企业网络边界的安全性解决方案 伴随着信息技术不断发展，网络已成为一个企业开展业务必不可少的工具，在企业利用网络 开展商务从而获得更高利润的同时，网络却存在不容忽视的安全隐患，网络的安全漏洞将严 重阻碍企业网络经济的发展，因而网络的安全问题已成为一个企业 IT 部门最为关注的问题。 一、典型企业的网络边界 要建造一个安全的企业网络，首先要保证企业网络边界的安全，企业网的边界直接与公 网打交道，是企业网络安全的第一道防线。其网络边界一般由因特网接入模块，内联网 VPN 和远程接入模块，及外联网 VPN 接入模块三部分组成(见图 1)。 图 1：典型企业的网络边界模块的组成 目前大多数的企业对因特网接入模块的安全问题，基本上已经采取了相应的有效措施。由于 VPN 的商业优势非常吸引人，许多公司都开始制定自身的战略，利用公共互联网作为主要 的传输媒介，为此如何解决内联网 VPN 和远程接入模块、外联网 VPN 接入模块的网络安 全问题已经引起了人们的关注，本文将分别予以介绍。 二、内联网 VPN 和远程接入模块 内联网 VPN 指的是公司内部不同地域之间采用 VPN 技术互通信息，以降低运营成本 及增加网络安全性，典型的解决方案如图 2 所示： 

图 2：内联网 VPN 和远程接入模块 总体来看，由于所有远程办公室及远程接入用户的 VPN 数据都汇聚到该模块，对网络 的性能提出了较高的需求，为此我们采用了高性能的 Passport 8600 骨干交换机作为与因特 网接入模块的接口，并采用四台 Alteon 内容交换机对 Contivity 4600 VPN 网关实现负载均 分，Contivity 4600 带有硬件加密卡，进一步提高 VPN 加解密的性能，解密后的数据流经 Alteon 交换式防火墙，对流入企业内网的数据进行高性能的状态检测及攻击防范，入侵检 测系统(IDS)的负载均分进一步提高了入侵检测的性能。 1、远程用户 VPN 接入部分：远程用户的 VPN 数据首先流经因特网接入模块，然后通 过 Passport 8600 流向 Contivity 4600 VPN 访问服务器(如图最上边的两台 Contivity 4600), 因此在 Passport 8600 上配置相应的过滤器，只允许 IKE(UDP 500)，ESP，及 IPSEC NAT 方式所采用的 UDP/TCP 数据流向 Contivity 4600 VPN 访问服务器(为保证最边远的 VPN 用 户，VPN 访问服务器应支持 IPSEC NAT 方式)，而拒绝其余任何形式的数据流，以保证 Contivity 4600 VPN 访问服务器的安全，免受黑客攻击的威胁。一旦入侵检测系统发现有非 以上数据流向 Contivity 4600 VPN 访问服务器，应产生最高级别的警告。所有经 Contivity 4600 VPN 访问服务器解密后的数据将流向交换式防火墙指定的接口，且根据预制的策略， 由交换式防火墙进行状态检测及攻击防范。 2、远程办公室 VPN 接入部分：远程办公室的 VPN 数据流过程类似于远程用户 VPN 接入 部分，其差异：同时对数据流的端点 IP 进行限制，目的地址只能为 Contivity 4600 VPN 网 关 IP 地址，而源地址只能为远程办公室 VPN 网关的 IP 地址，拒绝其余任何形式的数据流， 

以保证 Contivity 4600 VPN 网关的安全，免受黑客攻击的威胁。考虑到远程办公室数量较 大的情况下，为了保证灵活性，在 Contivity 4600 VPN 网关上开启动态路由协议，以便在 IPSEC 隧道上学取远端路由信息，Contivity 4600 VPN 网关可以让动态路由协议直接跑在 IPSEC 隧道上，而不需要额外的 GRE 封装，效率较高。 三、外联网 VPN 接入模块 外联网指的是不同公司之间采用 VPN 方式通过公网互相交流信息，以实现 B2B 的电子 商务，是企业今天实现电子商务的主要手段。典型的解决方案如图 3 所示： 图 3：外联网 VPN 接入模块 该模块安全性要求非常高，因为远端商业伙伴的 VPN 设备不在该企业的控制范围之 内，而提供给商业伙伴使用的应用数据距离企业内部网络非常接近。有可能的话借助可信赖 第三方的 CA 为商业伙伴颁发数字证书，以实现对商业伙伴进行身份认证。 商业伙伴的 VPN 数据首先流经因特网接入模块，然后通过 Passport 8600 分别流向两 台 Contivity 4600 VPN 网关(由 Alteon 内容交换机实现负载均分),因此在 Passport 8600 上 配置相应的过滤器，只允许 IKE(UDP 500)，ESP 流向 Contivity 4600 VPN 网关，并同时对 数据流的端点 IP 进行限制，目的地址只能为 Contivity 4600 VPN 网关 IP 地址，而源地址 只能为商业伙伴 VPN 网关的 IP 地址(如果其使用固定 IP 地址)，拒绝其余任何形式的数据 流，以保证 Contivity 4600 VPN 网关的安全，免受黑客攻击的威胁。一旦入侵检测系统发 现有非以上数据流向 Contivity 4600 VPN 网关，应产生最高级别的警告。 

Contivity 4600 VPN 网关只终结访问应用服务器网段的数据，该功能可在 Contivity 4600 VPN 网关上启动基于状态的访问控制列表来实现，并且 Contivity 4600 VPN 网关上不 应设置有指向企业内部网络的路由，如果在特定情况下允许某些商业伙伴访问有限的企业内 部网络数据，该数据的访问应依赖于应用服务器完成，再通过应用服务器提交给商业伙伴， 因此在该模块中的 Alteon 交换式防火墙应严格设置，只允许应用服务器访问内部的某些数 据及应用，而拒绝其他任何形式的访问。 应用服务器群通过 Alteon 内容交换机实现负载均分，且 Alteon 内容交换机同时对入侵检测 系统(IDS)实现负载均分，保证对应用服务器群的高效安全监控。 考虑到商业伙伴数量较大的情况下，为了保证灵活性，在 Contivity 4600 VPN 网关上 开启动态路由协议，以便在 IPSEC 隧道上学取远端路由信息，但必需保证内部网络的路由 信息一定不能对外公开。 网络的安全技术涉及面非常广泛，我们在此只简单探讨了企业网周边安全的一部分，并 和大家共享北电网络在企业网络安全技术领域中的经验。以上讨论的安全措施只是企业网络 安全中的共性，各企业应根据各自不同的情况及安全策略来细化及选择合适的安全手段。 （完）