摘要:随着网络技术的发展,越来越多企业的网络采用MPLS VPN[1]协议构建企业IP专网,可实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信。但也存在信息安全问题,如企业内部终端遭到攻击、部分用户未授权入网等。针对存在的安全问题,本文对网络信息安全防护提出了一些具体技术措施和方法。
关键词:MPLS VPN;企业专网;安全防护策略;
0 前言
随着网络经济的发展,VPN以其独有的优势赢得了越来越多企业的青睐。在所有的VPN技术中,MPLS VPN具有良好的可扩展性和灵活性,是目前发展最为迅速的VPN技术之一。但是,企业内部终端在访问外部网站和应用服务时,也需要防护好自身的网络安全,免受外部网络攻击;同时企业内部局域网也需要对终端入网进行控制,严防未授权终端入网进行攻击和破坏。由于早期硬件防火墙不支撑MPLS标签数据包解析、VPN转发,无法部署在网络边界防护企业信息内网。本文针对企业内部终端防护和企业内部终端入网控制进行分析,提出了一些具体的安全防护策略。
1.现状分析
企业在使用MPLS VPN网络后,在核心区域转发的数据包均为带有MPLS[2]标签,无法在MPLS层面解析IP报头。如企业信息内网终端在没有任何安全策略的状态下运行,无疑将会为任何网络攻击提供便利。
2.企业信息内网防护具体措施
为防止企业内部网络免受外部网络攻击,实现企业内部局域网终端与广域网服务器相关业务的正常授权访问。具体措施是利用发送源数据包及目的地址,推测可能遭到攻击的目的主机IP地址作为保护对象,以实现TCP协议的单向访问策略,保护目的主机无法被危险网段主动建立TCP连接。
2.1企业网络安全防护策略
以某单位内网网段为10.148.10.0/24为例,服务器区应用网段为10.20.0.0/16,其他地址为外部网段(可能存在风险网段)。从以下3个层面进行配置。
在协议icmp层面,阻断危险网段进行ping测试,防止暴力猜测设备是否在用。在协议udp层面,阻断危险网段获取UDP相关信息。在协议TCP层面,通过访问控制列表,企业内部网段全部实现单向访问控制。从技术层面屏蔽企业外部网段,达到保护企业网络安全目的。
下面以MPLS VPN网络中的三种设备举例做企业内网防护策略。网络拓扑如图:
图1 某企业网络拓扑示意
(1)核心网络PE1和PE2设备,可支持在MPLS接口做访问控制列表策略,以华三设备[3]为例。
例:
Acl number 3001
rule 1 permit icmp vpn-instance xxx source 10.20.0.0 0.0.255.255
Rule 2 deny icmp vpn-instance xxx
rule 11 permit udp vpn-instance xxx source 10.20.0.0 0.0.255.255
rule 12 deny udp vpn-instance xxx
rule 21 permit tcp vpn-instance xxx established destination 10.148.10.0 0.0.0.255
rule 22 permit tcp vpn-instance xxx source 10.20.0.0 0.0.255.255 destination 10.148.10.0 0.0.0.255
rule 61 permit tcp vpn-instance xxx source 10.148.10.0 0.0.0.255 destination 10.148.10.0 0.0.0.255
rule 62 deny tcp vpn-instance xxx destination 10.148.10.0 0.0.0.255
#
Interface GigabitEthernet0/0/0
packet-filter 3001 inbound
(2)汇聚层网PE1和PE2设备,可支持在绑定VPN实例接口做访问控制列表策略。Acl number 3001配置与上述相同。
# PE1接口配置
Interface GigabitEthernet0/0/1
ip binding vpn-instance xxx
ip address 10.148.10.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.148.10.1
vrrp vrid 1 priority 120
vrrp vrid 1 track interface GigabitEthernet0/0/0 reduced 30
firewall packet-filter 3000 outbound
# PE2接口配置
Interface GigabitEthernet0/0/1
ip binding vpn-instance xxx
ip address 10.148.10.3 255.255.255.0
vrrp vrid 1 virtual-ip 10.148.10.1
firewall packet-filter 3000 outbound
(3)接入层网CE1和CE2设备,可支持在所有网络接口做访问控制列表策略,以华为设备[4]为例。
traffic classifier zuduan operator or precedence 5
if-match acl 3000
traffic behavior zuduan
#
traffic policy zuduan
classifier zuduan behavior zuduan
Acl number 3001
rule 1 permit icmp source 10.20.0.0 0.0.255.255
Rule 2 deny icmp
rule 11 permit udp source 10.20.0.0 0.0.255.255
rule 12 deny udp
rule 21 permit tcp destination 10.148.10.0 0.0.0.255 syn-flag bit-match established
rule 22 permit tcp source 10.20.0.0 0.0.255.255 destination 10.148.10.0 0.0.0.255
rule 61 permit tcp source 10.148.10.0 0.0.0.255 destination 10.148.10.0 0.0.0.255
rule 62 deny tcp destination 10.148.10.0 0.0.0.255
Interface GigabitEthernet0/0/0
port link-type trunk
traffic-policy zuduan inbound
2.2 企业信息内网接入控制措施
采用IP和mac地址绑定策略实现每个终端控制,禁止使用NAT、DHCP协议,每个终端使用固定的IP地址。使每个IP地址都进行mac地址绑定[5]。已用的终端使用设备实际的mac地址进行绑定,没用的IP可以采用aaaa-aaaa-aaaa等相同的mac地址进行绑定。这样可以实现,让该上网的用户都可以上网,让不该上网的用户都不能上网。IP和mac地址绑定按照顺序写入网络设备上,在后期运维过程中,可方便管理和统计。例:
Arp static 1.1.1.1 aaaa-aaaa-aaaa vpn-instance xxx vid x
2.3企业网络设备安全管理措施
配置日志储存功能,使用ssh远程登录,并且尽量更改远程登录端口。用户名密码强度足够大,通过访问控制限制用户登录网络设备,仅允许部分管理员终端登录网络设备。
acl number 3008
rule 11 permit ip vpn-instance xxx source 10.148.10.0 0.0.0.255
rule 10001 deny ip vpn-instance xxx
user-interface vty 0 4
acl 3008 inbound
authentication-mode aaa
3.安全防护策略生效后效果
通过以上配置后,我们可以从网络层面实现对全单位终端安全进行防护。通过在网络设备上查看匹配规则,确定安全策略是否生效。例:display acl xxx,可以看到匹配次数确定策略是否生效。
4.结束语
目前,企业的信息安全防护方式多种多样。在上述基础之上可增加防火墙细化访问策略,通过增加入侵防御(IPS)、入侵检测(IDS)、互联网行为管控、日志审计、安全审计等一系列安全设备来提高单位网络安全性。网络安全没有绝对的安全,只有层层防护,将每一个防护点都做到位,才能使我们的网络更加安全可靠。
参考文献:
[1]王达.华为VPN学习指南,人民邮电出版社,2017,08.
[2]王达. 华为MPLS VPN学习指南,人民邮电出版社,2014,08.
[3]朱麟,刘源. H3C路由与交换实践教程,电子工业出版社,2018-02.
[4]王达.华为路由器学习指南,人民邮电出版社,2014-08.
[5]王达,华为交换机学习指南,人民邮电出版社,2014-08.
论文作者:李祥,罗斐,杨旭
论文发表刊物:《电力设备》2018年第18期
论文发表时间:2018/10/18
标签:终端论文; 网段论文; 网络论文; 策略论文; 企业内部论文; 华为论文; 防护论文; 《电力设备》2018年第18期论文;