园区网络的发展经历了从追求带宽,强调信息畅通到当前因为病毒泛滥、黑客横行而限制应用,实施安全隔离和接入认证的阶段。这种补丁式的网络建设导致了网络中的安全系统、接入认证系统、基础网络系统等各部分独立操作,缺乏联动,头痛医头,脚痛医脚。构建智能和谐园区网络从根本上解决了以上问题。
一、园区网需要构建一个“和谐网络”
信息化程度的高速发展,使当今园区网络建设所面临的挑战可谓越来越多。而园区网建设虽然是基于以太网技术应用为主,依据园区网建设关注的重点不同,也可以用三个阶段来清晰的划分。第一个阶段,发生在90年代末之前,组建园区网大多数只是为了解决必要的资源共享、信息互联,以百兆以太网技术为主。第二阶段约从1999年开始,信息化发展迅速,千兆以太网技术进入商用阶段,网络核心带宽、传输距离经常成为园区网建设的核心问题,一些园区网开始大量采用千兆带宽提高传输效率。从千兆骨干建设到千兆到桌面的普及,让园区网能满足更多应用实现更广阔的互联,同时园区网的设备智能化带来业务承载能力的极大提升成为当时的主流。第三阶段,约从2003年开始,园区网络普及率较高、应用多元化发展,万兆技术逐步成为建网主流,但是同时网络病毒传播的速度、盗用等问题对应用带来的危害变得更加突出。因此该阶段,园区网的安全、智能、管理、控制等方面的问题被广泛关注,园区网进入了基于智能上的多种技术融合阶段,尤其是智能集成安全的能力。
园区网在经历了上面几个阶段的建设之后,出现了一些普遍存在的现象。基础网络、安全、管理、控制等网络系统部件分散在不同阶段完成,各部分运行相对独立、关联性不强、抗风险能力差,就像积木一样。网络中出口防火墙能预防外网威胁,但网络其它部件无法预防内部的病毒威胁。管理能针对网络设备但不能针对用户主机。控制用户接入只能确定账号合法,但不知使用合法账号的PC终端是否安全。P2P应用已经耗尽了网络资源,但没有监控和改善的措施。这样的网络系统有很多的漏洞经常被侵袭。之后为了消除这些漏洞,也出现了以限制应用来强化安全的网络策略,结果促成许多信息孤岛、影响关键业务协同、数据资源不同步等现象。 
可见,为了改善某个突出的问题而牺牲网络畅通或网络安全中的任何一个功能,都对网络中的应用带来影响,直接导致信息化发展受阻。那么有没有一种良策,从根本上来解决这些问题呢?仅仅靠单方面对性能或安全的提高,或者相对分散的建网都无法充分满足长远发展的需要。因此,解决看似矛盾的安全隔离和信息畅通这个综合性的问题,我们需要规划一个更为完善的网络,她应当是一个畅通的网络、一个安全的网络、一个有序的网络、一个可持续发展的网络,这就是和谐网络。
二、什么才是“和谐网络” 
1、全面均衡,不偏废、不失控
首先“和谐网络”是在一个完善的体系架构基础上展开,不是特指基础网络、应用服务、安全防御或管理控制,而强调的是各功能、各部件等必要的组成部分均衡存在,而非单一强化或缺少某个局部。
“和谐网络”解决方案中有完善的业务功能体系组成,包括了业务智能感知、异常实时分析、控制动态执行。其中业务感知中又容纳人员身份管理、终端主机安全管理、接入控制,在异常实时分析中容纳了异常流量状态分析、病毒特征分析、网络设备控制,在控制动态执行过程中容纳了过滤、限制、隔离、响应、恢复等等这些更为具体功能组成。同时,“和谐网络”也具备全面的系统部件组成,包括了应用支撑部分、网络关口、网络承载部分、网络接入控制部分。其中,应用支撑部分又包括认证鉴权服务器、入侵检测分析(IDS)、入侵保护策略生成(IPS)、安全应急策略下发与恢复等网络管理、安全管理相关支撑服务器;网络关口包含了多功能NP防火墙、路由器等网关设备;网络承载部分包含可内置防火墙的核心交换机、汇聚交换机、路由器等网络设备;网络接入控制部分包含接入控制交换机、安全接入控制(SAC)客户端。 
