基于MPLS VPN大型網(wǎng)絡(luò)安全防護(hù)體系研究

張 寧，唐 佳，劉 識(shí)，楊 芳，廣澤晶，宋桂林，郭小溪

（國家電網(wǎng)公司信息通信分公司，北京 100761）

0 引言

多協(xié)議標(biāo)簽交換 MPLS（Multi-Protocol Label Switching），它是ATM和IP技術(shù)融合的最佳方式[1]。目前，MPLS一個(gè)重要的應(yīng)用 VPN（虛擬專用網(wǎng)Virtual Private Network），可以實(shí)現(xiàn)各VPN之間數(shù)據(jù)和路由分離、地址空間的分離、核心網(wǎng)絡(luò)的隱藏，網(wǎng)絡(luò)安全性能較高。得到了越來越多的電信運(yùn)營商、大型企業(yè)、政府單位的青睞，將其作為自己組網(wǎng)的首選方案[2]。

隨著企業(yè)網(wǎng)絡(luò)覆蓋范圍擴(kuò)大，承載業(yè)務(wù)越來越重要，以及新技術(shù)的快速迭代，對(duì)企業(yè)網(wǎng)絡(luò)安全提出更高的要求。因此，研究MPLS VPN大型網(wǎng)絡(luò)安全防護(hù)體系具有非常重要的價(jià)值。

1 大型企業(yè)網(wǎng)絡(luò)架構(gòu)

如圖1所示，某大型企業(yè)MPLS VPN網(wǎng)絡(luò)架構(gòu)，其中核心層、匯聚層和骨干層構(gòu)成一張MPLS骨干網(wǎng)絡(luò)，底層由OTN承載，實(shí)現(xiàn)網(wǎng)絡(luò)高速通道負(fù)責(zé)流量快速轉(zhuǎn)發(fā)[3]。各接入域通過MPLS BGP跨域?qū)崿F(xiàn)對(duì)接，VPN業(yè)務(wù)均接入接入域內(nèi)。通過多級(jí)路由反射器（RR）技術(shù)實(shí)現(xiàn)全網(wǎng)VPN路由控制。

圖1 大型企業(yè)網(wǎng)絡(luò)架構(gòu)Fig.1 Large enterprise network architecture

2 安全防護(hù)要求

2.1 防護(hù)原則

安全防護(hù)設(shè)計(jì)應(yīng)遵循合規(guī)性、體系化和風(fēng)險(xiǎn)管理原則，詳細(xì)如下：

（1）合規(guī)性原則：符合國家信息安全等級(jí)保護(hù)要求[4]，符合企業(yè)“分區(qū)分域、安全接入、動(dòng)態(tài)感知、全面防護(hù)”的安全策略，符合企業(yè)信息安全防護(hù)整體體系框架。

（2）體系化原則：按照信息安全防護(hù)要求，從物理安全、邊界安全、應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)安全、終端安全及安全管理等方面對(duì)系統(tǒng)進(jìn)行安全防護(hù)設(shè)計(jì)。

（3）風(fēng)險(xiǎn)管理原則：針對(duì)系統(tǒng)面臨的風(fēng)險(xiǎn)采取針對(duì)性的安全防護(hù)措施，降低風(fēng)險(xiǎn)，提高系統(tǒng)安全性能。

2.2 風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析主要從網(wǎng)絡(luò)層面、終端層面、物理層面和安全管理方面進(jìn)行風(fēng)險(xiǎn)分析，詳細(xì)如下。

終端層面風(fēng)險(xiǎn)：（1）客戶內(nèi)網(wǎng)終端感染病毒等惡意代碼，不能正常工作；（2）客戶網(wǎng)絡(luò)網(wǎng)管機(jī)終端密碼和設(shè)備遠(yuǎn)程登錄泄露，被人非法登錄。

