在網(wǎng)絡(luò)安全的實(shí)施過程當(dāng)中，涉及到多種產(chǎn)品和設(shè)備，業(yè)界各大產(chǎn)商對(duì)于網(wǎng)絡(luò)安全的重要性有著一致的認(rèn)識(shí)，但是可能有著不同的側(cè)重面。我們憑借在系統(tǒng)集成領(lǐng)域長期的工作實(shí)踐，積累了大量的相關(guān)經(jīng)驗(yàn)，這同時(shí)也有助于我們提供給用戶一套非常完整的網(wǎng)絡(luò)解決方案。

以下是我們提供給企業(yè)級(jí)用戶的一套完整的網(wǎng)絡(luò)安全解決方案：

網(wǎng)絡(luò)安全隱患來自于方方面面，主要可以分為內(nèi)部和外部兩種。與Internet相連的企業(yè)網(wǎng)絡(luò)，可能遭受來自于互聯(lián)網(wǎng)上任何一臺(tái)PC機(jī)的惡意攻擊和破壞；在企業(yè)內(nèi)部，也不排除存在對(duì)于企業(yè)心懷不滿的員工或者是潛伏在企業(yè)內(nèi)部的商業(yè)間諜，他們也極大的威脅著網(wǎng)絡(luò)的安全。一旦攻擊得逞，企業(yè)所受的損失將是不可估量的。

我們充分考慮到來自于網(wǎng)絡(luò)方方面面的威脅，試圖給出一套完整的解決方案。

首先，由于企業(yè)網(wǎng)絡(luò)與Internet存在物理連接，故在Internet入口處的安全性是首當(dāng)其沖的。我們?cè)诮尤肼酚善鞯暮竺姹仨毞胖靡坏婪阑饓Γ瑪r截來自于互聯(lián)網(wǎng)的攻擊。目前業(yè)界的防火墻技術(shù)已經(jīng)非常成熟，各大廠商都有自己的產(chǎn)品，而不同的產(chǎn)品也是各有所長。大致上來說，防火墻一般可分為兩類。一類是純軟件，運(yùn)行在多網(wǎng)卡的UNIX主機(jī)上。這樣比較便于實(shí)現(xiàn)，使用比較靈活，但是由于Unix操作系統(tǒng)本身存在一定的安全隱患，其安全性也大打折扣。此類產(chǎn)品當(dāng)中比較有名的，如：CA公司的CheckPoint防火墻系列。另一類產(chǎn)品則是一套軟硬件結(jié)合的產(chǎn)品，由于它本身的系統(tǒng)平臺(tái)不為人所知，故減少了許多安全隱患。同時(shí)由于它是一種專業(yè)安全產(chǎn)品，能夠?qū)崿F(xiàn)更多諸如Failover等特性。該類產(chǎn)品比如Cisco公司的PIX防火墻系列。

考慮到企業(yè)可能有一部分服務(wù)需要在Internet上公開發(fā)布，如WEB網(wǎng)頁。這時(shí)，我們可以再增加一道防火墻，做為公共訪問區(qū)和內(nèi)部網(wǎng)的隔離區(qū)，進(jìn)一步增強(qiáng)安全性。如上圖所示，第一道防火墻放置在接入路由器后面，保護(hù)公共訪問區(qū)的WEB服務(wù)器、文件服務(wù)器；第二道防火墻則放置在內(nèi)部網(wǎng)和公共訪問區(qū)之間，直接保護(hù)內(nèi)部網(wǎng)的安全。注意到不同類型防火墻的優(yōu)劣性，我們可以在兩個(gè)接入點(diǎn)放置不同的防火墻，形成所謂的quot;異構(gòu)防火墻”。

企業(yè)在外地的分公司希望連接入企業(yè)內(nèi)部網(wǎng)，這種需求早期都是通過向服務(wù)供應(yīng)商申請(qǐng)長途DDN專線或幀中繼實(shí)現(xiàn)的。這樣雖然構(gòu)建了私有的網(wǎng)絡(luò)，保證了安全性，但是每月必須花不菲的費(fèi)用在租用線路上代價(jià)很高。如今我們利用VPN技術(shù)，就可以獲得圓滿的解決。企業(yè)外地分公司可以向當(dāng)?shù)胤?wù)供應(yīng)商申請(qǐng)本地DDN專線，一方面可以解決訪問Internet的問題，另一方面也可以利用公共網(wǎng)實(shí)現(xiàn)與企業(yè)網(wǎng)的連接。當(dāng)然，企業(yè)內(nèi)部數(shù)據(jù)在公網(wǎng)上傳輸，安全性更加顯得重要。我們可以在兩端添置加密設(shè)備，利用一定的加密算法，將數(shù)據(jù)加密后再通過公網(wǎng)傳送，等于利用公網(wǎng)開辟了一道企業(yè)私有？quot;隧道”，即實(shí)現(xiàn)了所謂的VPN。數(shù)據(jù)加密的實(shí)現(xiàn)可以通過硬件和軟件的方式來實(shí)現(xiàn)，硬件設(shè)備主要是專用的加密機(jī)，而軟件則可能是運(yùn)行在主機(jī)上的應(yīng)用程序，或者是兩端接入設(shè)備內(nèi)置的功能。比如Cisco公司多款路由器上都有帶有VPN特性的IOS軟件，可直接在路由器上進(jìn)行加密/解密工作。

