互联网出口安全解决方案

需求分析

• 有效保障用户体验

    用户对于带宽的需求是无止境的，尤其是在上网用户数不断增加的情况下，不论出口带宽增加到多大，都无法完全满足用户的需求。但对IT建设者来说，出口带宽的每次增加，都意味着成本的提高。而无限制的扩容出口带宽是属于治标不治本的，因此我们需要关注带宽的合理利用，以达到提升带宽价值的目的。

    1) 分支或下端用户投诉网速慢、体验不佳时，出口带宽却往往有富余，在出口有多条链路时甚至某条链路空闲，传统多链路部署方案无法判断哪条链路会比较快速的可以到达访问目标。而对于入站访问，也无法确定哪条链路在当前环境下是能够更快更好的对外提供服务的。同时链路利用是否合理、链路的稳定性也无从得知；

    2) 内部用户发送重要邮件、召开视频会议时，往往会由于大量的P2P流量、低价值流量的侵蚀导致互联网出口带宽拥挤造成使用体检不佳的现象。而启用传统的流控功能可以提高带宽利用率，却会导致带宽资源的大量损耗，造成出口带宽资源的浪费；

    3) 员工角色众多，有领导、普通员工、集团下属合作单位、访客等众多人员，IT管理者需要能够清晰定义角色以及角色属性，同时在上班期间有意无意的做与工作无关的网络行为，比如聊天、炒股、玩网游、网购等，严重影响工作效率的行为如何进行管控？

    因此，在互联网出口建设时，需要在用户体验和成本间找到平衡点，既让用户满意又不需要付出高成本。

• 构筑全面的安全防护体系

    病毒、木马、蠕虫仍是互联网出口面临的最为迫切的安全防护需求，病毒木马蠕虫对终端的危害可能导致终端系统瘫痪、终端被控制、终端存储的信息被窃取、终端被引导访问钓鱼网站、终端成为僵尸网络甚至于终端被控制之后形成跳板攻击危害到终端具有权限访问的各类服务器。

    而IT管理员面临的问题是：即使一再加强防病毒软件的部署，一再进行上网安全的培训或是制度要求，由于终端引发的安全问题仍然是危害互联网出口和局域网的主要风险来源。原因是终端是被个人控制的，个人的行为与规范很难进行统一规范；而每个人的安全意识不尽相同，很难通过防病毒软件的部署、以及安全的管理的方式来保证。

    所以针对来自互联网上的病毒、木马、蠕虫等风险，应通过终端与网关相结合的方式，以用户终端控制加网络防病毒网关进行综合控制。重点是将病毒、木马、蠕虫消灭或封堵在终端这个源头上。

    另一方面，对于互联网出口部署有向外提供服务的系统的客户，web门户的安全是互联网出口安全防护要求更高的一类安全防护。包括门户网站在内，大量的在线应用业务（如邮件系统、OA系统、ERP系统等）都依托于Web服务进行，Web业务不断更新，大量web应用快速上线。而由于资金、进度、意识方面的影响，这些Web应用系统没有进行充分的安全评估从而产生大量可利用漏洞。

Web系统和终端安全成为整个互联网出口最需要关注的两大安全问题，需要建立一套立体的防护体系，构建安全防线。

• 打造合规的绿色上网环境

互联网上的信息良莠不齐，员工通过互联网的访问可能存在各种安全风险。同时随着公安部82号令和网络安全法的实行，国家对于上网行为的审计要求越来越严格。网络运营者必须依法对访问互联网的行为以及通过互联网发布的信息进行详细的记录。因此单位还需要采取有效的措施打造合规的绿色上网环境。

解决方案

    在网络出口首先通过链路负载均衡实现多条互联网线路的健康监测、智能调度以及故障切换，保障上网过程的高效流畅。下联下一代防火墙，实现融合的安全防护，全面保护终端和应用。下联上网行为管理，对整个网络出口进行流量控制、应用控制以及合规性审计。

• 链路负载均衡设计

    通过高性能负载均衡设备连接互联网出口，通过多种健康检查手段实时检测链路的运行情况，并通过调度算法选择最优链路接入。

    1.整个方案采用负载均衡设备两台全冗余网络连接方式设计，来保证系统的高可用性和高可靠性。

    2.内网的用户访问互联网访问资源时，负载均衡接收到用户的访问流量后，通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上，实现出站流量负载均衡，提升互联网链路带宽利用率。

    3.当有外部用户访问内部资源时，负载均衡通过智能DNS技术将一个域名绑定多个运营商的公网地址，负责解析来自不同运营商用户的域名解析请求，根据不同负载均衡策略为不同运营商的用户返回最佳的访问地址，实现用户入站流量的负载均衡。

• 互联网出口安全设计

    为了实现互联网出口区域全面的安全防护，并保证安全的简单有效，建议采用融合类的安全设备实现多方位的保护，本次方案建议采用成熟的下一代防火墙产品，具备以下功能：

    1.流量清洗：实现对Dos/DDos攻击、Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护、支持SYN Flood、ICMP Flood、UDP Flood、DNS Flood、ARP Flood等攻击防护，避免出现网络瘫痪或中断情况。

