教育城域网远程接入的网络安全设计及实现

2011-12-29 00:00:00蒋宇翔
中国信息技术教育 2011年11期


  随着教育信息化的深入开展,教师对教育城域网的使用愈加频繁,网络安全性变得日益重要。因此,教育城域网在实现远程接入功能的前提下,更需增强对远程终端安全状况的识别能力,精确控制远程终端的访问权限,在应用层面上作相应的识别、过滤,从而保障整个应用系统的安全。目前,教育城域网的安全建设已取得一些成效,但面对有效保障各种网络接入方式安全的问题,传统的安全防护思路和技术面临着诸如网络边界模糊导致防护难度剧增、攻击与入侵的手段愈加隐蔽、网络攻击借“身”入侵合法及合法访问方式被利用等问题。
  ● 远程接入安全需求分析
  在网络接入方式复杂多变、新的安全问题日益凸显的情况下,要使远程网络接入方式做到完全“可信”,就不能仅仅保证接入认证时的身份和状态可信,还应当确保接入后访问过程中的行为可控,全面防范各种攻击行为,即从接入发起开始,一直到整个网络访问完成的全过程的可信和可控。通常,教育城域网在对各种网络接入进行保障时会部署多种类型的安全系统,这些系统大都各自为战,因此,迫切需要一套有效的集中管理和分析系统。
  ● 远程接入安全措施设计
  1.安全措施的选择
  在可信接入防护中,对安全防护措施的需求情况具体分析如下:利用VPN技术实现网络访问通道安全;综合利用VPN、终端管理系统和防火墙实现用户身份认证和授权;利用防火墙、流量控制等多种技术实现接入行为控制;利用IPS、反病毒、Web过滤、邮件过滤等技术实现对网络内容的安全访问。
  2.安全措施的整合
  根据“深度防护”的原则,安全防护设计不仅仅是孤立地采取安全措施来分别解决问题的不同方面,还应当有效地将各类安全措施整合起来,对于可信接入,需要实现以下方面的安全措施整合。
  (1)对于内外部网络间的可信接入方式可通过UTM设备来整合。通过UTM设备实现VPN、防火墙、入侵防御、网关防病毒、流量控制、Web过滤、日志审计等防护效果,实现内外部网络间访问行为和流量的有效控制以及对恶意行为和病毒的有效防范,为分支结构的远程接入提供安全的VPN接入服务。
  (2)在外部远程办公终端接入教育城域网内部网络时,通过与教育城域网边界UTM设备联动提供可信VPN接入服务。在外部远程办公终端接入教育城域网内部网络进行身份认证时,UTM系统防火墙模块会实现用户身份认证和准入控制,不符合关键安全策略的终端不允许接入,接入的终端根据用户身份和终端状态控制其可以访问的网络资源。
  (3)UTM自身的日志审计与内容行为审计模块可对上述两种接入方式进行全面检测和审计,而通过集中安全管理平台对UTM、内容行为审计等系统进行全面的策略管理、设备状态监控以及安全事件的集中关联分析和响应。
  ● 远程接入安全的实现
  对于外部终端的可信接入,通过在教育城域网出口处部署UTM设备和综合网管平台来实现安全接入。对于有多节点的远程机构,可以采用IPSec方式来连接。对于内部用户来说应用是透明的,可以在UTM设备上实施相应的策略。单机移动用户可以通过SSL VPN的方式来连接企业总部。企业总部可以通过安全策略来控制移动用户的接入,以保障整个网络的安全。外部终端接入全程可信可控的具体实现方式如下。
  1.接入VPN保证通道可信
  外部终端访问教育城域网内部网络时,首先需要建立安全的VPN访问通道,外部终端通过VPN(推荐采用便捷高效的SSLVPN接入方式)客户端向UTM设备发起认证请求,由UTM设备的VPN模块完成VPN发起终端的身份认证,认证通过则允许建立VPN隧道。建议采用数字证书+USBKey方式进行认证,没有合法数字证书和USBKey的外部终端无法建立访问通道。
  2.确认外网接入者身份可信
  VPN隧道建立后,由防火墙模块结合身份认证模块完成通过VPN隧道进行访问的用户的身份认证,采用OTP方式进行确认。
  3.确保外部远程终端接入时安全状态可信
  在VPN隧道建立后,接入网络前,SSLVPN客户端将对外部终端自身安全状态进行检测,以保证远程终端接入时的安全状态符合准入要求。检查结果随同OTP认证数据提交认证服务器,检测策略遵循教育城域网制定的安全策略标准,检测内容可以涉及外部终端安全状态的各个层面。身份认证通过后,UTM设备防火墙模块根据安全检查结果进行准入控制,存在关键不符合项的外部终端,不允许接入教育城域网内部网络,其他终端由防火墙授予相应的访问权限。
  4.确保外部远程终端行为可控
  对外网终端的行为进行实时监控,尽可能降低合法用户非法窃取教育城域网内部网络重要信息资源的可能性,进一步提升外部终端内访问过程中行为的可信和可控。
  利用UTM设备的防火墙模块对外部终端的网络访问行为执行严格的控制策略,包含源地址、目的地址、网络协议、服务、时间、用户、带宽等的访问控制,确保外网终端对教育城域网内部进行许可的访问。此外,还可以通过UTM设备流量管理功能实现严格的QoS策略,对外网终端访问流量和类型进行限制,节省宝贵的VPN链路带宽,保障关键业务带宽。
  5.确保外部终端网络内访内容的可控
  通过UTM设备的IPS、反病毒、Web过滤、邮件过滤等模块可以实时对外部终端内访过程中的访问数据进行病毒查杀、入侵防御,还可检查是否存在不良Web内容,是否属于垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现外部终端网络内访流量的彻底检测和防范。
  6.确保外部终端的政策合规性
  UTM设备可对多种网络信息内容进行实时监测,以实现外部终端网络内访行为的全面审计,如UTM设备提供丰富的终端行为、访问行为日志记录及审计功能,能够实现日志的分级管理、自动报表、自动报警功能,并且产生的日志能够以多种方式导出,系统还提供了多种报表模板,支持管理员从不同方面进行网络事件的可视化分析。
  7.实现外部终端可信接入的立体保障
  UTM系统大力提升了外部终端接入过程中的可信和可控,但对于外部终端接入环境下全程的安全事件还缺乏集中分析手段,不能很好把握全局的安全态势,还缺乏全面的监控和联动防御体系以及安全事件的应急处理流程和技术支撑平台。
  在技术层面,安全管理平台集中管理不同位置的VPN设备,可对安全日志及安全事件信息进行集中审计,有效实现了外部终端接入环境下教育城域网网络的安全预警、入侵行为的实时发现、入侵事件动态响应,真正实现立体的动态防御。在运营层面,信息安全管理平台帮助管理者准确分析现有系统面临的威胁,并排列有限顺序,理顺安全事件的管理流程,制定合理的应急响应流程和规范。在决策层面,信息主管可以从业务风险层面理解安全事件,通过风险量化,实现对业务系统的风险监控和管理,同时帮助信息主管计算和跟踪安全投资回报率,便于在后期优化信息安全投资。
  综上,针对常见的网络接入安全问题,引入边界隔离与访问控制技术、可信网关技术、VPN技术、终端管理技术、内容与行为审计技术、安全管理平台技术,建立了多层次、立体式的可信接入安全防护体系,有效整合了安全资源。