浅谈网络边界安全解决方案

浅谈网络边界安全解决方案

姚柱稳

广东省电信规划设计院有限公司 广东省东莞市 523008

摘要：笔者从当前网络攻击行为频发的事实出发，结合边界安全交互系统的建设需求，阐述不同网络之间进行信息安全交互需要满足的功能架构和拓扑架构，提出符合实际的边界安全配置方案，有效保障用户的网络安全。下面，笔者就对网络边界的安全解决方案进行探讨。

关键词：网络安全；网络边界；边界安全交互系统；安全区域；

随着网络技术的不断发展以及网络建设的复杂化，恶意网络攻击行为已影响人们的工作、学习和生活的方方面面，网络边界安全成为当前最重要的安全问题。因此，不同网络之间互联互通时，建议在网络边界上部署边界安全交互系统，实现信息的安全交互。边界安全交互系统包括纵向边界安全交互系统和横向边界安全交互系统，本文以某专网与互联网的横向边界交互系统为例，阐述网络边界安全接入的解决方案。

1. 需求分析

网络边界是指一个网络同其他网络的分界线，建设网络边界安全交互系统的需求包括以下几方面：

网络结构安全需求：网络结构是否合理直接影响着是否能够有效的承载业务需要，因此网络结构需要具备一定的冗余性，对网络区域进行合理划分。

访问控制需求：对于各类边界最基本的安全需求就是访问控制，对进入安全区域边界的数据信息进行控制，阻止非授权及越权访问。采取基于白名单的细粒度访问策略，按照安全策略规定的白名单格式授权，其余应明确禁止。

入侵防范需求：通过安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防范对应用服务区WEB服务的脚本攻击、SQL注入攻击、网站挂马等，实现对核心信息资产的防护。

2. 设计原则

可控性原则：能够监控和审计边界交互系统及接入业务的运行情况。当发生违规或异常情况时，能够及时发现、报警并处理。对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。如果不对进入系统访问的用户进行权限分配管理，将给系统安全带来重大安全漏洞，可能出现用户越权访问、操作，或者非法用户闯入系统。

可管理性原则：对边界交互安全的方案设计、建设、运行整个过程能够管理和监控，具有规范合理的接入业务流程，纳入日常运行管理。

可扩展性原则：整体安全平台建成后随着运行时间的推移，新的业务应用不断增加，将达到平台容量的上限，边界交互平台的容量应可随需求而平滑扩展。

3. 边界防护技术

常用的网络边界安全组件和技术有防火墙、VPN网关、UTM、网闸、数据交换区等，各技术主要应用场景如下：

（1）防火墙：目前主流的安全产品，负责对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口的访问控制，并提供拒绝服务攻击、地址转换、用户认证、病毒防护等安全防护能力，宜应用于中小型网络接入公用互联网或应用系统接入公用互联网等场合。

（2）VPN（虚拟私有网）网关：通过VPN网关，在远端用户、分支机构与公司总部之间建立可靠的安全连接，相当于在公用网络上构建私人专用网络，保证数据传输的安全。VPN网关的部署应结合设备的特点、网络状况及主要应用需求灵活选择串联模式、并联模式等部署模式。

（3）UTM（统一威胁管理）：可集成防火墙、IPS（入侵防御系统）、防病毒网关、防拒绝服务攻击网关、内容过滤网关、垃圾邮件过滤网关等各种安全网关的功能，宜应用在客户及小型系统网络边界及不同的网络分区或用户组之间。

（4）网闸：由两个主机系统模块和一个隔离交换专用硬件组成，保证内、外网非同时连接，保证信任网络和非信任网络之间链路层的断开，宜部署在要求物理隔离的网络之间。

（5）数据交换区：基于缓冲区隔离的思想，分别建立接入缓冲区和业务缓冲区，在防止内部数据泄密的同时保证数据的完整性，宜用于有频繁的、较大的业务量互通要求或高密级网络对外网互联的应用场合。

4. 解决方案

综合上述边界防护技术，以某专网与互联网的横向边界交互系统为例，探索网络边界安全的解决方案。该系统面向某专网与互联网之间进行视频和数据交换时，进行边界安全防护。

横向边界安全交互系统分为视频交换链路和数据交换链路两类。视频交换链路用于视频流的传输，数据交换链路用于视频图像（如视频片段、图片数据等）、其他数据（如文件等）、视频图像信息数据库请求（如采用JSON格式的API请求）的传输；视频交换链路和数据交换链路均应采用数据交换前置服务、安全隔离设备和数据交换后置服务方式搭建，严格隔离不同的网络安全域。

