ADt 上海安达通安全解决方案案例 案例二某服装集团公司的安全方案 、项目简介 某服装集团是中国服装行业的龙头企业之一,经过20多年的发展,逐步确 立了以纺织服装、房地产、对外贸易三大板块为核心的经营格局。2001年公司 完成销售收入1246亿元,利润1.78亿元。集团现拥有净资产16.5多亿元,员 工6500余人。 随着集团规模的不断扩大和服装行业竞争的日益加剧,对企业信息化的要求 越来越强烈。如何有效地、安全地将全国的各服装分支机构互联成为一体,及时 地使各种信息共享,是该集团迫切需要解决的问题。 该服装集团的网络接入情况如下:总部通过光纤连到电信运营商,然后接入 互联网。全国各地的分公司和卖场,以ADSL或拨号接入的方式连入 Internet 分公司及卖场需要实时将商业数据上报集团总部,总部也需要根据反馈的信 息实时向分公司和卖场下发商业调整指令等信息,上述整个流程由一套BI ( Business intelligence)系统来完成。目前集团总部的一台高性能服务器,对总 部的内部局域网提供访问互联网的 PROXY服务,对全国的分公司和各个卖场提 供 EMAIL、WEB和BI服务。网络示意图如下 椤号网络 部局域网 B服务 恿IL服务 PROXY服务 服务 服务器 w. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 24 Tel:021-64325693;64325694 案例二 某服装集团公司的安全方案 一、项目简介 某服装集团是中国服装行业的龙头企业之一,经过 20 多年的发展,逐步确 立了以纺织服装、房地产、对外贸易三大板块为核心的经营格局。2001 年公司 完成销售收入 12.46 亿元,利润 1.78 亿元。集团现拥有净资产 16.5 多亿元,员 工 6500 余人。 随着集团规模的不断扩大和服装行业竞争的日益加剧,对企业信息化的要求 越来越强烈。如何有效地、安全地将全国的各服装分支机构互联成为一体,及时 地使各种信息共享,是该集团迫切需要解决的问题。 该服装集团的网络接入情况如下:总部通过光纤连到电信运营商,然后接入 互联网。全国各地的分公司和卖场,以 ADSL 或拨号接入的方式连入 Internet。 分公司及卖场需要实时将商业数据上报集团总部,总部也需要根据反馈的信 息实时向分公司和卖场下发商业调整指令等信息,上述整个流程由一套 BI (Business Intelligence)系统来完成。目前集团总部的一台高性能服务器,对总 部的内部局域网提供访问互联网的 PROXY 服务,对全国的分公司和各个卖场提 供 EMAIL、WEB 和 BI 服务。网络示意图如下:
ADt 上海安达通安全解决方案案 、安全需求 首先,BⅠ系统的数据都通过公网( Internet)直接传输,因为BI系统的数据 体现了集团的经营和决策等敏感信息,属于商业机密,在公网上直接传输存在着 很大的安全隐患,如果这些数据被公布或透露给竞争对手,对于这样大型的集团 公司而言,后果是非常严重的。 其次,集团总部的服务器和总部局域网处于同一个网段,而网络的边界没有 防火墙来保护内部网络,也没有做任何访问控制,安全漏洞非常明显;外部网络 可以随意访问服务器,一旦服务器的密码被破解,或者黑客利用操作系统的某些 漏洞进入了服务器,不但服务器BI系统的数据面临危险,而且黑客容易利用服 务器作为跳板,转而攻击内部网络的机器,那么整个系统将毫无安全性可言 另外,将四种服务安装在同一台服务器上也是系统的潜在安全隐患,这种做 法不仅加重了服务器的负担,而且使系统整体安全性下降;因为每种服务程序都 会有易受攻击的脆弱点或尚未公布的安全漏洞,那么四个服务的安全漏洞相当于 只安装一个服务的四倍,一旦黑客利用某个服务程序的缺陷攻破了操作系统,那 么其他的服务将同时受到牵连,使整个系统崩溃 综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点 要讨论解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部 分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标 安全方案 31集团总部 1)将总部提供的四种服务(WEB、EMAL、 PROXY和BI)分别安装在四台服 务器上,分解总的负荷,也提高系统的整体安全性。 