摘要:本文针对企业服务器直接放置在公网存在的安全隐患问题、企业类关键数据在交互时容易导致数据的泄露问题进行分析,通过采用防火墙的NAT技术,以及L2TPOVERIPSec和GREOVERIPSec实现企业私网数据穿越公网,在公网中屏蔽了企业服务器地址,使公网不能直接攻击企业服务器,实现了对企业服务器的安全加固。加强了企业总部与个人及分支机构间交互数据时的安全性,采用域管理机制及数字证书与端口隔离技术来加强企业内部网的安全性。通过上述安全策略手段构建了一个安全、健壮、稳定的企业网络,提升了企业的服务品质。
关键词:网络安全;IPSec;VPN
随着计算机网络应用的不断普及,有效地支撑了企业的发展,并且起到了极为重要的作用,但网络带来的安全问题也日渐凸显,如何构建一个稳定、安全、可靠的企业网络,已成为当下企业组网最为关注的问题,目前企业网远程联网存在联网成本高,传输安全性低的普遍性问题,企业服务器暴露在公网里也容易受到攻击,企业内部各部门之间的访问安全性也需要解决,因此,使用网络安全技术解决企业的远程连接安全性、服务器安全性、不同部门之间访问安全性,为解决上述几个问题,同时也为了最大限度保证企业网能够安全稳定运行,可以采用IPSecVPN安全远程加密访问技术,加密保护数据包的内容,使用防火墙的DMZ区域保证服务器安全,DMZ(DemilitarizedZone)中文名称为“隔离区”,将服务器专门放于这个区域以供外网访问,通过相应安全策略保障服务器可以被安全地访问。通过VLAN安全隔离技术解决不同部门之间访问安全性问题。
1IPSec简介
IPSec(InternetProtocolSecurity)VPN是指使用IPSec协议来达到远程访问的一种VPN技术。IPSec既能保护数据包内容,同时也能对通过自身的数据包进行筛选,选择通过验证的数据包,防止网络中的恶意攻击。企业通过对数据进行加密,安全协议及动态密钥的管理来实现数据传输,是种安全可靠的传输方式。通过使用对称加密算法和非对称加密算法来保证数据传输的私密性。使用Hash散列函数认证,保障数据的安全性和完整性。IPSec协议使用AH(AuthenticationHeader)协议为数据传输提供完整性的保障和认证安全的服务,并且能阻止重放攻击。并且为IP数据包提供数据源认证服务,通过在传输过程中加入一个共享密钥来确保对数据源的认证;数据完整性服务,通过MD5的校对来保障数据的一致性,防止修改、删除信息;抗重放服务:由AH报头序列号来实现,能保证每个IP包的唯一性。IPSec协议使用ESP(EncapsulatingSecurityPayload)协议为数据传输提供加密,保障数据传输完整性和源认证三大服务,并防止重放攻击。IPSec协议使用IKE互联网密钥交互协议为AH和ESP模式下密钥提供生成、分发和管理。IKE是3个协议的混合体,分别是密钥生成协议(Oakley),密钥管理协议(ISAKMP),密钥交换协议(SKEME)。IKE将生成的密钥保存在安全联盟(SA),方便数据传输时使用。
2VPN简介
VPN即虚拟专用网,通过公网组建企业私有网络,实现安全通信,降低组网费用。在VPN(VirtualPrivateNetwork)出现之前,跨越Internet的数据传输只能依靠现有物理网络,具有很大的不安全因素。企业的总部和分支机构位于不同区域(比如位于不同的国家或城市),当分支机构员工需访问总部服务器的时候,数据传输要经过Internet。由于互联网中存在很多的不安全问题,则当分支机构向总部服务器发送访问请求时,报文容易被网络中的黑客窃取或篡改。最终造成数据泄密、重要数据被破坏等后果。VPN的基本原理是利用隧道(Tunnel)技术,对传输报文进行封装,利用VPN骨干网建立专用数据传输通道,实现报文的安全传输。隧道技术使用一种协议封装另外一种协议报文(通常是IP报文),而封装后的报文也可以再次被其他封装协议所封装。对用户来说,隧道是其所在网络的逻辑延伸,在使用效果上与实际物理链路相同。
3安全技术应用
3.1企业网络安全现状分析。该企业为全省连锁企业,总部在昆明,在各市设有分支机构,企业将服务器配置公网IP为企业提供相关应用服务。同时为实现总部与分支机构及个人业务数据的交互,在总部与分支机构的路由器上采用GREVPN与L2TPVPN的方式实现企业私网数据在公网中承载与交互。在企业总部有财务部、业务部、技术部等部门,各部门之间的主机可以相互直接访问。该网络组建运营后,经了解后发现公司服务器很容易遭受攻击,影响到企业的正常运营。同时,公司负责人要求在公司中承载企业私网数据时要保证其数据不被泄露,并要求加强财务部门数据的安全性。针对上述要求,本文提出了构建安全、可靠、稳定的企业网络安全设计规划,来为企业网络的安全保驾护航。