另外，横向边界安全交互系统需根据连接区域的安全要求划分安全等级，安全等级及等级划分原则应符合相关规定要求。

（1）功能架构

横向边界安全交互系统功能架构见下图，共包含五个安全区域：路由接入区、边界保护区、应用服务区、安全隔离区和安全监测与管理区，每个安全区域实现不同的安全功能。

1）路由接入区

该区域实现各个外部链路与横向边界交互系统的连接。

该区域主要安全功能为：实现路由访问控制，将来自不同接入对象或不同外部链路的数据流按照不同的安全策略加以区分。

2）边界保护区

该区域主要实现对横向边界交互系统的边界保护。

该区域主要安全功能为：实现网络级的身份认证、访问控制和权限管理，入侵防御，边界监测，数据机密性和完整性保护，抵御网络攻击和嗅探。

3）应用服务区

该区域主要处理各类与应用相关的操作，是对外信息发布、信息采集和数据交换的中间区域。

该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能，阻止对专网的非法访问以防止信息泄露。对此区域，应加强对服务器等设备的安全保护，应采用专门的防病毒服务器（具有病毒、木马防护功能），防止病毒传播与木马控制。

4）安全隔离区

该区域实现专网与其它网络之间的安全隔离与信息交换。

该区域主要安全功能为：实现专网与其它网络之间的安全网络隔离，根据安全策略，对出入专网的数据提供双向隔离、签名验签、协议识别、内容过滤、流量管控、服务认证、信令安全、媒体安全等安全能力。

5）安全监测与管理区

该区域实现横向边界安全交互系统的业务审计、集中监管与级联上报。

该区域主要安全功能为：对系统运行情况进行安全监测与审计，对交互系统及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等；交互系统内网络设备、安全设备的配置管理及日常运行维护；补丁升级、漏洞扫描与病毒防范；向上级平台级联上报本级系统的数据。

（2）网络拓扑

横向边界安全交互系统网络拓扑如下图所示，由边界防火墙、可信边界网关、边界交换机、入侵防御系统（IPS）、数据交换系统、网闸、集控系统、集控探针组成。

1）防火墙

防火墙的首要功能是根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议等对数据包进行访问控制。防火墙还保证了边界交换系统内部的主机地址不被外部终端直接获得。

2）可信边界网关

可信边界网关主要针对Web应用、Oracle数据库、远程桌面、电子邮件和各类典型TCP/IP应用提供统一用户管理、统一认证加强、统一应用授权、统一访问控制、终端身份认证、用户和终端绑定、数据链路加密、数据包签名、应用加速等安全保护。

3）边界交换机

利用三层网络交换机的IP路由和虚网功能，根据接入应用进行路由选择和虚网划分，保证不同业务应用通道之间的相互隔离。边界交换机根据不同业务设置不同的VLAN，每个VLAN连接这个业务的前置机、数据库或者文件服务器，每个VLAN之间不能互相访问。这样的配置即能保证每个业务之间相对独立，一旦某个业务的前置机感染病毒木马不能通过内部局域网迅速传播，又能实现所有业务的数据交换。

4）入侵防御系统（IPS）

入侵防御系统（IPS）是能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

5）安全隔离设备

将专网区和互联网区分隔为两个网络，实现物理隔离保证网络体系的安全。

6）数据交换系统

数据交换系统包括外数据交换服务器（前置机）和内数据交换服务器（后置机）：

前置机：负责从互联网区源地址采集数据并处理，通过安全隔离设备向后置机发送；负责接收经安全隔离设备发送来的专网区数据，进行深度处理后分发至互联网区目的地址。

后置机：负责从专网区源地址采集数据并处理，通过安全隔离设备向前置机发送；负责接收经安全隔离设备发送来的互联网区数据，进行深度处理后分发至专网区目的地址。

7）集控探针

由于处于专网区的集控服务器无法直接监管处于外网的各种设备，所以需要在边界保护区安装集控探针。

集控探针采集外网各种设备（如防火墙、三层交换机、各种前置机）的日志信息，同时监听外网设备的使用状态、流量、异常报警事件等等。

8）集控系统

通过集控系统能够实时查看业务当前状态、当日流量、总流量等；能够根据链路、归属单位、操作方式、接入对象来统计任意时间段内的流量、交换次数、审计次数、报警次数等重要信息；能够实时监控各种设备当前运行状况；能够提供用户行为监控，对用户的登录状态、操作行为、访问资源进行监控并提供查询统计。

5. 小结

随着用户业务的发展，网络边界呈现出越来越多的差异，不同的业务与应用，产生的边界以及边界的特点也不尽相同。网络边界的安全防护不能仅仅考虑安全风险，更要从业务建设的角度构建业务导向的安全架构。根据边界的业务重点和安全级别要求，通过不同的防护手段和设备组合，因地制宜建设边界安全交互系统，不仅能有效保障用户的网络边界安全，更能为用户带来更多的价值提升。

参考文献：

[1]互联网网络安全设计暂行规定，2008.

[2]公安视频图像信息系统安全要求（征求意见稿），2020.