我的《信息保卫战》读书笔记：网络安全

我国大中型企业网络平台的可靠性主要是通过物理层和链路层的安全来加 以保证的。网络和计算机设备、通信线路以及业务数据的物理安全是企业安全 的前提。尤其是要保护核心路由交换机及其他配套设施免遭地震、水灾、火灾 等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏。

一、网络安全设计

1. 路由认证安全设计

为了防止非法入侵者将不正确的路由信息注入到企业网络的核心路由器或 汇聚结点路由器的路由表中，网络中配置相邻认证路由的办法防止路由器或路 由交换机接收欺骗性的路由更新，如图9-1所示。

在配置了“邻居路由认证”以后，只要路由更新在相邻路由器或路由交换 机上交换，邻居认证就会发生。这种认证保证了企业网络中的关键路由器或交 换机接收到的均是可靠来源的路由信息。如果没有邻居认证，没有认证的恶意 路由更新可能会使企业的网络通信安全性遭到伤害。例如，一个由非法入侵者 控制的、未经认证的路由器可能会发送虚假的路由更新，使企业网络中的路由 器信以为真，把IP包发送到不正确的目的地。这种误转H的地可以使别人能得 到企业网络中的某些机密信息，或者破坏企业网络进行有效通信的能力。“邻居 路由认证”可有效防止企业网络的关键路由器或路由交换机收到任何虚假的路 由更新信息。

当在路由器上配置了邻居认证以后，路由器或路由交换机将会检查它收到 的每个路由更新包的来源。这是由交换发送和接收路由器都能识别的认证密匙 (人部分时候是指一个密码）来实现的。可以使用两种邻居认证方法：纯文本认 证和消息摘要算法版本5(MD5)认证。两种方法都以相同的方式工作，但MD5 发送一个“消息摘要”代替了认证密匙本身。这个消息摘要是由密匙和一个消 息构成的，但密匙本身并不发送，这样可以防止在传送的时候泄露。纯文本认 证则在线路上发送认证密匙本身。

2. 网络综合访问认证设计

新型公司综合访问管理服务器（Comprehensive Access Management Server， CAMS)作为网络中的业务管理核心，支持与路由器、以太网交换机等网络产 品共同组网，完成对终端用户的认证、授权、计费和权限管理，实现企业网络 业务和用户的精细化可管理，保证网络和用户信息的安全，作为端点准入防御 (EAD)的核心部件。

CAMS系统提供下列特性：

(1) CAMS采用PC服务器+Linux的软硬件平台，数据库采用Oracle。

(2) 采用“平台+业务组件”的体系结构，基于CAMS平台之上，认证、 计费等各业务模块相对独立。增加新业务时，平台无需改动，只需修改配置文 件，动态加载相应的业务组件。

(3) 支持多业务、多协议统一认证。支持Radius、Raduis +协议，通过配 置可以实现PPPOE、802.1x、Web等多种方式的认证，支持宽带接入业务。

(4) 记录用户上网日志，日志记录中可以提供针对一次上网过程的用户名、 源IP地址、上网时间段等信息，不能提供上网过程中所访问的目的IP地址信息。

(5) 可通过内置DHCP Server功能，基于用户通过DHCP协议分配固定IP 地址。

(6) 支持与 LDAP Server 接口。

设计可以考虑企业在网管中心布署一台CAMS对局域网内的接入用户采用 AAA认证和安全认证，同时实现网络访问权限的动态下发以及Telnet等权限。

在路由器和局域网交换机、CAMS上进行详细的配置，只有来自特定网段 的Telnet请求经认证后才能登录到该设备；同时，对登录的相关信息进行审计。

通过CAMS配合局域网接入层的智能三层交换机完成多种用户认证及访问 权限控制手段，记录用户的上网行为，对上网者进行监控。实现网络接入层面 的安全，将由人为主动行为或被动行为造成的网络安全隐患对网络带来的影响 全面封锁在网络之外，充分保障网络的安全性、健壮性。

