在所有的安全事件中,有超过70%是发生在内网上的,随着网络的庞大化和复杂化,这一比例仍有增长趋势,内网安全面临着前所未有的挑战。
以太网交换机是组建内网的主要设备,其安全性比较弱;虽然划分VLAN、ACL访问控制可以在一定程度上控制内网安全,但这种控制是比较粗的方式,难以做到比较精细的安全控制,同时也会影响到VLAN间用户的访问,从而影响网络的使用效率。另外在内网安全事件中,攻击对象也从攻击主机、网络设备而改为对网络资源进行攻击为主要特征,而以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。
病毒和攻击手段的发展成就了防火墙、防病毒网关、IDS等安全设备,但是这几种设备均是基于对已知攻击手段的防范,无法有效防范未知攻击手段。防火墙没有办法实现对内部用户安全攻击的控制;IDS不能实现对所有业务的监测和控制;防病毒软件没有办法控制病毒在网络内的传播;可以看出分别部署这些设备的网络在安全措施上缺乏系统性,防火墙、IDS、防病毒各自为政,难以对整网形成有效防控。
由于全部工作在OSI参考模型的传输层之上,防火墙、IDS、防病毒等设备都要求复杂的算法、丰富的功能、不断的升级,这些特点注定防火墙、IDS、防病毒设备出生在x86平台上。而网络设备已经经历了翻天覆地的变化,采用专有的ASIC芯片,核心交换机已经具备近千个G的交换处理能力。基于x86平台的安全设备,性能通常不到这些网络设备的1%,会成为整网性能的瓶颈。
为了迎接这些挑战,产生了内部网络与安全的融合。
内网与安全的融合可以在四个层面上剖析,包括技术层面的融合、产品层面的融合、方案层面的融合、安全管理的融合。
技术层面的融合
技术层面的融合主要是在硬件平台技术。在CPU、NP、ASIC三种技术上。NP技术在性能和功能上可以满足安全设备下一步的发展,成为业界公认的必然趋势。
产品层面的融合
大多数核心交换机都能够支持基于NP技术的接口模块,具备为安全功能提供硬件平台的基础,从而使安全和网络在设备层面的融合成为可能,采用防火墙模块的方式就是典型代表。通过在核心交换机上部署防火墙模块,可以实现多个VLAN间的安全控制,降低了安全部署的难度,同时降低了整体建设成本。此外IDS、防病毒等安全功能模块也可以融合到核心交换机中。
方案层面的融合
对于已经部署安全产品的网络而言,在方案层面进行融合是一个不错的选择。将以太网交换机、IDS、防病毒网关、防火墙这些分属于不同的设备实现联动已经成为一种趋势。
安全管理的融合
不管是内网安全在设备层面的融合,还是在方案层面的融合,都涉及到管理的问题。网络管理通常包括设备管理、配置管理等,安全管理则包含审计管理、数据监控与流量管理、安全策略管理等。一旦设备或方案融合后,要求必须有统一的网管平台来对网络和安全设备进行统一的管理,这样才能实现安全对于网络的有效性。尤其是对于策略的制定与分发管理,要求网络设备与安全功能模块或设备进行密切的配合,才能实现对未知网络攻击/网络滥用行为的及时阻断。
网络与安全的融合对安全领域产生了深远影响,促使各厂商站在整网的角度看待安全,从而可以为用户提供更系统、更完整的安全解决方案。港湾网络有限公司正是站在整网角度为用户提供内网安全解决方案。
出于整体网络安全的考虑,港湾公司采用“自主研发+合作”的方式,为用户提供融合的内网安全解决方案。
港湾公司的内网安全解决方案主要是由BigHammer6800系列核心交换机、μHammer3550E系列智能接入交换机、SmartHammer系列智能防火墙、启明星辰IDS、防病毒服务器和安全管理控制中心等构成,其典型组网如下图所示。该内网解决方案可以有效防止外部攻击、内部用户攻击、内网病毒扩展等,可以在最大程度上确保内网数据的安全、网络资源的安全。
1、防止外部攻击并保障出口带宽。通过在网络出口位置部署SmartHammer系列智能防火墙,可以有效防止外部各种攻击行为;通过SmartHammer内置的NetFlow功能可以对应用流进行监控,并做出有效控制,例如SmartHammer可以实现对BT限流来确保出口带宽不被滥用,从而有效保障出口带宽资源;
2、 核心交换机防火墙模块确保内网用户安全攻击的控制。通过在BigHammer6800核心交换机上部署防火墙模块,可以控制任意两个VLAN、任意两个用户间的数据流,有效地解决了占安全问题70%以上的内网安全问题,保证内网信息的安全、保证内网资源的安全。该防火墙模块具有高达2G的吞吐量,并且可以通过负载均衡的方式,达到最多20G的吞吐量
(如图中①所示)。
3、 交换机和IDS联动实现检测全面化。通过IDS和以太网交换机的配合,可以准确定位并控制内网攻击。主机发起攻击(如图中②所示),μHammer3550E系列智能交换机检测到网络流量异常,随即将异常上报IDS(如图中③所示),IDS检测确定为攻击,通知以太网交换机切断主机(如图中④所示),从而确保网络资源的安全。通过以太网交换机和IDS的联动,可以使IDS的检测范围扩展到整网,大大提高可用性。目前,港湾公司的交换机与启明星辰公司的IDS配合,已经取得了大规模的应用。
4、 交换机与AV联动防止病毒扩散。μHammer3550E智能以太网交换机还可以与防病毒软件/网关一起联动防止病毒扩散。当用户登录网络时,μHammer3550E交换机可以强制用户登录由AAA服务器、防病毒服务器、安全策略服务器组成的受控域(如图中⑤所示),并对用户进行病毒检查,在确认用户满足防毒要求时,才会通知安全管理中心开放用户访问权限(如图中⑥所示)。通过交换机和AV的联动,有效的防止了病毒在内网的扩散。
通过前面的介绍可以看出,港湾公司在网络与安全的融合方面已经迈出了很大的一步,从技术融合、设备融合、方案融合、管理融合四个层面满足了用户的安全需求。