物理層面風(fēng)險(xiǎn)：機(jī)房遭受地震、火災(zāi)、水災(zāi)等物理破壞；電力供應(yīng)不正常等。

安全管理風(fēng)險(xiǎn)：邊界出口增多，導(dǎo)致運(yùn)維成本和運(yùn)維負(fù)擔(dān)增加；部分地市、縣級(jí)運(yùn)維人員和運(yùn)維工具不到位，導(dǎo)致運(yùn)維措施無法嚴(yán)格執(zhí)行。

3 防護(hù)體系研究

3.1 總體防護(hù)架構(gòu)

針對(duì)大型網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)，重點(diǎn)從物理安全、邊界安全、網(wǎng)絡(luò)安全、終端安全和運(yùn)維安全管理等方面進(jìn)行總體安全防護(hù)架構(gòu)設(shè)計(jì)，詳細(xì)如圖 2所示。

圖2 網(wǎng)絡(luò)安全防護(hù)體系Fig.2 Network security protection system

3.2 邊界安全管控

如圖3所示，大型企業(yè)網(wǎng)絡(luò)架構(gòu)分為骨干網(wǎng)和接入網(wǎng)兩級(jí)網(wǎng)絡(luò)架構(gòu)。骨干網(wǎng)和接入網(wǎng)均為 MPLS標(biāo)簽網(wǎng)絡(luò)，為全網(wǎng)業(yè)務(wù)流量提供安全穩(wěn)定的高速轉(zhuǎn)發(fā)功能[5]。業(yè)務(wù)CE設(shè)備及以下網(wǎng)絡(luò)為VPN業(yè)務(wù)局域網(wǎng)，作為企業(yè)提供業(yè)務(wù)接入服務(wù)和業(yè)務(wù)管控功能。

圖3 邊界示意圖Fig.3 Boundary diagram

3.2.1 MPLS跨域?qū)舆吔?/p>

架構(gòu)安全：安全設(shè)備部署及性能具備冗余空間、滿足高峰期業(yè)務(wù)需要；按照對(duì)業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)。

訪問控制：針對(duì)跨域邊界的雙向訪問，配置不同的防護(hù)策略，從設(shè)備的訪問、管理、業(yè)務(wù)數(shù)據(jù)、終端用戶等多方面實(shí)現(xiàn)安全防護(hù)功能；針對(duì)各網(wǎng)段的會(huì)話狀態(tài)信息進(jìn)行明確的允許/拒絕控制[6]。

安全防護(hù)：滿足對(duì)數(shù)據(jù)通信網(wǎng)中環(huán)境下的每IP新建速率閾值的設(shè)置與監(jiān)控以及對(duì) TCP、ICMP、UDP等協(xié)議下報(bào)文速率的閾值設(shè)置，并可以實(shí)現(xiàn)觀察、限速和阻斷；實(shí)現(xiàn)對(duì)SYN Flood攻擊、UDP Flood攻擊、ICMP Flood攻擊、DNS Flood攻擊等攻擊的安全防護(hù)。

安全審計(jì)：對(duì)數(shù)據(jù)通信網(wǎng)中的各類信息需要記錄，記錄的內(nèi)容包括：時(shí)間、事件類型、時(shí)間是否成功等。對(duì)網(wǎng)絡(luò)流量、業(yè)務(wù)行為等進(jìn)行日志記錄；能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表[7]。

流量深度檢測：支持識(shí)別多種協(xié)議，對(duì)數(shù)據(jù)通信網(wǎng)網(wǎng)絡(luò)中的流量進(jìn)行深度分析，展現(xiàn)清晰的圖形化界面可直觀查看實(shí)時(shí)/歷史流量走勢、業(yè)務(wù)流量的排名、狀態(tài)、連接數(shù)等信息，便于分析網(wǎng)絡(luò)健康狀況以及定位故障。多維度、豐富的分析和數(shù)據(jù)報(bào)表，可滿足各種統(tǒng)計(jì)報(bào)告要求。

網(wǎng)絡(luò)設(shè)備防護(hù)：對(duì)于登陸設(shè)備的用戶需要進(jìn)行認(rèn)證；需要限制能夠管理設(shè)備的IP地址數(shù)量范圍；確保一對(duì)口令（用戶名、密碼）唯一標(biāo)識(shí)一個(gè)用戶、并且足夠復(fù)雜以保證安全；設(shè)備具備超時(shí)退出功能。3.2.2 局域網(wǎng)邊界