企業(yè)部分員工由于經(jīng)常出差或者在假日加班，需要經(jīng)常性的通過遠(yuǎn)程撥號(hào)的方式訪問內(nèi)部網(wǎng)。這種遠(yuǎn)程訪問方式雖然一定程度上增加了靈活性，但是也帶來了一些隱患。最典型的就是員工的口令被人竊取，做為非法訪問的手段。此時(shí)，我們需要有支持AAA（認(rèn)證、授權(quán)、審計(jì)）功能的訪問服務(wù)器。一般來說，訪問服務(wù)器通過TACAS+、RADIUS等協(xié)議與內(nèi)部一臺(tái)AAA服務(wù)器聯(lián)系，AAA服務(wù)器集中管理撥號(hào)用戶的屬性數(shù)據(jù)庫。認(rèn)證方面，AAA服務(wù)器負(fù)責(zé)每個(gè)用戶的用戶名、口令，保證用戶的合法性；授權(quán)方面，AAA服務(wù)器負(fù)責(zé)指定每個(gè)用戶可以訪問的資源、擁有的權(quán)限以及訪問的時(shí)間等等；審計(jì)方面，AAA服務(wù)器負(fù)責(zé)紀(jì)錄每一次成功或者失敗的撥號(hào)過程的時(shí)間、用戶、所使用的主叫號(hào)碼（需電信運(yùn)營商支持）等等。通過以上這些過程，撥號(hào)訪問的安全得以最大程度的控制。這方面比較典型的產(chǎn)品包括Cisco公司的CiscoSecureACS產(chǎn)品，它還能夠與更先進(jìn)的技術(shù)如：OTP（OneTimePassword）、TokenCard等協(xié)同工作。

其次，在以上安全策略實(shí)現(xiàn)之后，我們并非就此高枕無憂了，還需要進(jìn)一步對(duì)網(wǎng)絡(luò)的安全性進(jìn)行監(jiān)測。主要通過一些IDS（入侵監(jiān)測系統(tǒng)）設(shè)備實(shí)時(shí)的監(jiān)測，發(fā)現(xiàn)那些非法的訪問和不良的試探。一般我們將IDS放置在那些最容易產(chǎn)生危險(xiǎn)或者最敏感的網(wǎng)絡(luò)部位，譬如圖中公共訪問區(qū)的服務(wù)器群中、企業(yè)要害部門的服務(wù)器。IDS設(shè)備24小時(shí)監(jiān)測網(wǎng)絡(luò)中的數(shù)據(jù)流，一旦發(fā)現(xiàn)可疑現(xiàn)象，將及時(shí)向網(wǎng)管人員報(bào)告，并且采取一定的措施。這方面的代表產(chǎn)品有Cisco公司的IDSSensor和IDSDirector。IDSSensor就像一個(gè)個(gè)監(jiān)測探頭，分布在網(wǎng)絡(luò)的各個(gè)要害部位，監(jiān)測網(wǎng)絡(luò)中的數(shù)據(jù)流；而IDSDirector做為集中式的管理器，負(fù)責(zé)收集所有Sensor的報(bào)告，并以圖形化的界面提醒網(wǎng)管人員，甚至可以下令Sensor切斷非法訪問的數(shù)據(jù)流，或者修改相關(guān)Cisco設(shè)備上的配置，進(jìn)一步彌補(bǔ)網(wǎng)絡(luò)的安全漏洞。