2、是整体协同、不是各自为战
其次,“和谐网络”面对威胁,各部分应是整体的协同防御,非各自为战状态。各自为战的网络因为缺乏关联、缺乏联动,而导致无法实现连锁防御,这主要体现在网络、用户、业务只是各自保护、通常预防只能是局部行为而非全局有效、任何异常故障可能都需要借助人为分析和判断后才能加以控制,在这种情形下安全隔离与信息互通很容易成为一种矛盾。整体的协同防御则表现在无需人员干预,网络系统就能动态生成必要的防御策略来消除威胁,这个过程需要应用支撑部分、网络关口、网络承载部分、接入控制部分相互之间能通过信息联动来实现。其中,交换机与IDS联动、防火墙与IDS联动、交换机与IPS联动、认证服务器和交换机联动、IPS与认证服系统联动等等,这些都是“和谐网络”面对威胁整体协同的具体行为表现。 
3、快速响应、迅速恢复
第三,“和谐网络”应有快速响应和迅速恢复的能力。与解决已经发生的问题一样,对待网络异常响应与恢复异常的过程都是在相对被动的状态下进行的。如果响应速度不够快或恢复的速度不快,都容易使网络陷入更大的被动。快速的响应需要有更密切的联动作为基础,能对所有接入网络的用户具备精确的反向追踪,并能在支撑系统上快速的分析异常结果。快速的恢复速度则是要通过应用支撑系统生成并下发更直接有效的网络控制策略解决异常状况。在快速响应和迅速恢复的流程中形成一个快速的循环过程,其顺序依次是:网络系统正常运转→出现异常被网络感知发生异常的具体位置→应用支撑系统动态诊断异常原因→生成有效的控制策略下发网络设备执行→网络设备执行新策略后网络再次恢复正常运转。 
4、应用为本,安全、性能兼顾
在汽车制造的百年历史上,追求性能、追求安全都是以应用为本。网络也是一样,只强调性能、效率或安全都不能创造非常好的的应用环境,因此网络也是以应用为根本。正因如此,“和谐网络”中所提供的交换机、路由器都在高性能的基础上考虑安全,防火墙则在安全的基础上强化性能。交换机可内置防火墙、路由器内置硬件ACL过滤、防火墙使用NP作为核心架构是应用为本,安全、性能兼顾在技术方面的具体表现。
但与汽车应用不同的是,网络的应用更加多元化,有一些像P2P、多进程传输等应用虽然不是非法的,但对网络的威胁越来越大,这是由于应用的发展速度远远超过网络的发展速度而导致。如果以应用为本似乎不该禁止这些P2P应用,但如果成为影响其它的应用的罪魁祸首似乎不得不禁止。在“和谐网络”中,网络承载部分和接入控制部分,是通过对P2P多进程传输加以必要的限制,在不禁止这些应用的前提下保障其它应用的正常运行为根本。这些具体表现在接入交换机、汇聚交换机、防火墙等部件上,提供了对每个接入园区网用户P2P等应用的限速。 
5、被动与主动相结合,促进系统有序化
如果网络只是被动防御,只要是有合法账号的终端主机都可以接入网络。接入网络的终端PC是否安全,有没有漏洞或有没有病毒无人管理。这样的网络无法主动避免病毒大量侵袭,经常会陷入在无序的运行状态。不难想像,如果仅仅只是核实乘飞机人员的身份而不进行安检,后果将会如何?