局域網(wǎng)邊界范圍是 CE及以下的接入網(wǎng)，應(yīng)實(shí)現(xiàn)業(yè)務(wù)的安全接入與訪問控制，保證進(jìn)入骨干網(wǎng)的流量的安全可靠，因此局域網(wǎng)的安全管控措施如下：

（1）規(guī)范流程管理，嚴(yán)格執(zhí)行信息網(wǎng)絡(luò)、信息設(shè)備（包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、終端設(shè)備）、信息系統(tǒng)的準(zhǔn)入審批制度，落實(shí)業(yè)務(wù)接入、網(wǎng)絡(luò)接入管理要求，規(guī)范接入申請(qǐng)、審批、實(shí)施及監(jiān)控的管理流程，杜絕在接入管理方面的違章現(xiàn)象。

（2）加強(qiáng)網(wǎng)絡(luò)設(shè)備入網(wǎng)管理，嚴(yán)禁將網(wǎng)絡(luò)設(shè)備和安全設(shè)備私自接入公司網(wǎng)絡(luò)，擴(kuò)大信息網(wǎng)絡(luò)邊界范圍；嚴(yán)禁將未采取安全加固措施（系統(tǒng)默認(rèn)口令，未關(guān)閉 FTP、SNMP等不必要的服務(wù)）的網(wǎng)絡(luò)設(shè)備和安全設(shè)備接入公司網(wǎng)絡(luò)。

（3）加強(qiáng)網(wǎng)絡(luò)安全域管理，局域網(wǎng)應(yīng)加強(qiáng)安全訪問控制措施與安全防護(hù)措施，嚴(yán)格限制網(wǎng)絡(luò)訪問策略與權(quán)限管理，與其它域僅進(jìn)行必要的信息交互。

（4）加強(qiáng)信息內(nèi)網(wǎng)例行檢查，定期對(duì)辦公計(jì)算機(jī)防病毒軟件的升級(jí)、操作系統(tǒng)補(bǔ)丁更新、系統(tǒng)弱口令設(shè)置情況等進(jìn)行常規(guī)性檢查。

（5）加強(qiáng)帳號(hào)權(quán)限管理，應(yīng)按照用戶最小服務(wù)授權(quán)原則進(jìn)行網(wǎng)絡(luò)授權(quán)，并定期清理無關(guān)用戶。防止崗位變更、人員離職、臨時(shí)帳戶長期生效等情況發(fā)生，信息系統(tǒng)中相關(guān)帳戶、權(quán)限未做調(diào)整，造成不良后果。

（6）加強(qiáng)網(wǎng)絡(luò)訪問限制管理，因信息系統(tǒng)升級(jí)、維護(hù)、聯(lián)調(diào)等原因而授權(quán)開通的臨時(shí)防火墻訪問控制策略與端口，在操作結(jié)束后必須立即履行注銷手續(xù)，消除網(wǎng)絡(luò)訪問權(quán)限管理隱患。

3.3 網(wǎng)絡(luò)安全

大型數(shù)據(jù)通信骨干網(wǎng)為其承載的各項(xiàng)業(yè)務(wù)提供快速轉(zhuǎn)發(fā)通道，應(yīng)當(dāng)為各項(xiàng)業(yè)務(wù)轉(zhuǎn)發(fā)提供正確的路由，保證各項(xiàng)業(yè)務(wù)轉(zhuǎn)發(fā)所需的帶寬以及保障正常的轉(zhuǎn)發(fā)性能[8]。原則上不對(duì)入網(wǎng)的流量進(jìn)行太多限制，只負(fù)責(zé)轉(zhuǎn)發(fā)。數(shù)據(jù)通信骨干網(wǎng)應(yīng)對(duì)數(shù)據(jù)平面、控制平面、管理平面等三個(gè)層面做相應(yīng)安全部署。