2)部署安达通公司的SGW系列安全网关,考虑到将服务器和内部网络的隔 离、对内网的保护和访问控制等被动防御目的以及远程安全接入目的,在 内外网的边界,即路由器之后部署安达通公司的安全网关sGw25C 安全网关的工作目前可以考虑两种模式,即NAT模式和透明代理模式。下 面将分别阐述这两种模式 NAT模式 将安达通公司安全网关的WAN端口连接路由器,LAN端口连接内部局域网 yw. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 25 Tel:021-64325693;64325694 二、安全需求 首先,BI 系统的数据都通过公网(Internet)直接传输,因为 BI 系统的数据 体现了集团的经营和决策等敏感信息,属于商业机密,在公网上直接传输存在着 很大的安全隐患,如果这些数据被公布或透露给竞争对手,对于这样大型的集团 公司而言,后果是非常严重的。 其次,集团总部的服务器和总部局域网处于同一个网段,而网络的边界没有 防火墙来保护内部网络,也没有做任何访问控制,安全漏洞非常明显;外部网络 可以随意访问服务器,一旦服务器的密码被破解,或者黑客利用操作系统的某些 漏洞进入了服务器,不但服务器 BI 系统的数据面临危险,而且黑客容易利用服 务器作为跳板,转而攻击内部网络的机器,那么整个系统将毫无安全性可言。 另外,将四种服务安装在同一台服务器上也是系统的潜在安全隐患,这种做 法不仅加重了服务器的负担,而且使系统整体安全性下降;因为每种服务程序都 会有易受攻击的脆弱点或尚未公布的安全漏洞,那么四个服务的安全漏洞相当于 只安装一个服务的四倍,一旦黑客利用某个服务程序的缺陷攻破了操作系统,那 么其他的服务将同时受到牵连,使整个系统崩溃。 综上所述,如何很好地解决“信息的共享和信息的安全问题”是本方案重点 要讨论解决的问题。使整个网络的安全达到一个全面加强,使网络系统的每个部 分都不会成为“木桶的最短一块木板”是本系统方案要实现的目标。 三、安全方案 3.1 集团总部 1) 将总部提供的四种服务(WEB、EMAIL、PROXY 和 BI )分别安装在四台服 务器上,分解总的负荷,也提高系统的整体安全性。 2) 部署安达通公司的 SGW 系列安全网关,考虑到将服务器和内部网络的隔 离、对内网的保护和访问控制等被动防御目的以及远程安全接入目的,在 内外网的边界,即路由器之后部署安达通公司的安全网关 SGW25C。 安全网关的工作目前可以考虑两种模式,即 NAT 模式和透明代理模式。下 面将分别阐述这两种模式。 NAT 模式 将安达通公司安全网关的 WAN 端口连接路由器,LAN 端口连接内部局域网
DADT 上海安达通安全解决方案案例 的交换机,将服务器群单独划分一个网段,将该网段的交换机接到安全网关的 DMZ端口 因为电信给信息中心分配了16个固定公有IP地址,公共服务器通过安全网 关的静态地址映射( Static NaT)功能使用不同的公有IP地址对外部网络提供服 务( PROXY服务器例外,因为它是向内网用户提供服务)。具体的做法为将服 务器设置为私有的IP地址(比如1921681.254等),在安全网关上做静态NAT 设置,将该服务器的地址静态地映射成一个公有的固定IP,对外界而言,所有 对该公有地址的访问都是透明的。 使用静态NAT而不直接使用外部固定IP地址避免服务器直接暴露在公网 上,向外界暴露内部的网络拓扑,另外也能抵抗一些比如组播等网络攻击行为, 并且在安全网关上作一些策略设置,对一些发现存在危险的地址和端口可以作细 粒度的访问控制 考虑到更改某些服务器的IP地址对外部用户的影响,可以通过更改DNS的 记录来保证对用户的屏蔽(因为还是使用原来的域名)。 