立体防护 智联控管
——Internet出口安全综合解决方案

　
　　摘要  2011年末CSDN“泄密门”事件，一石激起千层浪，引发了中国信息安全讨论和热议大潮，Internet被称为“信息高速公路”，是一个企业对外宣传、获取外部信息和对外交流的重要途径。特别是近几年随着信息化建设的成熟，众多行业都相继推出了网上业务系统，Internet已经成为重要的业务处理方式之一，相应的，Internet出口也成为安全重灾区。

　　Internet出口安全是网管人员最头痛的安全区域之一，在与多位网管人员的交流中发现，各种攻击威胁、网速过慢、流量失控、如何合理利用多链路带宽以及网管软件复杂是网管人员提及最多的Internet出口面临的几个安全问题。

　　一、 Internet出口安全面临的挑战

　　1. 出口防火墙NAT性能瓶颈

　　Internet出口设备要支持NAT（地址转换）是已经形成共识的。一方面，园区网使用私有地址，访问Internet需要进行NAT；另一方面，即使园区网络通过电信或者网通的线路访问外部资源，仍然需要进行NAT（地址转换），因为电信所分配的地址更有限。NAT等于给出口设备增加了一项很重要的任务，其也成为了上网速度慢的一个重要原因。究其根本，设备的NAT转发性能是一个很大的原因。

　　2. Internet出口的日志审计影响防火墙的性能

　　公安部“82号令”规定对Internet出口的用户信息记录、用户上网记录、地址转换记录、设备状态记录等都有要求。但实际应用中（如图2所示），很多防火墙在开启日志功能以后，性能会急剧下降，从而成为出口瓶颈，直接影响Internet出口的网速。

　　 
　　3. 种类繁多的应用层威胁

　　Internet出口面临众多的应用层威胁，主要包括以下几类。

　　 木马、病毒。计算机病毒是一种计算机程序，它递归地、明确地复制自己或其演化体，病毒有多种传播途径，可以通过网络、移动存储介质和上载、下载、拷贝文件等方式进行传播。木马指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。木马可造成多种危害，如让受害者成为傀儡机、记录键盘操作过程等，并发送给攻击者，还可能导致用户敏感信息泄露，如帐号、密码等。Internet网络上大量肆虐的木马、病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入企业网络（如图3所示）；网络一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。

　　  蠕虫病毒。蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性（如传播性,隐蔽性,破坏性等等），同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等，蠕虫病毒传播速度特别快，有的蠕虫病毒攻陷全球以分计算。蠕虫传播造成的流量会导致Internet出口拥塞，甚至导致整个网络瘫痪、失控（如表1所示）。

　　
　　DDoS攻击。DDoS (Distributed Denial of Service，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。DDoS攻击出现在10年前，是一种技术含量不高、但是单攻击效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为恶意入侵者的新宠，直接威胁Internet的可用性（如图4所示）。

　　 黑客扫描和渗透。Internet中的恶意入侵者可能出于政治、商业或其他目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据，乃至破坏企业的正常业务和生产运行（如图5所示）。

　　4. Internet出口带宽使用失控

　　现在的网络应用越来越丰富，IM即时通讯软件、网络在线游戏、在线视频往往使一些企业员工沉迷其中，不专心工作； BT、电驴等P2P下载软件的应用会轻易的占据大量的企业网络带宽（如图6所示），使正常的业务得不到及时的响应；一些新的病毒以IM、P2P软件为传播途径，对企业网络的安全带来严重威胁。因此，有效控制Internet出口网络资源的使用，已被多家企业列入网管人员的议事日程。

　　5. Internet多出口链路负载均衡问题

　　许多企业都意识到单条Internet出口链路所存在的风险：链路一旦中断，将导致内部员工无法访问Internet、分支机构VPN中断、网站邮箱均无法对外服务等问题。因此许多企业会部署多条运营商链路来避免单出口的不可靠。但多出口同时存在缺少链路拥塞保护机制、无法根据链路带宽按比例分流、入链路无法对流量均衡、出链路策略引流不灵活、带宽利用率低等问题。

