维普资讯 http://www.cqvip.com
理 Management 企业网络安全构建方案 中国工商银行广东省珠海市分行 姜卫 网络安全是一项动态的、整体的系统工程。从技术 线路运行上的安全问题,而且不利于防火墙的安装。为 上来说,网络安全涉及多个方面。不同的网络环境采取 的网络安全措施不尽相同。 随着网络升级改造的基本完成,我行网络系统环境 与过去有很大不同,网络结构和系统配置复杂很多。为 保证我行与外联单位之间的业务既能正常运行,又要安 全可靠,对外联系统的网络改造势在必行。改造前的网 络拓扑结构如图1所示。改造后的网络拓扑如图2所 示。 了更进一步规范和完善网络体系,提高网络运行的可靠 性,本文提出企业网络安全规划设计方案。 图2中,在内网和之间通过外联NAT路由器 和防火墙设立了一道安全屏障。系统配置为:在外联路 由器上做NAT转换,通过NAT将内部网络与外部网络 一、外联网络安全改造方案 隔离。外部用户无法获知通过NAT设置的内部网络IP 地址。NAT转换工作过程如图3所示。 1.路由器配置 NAT路由器配置如下: show mR Current configuration: version】2.】 因业务发展的需要,我行与多家外单位通过网络进 行业务往来。以往的连接方式是在中心机房用多台路由 器分别与不同的外联单位相联,这种连接方式不仅存在 26・中国金融电脑2006年第2期 维普资讯 http://www.cqvip.com
管 Management 服务器n 外单位rl 图1 改造前的网络拓扑结构 图2改造后的网络拓扑结构 enable secret 5 ¥1¥GETa¥T/3 ! poDvDcZKRbwwvUkCm/ controller E 1 1/0 framing NO-CRC4 channel-group 0 timeslots 1-1 6 1 interface Seriall/0:0.1 point—to—point bandwidth 1 28 ip address 130.201.1O1.1 255.255255.252 .ip nat outside frame-relay interface—dlci 26 1 .interface Ethernet0/1 ip address 192.168.1 1 1.1 255.255255.0 ip nat inside ! ip nat inside source static 192168.1 1 1.5 .200.200.200.200 ip route 56.48.40.0 255.255.2550 130.201.1O1.2 .interface Seriall/0:0 no ip address encapsulation frame—relay IETF ip mroute-cache frame—relay lmi-type ansi 1 end 2.防火墙配置 防火墙是一种将内部网和外部网分开的方法,它能 被保护的网络与互联网络之间,或者与其他网络之 中国金融电脑2006年第2期.27 维普资讯 http://www.cqvip.com
理 Management 源IP包 进的Cisco4000交换机,访问层用Cisco2950交换机。 核心层和访问层间交换机采用千兆网技术,Trunk封 源地址 内 部 网 I目的地址 NAT 装用国际通用的802.1q标准。核心交换机启用三层 交换技术,并能很好地支持虚拟局域网(VLAN)技 l92.168.1 1 1.5 l olm.corn.cn 源地址l 目的地址 口 术,这对方便局域网管理、保证局域网高速可靠运行 olm.corn.cn I l92.168.1l 1.5 回应的包 源地址l 目的地址 olm.corn.cn I 200.200.200.200 外 部 网 源地址 l目的地址 200.200.200.200 l olm.corn.on 图3 NAT转换工作过程 间进行的信息存取、传递操作。防火墙可以作为不同网 络或网络安全域之间信息的出人口,能根据企业的安全 策略控制出入网络的信息流,且本身具有较强的抗攻击 能力。它是提供信息安全服务、实现网络和信息安全的 基础设施。逻辑上,防火墙是一个分离器,一个器, 也是一个分析器,可有效监控内部网和之间的任何 活动,保证了内部网络的安全。防火墙的安全技术包括 包过滤技术、网络地址转换——NAT技术、代理技术 等。 我行使用NetScreen防火墙,采用包过滤(Packet Filter)技术,包过滤技术是防火墙为系统提供安全保障 的主要技术,它通过设备对进出网络的数据流进行有选 择的控制与操作。包过滤操作通常在选择路由的同时对 数据包进行过滤(通常是对从外部网络到内部网络的包 进行过滤)。