再次，我們?cè)诰W(wǎng)絡(luò)安全的較量當(dāng)中，不能總是處于被動(dòng)防守的地位。在安全策略實(shí)現(xiàn)之后，我們還應(yīng)該主動(dòng)采取一些措施，定期的對(duì)網(wǎng)絡(luò)的安全性進(jìn)行全面測試。包括使用一些專用的黑客工具，模擬一些攻擊，以測試網(wǎng)絡(luò)的穩(wěn)固性；或者對(duì)于一些重要的主機(jī)、服務(wù)器，定期檢查它們的安全漏洞。這需要企業(yè)網(wǎng)管人員的參與，并且需要有長期、連續(xù)的計(jì)劃性。在后一種測試手段中，Cisco公司的NetSonar軟件無疑是不錯(cuò)的選擇。它能夠根據(jù)制訂的計(jì)劃，定期的掃描特定主機(jī)、服務(wù)器的所有端口，以期發(fā)現(xiàn)其中存在的漏洞，并據(jù)此給出建議，提醒網(wǎng)管人員改進(jìn)。

最后，我們進(jìn)一步的發(fā)現(xiàn)了網(wǎng)絡(luò)中存在的安全漏洞，從而需要制訂進(jìn)一步的計(jì)劃，來改進(jìn)網(wǎng)絡(luò)的安全問題。接下來便是又一個(gè)循環(huán)過程，正如我們前面所說的，網(wǎng)絡(luò)安全只有在不斷發(fā)現(xiàn)問題、分析問題和解決問題當(dāng)中，才可以不斷的改進(jìn)，在面對(duì)威脅時(shí)獲得主動(dòng)。

基于MPLS的VPN解決方案中，通過結(jié)合BGP、IP地址解析和可選的IPSEC加密保證安全性。

BorderGatewayProtocol是一種路由信息分布協(xié)議，他規(guī)定了誰可以和誰通過那些協(xié)議和屬性進(jìn)行通信。VPN的成員屬性由進(jìn)入VPN的邏輯端口號(hào)和分配給每個(gè)VPN的唯一的RD（路由標(biāo)志：RouteDistinguisher）決定。最終用戶并不知道RD的值，只有預(yù)先定義的端口才能參與VPN的通信。在基于MPLS的VPN中，BGP在邊緣LSR之間交換FIB（ForwardingInformationBase）表更新，并且這種交換只在存在更新的VPN站點(diǎn)的邊緣LSR上發(fā)生，這樣可以保證每個(gè)LSR只保存與自己相關(guān)的FIB表和VPN信息。

由于每個(gè)用戶的邏輯端口號(hào)決定了他的DR，而這個(gè)DR是在VPN定義時(shí)與某個(gè)VPN唯一相關(guān)聯(lián)的，因此，用戶只能訪問與他相關(guān)聯(lián)的VPN，他只能意識(shí)到這個(gè)VPN的存在。

在核心層，路由器使用標(biāo)準(zhǔn)的IGP交換信息，對(duì)于IGP的規(guī)劃，可以見下面介紹。

IP地址解析基于MPLS的IP_VPN網(wǎng)絡(luò)更加容易實(shí)現(xiàn)與用戶IP網(wǎng)絡(luò)的集成。最終用戶可以保留他們?cè)械膽?yīng)用和IP地址，無需進(jìn)行NAT，甚至無需進(jìn)行任何改動(dòng)就可以穿過基于MPLS的VPN，其中的主要原因在于RD的唯一性。

在基于MPLS的VPN網(wǎng)絡(luò)中，服務(wù)提供商為每個(gè)VPN定義了唯一的一個(gè)RD，將每一RD和VPN的IP地址相結(jié)合，這對(duì)于每個(gè)端點(diǎn)是唯一的。VPN的IP地址的入口信息被存儲(chǔ)在VPN相關(guān)節(jié)點(diǎn)的FIB中，VPN的IP轉(zhuǎn)發(fā)表中包含與VPN地址相應(yīng)的標(biāo)記。這些標(biāo)記將流量路由到它應(yīng)去的節(jié)點(diǎn)。由于標(biāo)記代替了IP地址，用戶無需使用NAT或服務(wù)提供商提供的地址，可以保留自己的私有地址。

由于使用RD和BGP來實(shí)現(xiàn)VPN的互連，不同的VPN之間根本意識(shí)不到其他VPN的存在，如果需要連接到EXTRANETVPN，只需要通過RD定義兩個(gè)VPN之間的信任關(guān)系。

【編輯推薦】

1. MPLS VPN跨域?qū)崿F(xiàn)方法及特點(diǎn)
2. 嵌入式網(wǎng)絡(luò)SSL VPN安全技術(shù)的研究
3. IP VPN技術(shù)特點(diǎn)及應(yīng)用
4. 網(wǎng)絡(luò)安全之密碼抵御網(wǎng)絡(luò)犯罪的第一道防線