如果用户希望仍然使用一个公有IP来提供以上四种服务,一样可以实现 使用安全网关的地址端口映射(NAPT)功能来把各种服务的特定端口相应地映 射到每台服务器的该端口上,这样的设计可以使服务器的安全性进一步得到加 强,因为对外部网络而言,只有提供服务的端口(比如WEB的80、POP3的110、 SMTP的25)是可见的,而其他的端口都被安全网关屏蔽了。另外使用这种方式 还节省了IP地址。 使用NAT模式的总部机房网络拓扑如下 wEE服务器 MATI服务哥 总部局域网 豇服务器 FY服务器 在此模式下网络配置相对较合理,缺点在于整个网络的正常运行都取决于安 w. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 26 Tel:021-64325693;64325694 的交换机,将服务器群单独划分一个网段,将该网段的交换机接到安全网关的 DMZ 端口。 因为电信给信息中心分配了 16 个固定公有 IP 地址,公共服务器通过安全网 关的静态地址映射(Static NAT)功能使用不同的公有 IP 地址对外部网络提供服 务(PROXY 服务器例外,因为它是向内网用户提供服务)。具体的做法为将服 务器设置为私有的 IP 地址(比如 192.168.1.254 等),在安全网关上做静态 NAT 设置,将该服务器的地址静态地映射成一个公有的固定 IP,对外界而言,所有 对该公有地址的访问都是透明的。 使用静态 NAT 而不直接使用外部固定 IP 地址避免服务器直接暴露在公网 上,向外界暴露内部的网络拓扑,另外也能抵抗一些比如组播等网络攻击行为, 并且在安全网关上作一些策略设置,对一些发现存在危险的地址和端口可以作细 粒度的访问控制。 考虑到更改某些服务器的 IP 地址对外部用户的影响,可以通过更改 DNS 的 记录来保证对用户的屏蔽(因为还是使用原来的域名)。 如果用户希望仍然使用一个公有 IP 来提供以上四种服务,一样可以实现, 使用安全网关的地址端口映射(NAPT)功能来把各种服务的特定端口相应地映 射到每台服务器的该端口上,这样的设计可以使服务器的安全性进一步得到加 强,因为对外部网络而言,只有提供服务的端口(比如 WEB 的 80、POP3 的 110、 SMTP 的 25)是可见的,而其他的端口都被安全网关屏蔽了。另外使用这种方式 还节省了 IP 地址。 使用 NAT 模式的总部机房网络拓扑如下: 在此模式下网络配置相对较合理,缺点在于整个网络的正常运行都取决于安
DADT 上海安达通安全解决方案案例 全网关,其负荷比较重,但是安达通安全网关经过严格的性能测试,能经受得住 大流量、长时间的运行。在试点阶段,使用一台安全网关足够能保证网络的正常 运行,当一期系统大规模实施的时候,可以通过增加安全网关、统一规划来分担 每台安全网关的负荷,具体方案将在下文具体阐述。 透明代理模式 安全网关支持使用透明代理模式,在这种模式下,原来的网络拓扑和服务器 IP地址都不需要改变,只需要在网络的边界上把内部网络和外部网络做到物理 上的隔离,安全网关使用ARP代理的技术对每个进出网络的IP数据包进行检查 和状态检测,把不合法的数据包阻挡在外。在透明代理模式安全网关同样支持 VPN,可以和远程的分公司和卖场建立安全隧道。但是在这种情况下,因为网关 本身使用公有固定IP,总部局域网内只有公有IP的主机或服务器才能和远端进 行直接安全通信,当然其他私有IP的主机可以通过代理服务器和远端进行安全 通信。 在此透明代理模式下,DMZ口将不能使用(任何防火墙都如此),服务器和 总部局域网主机处于同一局域网,并没有做到物理隔离,一旦代理服务器或其他 服务器被攻破,内网的主机将直接面临危险 安全网关支持使用透明代理模式,在这种模式下,原来的网络拓扑和服务 器IP地址都不需要改变,只需要在网络的边界上把内部网络和外部网络做到物 理上的隔离,安全网关使用ARP代理的技术对每个进出网络的IP数据包进行 检査和状态检测,把不合法的数据包阻挡在外。