通過向服務供應商申請長途DDN專線或幀中繼實現的。這樣雖然構建了私有的網絡,保證了安全性,但是每月必須花不菲的費用在租用線路上代價很高。如今我們利用VPN技術,就可以獲得圓滿的解決。企業(yè)外地分公司可以向當地服務供應商申請本地DDN專線,一方面可以解決訪問Internet的問題,另一方面也可以利用公共網實現與企業(yè)網的連接。當然,企業(yè)內部數據在公網上傳輸,安全性更加顯得重要。我們可以在兩端添置加密設備,利用一定的加密算法,將數據加密后再通過公網傳送,等于利用公網開辟了一道企業(yè)私有?quot;隧道”,即實現了所謂的VPN。數據加密的實現可以通過硬件和軟件的方式來實現,硬件設備主要是專用的加密機,而軟件則可能是運行在主機上的應用程序,或者是兩端接入設備內置的功能。比如Cisco公司多款路由器上都有帶有VPN特性的IOS軟件,可直接在路由器上進行加密/解密工作。
企業(yè)部分員工由于經常出差或者在假日加班,需要經常性的通過遠程撥號的方式訪問內部網。這種遠程訪問方式雖然一定程度上增加了靈活性,但是也帶來了一些隱患。最典型的就是員工的口令被人竊取,做為非法訪問的手段。此時,我們需要有支持AAA(認證、授權、審計)功能的訪問服務器。一般來說,訪問服務器通過TACAS+、RADIUS等協議與內部一臺AAA服務器聯系,AAA服務器集中管理撥號用戶的屬性數據庫。認證方面,AAA服務器負責每個用戶的用戶名、口令,保證用戶的合法性;授權方面,AAA服務器負責指定每個用戶可以訪問的資源、擁有的權限以及訪問的時間等等;審計方面,AAA服務器負責紀錄每一次成功或者失敗的撥號過程的時間、用戶、所使用的主叫號碼(需電信運營商支持)等等。通過以上這些過程,撥號訪問的安全得以最大程度的控制。這方面比較典型的產品包括Cisco公司的CiscoSecureACS產品,它還能夠與更先進的技術如:OTP(OneTimePassword)、TokenCard等協同工作。
其次,在以上安全策略實現之后,我們并非就此高枕無憂了,還需要進一步對網絡的安全性進行監(jiān)測。主要通過一些IDS(入侵監(jiān)測系統)設備實時的監(jiān)測,發(fā)現那些非法的訪問和不良的試探。一般我們將IDS放置在那些最容易產生危險或者最敏感的網絡部位,譬如圖中公共訪問區(qū)的服務器群中、企業(yè)要害部門的服務器。IDS設備24小時監(jiān)測網絡中的數據流,一旦發(fā)現可疑現象,將及時向網管人員報告,并且采取一定的措施。這方面的代表產品有Cisco公司的IDSSensor和IDSDirector。IDSSensor就像一個個監(jiān)測探頭,分布在網絡的各個要害部位,監(jiān)測網絡中的數據流;而IDSDirector做為集中式的管理器,負責收集所有Sensor的報告,并以圖形化的界面提醒網管人員,甚至可以下令Sensor切斷非法訪問的數據流,或者修改相關Cisco設備上的配置,進一步彌補網絡的安全漏洞。
再次,我們在網絡安全的較量當中,不能總是處于被動防守的地位。在安全策略實現之后,我們還應該主動采取一些措施,定期的對網絡的安全性進行全面測試。包括使用一些專用的黑客工具,模擬一些攻擊,以測試網絡的穩(wěn)固性;或者對于一些重要的主機、服務器,定期檢查它們的安全漏洞。這需要企業(yè)網管人員的參與,并且需要有長期、連續(xù)的計劃性。在后一種測試手段中,Cisco公司的NetSonar軟件無疑是不錯的選擇。它能夠根據制訂的計劃,定期的掃描特定主機、服務器的所有端口,以期發(fā)現其中存在的漏洞,并據此給出建議,提醒網管人員改進。
最后,我們進一步的發(fā)現了網絡中存在的安全漏洞,從而需要制訂進一步的計劃,來改進網絡的安全問題。接下來便是又一個循環(huán)過程,正如我們前面所說的,網絡安全只有在不斷發(fā)現問題、分析問題和解決問題當中,才可以不斷的改進,在面對威脅時獲得主動。
基于MPLS的VPN解決方案中,通過結合BGP、IP地址解析和可選的IPSEC加密保證安全性。
BorderGatewayProtocol是一種路由信息分布協議,他規(guī)定了誰可以和誰通過那些協議和屬性進行通信。VPN的成員屬性由進入VPN的邏輯端口號和分配給每個VPN的唯一的RD(路由標志:RouteDistinguisher)決定。最終用戶并不知道RD的值,只有預先定義的端口才能參與VPN的通信。在基于MPLS的VPN中,BGP在邊緣LSR之間交換FIB(ForwardingInformationBase)表更新,并且這種交換只在存在更新的VPN站點的邊緣LSR上發(fā)生,這樣可以保證每個LSR只保存與自己相關的FIB表和VPN信息。
由于每個用戶的邏輯端口號決定了他的DR,而這個DR是在VPN定義時與某個VPN唯一相關聯的,因此,用戶只能訪問與他相關聯的VPN,他只能意識到這個VPN的存在。
在核心層,路由器使用標準的IGP交換信息,對于IGP的規(guī)劃,可以見下面介紹。
IP地址解析基于MPLS的IP_VPN網絡更加容易實現與用戶IP網絡的集成。最終用戶可以保留他們原有的應用和IP地址,無需進行NAT,甚至無需進行任何改動就可以穿過基于MPLS的VPN,其中的主要原因在于RD的唯一性。
在基于MPLS的VPN網絡中,服務提供商為每個VPN定義了唯一的一個RD,將每一RD和VPN的IP地址相結合,這對于每個端點是唯一的。VPN的IP地址的入口信息被存儲在VPN相關節(jié)點的FIB中,VPN的IP轉發(fā)表中包含與VPN地址相應的標記。這些標記將流量路由到它應去的節(jié)點。由于標記代替了IP地址,用戶無需使用NAT或服務提供商提供的地址,可以保留自己的私有地址。
由于使用RD和BGP來實現VPN的互連,不同的VPN之間根本意識不到其他VPN的存在,如果需要連接到EXTRANETVPN,只需要通過RD定義兩個VPN之間的信任關系。
【編輯推薦】