因此,“和谐网络”并不能只停留在被动防御中,也要结合接入控制主动的对接入网络的主机进行必要的安全检察,只有合法身份+安全无漏洞的终端主机才能接入网络。对不安全的主机系统将提供补丁升级路径,直到变为安全主机后才允许进入网络。这样一个有序的网络,发生异常的因素会被充分压缩,进入网络的终端以及网络本身对旧病毒的威胁已经免疫。当再出现新的病毒或异常时,也有完善的被动防御机制对网络异常进行迅速恢复。所以,只有主动、被动相结合,才能促进整体网络系统的有序化发展。 
总结:
凡事“预则立,不预则废”,网络的建设也是如此。港湾“和谐网络”的理念的提出正是总结了当前园区网建设过程中的宝贵经验,对当前智能网络建设的基础上的实质性的提升。通过对于建网思路中各种要素的对立和统一,应用了中国古老智慧的和谐之道来解决。同时港湾“和谐网络”架构的提出给出了园区网建设的可实施方案,同时给园区网的建设规划了一个蓝图,帮助网络建设者在网络建设之前做好充分的考虑,为建设“以用为本的聪明网络”打下坚实的基础。 
智能和谐园区网络的系统部署架构
近年来以太网技术的不断发展,使其应用范围迅速扩大,远远超越了局域网的范畴,走向了园区网和城域网。以太网技术使园区网组建更加方便、经济,同时具有较高性能,深受建网者推崇。目前园区网络建设是一种“搭积木”式的模式,基础网络、安全、管理、控制等网络系统部件分散在不同阶段完成,各部分运行相对独立、关联性不强、抗风险能力差,没有协调统一的建网模式和架构。例如一味追求网络带宽性能,忽视安全防护,导致网络运行不稳定、病毒经常爆发、泄密事件经常发生等;还有的网络为了强化安全,对应用进行限制,影响了网络使用者的方便性,造成信息化发展受阻,因此该阶段园区网的安全、智能、管理、控制等方面的问题被广泛关注,园区网进入了基于智能上的多种技术融合阶段,尤其是智能集成安全的能力。
对于这些现实中存在的问题,港湾网络认为:园区网络需要具备畅通、安全、有序、可持续发展的特征,这些特征需要融合到一个网络架构下,构成统一的整体,建设一个和谐网络:
和谐网络是全面均衡的,不偏废、不失控;
和谐网络是整体的协同,不是各自为战;
和谐网络具备快速响应、迅速恢复能力;
和谐网络应用为本,兼顾性能与安全;
和谐网络是以被动与主动相结合促进网络有序化的。
结合和谐网络的发展目标,港湾网络认为和谐网络的架构包括四个功能部分:接入层、承载层、应用支撑系统、互联网出口,其位置与关系如下图所示。 .jpg)
四个功能主体之间在保持相对独立的同时,还有着紧密的联系。接入层、承载层、互联网出口三个部分是网络的基本组成部分,能够完成用户接入、数据转发处理、互联网连接等功能,应用支撑系统主要用于保障网络正常稳定运行,完成安全事件应急处理、网络设备配置管理等工作。
接入层
接入层包括接入控制点和终端,接入控制点、终端与后台支撑系统有着密切的配合,主要完成用户的接入、认证、控制等功能。
接入层处于网络的下层边缘,是网络使用者与网络资源的交互面,在这里对用户进行管理控制是最精确的,因此引入“接入控制点”这个功能实体,接入控制点的物理实体是以太网接入交换机。有以下几个方面的作用:
终端接入与数据转发。用户主机的接入和用户数据的转发处理是基本功能。
实现用户接入认证。能够支持802.1X认证方式,便于对用户精确控制。
感知流量与IDS实现联动。接入控制点需要具备对数据流的感知能力,在网络发生异常时能够与IDS系统联动处理,确保网络运行安全。
与认证系统配合实现对异常用户的处理。通过与认证系统配合,可以对发生异常、威胁到网络运行安全的用户进行限速、断线处理。
用户访问权限的控制。根据用户级别、安全级别,通过ACL方式对用户访问的权限加以控制。
可以看出,作为网络结构的重要组成部分,接入控制点的终端接入与数据转发功能是独立完成之外,其他几个方面的功能都是与后台支撑系统配合完成的。这种配合的实现需要在网络初始规划时考虑周全,由认证系统、安全管理系统、网络管理系统配合共同完成,各个部分都是不可或缺的。
