隨著IT基礎架構、移動互聯網等技術的發展和變化,傳統園區網絡的安全防護手段和思路面臨著諸多挑戰。首先,傳統園區網往往會為每個業務建設一張獨立的物理網絡,但是在新一代園區網中業務種類越來越多,傳統的建設模式會使得網絡運維管理非常復雜,也不利于網絡資源的有效利用。然后,傳統園區網中的安全設備都是零散分布在區域邊界,性能瓶頸、單點故障、信息孤島等問題也困擾著網絡運維人員。最后,新一代園區網絡中移動終端種類和數量越來越多,任何一個終端設備都有可能成為入侵整個園區網絡的跳板。
傳統園區網的諸多挑戰對新的安全解決方案提出了迫切需求。新一代園區網安全解決方案應運而生,為用戶帶來立體化、智能化的安全解決方案。
方案優勢
1.虛擬化園區網絡架構
通過獨創的IRF2技術將園區網絡的接入層,匯聚層與核心層設備各自進行橫向虛擬化,將多臺冗余設備虛擬化為單臺邏輯設備,形成一個網絡管理與轉發節點。橫向虛擬化完成以后通過鏈路捆綁技術完成上下行鏈路的連接,無需再運行復雜的生成樹協議。所以新一代園區網絡的網絡結構是簡單的、路由表是簡單的、管理是簡單的。
另外新一代園區網絡往往會為多個不同單位或業務提供網絡需求,所以在整個園區網絡中存在彼此完全隔離的網絡、部分需要互訪的網絡以及能夠公共訪問的網絡。我們使用MPLS VPN的多通道特性來滿足這一需求,核心層設備作為P節點完成MPLS VPN數據轉發,匯聚層設備作為PE節點完成對接入用戶的網絡隔離,接入層設備作為CE節點使用EAD技術對用戶進行認證,將用戶下發到相應的VLAN并對應到匯聚層設備的VRF中,通過MPLS VPN的路由控制滿足各類訪問需求。
2.終端安全準入和管控
針對新一代園區網絡中終端設備呈現出的類型多樣化和接入無界化的發展趨勢,華三通信提出了“BYOD終端移動化解決方案”。該方案支持802.1X、Web Portal、MAC和VPN等多種認證方式;支持完善的身份生命周期管理能力、獨特的訪客接入模式和基于角色的資源訪問控制能力;支持對終端設備進行外設控制、黑白軟件管理、防病毒管理、客戶端ACL等安全控制策略;支持細致的網絡訪問行為審計能力,通過詳細的報表可以輕松掌握智用戶網絡訪問軌跡。
3.關鍵路徑的縱深防御
新一代園區網絡要以“流量路徑”為核心構筑層層遞進的縱深安全防御體系。首先通過合理劃分安全區域確定安全防御邊界,包括互聯網接入區、廣域網接入區、用戶接入區、服務器接入區等安全區域,然后根據流量路徑上的每一道區域邊界進行安全防護部署。依據“縱深防御“原則,流量路徑的邊界防護應具備網絡層、應用層等多層次的防御能力,在流量路徑上通過防火墻、入侵防御、Web應用防火墻等產品的策略組合形成有力的防御體系。
在園區網中,互聯網接入區作為連接園區內網和外部互聯網的橋梁,一方面為園區網用戶提供了訪問互聯網資源的能力,另一方面互聯網帶來的蠕蟲、木馬、釣魚網站等各種攻擊方式對園區網絡的安全產生了嚴重威脅。因此互聯網接入區是整個園區網絡中最為重要的安全防護部分。在互聯網接入區,不僅要部署防火墻、入侵防御、Web應用防火墻等安全防護設備,同時也需要部署應用控制網關提供互聯網應用訪問分析和流量分析,部署負載均衡設備提供多出口鏈路的高可靠性。
4.安全態勢監測與分析
在傳統園區網絡中,由于安全業務設備的種類不同、廠商不同和地理位置分散等問題導致安全業務運維非常復雜。另外由于各類安全業務設備的日志信息難以做到集中統一關聯和分析,導致了園區網絡“安全孤島”的產生,很難從雜亂無章的安全日志中分析安全態勢和追溯安全事件。新一代園區網安全解決方案針對這個問題,提出了“統一智能運維管理方案”。該方案將網絡中的終端、網絡安全設備、應用服務器等IT資源全部納入安全監測范疇內,在統一的平臺上進行日志信息、安全事件的統一收集、歸類處理、智能關聯和分析,可以實時動態分析園區網安全態勢、回溯安全事件和安全預警,便于安全運維人員掌握安全狀態。
客戶價值
(1) 實現了多租戶環境下的網絡隔離和靈活訪問需求
(2) 實現了對各類移動終端、物聯網終端的安全接入和管控
(3) 實現了全網安全事件分析、態勢監測、安全預警和及時響應
(4) 實現了簡化網絡結構、簡化轉發路徑以及簡化運維管理
(5) 實現了高可靠性的基礎網絡架構
典型組網
未來展望
在SDN、Overlay等新技術的推動下,未來的園區網絡將會發生巨大的改變。利用Overlay技術的虛擬網絡特性能夠天然地實現業務網絡的隔離,滿足園區網多租戶的業務建設要求。Overlay技術的另一個作為就是構建“大二層網絡”,使得移動終端可以在園區網中任意遷移而訪問策略不變。再結合上SDN轉發與控制相分離的技術可以將整個Overlay網絡的控制層面進行集中和統一,可以實現對Overlay網絡流量轉發的靈活管理。在這些新技術背景下的未來園區網安全問題將會是一個嶄新的命題:未來園區網的安全能力要和網絡轉發能力一樣融入Overlay網絡,并且能夠被SDN控制器集中管理和控制,實現安全防護能力的同時做到按需靈活調度。