在透明代理模式安全网关同样 支持ⅤPN,可以和远程的分公司和卖场建立安全隧道。但在这种情况下,因为 网关本身使用公有固定IP,总部局域网内只有公有IP的主机或服务器才能和远 端进行直接安全通信,当然其他私有IP的主机可以通过代理服务器和远端进行 安全通信 在此透明代理模式下,DMZ口将不能使用(任何防火墙都如此),服务器 和总部局域网主机处于同一局域网,并没有做到物理隔离,一旦代理服务器或 其他服务器被攻破,内网的主机将直接面临危险 透明代理模式下的网络拓扑如下 yw. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 27 Tel:021-64325693;64325694 全网关,其负荷比较重,但是安达通安全网关经过严格的性能测试,能经受得住 大流量、长时间的运行。在试点阶段,使用一台安全网关足够能保证网络的正常 运行,当一期系统大规模实施的时候,可以通过增加安全网关、统一规划来分担 每台安全网关的负荷,具体方案将在下文具体阐述。 透明代理模式 安全网关支持使用透明代理模式,在这种模式下,原来的网络拓扑和服务器 IP 地址都不需要改变,只需要在网络的边界上把内部网络和外部网络做到物理 上的隔离,安全网关使用 ARP 代理的技术对每个进出网络的 IP 数据包进行检查 和状态检测,把不合法的数据包阻挡在外。在透明代理模式安全网关同样支持 VPN,可以和远程的分公司和卖场建立安全隧道。但是在这种情况下,因为网关 本身使用公有固定 IP,总部局域网内只有公有 IP 的主机或服务器才能和远端进 行直接安全通信,当然其他私有 IP 的主机可以通过代理服务器和远端进行安全 通信。 在此透明代理模式下,DMZ 口将不能使用(任何防火墙都如此),服务器和 总部局域网主机处于同一局域网,并没有做到物理隔离,一旦代理服务器或其他 服务器被攻破,内网的主机将直接面临危险。 安全网关支持使用透明代理模式,在这种模式下,原来的网络拓扑和服务 器 IP 地址都不需要改变,只需要在网络的边界上把内部网络和外部网络做到物 理上的隔离,安全网关使用 ARP 代理的技术对每个进出网络的 IP 数据包进行 检查和状态检测,把不合法的数据包阻挡在外。在透明代理模式安全网关同样 支持 VPN,可以和远程的分公司和卖场建立安全隧道。但在这种情况下,因为 网关本身使用公有固定 IP,总部局域网内只有公有 IP 的主机或服务器才能和远 端进行直接安全通信,当然其他私有 IP 的主机可以通过代理服务器和远端进行 安全通信。 在此透明代理模式下,DMZ 口将不能使用(任何防火墙都如此),服务器 和总部局域网主机处于同一局域网,并没有做到物理隔离,一旦代理服务器或 其他服务器被攻破,内网的主机将直接面临危险。 透明代理模式下的网络拓扑如下:
CADT 上海安达通安全解决方案案例 路由器 安全刺关 白当 总部局域网 工服务器 NAT模式和透明代理模式的比较 综合来看,透明代理模式下的整体网络安全不如NAT模式;透明模式下外 部动态IP安全接入访问内部网络也有不便;另外,由于在透明模式下,安全网 关要占用两个公有IP地址,这样,也不利于将来网络的扩展。因此建议总部中 心网络采用NAT模式。 32分公司和卖场网络设计方案 该集团下属的分公司大多使用ADSL方式接入 Internet,而卖场大多使用拨 号方式接入。因为分公司和卖场相对规模较小,本地网络规模也较小或者没有本 地网络,因此对于这些点来说,其主要的技术要求集中体现在安全地接入集团总 部,而对本地网络的安全性要求不高,因此可以视分公司和卖场的大小和具体情 况采取不同的方案。 1)对于一些较小的点,如卖场和小的分公司,只有一台机器上网。就可以 采用安装安达通公司的安全客户端软件的方法来实现VPN功能 安全客户端是安达通公司为配合安全网关而开发的动态IP主机安全接入的 软件,该软件支持 Windows98/2000XP三种操作系统,配合 SurelY使用,操作 简单,使用灵活,对接入方式没有限制。 