3. 入侵检测和漏洞扫描安全设计

入侵检测是安全网关的合理补充，帮助系统对付网络攻击，扩展了系统管 理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安 全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析 这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检 测被认为是安全网关之后的第二道安全闸门，在不影响网络性能的情况下能对 网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

企业在入侵检测和漏洞扫描安全设计方面的安全布署主要包括以下方面：

(1) 在总部布署多套基于网络的入侵检测系统，使得网络具备对内外黑客 非法网络入侵行为的实时检测和实时响应能力，确保在系统遭受破坏之前得以 消除网络安全方面的威胁。

(2) 在总部网络中布署一套基于网络的漏洞扫描系统，用来满足整个网络 中的网络安全漏洞扫描能力和修复能力，堵塞住网络系统的安全漏洞。

(3) 在总部布署一套基于主机的漏洞扫描系统，用来扫描网络中重要服务 器（如计费服务器、认证服务器、网管工作站等）的安全漏洞，消除主机安全 隐患。

二、网络设备安全特性

由于很多网络设备操作系统中内建的服务存在或多或少的安全漏洞，对于 企业并不需要的功能，建议在网络实施过程中将这些特性设置为关闭，除非有

很明显的需要，否则不要打开它们。

同时，网络设备的安全配置主要考虑下列安全特性：

(1) 采用802.1X方式对接入用户进行认证，支持安全的SNMP v3的网管 协议、支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权 限，并提供两种用户认证方式：本地认证和RADIUS认证。

(2) 端口绑定功能：支持MAC、IP、VLAN、PORT任意组合绑定，有效 地防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络 资源的权限进行设置，保证网络的受控访问。

(3) VLAN部署如下：

① 支持丰富的统计信息包括各种流量的统计、流采样、NAT信息统计。

② 支持策略路由、NAT安全日志、端口镜像。

③ 端口安全性设定。利用交换机的端口与MAC地址绑定功能将企业网络 中一些重要服务器和工作站（如计费服务器、认证服务器、网管工作站等）的 MAC地址和局域网交换机的交换端口相绑定，从而杜绝内部网中假冒服务器 IP地址的非法攻击行为。

三、路由安全

伴随着信息技术的飞速发展和企业信息化程度的不断提高，多业务融合的 宽带网络己经成为企业正常运营的重要保障。为了确保一个稳定、安全、高效 的网络运营环境，管理员不得不常常面临以下问题：如何监控用户的网络应用 行为？如何跟踪网络应用资源的使用情况？如何识别网络中的异常流量和性能 瓶颈？如何有效地规划和部署网络资源？

上述问题归结的一点，就是实现路由安全。

1. 采用XLog系统

这些问题的解决依赖于管理员对网络运行详细状况的及时获取，为此，建 议采用新型网络日志审计系统（Network Log Audit System, XLog),可以与路 由器、交换机、BAS等网络设备共同组网，根据用户要求采集不同类型的网络 流量信息，并通过聚合、分析与统计，为网络管理员提供用户行为审计、流量 异常监控和网络部署优化的数据基础和决策依据。

具体的部署为：在企业网络部署两台服务器，一台是DIG采集服务器，另 一台是XLog服务器，共有两个网络位置需要探测日志，在局域网内部，在8508 上做端口镜像，将需要审计的数据镜像到DIG采集服务器，用探针的方式釆集 日志后将日志传送到XLog服务器进行分析。

因为IDS的安全联动也需要使用镜像端口，这时可能遇到镜像端口不够用 的情况，可考虑使用TAP设备，TAP设备相当于有线电视上的分流器，即将一 份流量复制成两份。

XLog可根据用户需要，通过各种组合条件对海量的网络日志进行快速分 析，如图9-2所示。管理员可以从日志审计结果中准确了解终端用户的上网行 为——用户何时访问了某网站？何时访问了某网页？发送了哪些Email?向外 传送了哪些文件等。

2. 全网采用SNMP v3的网管

企业所用到的如果是全部新型网络设备，都支持SNMP v3的网管协议和 SSH (Secure Shell),可以使网络管理员在管理设备时口令不被窃取，保证了网 络管理权限的安全。