包过滤规定以IP包信息为基础,对IP包的 源地址、IP包的目的地址、封装协议(TCP/UDP/ICMP/IP Tunne1)、端口号等进行筛选。我行在防火墙上分别设置 了MIP、Inside-Globle、Outside-Inside等策略,并实行策 略收紧措施,实现了网络安全集中管理。 二、内部局域网安全改造方案 随着网络的普及和发展,各种应用对网络的要求不 断提高,在硬件支持下,优化软件配置是局域网快速、稳 定、可靠的基础。我行大楼局域网核心层采用了性能先 28・中国金融电脑2006年第2期 起到了非常重要的作用。下面就主要安全技术性能 做简要介绍。 1.VLAN技术 VLAN(Virtual Local Area Network,虚拟局域 网)指在交换局域网的基础上,采用网络管理软件构 建的可跨越不同网段、不同网络的端到端的逻辑网 络。一个VLAN组成一个逻辑子网,即一个逻辑广播 域,可以覆盖多个网络设备,允许处于不同地理位置 的网络用户加入到一个逻辑子网中。 VLAN的主要优点包括:①控制广播风暴。一个 VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离 了广播,缩小了广播范围,可以控制广播风暴的产生。② 提高网络整体安全性。通过路由访问列表和基于端口地 址等VLAN划分原则,可以控制用户的访问权限和逻辑 网段的大小,将不同用户群划分在不同的VLAN上,从 而提高交换式网络的整体l生能和安全l生。③网络管理简 单直观。对于交换式以太网,对某些用户重新进行网段 分配,需要网络管理员对网络系统的物理结构重新调 整,甚至需要追加网络设备,增大网络管理的工作量。而 对于采用VLAN技术的网络来说,一个VLAN可以根据 部门职能、对象组或者应用将不同地理位置的网络用户 划分为一个逻辑网段。在不改动网络物理连接的情况 下,工作站可以在工作组或子网之间随意移动。利用虚 拟网络技术,减轻了网络管理维护的工作量,降低了网 络维护费用。在一个交换网络中,VLAN提供了网段和机 构的弹性组合机制。 2.WI'P配置技术 VTP是一个在交换机之间同步及传递VLAN配置 信息的协议。一个VTPServer上的配置将会传递给网络 中的所有交换机,VTP通过减少手工配置可支持较大规 模的网络。VTP有三种模式:( ̄)Server模式。允许创建、修 改、删除VLAN及其他一些VTP域配置参数,同步本 VTP域中其他交换机传递的最新的VLAN信息。② Client模式。在Client模式下,一台交换机不能创建、删 维普资讯 http://www.cqvip.com
除、修改VLAN配置,也不能在NVRAM中存储VLAN 配置,但可以同步由本VTP域中其他交换机传递的 VLAN信息。( ̄)Transparent模式。可以进行创建、修改、删 除,也可以传递本VTP域中其他交换机传送的VTP广 播信息,但不参与本VTP域的同步和分配,也不将自己 的VLAN配置传递给本VTP域中的其他交换机,其 VLAN配置只影响自身。交换机默认情况下为Server模 式。可将核心交换机设为server模式,其他交换机设为 Client模式,这样可防止在访问层对交换机VLAN配置 的更改,同时通过设置VTP Domain和Password增强局 域网的安伞Il生。 三、利用访问列表控制过滤IP包 访问控制列表(Access—List)分为标准访问列表 (Standard Access—List)、扩展访问列表(Extend Ac— cess—List)和命名访问列表(Name Access—List)。我行 采用了前两种.标准访问列表对来自另一自治系统的IP 包进行过滤,防止不必要的IP包进入路由器,致使路由 表过大,侵占内存容量,造成路由器性能的下降。标准访 问列表配置语句为: router eigrp 65ll4 redistribute eigvp 100 network l 72.1 6.0.0 default—metric 1000 10000 255 l l500 distribute—list 1 0 out Serial 1/0/0I3 access—list 10 permit 172.16.0.0 0.0.0.255 扩展访问列表用于局域网不同网段之间的不 必要的相互访问,其配置语句为: version l1.3 hostname router f enable secret 5 ¥l SyAzg¥8QV4M5zZXb— SIBFrX7 lvV20 1 interface Ethernet0/0 ip address 192.168.20.254 255.255.255.128 ip access—group 1 00 out f l。 