　　 6. Internet多出口网管复杂

　　Internet出口一般部署多重安全设备（这些设备很可能来自不同厂商），安全设备有各自管理软件，很难实现安全设备统一管理。另外，目前的很多Internet出口路由器、交换机等网络设备和安全设备各有一套管理软件，无法实现网络、安全设备统一管理，给网络管理带来诸多不便。

　　二、 Internet出口安全解决方案

　　根据以上Internet出口安全需求分析，需要在Internet出口部署防火墙、IPS、LB、ACG等安全设备，以实现对Internet出口的立体防护，并实现对Internet出口流量的智能控管（如图7所示）。

　　1. Internet出口的立体防护

　　防火墙主要工作在网络层以下，可以解决Internet出口的访问控制问题；IPS属应用层设备，可以进行深度检测，可以有效防御Internet网络上大量肆虐的具备渗透防火墙能力的木马、病毒。通过防火墙与IPS的组合，在保证性能的前提下，可实现对Internet出口网络2-7层的立体防护，有效抵御各种安全威胁。

　　为了避免防火墙成为Internet出口的性能瓶颈，要求部署在Internet出口的防火墙具备高性能NAT能力，防火墙可以提供与并发连接同等规格的NAT会话能力，支持多台防火墙统一管理调度和用户上网日志审计，并且在防火墙开启日志审计功能时性能不下降；IPS设备需具备防病毒功能，能够在进行应用层防御的同时有效防御Internet上肆虐的各种病毒。

　　2. Internet出口的智能选路

　　在Internet出口部署负载均衡设备可以解决出口链路的多方面问题。

　　智能选路：负载均衡设备对Internet出方向的每一个数据流的目的IP进行探测，选出最优链路进行分发。

　　防链路拥塞功能：在Internet出口多ISP链路情况下，要防止链路出现流量过载。负载均衡设备可以提供防链路拥塞功能来避免流量过载情况，负载均衡设备针对每条链路设置流量阈值，一般阈值略低于链路物理带宽值，当该链路的实际流量达到阈值后，后续按策略应由该链路转发的新的数据流会分发到其他低负载链路上（如图8所示）。

　　解决来回路径不一致问题：在多ISP出口的应用场景中，用户对Internet提供公众服务（如WEB、邮件系统）中，由于出口路由器一般配置静态策略居多，容易出现用户请求报文与服务器响应报文来回路径不一致的情况。

　　 出口链路健康探测：所谓健康检测，就是负载均衡设备定期对链路服务状态进行探测，收集相应信息，及时隔离工作异常的链路。健康检测的结果除标识链路能否工作外，还可以统计出链路的响应时间，作为选择链路的依据。负载均衡技术支持丰富的健康性检测方法，可以有效地探测和检查链路的运行状态。

　　
　　3. Internet出口的流量控制

　　通过部署流量控制设备可以有效解决Internet出口带宽滥用问题（如图9所示）：

　　应用流量识别：分析、识别Internet出口的各种应用

　　特征库升级：解决Internet出口各种新应用层出不穷的问题

　　应用流量分析：实时分析Internet出口各种网络应用，实现流量可视化

　　应用流量控制：将Internet出口应用有序化、合理的使用

　　对Internet出口集中管理与分析，降低CTO

　　
　　4. Internet出口安全的统一管理

　　 网管软件需要对部署在Internet出口的防火墙、IPS、ACG、路由器、交换机等各类IT资源的安全信息进行集中收集和管理（如图10所示）；

　　 网管软件需要通过的信息统计分析和过滤，将Internet出口中的安全事件进行关联分析并告警；

　　用户可在网管软件上定制丰富的事件报表和审计报告，实现Internet出口网络安全可视化 。

　　根据以上需求分析，在Internet出口部署防火墙、IPS、ACG、LB及网管系统, 能够保证Internet出口网速正常，有效防御各种攻击，控制网络资源滥用，提高出口链路的利用率，保证Internet出口网络的安全稳定运行。
　　三、 结束语

　　Internet出口安全的重要性不言而喻，由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的，从来没有绝对的安全。在这种情况下，只有通过多重安全设备保障Internet出口的相对安全；同时，还需要有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，让Internet出口更安全。