边界安全部署最佳实践

边界安全部署最佳实践日期：2007年7月13日杭州华三通信技术有限公司网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录网络园区边界定义边界网络的定义是园区网连接到广域网/Internet等外部网络的边缘区域；在园区网的设计中按照区域的划分会产生多个边界网络；通常对于园区的边界有以下几种定义：广域网出口公共服务器区域分支结构VPN远程用户VPNPSTN拨号用户Internet出口边缘本地外部网络园区边界定义－互联网网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录边界安全部署简介为什么需要进行边界安全部署？因为现在的网络非常脆弱，不安全。导致现在网络脆弱的原因有很多种，三把双刃剑：大量业务服务器长时间暴露在公众环境中，使黑客轻易就可以找到想攻击的目标；攻击工具的高度发展，使攻击难度急剧下降，只要稍懂一点计算机操作的人就可以成功发起一次攻击；网络病毒的泛滥，带来的经济损失和应用规模成正比；IPv4是简单开放的，本身就没有考虑安全因素。边界安全部署简介如何对脆弱的网络进行弥补？根据网络的病根对症下药：在园区边界出口通过部署防火墙和IPS，将网络攻击与病毒入侵终结在园区边界；VPN（VirtualPrivateNetwork：虚拟私有网）在实现公用网络上构建私人专用网络的同时，IPSec隧道加密技术也弥补了IPv4的简单和开放；通过对园区网进出流量的分析和监控，及时发现流量异常，来消除无法预知的不稳定因素；边界安全部署简介—H3C解决方案H3C边界安全部署最佳实践解决方案通过在边界入口处部署VPN网关、防火墙、IPS、NSM/NAM等设备，一方面阻止来自Internet对受保护网络的未授权或未认证的访问，另一方面允许内部网络的用户安全的对Internet进行Web访问或收发E-mail等。企业中心可以使用双机热备，这样当故障发生的时候，业务也能很快恢复，给用户提供了十分可靠的运行环境。可通过在园区边界处部署双VPN网关和防火墙，为用户安全、可靠的使用网络提供了很好的保障。NSM/NAM是网络安全监控的简称，是H3C公司在防火墙和路由器上开发的流量监控软硬件平台。NSM/NAM单板，可以对流经设备上的所有在线流量进行统计和安全分析，对流量进行采样记录并对历史流量进行安全分析，能对包括IP/none-IP的、2至7层的多种协议进行分析，为网络管理员提供网络安全服务。NSM/NAM提供方便友好的用户配置，支持图形化的分析结果查询，方便用户使用。边界安全部署简介—H3C解决方案网管ServerLSWVPNserverVPNClientVPNClient分支节点2分支节点1防火墙/IPS：攻击与病毒止步NSM/NAM：一切尽在掌握中IPSecVPN：加密报文让黑客们一无所获网络园区边界定义边界安全部署简介边界安全部署典型应用场景目录边界安全部署最佳实践解决方案针对不同用户群的需求，分别设计了多套应用组网。对于园区规模较小，性能、可靠性要求不高的用户，我们推荐使用单设备园区出口边界安全部署组网方式，本组网仅使用H3C的一台MSR路由器或者SecPath安全产品，集成VPN网关、防火墙功能，并可以通过在该设备上配置NAM（MSR）或者NSM（SecPath）对园区进出口流量进行监控；对于园区规模较大的用户，我们推荐在本组网中加入专业的防火墙、IPS等设备增加边界安全性；对边界安全性能、可靠性要求都较高的用户，我们推荐使用园区网络多出口边界安全部署组网方式，本组网在使用专业网关设备的同时，通过部署双VPN网关实现负载均衡和备份，部署双防火墙实现状态热备，提供园区出口的高可靠性；公共服务器路由器/安全网关/VPN网关ISP路由器园区边界典型的单设备园区网出口组网：仅有Internet一个边界出口与外部网络互连有一个公共服务器区对外部提供等服务远程用户（包括移动接入用户和小型分支节点）通过Internet建立VPN隧道接入到园区网络内边界安全设计要求设备成本低，通常将出口路由器和VPN安全网关/防火墙集成在一台出口设备上通过在路由器(SecPath)上配置NAM（NSM）板实现出口流量监控设备MSR50/30/20AR28/46SecPath系列分支机构VPN网关移动用户211.2.10.1/24192.168.0.1/24192.168.1.1/24192.168.0.100/24211.4.1.2/24本组网非常简单，仅一台出口设备，易于管理；2.H3C公司的MSR/AR/SecPath系列产品可提供强大的VPN功能，远程分支、移动用户可以通过单IPSec、GREoverIPSec、L2TPoverIPSec等多种VPN方式接入园区总部；L2TP可以提供用户认证功能，GRE隧道可以让企业分支与总部进行私网路由的交互，IPSec加密功能可以确保通讯报文的保密性和可靠性；3.H3C公司的MSR/AR/SecPath系列产品同时也可以作为安全网关使用，支持NAT、ACL访问控制、ASPF、深度业务监控等典型应用；4.出口设备上配置的NAM/NSM板卡对进出口流量进行有效的分析和监控；5.出口设备公网接口上配置NAT，让内部用户可以访问internet；6.