筆者工作的單位因?yàn)闃I(yè)務(wù)性質(zhì)的特殊性,需要與多個(gè)領(lǐng)域的企業(yè)公司進(jìn)行數(shù)據(jù)交換,這部分的業(yè)務(wù)構(gòu)建的網(wǎng)絡(luò)就是外聯(lián)網(wǎng),絕大部分業(yè)務(wù)是通過(guò)租用運(yùn)營(yíng)商的專線來(lái)搭建網(wǎng)絡(luò)的。因?yàn)闃I(yè)務(wù)發(fā)展得過(guò)快,網(wǎng)絡(luò)搭建缺乏規(guī)劃管理,導(dǎo)致了這部分區(qū)域較為混亂,存在網(wǎng)絡(luò)安全問(wèn)題。原來(lái)的外聯(lián)網(wǎng)拓?fù)鋱D,如圖1所示。
租用運(yùn)營(yíng)商專線搭建外聯(lián)網(wǎng)的方式,一方面考慮的是信息在傳遞過(guò)程中較為安全,降低被竊取的可能性;另一方面為了加強(qiáng)網(wǎng)絡(luò)的可靠性與穩(wěn)定性,保證業(yè)務(wù)能正常交換數(shù)據(jù)。最大的缺點(diǎn)是費(fèi)用較為昂貴,這一點(diǎn)在這里就不加以討論了。由拓?fù)鋱D分析存在的問(wèn)題是這部分網(wǎng)絡(luò)邊界不明晰,外聯(lián)網(wǎng)的專線都通過(guò)一臺(tái)匯聚交換機(jī)直接與核心骨干網(wǎng)對(duì)接。倘若從專線那邊發(fā)起過(guò)的網(wǎng)絡(luò)攻擊,內(nèi)部的網(wǎng)絡(luò)將會(huì)變得十分脆弱,沒(méi)有任何防御的措施,對(duì)外聯(lián)網(wǎng)的實(shí)時(shí)網(wǎng)絡(luò)性能缺乏監(jiān)控手段。
圖1 原來(lái)的外聯(lián)網(wǎng)拓?fù)鋱D
從最初的設(shè)計(jì)分析,使用的匯聚交換機(jī)是為了簡(jiǎn)單化組網(wǎng),把外聯(lián)網(wǎng)的接入企業(yè)當(dāng)成了局域網(wǎng)的成員。其實(shí)這兩部分是有明確的區(qū)別的。外聯(lián)網(wǎng)的第一個(gè)特點(diǎn)是業(yè)務(wù)性質(zhì)單一,它的接入成員僅是與服務(wù)器進(jìn)行數(shù)據(jù)對(duì)接,不需要提供服務(wù)給企業(yè)內(nèi)部人員使用,也不需要使用企業(yè)的互聯(lián)網(wǎng)出口。外聯(lián)網(wǎng)使用的專線都是低帶寬的鏈路,一般帶寬為2M、4M的較多。分配的IP地址較為凌亂,劃分的子網(wǎng)掩碼較為隨意且沒(méi)有規(guī)律可循。
結(jié)合上述問(wèn)題,筆者單位計(jì)劃改造這部分的網(wǎng)絡(luò)。首先部署邊界防火墻,這里我們使用的是山石網(wǎng)科的下一代防火墻,對(duì)整個(gè)外聯(lián)網(wǎng)的業(yè)務(wù)提供安全訪問(wèn)策略。為什么使用下一代防火墻,因?yàn)椴粌H有傳統(tǒng)防火墻的功能,而且還集成了防病毒、流量控制、入侵檢測(cè)等功能模塊。最重要的一點(diǎn)是集合在一臺(tái)設(shè)備上面實(shí)現(xiàn)多個(gè)功能,這樣使得我們部署起來(lái)較為容易。簡(jiǎn)要拓?fù)鋱D如圖2所示。為此,我們需要進(jìn)行以下改造工作。
表1 分配地址情況
圖2 改造后的簡(jiǎn)要網(wǎng)絡(luò)拓?fù)鋱D
新規(guī)劃出一個(gè)IP網(wǎng)段地址為 192.168.100.0/24,通過(guò)劃分子網(wǎng)掩碼劃分給多個(gè)外聯(lián)企業(yè)使用。原則上業(yè)務(wù)數(shù)據(jù)交換只需要兩個(gè)對(duì)接IP就可以,分配的地址情況如表1所示。
這部分更改IP地址是最為重要的一個(gè)環(huán)節(jié),在推進(jìn)的時(shí)候遇到了一些困難涉及到程度代碼的一些更改,但為了統(tǒng)一部署我們還是很強(qiáng)硬地推進(jìn)下去,有一些特殊的情況改不了,我們也用地址轉(zhuǎn)換的方式解決。過(guò)去的地址使用混亂導(dǎo)致很多問(wèn)題,規(guī)范地址之后新增加的業(yè)務(wù)分配就很清淅了。
簡(jiǎn)單來(lái)說(shuō)就是要控制外互聯(lián)網(wǎng)的權(quán)限,這部分區(qū)域默認(rèn)的策略是禁止訪問(wèn)所有的地址(deny any)。然后跟據(jù)業(yè)務(wù)開(kāi)放訪問(wèn)權(quán)限,盡量控制到最精細(xì)度僅開(kāi)放某個(gè)IP的某個(gè)應(yīng)用端口。每做一條策略都要標(biāo)注是什么業(yè)務(wù),這能夠?qū)I(yè)務(wù)與策略結(jié)合起來(lái)。
通過(guò)外聯(lián)網(wǎng)傳送的數(shù)據(jù)都是一些比較重要的數(shù)據(jù),雖然專線本身已有一定的安全防泄漏的功能,但是為進(jìn)一步保障我們開(kāi)啟防火墻的入侵檢測(cè)和防病毒模塊功能,實(shí)時(shí)監(jiān)控著整個(gè)外聯(lián)網(wǎng)的運(yùn)行情況。