    2.基础防火墙功能：内外网隔离、NAT地址转换及访问控制策略。通过划分区域将网络划分为trust、untrust、DMZ区域，默认untrust-trust方向访问全部拒绝，根据实际情况放开部分所需的端口和地址，trust-untrust区域使用地址转换，同时制定基于用户、应用、服务、IP的细粒度访问控制策略，避免越权访问，DMZ-untrust区域可将对外发布的服务放通。

    3.入侵防御：针对应用层攻击进行检测和防护，例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。入侵防御设备具有数千级的漏洞规则库和攻击规则库，每个月更新2-3次，通过互联网连接更新服务器进行规则库的自动更新。同时可以连接云检测平台，对未知的可疑流量上报，通过沙盒检测分析后返回结果并生成防御策略。

    4.防病毒：可以对网络中传输的文件进行扫描，识别出其中携带的病毒，并且予以记录或清除。病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒通常被携带在文件中，通过网页、邮件、文件传输协议进行传播。内网主机一旦感染病毒，就可能导致系统瘫痪、服务中止、数据泄露，令学校蒙受巨大损失。防毒墙能对最容易传播病毒的文件传输与共享协议以及邮件协议进行检测和扫描，可以防范多种躲避病毒检测的机制，实现针对病毒的强大防护能力。

• 流量控制及合规审计设计

    两台高性能上网行为管理设备采用冗余架构部署，通过心跳线连接进行配置和会话同步并及时进行故障切换，避免单点故障。流量管理设备基于身份识别和应用识别基于用户、应用、时间设置流量控制策略，提高带宽利用率。

    1.在核心交换机和下一代防火墙之间部署上网行为管理设备，以网桥模式部署，实现对内网用户上网流量管理，并且不用更改网络结构、路由配置以及IP配置，部署简单快捷。

    2.上网行为管理具有Bypass功能，在网桥模式部署下关机、开机、重启或者出现故障，则通过Bypass功能实现两端接口二层连通，避免出现链路断开状态，保证业务持续性。

    3.通过保障带宽、限制带宽、单用户带宽上限、动态流控、P2P智能流控、多级流控通道等手段实现多样化的流控效果。

    4.全面实现网页审计、应用审计、邮件审计、IM聊天审计等多种行为和内容，合法合规。

方案优势

• 高效的链路资源利用率

    在多出口的网络环境中，涉及到的应用资源各种各样，相互独立又紧密联系。如何充分利用各种资源，特别是出口链路资源，使其能够更好的为对外发布应用服务，是资源是否充分利用的关键。通过智能链路优化解决方案，能够充分应用多条专线链路，使每一种应用都有最合适的应用传输链路，在实现智能判断、智能传输的基础上，最大化的利用各种链路资源。

• 良好的用户使用感知

    用户的使用感知体验，根据调查机构数据有60%的原因是由于链路故障、链路繁忙、链路选择错误造成的，通过应用交付产品的入站链路负载功能，能够根据设备监控的出口链路繁忙度、故障程度、用户所属运营商等情况综合为用户选择最优的链路，从根本上解决由于链路问题引起的用户使用感知问题，同时通过智能链路优化功能可以充分利用多条链路资源，对流量进行优化的同时结合单边加速、WEB优化等功能提升信息发布系统的质量和用户使用感知。

• 立体化的安全防护体系

    整个网络的安全体系采用“事前、事中、事后”进行建设，以达到L2-L7的整体安全防护效果：

    事前：利用下一代防火墙设备中的实时安全自检系统，能够实时的通过用户访问服务器资源的流量中发现及时发现服务器的漏洞，对业务服务器的安全状况进行实时的安全体检，及时告知管理员服务器的漏洞风险情况，防止真空期出现的同时结合风险评估报表、异常应用分布、异常流量分布等报表，让管理员充分了解网络安全短板，从而制定针对性的安全防护策略。

    事中：不同于工作在L2-L4层的传统防火墙，下一代防火墙可以对全网流量进行双向深入数据内容层面的全面透析。在安全策略制定方面，区域别于传统防火墙五元组安全策略，第二代防火墙可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力不仅能防护网络层的攻击，还能针对来源更广泛、攻击更容易、危害更大的应用层攻击进行防护，实现L2-L7层的安全防护。

    利用下一代防火墙产品提供的病毒、木马、终端漏洞、APT、Web入侵等各种L2-L7威胁的检测、防护，只需要一台设备就可以实现互联网的安全风险防范，减少了整体方案成本，减少单点故障。

    事后：下一代防火墙具备的L2-7层的攻击防护技术，使防护技术不存在短板。不仅仅需要防护外部攻击，并能检查服务器/终端外发流量是否有风险，弥补了传统安全设备只防外不防内的漏洞，可检测服务器外发数据是否有泄密或篡改，也可检测互联网终端电脑是否被黑客控制。为终端+对外发布服务器的统一互联网出口提供更完整的安全保障。

• 风险规避、工作效率提升

    利用流量分析与控制设备的管控模块，管理员能够针对不同应用制定不同的管理策略，保障核心业务应用，限制与工作无关的行为，提高员工工作效率，同时，能够准确的对内网用户的上网进行纪录，如访问了哪些网站、使用了什么软件等。全面管理避免法律、法规风险。最后利用设备的流量控制模块，对P2P应用进行限制的同时利用动态流控功能，当整体带宽利用率过低时自动调整释放更多的带宽资源，让带宽得到有效利用，避免浪费，比传统单一、死板的流控方法更有效的提升带宽利用率。