3.2远程访问安全应用。为避免企业服务器直接暴露在公网,在此安全设计中购置了华为USG6370防火墙来加强服务器的安全。防火墙可以在企业私有网络与公网间实施安全防范机制,可以将企业网络分区域管理,分为内部区域,外部区域,DMA区,不同区域的安全级别不同,在此安全设计中,将企业的WEB、邮件服务器放置在DMZ区域中,而企业的FTP服务器、数据库服务器、DHCP服务器放置在内部区域,为保证外部区域的用户能访问WEB等服务器,在防火墙上配置NATSERVER技术、将WEB等服务器的私有地址及端口映射到防火墙外部区域的公网地址及端口上,使得WEB等DMZ内的服务器在公网及企业内网中不可见,让其公网用户与企业内网用户只知晓这些服务器的公网地址,不知晓其真实的私网地址。公网用户与企业内网用户不能直接访问,进而有效避免在公网及企业内网中可以直接攻击这些服务器,保障了业务的正常使用。为了使企业内部网络用户能访问公网中的资源,在防火墙上配置了一对多的端口NAT技术,使得一个公网地址可以映射多个企业私网地址,保障了企业内部网络用户可以轻松地访问公网中丰富的资源,同时使公网不能访问企业内网中的资源,保护了企业内网数据的安全。为响应企业负责人要求加强总部与分支及总部与个人业务交互时数据安全的要求,在原来的GRE,L2TPVPN技术基础上进行整改,采用IPSec技术来承载GRE与L2TP数据。IPSec是一种网络层的安全保障机制,可以在一对通信节点之间提供一个或多个安全的通信路径。一个系统能选择其所需要的安全协议,确定安全服务所使用的算法,并为相应安全服务配置所需密钥。IPSec的ESP协议可实现访问控制,机密性、数据完整性、数据来源等验证功能。在现有安全系统中采用该技术无须增加新设备,而且不需要对原来的配置进行大量的修改,只需要在原来的设备上增加IPSec的配置,用GRE来封装企业私网数据,再通过IPSec来承载GRE,使得企业的私网数据得到了IPSec保护的同时又实现了企业私网数据穿越公网,有效地保障了企业与分支机构间数据交换的安全,而对于个人用户想与企业总部间进行私网数据的交互,采用L2TPOVERIPSec的方式解决。
3.3企业内部网络安全应用。为加强财务部门及各部门间的数据安全,通过VLAN技术为每部门划分一个VLAN,每一个VLAN都有其对应的一个广播域,有效控制广播域范围。一旦某部门遭受广播攻击时只会影响到该部门的主机,不会影响到别的部门业务的正常使用。为了加强财务部门的安全性,在财务部门各用户所连接的交换机上启动端口隔离技术,即使这些用户主机处于同一个广播域,也不能相互访问,进一步加强了财务部门业务数据交互的安全,同时为加强财务部门服务器的安全性,在财务部门服务器启用数字证书功能,通过数字证书的方式对访问财务部门服务器的用户进行身份验证,使得所有的数据传输都不可抵赖,使数据具有机密性,防篡改。而财务部门各用户访问财务系统的服务器时,采用HTTPS访问协议进行访问,HTTPS协议比HTTP协议有更好的安全性,在通信的过程中为财务部门服务器与财务部门用户数据的交互提供了身份认证,数据加密等功能,保障了通信过程中数据的安全可靠。为加强企业内各主机的安全与内网的安全性,通过域管理方式管理企业各用户主机,用户通过域管理员分配的账号,权限登录客户端,访问域内的授权资源,通过使用域模式,不仅使得资源管理更加集中统一,同时也使得普通组管理模式下难于实现的管理难题得以解决,通过域内的组策略方式,可以禁止域内计算机上运行非法程序,统一域内所有计算机的桌面,IE主页,禁止用户修改注册表,禁止用户使用U盘等,可以将企业内用户都需要使用的软件集中发给用户,在方便管理企业用户的同时,有效地提升了企业内网的安全性与健壮性。
4总结
网络安全技术是目前保护企业网络的安全保障,将不同的网络安全技术进行综合运用,可以有效地保护远程网络访问安全性,更加有效地保护了内部网络,也非常有效地保护了服务器,不受到外网的攻击,提高了整个网络安全性能,通过此次的网络系统安全改造,网络安全性比升级前得到了良好的改善,特别是服务器日志的攻击记录明显下降,响应速度也大大提升,系统的登录账号密码也得到了安全保障。
作者:黄海军 单位:云南工商学院