數(shù)據(jù)平面是指網(wǎng)絡(luò)設(shè)備對(duì)各種數(shù)據(jù)處理過程中的各種處理轉(zhuǎn)發(fā)過程。數(shù)據(jù)數(shù)據(jù)平面的安全措施主要防止非法流量消耗正常網(wǎng)絡(luò)帶寬，保障正常的網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能。

控制平面是網(wǎng)絡(luò)設(shè)備用于控制和管理所有網(wǎng)絡(luò)協(xié)議的過程，主要作用是提供了業(yè)務(wù)數(shù)據(jù)處理轉(zhuǎn)發(fā)前的各種網(wǎng)絡(luò)信息和轉(zhuǎn)發(fā)查詢表項(xiàng)?？刂破矫娴陌踩胧┲饕鞘占吞幚砭W(wǎng)絡(luò)的路由信息，為業(yè)務(wù)流量的轉(zhuǎn)發(fā)提供正確路由，必須防御利用各種路由協(xié)議流對(duì)網(wǎng)絡(luò)設(shè)備路由控制引擎實(shí)施拒絕服務(wù)攻擊。

管理平面是網(wǎng)絡(luò)管理人員利用各種方式登錄管理網(wǎng)絡(luò)設(shè)備的平臺(tái)，支持、理解和執(zhí)行管理人員對(duì)網(wǎng)絡(luò)設(shè)備的各種命令。管理平面要防御未授權(quán)的設(shè)備訪問，進(jìn)而非法控制網(wǎng)絡(luò)設(shè)備的配置和管理，并利用管理信息流實(shí)施拒絕服務(wù)攻擊。

3.3.1 數(shù)據(jù)層面策略部署

（1）網(wǎng)絡(luò)基礎(chǔ)設(shè)施防護(hù)

為實(shí)現(xiàn)對(duì)路由器設(shè)備防護(hù)，在所有路由器上對(duì)外互聯(lián)接口部署ACL，僅允許必要的源地址訪問，其它任何目的地址為本網(wǎng)絡(luò)設(shè)備的流量，均予以拒絕，即可防范流量攻擊、更可增強(qiáng)組網(wǎng)設(shè)備的安全性，提升網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性[9]。

（2）垃圾流量過濾

在接入網(wǎng) PE路由器的下聯(lián)接口上，對(duì)進(jìn)入數(shù)據(jù)通信網(wǎng)的數(shù)據(jù)流量進(jìn)行過濾，使用ACL技術(shù)阻止一些有害的流量進(jìn)入數(shù)據(jù)通信網(wǎng)。具體措施如下：

（1）拒絕源、目的地址明顯非法的數(shù)據(jù)包，如127.*.*.*，128.*.*.*等不應(yīng)出現(xiàn)在公網(wǎng)上的數(shù)據(jù)包；

（2）采用嚴(yán)格反向路徑查找技術(shù)過濾掉源地址非法的流量；

3.3.2 控制平面策略部署

（1）邊界對(duì)接設(shè)備所運(yùn)行協(xié)議建立鄰居時(shí)采用md5認(rèn)證。

（2）核心網(wǎng)絡(luò)設(shè)備access端口開啟反向路徑查找功能，并禁止 isis運(yùn)行，未使用端口應(yīng)處于關(guān)閉狀態(tài)。

（3）在各 VPN業(yè)務(wù)接入設(shè)備上對(duì)業(yè)務(wù)路由進(jìn)行整合、匯總，嚴(yán)格限制vpn路由表大小。

（4）路由反射器傳遞路由時(shí)，應(yīng)按照規(guī)劃路由，嚴(yán)格做好路由策略過濾，只接受或發(fā)布合法路由。

（5）骨干網(wǎng)ASBR對(duì)接入域ASBR發(fā)布公網(wǎng)路由時(shí)，應(yīng)進(jìn)行路由過濾，只發(fā)布特定互通路由，接入域ASBR禁止向下發(fā)布公網(wǎng)路由。

3.3.3 管理平面策略部署

（1）所有網(wǎng)絡(luò)設(shè)備關(guān)閉http、direct broadcast、icmp redirect、proxy ARP服務(wù)。