3. 结论

经过企业网络建设过程中涉及的网络平台、业务系统中#在和可能出现的 问题的深入分析，集成商从网络层面及系统层面，从事前的防范到事中的监控， 直到事后的审计，通过建立完善的安全机制、部署网络安全策略，对T设备物 理安全、系统安全、业务安全及用户接入安全等方面给出了建设性的意见。

同时，这里要指出，N络的安全是全面协防的概念，而非仅依靠某一层次 或某一设备予以解决。全面的安全协防旨在不同层次上利用不同技术、不同成 本的设备相互补充，从而既加强了安全，又平衡了安全中存在的矛盾。

9.3.4 VPN技术及其应用

1. VPN技术概述

企业现在面临着不断开放企业的内网来处理各项内外业务，因此，如何建 

立一个安全、高效、易用、经济的网络接入方式，保障企业的各项应用系统推 广到企业以外使用就成为当前众多企业所面临的挑战。

早期，建立保密的网络连接一种方案是使用专线，如SDH、MSTP等。但 是这种方式存在非常大的两个缺点：一是不灵活，不能满足出差人员随时随地 接入的需求；二是费用高，专线方式的网络连接需要支付高昂的专线租用费用。

随着VPN (虚拟专用网络）技术的发展，VPN技术已经成为一种非常成熟 的网络连接方式，可以有效支持企业通过Internet等公共互联网络与固定的局 域网、个人终端等建立加密的数据连接，进行安全的通信，防止黑客嗅探到敏 感的数据。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域 网建立的连接，它具有高性价比、强适应能力、很强的网络安全特性以及动态 的扩展能力等优势，已经广泛替代专线用来进行广域网络的衔接。VPN技术的 关键组成部分包括隧道技术、加密技术、身份认证等，在此我们就不再赘述了， 大家可以参考一些专业的安全技术文献。

2. VPN技术的分类

目前，区分VPN技术主要是根据其隧道协议的不同类进行的，下面将重点 介绍IPSec和SSL两种最常用的VPN隧道技术。

1) IPSec 协议

IPSec是IETF支持的标准之一，它是第三层即IP层的加密。IPSec不是 某种特殊的加密算法或认证算法，也没有在它的数据结构中指定某种特殊的加 密算法或认证算法，它只是一个开放的结构，定义在IP数据包格式中，不同的 加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。

IPSec协议可以设置成在两种模式下运行：一种是隧道（tumid)模式，另 一种是传输（transport)模式。在險道模式下，IPSec把传输层的数据包封装在 安全的IP包中。传输模式是为了保护端到端的安全性，即在这种模式下不会隐 藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。由于IPSec是 基于网络层的，不能穿越通常的NAT及防火墙。

IPSec VPN的部署方式为Site to Site、Client to Site,即采用网关到网关、 客户端到网关两种方式。除需要在总部部署VPN网关外，还需要在分支部署网 关或者PC上部署客户端，并且配置加密方式、认证方式、密钥信息、算法、 接入地址等复杂的设置。

此外，IPSec协议在实现安全性的同时，网络传输效率有所下降。因此，作 为国内的VPN行业标准制定者的深信服科技（Sangfor)提出了基于IPSec协 议改进的SANGFORSL协议（SANGFORIPSecVPN采用的安全链路协议）， 主要改进了以下两点：

(1) 提供压缩的IP头算法，由此提高网络利用率。普通的IPSec网络利用 率在70%左右，而SANGFORSL可达到90%。

(2) 改进的IP封装技术，使得SANGFORSL可通过任何路由器，提高对 网络的适应能力。

SANGFORSL提供基于挑战一响应模式的身份认证，同时也提供基于硬件 证书（HARDCA)的鉴权体系。数据传输采用隧道模式，支持各种加密算法， 对会话的管理更具有灵活性，同时能适应各种网络层。目前，根据IDC等权威 机构的调查显示，采用SANGFORSL协议的深信服VPN设备已经占到了 35% 以上的市场份额。