2)对于一些规模较大的分公司,内部网络具备一定规模并对本地安全有要 求,推荐使用支持 PPPOE的SGW25B安全网关,该安全网关支持ADSL接入, 加密吞吐率可达到6Mbps:另外网关内置防火墙模块,可以做到基于状态检测的 访问控制,保护分公司内部网络的安全。 yw. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 28 Tel:021-64325693;64325694 NAT 模式和透明代理模式的比较 综合来看,透明代理模式下的整体网络安全不如 NAT 模式;透明模式下外 部动态 IP 安全接入访问内部网络也有不便;另外,由于在透明模式下,安全网 关要占用两个公有 IP 地址,这样,也不利于将来网络的扩展。因此建议总部中 心网络采用 NAT 模式。 3.2 分公司和卖场网络设计方案 该集团下属的分公司大多使用 ADSL 方式接入 Internet,而卖场大多使用拨 号方式接入。因为分公司和卖场相对规模较小,本地网络规模也较小或者没有本 地网络,因此对于这些点来说,其主要的技术要求集中体现在安全地接入集团总 部,而对本地网络的安全性要求不高,因此可以视分公司和卖场的大小和具体情 况采取不同的方案。 1) 对于一些较小的点,如卖场和小的分公司,只有一台机器上网。就可以 采用安装安达通公司的安全客户端软件的方法来实现 VPN 功能。 安全客户端是安达通公司为配合安全网关而开发的动态 IP 主机安全接入的 软件,该软件支持 Windows 98/2000/XP 三种操作系统,配合 SureID 使用,操作 简单,使用灵活,对接入方式没有限制。 2) 对于一些规模较大的分公司,内部网络具备一定规模并对本地安全有要 求,推荐使用支持 PPPoE 的 SGW25B 安全网关,该安全网关支持 ADSL 接入, 加密吞吐率可达到 6Mbps;另外网关内置防火墙模块,可以做到基于状态检测的 访问控制,保护分公司内部网络的安全
ADt 上海安达通安全解决方案案例 分公司和总部整体网络结构示意图如下: sGw25日安金网关 MAIL服务器 0总部局城网 EI服务器 PXY服务器 密钥管理体系 安全网关和安全客户端软件支持预共享密钥和证书两种密钥体系,对证书的 支持完全符合X.509V3版本的标准。安达通公司还具备整套企业级CA产品,对 于大规模的应用,可以搭建一套完整的基于PKI架构的安全网络系统。对于已经 有PKI体系的网络,安全网关和客户端也可以完全支持。 33第二阶段系统扩展方案 随着网络规模的不断扩大和试点的成功,应该考虑到第二阶段网络系统的可 扩展性。按照规模,第二阶段远程接入的分公司和卖场将达到3000个点的规模, 这样,一台安全网关将难以承受得住如此巨大的并发流量,此时就需要考虑增加 安全网关来分担负荷,但是多台网关如何协同工作来均衡流量是关系到整个网络 运行高效和稳定的一个重要问题。 此时有两种解决方案:分别为静态和动态负载均衡。下面分别阐述(注意: 这两种解决方案都是在NAT模式下的扩展)。 静态负载均衡 在这个方案中,将远程接入点分区(比如华东区、华北区等等),统一规划 私有IP地址,每台安全网关静态地负责每块区域的安全接入,在安全网关上根 yw. adtsec com Tek021-64325693;64325694
上海安达通安全解决方案案例 www.adtsec.com 29 Tel:021-64325693;64325694 分公司和总部整体网络结构示意图如下: 密钥管理体系 安全网关和安全客户端软件支持预共享密钥和证书两种密钥体系,对证书的 支持完全符合 X.509V3 版本的标准。安达通公司还具备整套企业级 CA 产品,对 于大规模的应用,可以搭建一套完整的基于 PKI 架构的安全网络系统。对于已经 有 PKI 体系的网络,安全网关和客户端也可以完全支持。 3.3 第二阶段系统扩展方案 随着网络规模的不断扩大和试点的成功,应该考虑到第二阶段网络系统的可 扩展性。按照规模,第二阶段远程接入的分公司和卖场将达到 3000 个点的规模, 这样,一台安全网关将难以承受得住如此巨大的并发流量,此时就需要考虑增加 安全网关来分担负荷,但是多台网关如何协同工作来均衡流量是关系到整个网络 运行高效和稳定的一个重要问题。 此时有两种解决方案:分别为静态和动态负载均衡。下面分别阐述(注意: 这两种解决方案都是在 NAT 模式下的扩展)。 静态负载均衡 在这个方案中,将远程接入点分区(比如华东区、华北区等等),统一规划 私有 IP 地址,每台安全网关静态地负责每块区域的安全接入,在安全网关上根