（2）遠(yuǎn)程登錄控制：所有網(wǎng)絡(luò)設(shè)備禁止 telnet登陸，只允許 ssh登陸，并進(jìn)行最大連接限制，最大連接數(shù) 5，idle-timeout時(shí)限為 5分鐘；采用 acl控制，過濾掉非合法地址遠(yuǎn)程登錄。加強(qiáng)密碼管理，采用集中認(rèn)證技術(shù)，同時(shí)進(jìn)行認(rèn)證、授權(quán)、審計(jì)操作

（3）SNMP安全：所有網(wǎng)絡(luò)設(shè)備snmp采用v3安全版本，采用md5認(rèn)證和des加密算法，并采用mib view關(guān)閉大數(shù)據(jù)量的表類型變量；設(shè)置復(fù)雜的字符串作為SNMP的community，不使用設(shè)備的缺省值；設(shè)置SNMP的訪問控制列表，嚴(yán)格限制訪問設(shè)備SNMP進(jìn)程的源IP地址[10]。

3.4 終端安全

公司辦公人員使用現(xiàn)有信息內(nèi)網(wǎng)辦公計(jì)算機(jī)訪問數(shù)據(jù)通信網(wǎng)業(yè)務(wù)時(shí)，應(yīng)按照公司管理要求進(jìn)行統(tǒng)一的安全防護(hù)和管理。

網(wǎng)管終端必須部署在網(wǎng)管大廳，由特定的網(wǎng)管人員管理，嚴(yán)格對(duì)網(wǎng)管人員進(jìn)行分級(jí)授權(quán)，并按照相關(guān)管理要求進(jìn)行統(tǒng)一的安全防護(hù)和管理。

3.5 物理安全

設(shè)備物理安全，應(yīng)依據(jù)屬地管理要求，由各屬地單位負(fù)責(zé)按照公司機(jī)房管理要求執(zhí)行安全防護(hù)和管理。

3.6 運(yùn)維安全

在運(yùn)維管理上除嚴(yán)格遵守有關(guān)規(guī)定外，應(yīng)滿足以下幾點(diǎn)：

（1）加強(qiáng)機(jī)房進(jìn)出管理，保證網(wǎng)絡(luò)設(shè)備和通道物理安全。

（2）加強(qiáng)網(wǎng)絡(luò)管理員管理，有條件的省份可采用集中認(rèn)證技術(shù)，同時(shí)進(jìn)行認(rèn)證、授權(quán)、審計(jì)操作。

（3）加強(qiáng)網(wǎng)管設(shè)備和網(wǎng)絡(luò)設(shè)備用戶名、密碼管理，防止關(guān)鍵信息泄露[11]。

（4）限制遠(yuǎn)程登錄設(shè)備，網(wǎng)管設(shè)備必須限定在網(wǎng)管大廳，由特定的網(wǎng)管人員管理，嚴(yán)格對(duì)網(wǎng)管人員進(jìn)行分級(jí)授權(quán)。

（5）加強(qiáng)安全審計(jì)，定期上傳、檢查設(shè)備syslog。

（6）完善設(shè)備配置備份。

（7）合理規(guī)劃ip地址、net地址等網(wǎng)絡(luò)資源。

（8）監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況，對(duì)于突發(fā)異常流量及時(shí)查明原因，未能及時(shí)查明原因的突發(fā)流量，應(yīng)暫時(shí)關(guān)閉其端口。

4 結(jié)論

本文提出了大型企業(yè)MPLS VPN網(wǎng)絡(luò)安全防護(hù)體系。通過分析大型企業(yè)網(wǎng)絡(luò)技術(shù)特點(diǎn)，明確了安全防護(hù)要求，如防護(hù)原則和風(fēng)險(xiǎn)分析。針對(duì)大型網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)，重點(diǎn)從物理安全、邊界安全、網(wǎng)絡(luò)安全、終端安全和運(yùn)維安全管理等方面進(jìn)行總體安全防護(hù)架構(gòu)設(shè)計(jì)。