2) SSL协议

安全套接字层（Secure Socket Layer, SSL)属于高层安全机制，广泛应用 于Web浏览器程序和Web服务器程序，提供对等的身份认证和应用数据的加 密。在SSL中，身份认证是基于证书的。服务器方向客户方的认证是必须的，而 SSL版本3中客户方向服务器方的认证只是可选项，并没有得到广泛的应用。SSL 会话中包含一个握手阶段，在这个阶段通信双方交换证书，生成会话密钥，协商 以后通信使用的加密算法。完成了握手以后，应用程序就可以安全地传输数据而 无需做很大修改，除了在传输数据时要调用SSL API而不是传统的套接字API。

SSL VPN工作于SSL协议的通信中，保证PC访问与所有代理服务器或VPN 网关之间的畅通。一旦连接成功，一个小型的基于Java的客户端就会被下载到 计算机的Web浏览器，会在您的计算机和VPN网关之间创建一个虚拟连接。

如果需要，WebSSLVPN会自动下载至用户计算机，还可以自动安装。当 终端用户会话结束后，这个连接也会自动从计算机上删除，清除VPN客户端的 使用痕迹。这意味着，使用SSL VPN的客户端可以放心从其他计算机上登录公 司网络，无需安装特殊的认证程序或其他加密系统。用户只需要知道他们自己 的数字认证以及连接到VPN网关上的URL地址。

但是，目前SSL VPN技术主要是在移动办公环境下使用，大多采用3G、 WiFi等接入方式，链路传输质量不高，延时高、丢包高等情况会极大地影响访 问速度和用户体验。因此，如果能在SSL VPN安全特性的基础上增加一些网络 优化技术（如TCP协议优化、流缓存、压缩等技术），就可以提升网络传输速 度200%以上，优化用户体验，提升满意度。建议企业用户在采用SSL VPN设 备时关注其是否具备一定的网络优化技术。

3. VPN技术的对比

在企业日常的IT建设过程中，大家经常会问的一个问题就是：SSL VPN和 IPSec VPN技术应该采用哪种更加合适，该如何选择？首先从表9-1中的性能 对比来看二者的一些区别。

由此可见：

(1) 对于分支机构（有多台PC的局域网）与总部互联时，更适合IPSecVPN 技术；

(2) 对于出差员工移动接入、大量分散的合作伙伴/客户接入总部时，更适 合采用SSL VPN技术。

4. VPN技术的典型应用场景

1) 远程移动接入访问

随着当前移动办公的日益增多，内部员工可以通过SSL VPN技术直接在 PC、各种移动终端上通过WiFi、3G、有线、卫星等方式接入互联网与总部建 立VPN访问企业的内部应用资源。远程移动接入访问主要针对的场景有：

(1) 对于出差员工移动接入，访问0A系统等。

(2) 移动营业网点的远程办公人员，进行移动销售、移动开户、移动执法、 野外勘探等。

(3) 微型办公室员工访问OA、ERP、CRM等系统。

(4) 无需开发APP，移动终端就可以采用应用虚拟化+SSL VPN直接访问 内部业务系统。

2) 企业内部分支互联访问

企业采用IPSec VPN的方式可以通过Internet等公用网络进行企业各个分 支机构的互联，是传统的专线网扩展或替代形式。企业内部分支互联访问的主 要使用场景如下：

(1) 各种大中小型分支通过IPSecVPN网关与总部互联。

(2) 为了提升分支与总部之间线路的可靠性，除了专线外，分支可以增加 一条VPN线路作为备份链路。

(3) 对企业网络内部的某些关键应用系统（比如财务等），需要与企业应用 隔离，防止数据泄密时，可以在原有的专线上构建VPN方式来实现（IPSec VPN 和SSL VPN都可以考虑）。