DADT 上海安达通安全解决方案案例 据规划的地址,添加静态路由以保证返回的数据包能到达正确的网关,在每一个 区域的安全客户端的对等网关都指向负责该区域的安全网关(这由统一分发给该 点的策略中指定,客户端用 Surely或文件的形式分发策略,ADSL安全网关通 过网管平台直接在上面配置相应策略),使用该方案的网络示意图如下: 接三个网关的z口 MAIL服务器 接三个网关的外口 I服务器 安全南关2 接三个网关的内网口Me 总部局域两一) 动态负载均衡 在此方案中就需要使用专门的负载均衡设备,在此以北电的负载均衡设备 Alteon180为例,需要两台 Alteon180将安全网关群隔在中间,对外屏蔽安全网 关群的拓扑、IP等信息,对远端的客户端或总部局域网内部而言,安全网关群 只有一个内部地址和一个外部地址,通过负载均衡设备来自动判断流量,动态地 将流量平均加载到各个安全网关之上,当然为了保证进和出的数据通过的是同 个安全网关,需要在负载均衡设备上作一些特殊的设置。 动态负载均衡网络结构示意图如下 yw. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 30 Tel:021-64325693;64325694 据规划的地址,添加静态路由以保证返回的数据包能到达正确的网关,在每一个 区域的安全客户端的对等网关都指向负责该区域的安全网关(这由统一分发给该 点的策略中指定,客户端用 SureID 或文件的形式分发策略,ADSL 安全网关通 过网管平台直接在上面配置相应策略),使用该方案的网络示意图如下: 动态负载均衡 在此方案中就需要使用专门的负载均衡设备,在此以北电的负载均衡设备 Alteon 180 为例,需要两台 Alteon 180 将安全网关群隔在中间,对外屏蔽安全网 关群的拓扑、IP 等信息,对远端的客户端或总部局域网内部而言,安全网关群 只有一个内部地址和一个外部地址,通过负载均衡设备来自动判断流量,动态地 将流量平均加载到各个安全网关之上,当然为了保证进和出的数据通过的是同一 个安全网关,需要在负载均衡设备上作一些特殊的设置。 动态负载均衡网络结构示意图如下:
CADT 上海安达通安全解决方案案例 WEE服务器 接三个网关的口 MAL服务器 路申器 个网关的外网口 安全陣关3 的内网口“y180 r总部局城 两种负载均衡方案的比较: 静态负载均衡不需要额外的设备,通过IP的规划即可以实现较好的负载均 衡效果,但是前提需要规划的每个区域的数据流量差异不大,而且随着时间的推 移流量变化不大,否则静态的负载均衡恐怕难以发挥正常的作用。 动态负载均衡能够自动适应流量的变化,不怕各点的流量变化,但是国外的 负载均衡设备价格昂贵,投入比较大 相比而言,推荐使用静态的负载均衡方案 w. adtsec com Te021-64325693:64325694
上海安达通安全解决方案案例 www.adtsec.com 31 Tel:021-64325693;64325694 两种负载均衡方案的比较: 静态负载均衡不需要额外的设备,通过 IP 的规划即可以实现较好的负载均 衡效果,但是前提需要规划的每个区域的数据流量差异不大,而且随着时间的推 移流量变化不大,否则静态的负载均衡恐怕难以发挥正常的作用。 动态负载均衡能够自动适应流量的变化,不怕各点的流量变化,但是国外的 负载均衡设备价格昂贵,投入比较大。 相比而言,推荐使用静态的负载均衡方案