出口设备公网接口上配置NATserver，让internet用户可以访问公共服务器；单设备出口组网配置说明——远程VPN接入1.分支机构VPN接入，接入方式：单IPSec隧道方式a.IPSec的remote地址为园区出口VPN网关的公网地址；b.IPSec采用野蛮模式，支持NAT穿越功能；c.IPSec感兴趣流为分支机构私网网段地址到总部园区网网段地址；d.分支设备公网接口上启用IPSec策略；2.远程移动用户使用iNodeVPN客户端接入，接入方式：L2TPoverIPSeca.新建iNode连接，iNodeVPN启用IPSec安全协议；b.L2TPLNS服务器地址、IPSec服务器地址都设置为园区出口VPN网关的公网地址；c.IPSec使用隧道方式，启用NAT穿越功能；单设备出口组网配置说明——总部VPN配置1.总部VPN网关配置a.作为L2TPLNS端的基本配置，包括用户名、地址池、虚接口、L2TP组相关配置；b.由于远程移动接入用户公网IP的不确定性，总部IPSec使用动态模板方式，先建立IPSec动态模板，然后用动态模板建立IPSec策略；c.在VPN网关公网接口上启用IPSec策略单设备出口组网配置说明——防火墙配置1.总部防火墙网关：SecPath系列放火墙可支持ACL访问控制、ASPF（基于应用层的报文过滤）、深度业务监控等多种功能，下面仅以启用ASPF功能为例：系统视图下：#新建ASPF策略，添加需要检测的应用层协议tcp；aspf-policy1detecttcp＃在防火墙网关公网接口上启用ASPF策略，本策略仅允许从园区网内部主动发起的TCP连接，即如果报文是内部网络用户发起的TCP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止；interfaceGigabitEthernet0/0firewallaspf1outbound单设备出口组网配置说明——NAT配置1.园区内部通过NAT访问internet首先需要确认访问internet的流量，然后对这些流量的地址进行NAT转换，其次要设置地址池，即申请到的公网地址。假设分支的IP地址都规划在172.0.0.0/8网段，园区内部IP地址规划在192.168.0.0/16网段。＃私网访问公网的流量需要进行NAT转换aclnumber3000rule0permitipsource192.168.0.00.0.255.255rule1denyipdestination172.0.0.00.0.0.255＃申请到的公网IP，与公网接口在同一个网段nataddress-group0211.2.10.1211.2.10.2＃公网接口上启用natinterfaceGigabitEthernet0/1natoutbound3000address-group0单设备出口组网配置说明——NATServer配置1.Internet用户访问园区内部公共服务器在园区出口配置NATServer，将一个公网的地址与内部服务器地址关联起来。Internet用户向公网地址发起连接，在网关设备的公网接口上将该报文IP目的地转换为内部服务器地址，即可以到达内部公共服务器的访问目的。假设设备公网接口地址为211.2.10.1，内部服务器地址为192.168.0.100/24。＃公网接口上启用natserver，提供单设备出口组网配置说明——NSM配置（1）1.设备侧流量镜像配置：NSM版卡插在SecPath防火墙上，需要在SecPath上将流量镜像到NSM板卡内部接口上，NSM对收到的报文进行分析。SecPath上需要进行的配置：#将网关内网接口上的进出流量都镜像到NSM内部端口上进行统计，NSM插在三槽位；interfaceGigabitEthernet0/1mirrortoGigabitEthernet3/0both2.NSM配置：/*管理口IP配置为192.0.0.1，默认网关为192.0.0.10（管理口直连设备接口地址）*/单设备出口组网配置说明——NSM配置（2）2.NSM配置（续）：如果用户需要在远程监控室中登陆NSM，观察流量分析结果，需要将NSM的管理口eth1接入到园区网中，并将该路由发布出去，NSM管理口的默认网关设置为其直连设备接口的IP地址；选择eth0作为观察接口，即可以观察到SecPath上的流量情况。园区网与外界网络互连出口包括Internet/PSTN和WAN几部分公共服务器对外部提供等服务移动用户可以通过Internet建立VPN接入园区网远程分支机构可以通过Internet建立VPN接入园区网，也可以通过私有的WAN网络接入园区网通过一台设备支持防火墙&VPN功能，降低组网成本；园区出口部署高可靠方案实现负载分担和冗余备份通过在防火墙/路由器上配置NSM/NAM板实现出口流量监控；园区网Internet公共服务器防火墙/VPN/NATInternet出口路由器专网WAN出口路由器远程分支机构IPSIPSInternet/WAN移动用户多出口网关集成边界安全部署组网多出口网关集成出口组网说明（1）1.本组网中VPN网关、防火墙功能都集成在H3C的SecPath产品上，提供远程VPN接入及攻击防护功能；这里使用两台设备实现双VPN网关及防火墙的备份；网关备份实现方式：VPN隧道使用GREoverIPSec方式，在GREtunn