3) 企业外部合作伙伴互联

企业外部合作伙伴互联是指利用SSL VPN将企业的应用系统延伸至合作 伙伴与客户。大家都知道，合作伙伴和客户数量较多，也相对分布分散，采用 专线接入成本较高、管理复杂。因此，在以下场景——第三方合作伙伴接入， 如企业的经销商通过ERP订货、运营商的合作营业厅访问BOSS系统、统计局 “企业一套表系统”收集信息等——采用SSL VPN技术尤为常见。

四、网络威胁检测与防护

面对网络应用层威胁，目前业界主要是通过深度包检测（DPI)、Web应用 代理等技术深入到IP报文应用层和内容进行分析，与已知的各种应用威胁特征 

进行比对后，拦截各种应用层威胁的方法进行防护的。

层安全防护技术和设备主要分为以下几种：

1. IDS (入侵检测系统）

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测

系统”。专业上讲就是通过DPI技术，对网络、系统的运行状况进行监视，尽 可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密 性、完整性和可用性。

形象的比喻就是：如果说防火墙是一幢大厦的大门，那么IDS就是这幢大 厦里的视频监控系统。一旦小偷或内部人员有非法行为，只有实时监视系统才 能发现情况并发出警告。

与防火墙不同的是，IDS是一个旁路监听设备，没有也不需要跨接在任何 链路上，无须网络流量流经它便可以工作。因此，对IDS部署的唯一要求是： IDS应当挂接在所有所关注的流量都必须流经的链路上。

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近 受保护资源。这些位置通常是：服务器区域的交换机上、Internet接入路由器之 后的第一台交换机上、重点保护网段的局域网交换机上等。

但是IDS也存在一定的问题：

(1) 针对单包类型的攻击，可以直接穿透IDS,即使IDS与防火墙形成了 联动也无法防护。

(2) IDS的漏报、误报较多，让IT管理人员在海量的信息中无法及时、准 确地获取有价值信息。

因此，大家通常对于IDS的定位是：IDS重在全面检测，追求有效呈现， 主要通过统计数据分析、多维报表呈现等管理特性，更加直观地让用户了解入 侵威胁状况和趋势，以便支撑治理入侵的补充依据。

2. IPS (入侵防御系统）

IPS是英文“Intrusion Prevention System”的缩写，中文意思是“入侵防御

系统”。正是由于上述传统防火墙加传统IDS技术的一些弊端，如无法实时过 滤一些新型的应用威胁，IPS应运而生，简单的理解就是对流经的每个报文进 行深度检测（协议分析跟踪、特征匹配、流量统计分析等），具备了实时、在线 部署的能力，可以对恶意报文、攻击报文、病毒木马文件等进行丢弃，以阻断 攻击等多种处理方式，如向管理中心告警、丢弃该报文、切断此次应用会话、 切断此次TCP连接。

由此可见，在企业网络中，至少需要在以下区域部署IPS,即办公网与外 部网络的连接部位（入口 /出口）、DMZ的Web服务器前端、内网重要服务器 集群前端、办公网内部接入层等。

但是由于IPS主要防护的对象是各种系统漏洞、病毒木马、一些简单的SQL 

注入等攻击，对于OWASPToplO的Web安全威胁缺乏有效的防护。对于内外 网中一些关键Web服务器，仅仅部署IPS是不足够。

3. WAF (Web应用防火墙）

WAF是英文“Web Application Firewall”的简称，中文意思是“Web应用

防火墙”，它是通过执行一系列如HTTP/HTTPS代理等技术，制定一定的安全 策略来专门为Web应用提供保护的一款产品。

与传统L2-L4防火墙、基于DPI技术的IPS相比，WAF则是工作在TCP/IP 第七层处理HTTP/HTTPS服务的，能够全面地识别各种HTTP/HTTPS数据包 中的数据，从而有效地辨别出各种Web应用威胁、敏感数据内容，予以实时的 拦截。比如可以提供以下更细致的安全策略：对协议的全面理解以及协议规范 性检查；请求头关键字段的识别和特征匹配，从而降低误判；响应头敏感信息 的处理防止服务器指纹泄露；响应体特征匹配，屏蔽敏感信息泄露。