l臻 鼍 磊 《 管理 {舞 Management |l_ interface Ethernet0/l ip address 192.168.30.254 255.255.255.128 ip access—group l 1 0 out f ip classless access—list 100 permit ip host 192.168.30.5 host l92.168.20.4 access—list l 1 0 permit ip host 1 92.1 68.20.4 host l92.168.30.5 access—list l 10 deny tcp host 172.16.15.202 any eq www end 四、可扩展网络安全方案 目前我行的网络设备安全管理方式还处于分散控 制的水平,网络管理人员需要在每一台设备上建立一套 用户信息和授权机制,用户对设备操作的历史记录分散 保存在每一台网络设备中。这种方式无法有效地为不同 级别网络管理人员设定不同的管理权限,以至网络设备 管理权限难以有效控制。 网络管理人员登录网络设备普遍使用静态密码,静 态密码存在安全程度低、管理困难、易泄密等问题,采用 这种登录方式对路由器、交换机等关键网络设备进行管 理存在较大的安全风险。 鉴于上述情况,有必要建立一套更加安全、可扩 展的网络设备安全管理机制,需要对网络设备安全管 理工作进行统一规划,实施可扩展网络设备安全管理 项目。 网络设备安全管理一般称为AAA管理,包括身份 验证(Authentication)、授权(Authorization)和记账 (Accounting)三方面的内容。网络管理人员首先要通过 严格的身份认证远程或本地登录到目标设备;根据操作 权限执行相应的命令;管理员在设备上的操作过程通过 记账方式记录在案。 通过Tacacs、Tacacs+、Radius等技术可实现网络设 备的集中式AAA管理。Tacacs、Tacacs+、Radius等技术 已13益成为系统身份认证的标准协议。 IOS版本11.1以上的Ciseo设备均支持AAA认证 中国金融电脑2006年第2期・29 维普资讯 http://www.cqvip.com
理 Management 命令。 ①部分设备开启和配置了一些不必要的服务,如 TCP/UDP/J、服务、HTTP服务等。 ②网管端口(console、AUX、vty)没有配置超时或超 时时间配置不当。 Cisco IOS配置命令如下: usemame localadmin password 7 1 10A1016141D 定义“后门”管理员,用于AAA服务器失效时应急 措施(此命令必须先于aaa配置命令,否则无效) aaa new—model ann authentication login defauh group tacacs+local ③部分边界路由器未关闭CDP,CDP协议可能泄漏 内部网络的敏感信息。 ④部分交换机使用VTP未配置domain password, 存在因VLAN信息遭破坏导致网络中断的风险。 验证通过(tty,vty,console and a1.iX)的login过程 aaa authorization commands 1 5 defauh group ⑤部分设备没有禁用不使用的物理端口,可能导致 非授权访问。 tacacs+local 授权管理员可操作的命令 aaa accounting commands 15 default start—stop ⑥部分设备静态路由配置不当,导致当扫描软件或 其他恶意软件扫描到一些实际网络中不存在但在汇总 路由范围之中的网段时会产生路由循环。 group tacacs+ _记录管理员的操作过程 _tacacs-server host<ipaddressprimary> 定义主AAA服务器地址 tacacs-server host<ipaddressbackup> __⑦部分局域网的交换机未关闭trunk模式,而是保 留交换机tunk缺省模式(Trrunk缺省模式为desir— able)。 定义backup AAA地址 tacacs-server key<key string> ⑧网络设备未配置NTP,设备时间无法同步。 ⑨部分网络设备未配置为loopback地址。 定义AAAclient和AAAServer之间的共同密码 ip tacacs source-interface Loopback0 ⑩两台核心交换机之间的千兆端口有2条线路,只 配置tunk方式连接,r未配置port channel。 使用loopback地址作为tacas的源地址 ⑧个别路由器未启用口令加密服务。 五、其他安全措施 除上述主要安全措施外,还应注意网络设备中如下 配置不当问题: ⑩部分网络设备日志时间配置为uptime,登录过程 提示的信息包含敏感信息等。 另外,对采用Modem拨号作为线路备份的方案,建 议使用反向回拨技术。西 30・中国金融电脑2006年第2期