因此，WAF除了针对上文中提供的OWASPToplO的Web应用威胁提供防 护过滤功能外，还可以针对Web应用中的敏感内容进行检测和拦截，从而防止 客户信息等数据的泄露。

但是，WAF产品的问题在于，防护的威胁范围仅限于Web应用，无法针对 系统漏洞、网络设备漏洞、协议漏洞、Office/Flash等应用漏洞进行防护。所以， WAF在实际部署过程中需要与IPS、FW等产品一起配合使用。建议部署的位 置是内外网重要的Web服务器前端，如门户网站、电子商务网站、网上营业厅等。

4. NGFW (下一代防火墙）

目前，黑客的攻击不再是以破坏为目的，更多的是试图窃取内部的机密信 息，传统安全产品（防火墙、IPS、UTM)侧重于防护来自外部的已知攻击和 入侵，对业务系统回复的信息内容不做检测，如果黑客利用未知漏洞进入网络 窃取信息或篡改网页，这样的防护手段是没有作用的。但是单纯部署WAF设 备防护类型有限。

因此，有些企业用户采用同时部署防火墙+IPS+WAF方式来提高安全性， 这种方式不仅成本很高，而且多台设备会产生更多的单点故障风险，还会导致 网络性能下降。

那么如何在有效防护各种应用层安全威胁，提供双向内容检测过滤各种敏 感信息的同时，尽量减少设备部署数量，提升可靠性、降低成本成为了很多企 业用户的考虑重点。因此，下一代防火墙（Next-Generation Firewall)应运而生。

根据 Gartner 在 2009 年发布的一份名为《Defining the Next-Generation Firewall》的文章，给出了真正能够满足用户当前安全需求的下一代防火墙 (NGFW)定义，结合当前安全发展趋势和一些主流NGFW产品的特点，笔者 认为下一代防火墙需要满足以下几个方面的特点。

防应用层攻击：75%的安全威胁源自应用层，下一代防火墙应该具备应用 层协议的识别能力，并能针对应用层安全威胁提供完整的解决方案。弥补传统 安全设备由于工作在网络，只解析网络层数据包，无法理解应用层协议并防护 应用层的安全威胁的问题。

双向内容检测：为了解决传统安全设备只针对外部攻击防护的问题，下一 代防火墙应该具备双向的内容检测能力。除了能够防护外部攻击以外，需要对 服务器响应的反馈内容进行严格的安全检查，以提供防网页篡改、防敏感信息 泄露等功能。

涵盖传统安全：应用层的安全威胁日益盛行，但源自底层的网络层安全威 胁仍然存在，其危害性也不容忽视。下一代防火墙应该涵盖传统防火墙、IPS、 VPN等功能，以减少多设备串行部署单点故障、性能瓶颈以及风险无法统一定 位的问题。同时从用户长远利益考虑减少重复无效的投资，实现最优的投资回报。

应用层高性能：虽然多功能网关具备部分应用安全防护能力，但其传统安 全设备的集成、串行部署的方式，使其在多种功能开启之后性能急剧下降，最 终只能当传统防火墙使用。下一代防火墙应该从软件构架、硬件构架两方面彻 底改变多功能网关由于多功能堆叠、串行部署导致的性能瓶颈问题，具备应用 层高性能实现万兆的吞吐。

如果下一代防火墙能够真正实现上述的四类要求，它完全可以替代一些传 统安全产品的部署场景部署在以下区域：互联网出口边界、内网各个安全域边 界、内网重要服务器前端、外网Web服务器前端、广域网边界等。

目前，我们也看到NGFW的概念刚刚兴起，国外的代表厂商有Paloalto等， 国内的代表厂商有深信服等。对于大多数客户来说，NGFW有一个接受的过程， 但是笔者认为NGFW正是由于其全面完整的安全防护功能、应用层的高性能以 及一体化低成本的优势，将会成为下一个网络安全的建设重点，大量替换现有 的传统FW等产品。