通常情况下,终端不属于网络的一部分,但它对网络运行造成的影响却是举足轻重的。目前的终端绝大多数基于X86平台,智能程度比较高,能够对用户数据进行详细的分析和感知,如何更好的利用终端的这个特性成为网络建设的一个焦点。“和谐网络”组网架构中的终端上安装了SAC(Security Access Client)安全准入客户端软件,能够充分发挥终端平台感知能力强的特性,为保护网络安全发挥重要作用。SAC客户端本质上具备认证和主机安全保护两个方面的功能,有如下作用:
认证发起。向接入控制点发起802.1X认证报文,配合完成认证。
用户主机管理。对主机的软、硬件资产,文件的拷入拷出,I/O接口进行管理。
漏洞与补丁检测。检测操作系统的漏洞,同时对补丁情况进行检查。
病毒软件检测。能够检测主机是否安装最新版本的防毒软件,并对未安装用户进行强制安装,确保网络安全。
本地异常流量感知。根据数据流量大小、连接数目多少,对异常流量进行检测,并将异常上报安全管理平台。 
当然,服务器是不需要做认证的,有一些对易用性要求高的特殊主机(例如网管员的主机)也是不需要做认证的,甚至不能进行安全检测,这部分终端是不安装SAC客户端的。此类终端可直接接入到汇聚层,由汇聚层中存在的“内部安全网关”功能实体(内部安全网关是承载层的功能实体,主要实现防火墙、IPS、AV的功能,针对用户、VLAN进行内部访问数据的安全过滤)来完成安全监测,确保接入终端的安全及网络的安全稳定。
承载层
作为和谐网络的中坚力量,承载层承担着数据汇聚、转发处理的重任,提供高性能、高带宽、高密度端口、优质的服务质量是其主要功能。在和谐网络架构下,承载层还需要增加“内部安全网关”功能模块,这个功能模块可以用来对内部重要用户和重要服务器进行保护,有助于提升整网安全系数。承载层的主要作用如下:
提供较强的数据交换处理能力,确保数据线速转发。由于内部网络所有的数据都会由承载层处理 ,因此性能要求是比较高的。
提供高密度GE接口,用于汇接汇聚层设备并连接服务器群。为了确保网络的连接能力和扩展性,承载层需要提供高密度的GE接口。
提供OSPF等动态路由协议,维护一定的路由表空间,实现策略路由。园区网内路由应用越来越广泛,需要开启动态路由协议。
内部数据安全控制。为了保护内部用户之间的数据安全,通过内部安全网关功能模块可以实现内部数据的安全过滤。
注:内部安全网关可以是单独的实体,也可以与核心交换机或汇聚交换机合一,主要实现“内部防火墙”的功能,针对用户、VLAN等实施安全策略;它也可以与IDS或网络管理系统实现联动,对安全事件实现应急响应。 
承载层一般包含核心层和汇聚层,在小型园区网络中,核心、汇聚可以合一。
互联网出口
互联网出口是园区网与Internet连接的唯一通道,出口的稳定、性能、安全都是建网者非常关心的问题。目前网络出口网关部署往往采用分散的方式,路由器、防火墙、IDS、AV等均采用独立设备实现。分散部署方式存在管理难度大、协调性差、存在性能瓶颈、投资高、安全系数低等问题,尤其是应对DDOS、蠕虫病毒等混合攻击的能力很弱,难以保证网络整体的安全。
在和谐网络的架构中,互联网出口部署的是高性能的多功能安全网关,基于专门设计的高性能硬件平台,多功能安全网关具有高达万兆的性能,满足各种规模园区网的需求。多功能安全网关还具有丰富的功能,对路由协议、VPN、FW、AV、IPS等功能的支持齐全,可以确保互联网出口在安全前提下的高速数据转发。 
应用支撑系统
在和谐网络架构中,用户的管理、安全策略的控制实施是由应用支撑系统用来完成的,应用支撑系统由网络管理系统、安全管理系统、认证系统、IDS等功能部件组成。其作用如下:
网络设备的管理控制。对承载层和接入层的交换机设备进行配置管理、设备管理。
安全策略的制定和下发。制定针对用户的安全策略,下发到SAC终端和接入控制点执行。
用户准入的控制、用户权限的分配。由认证系统与接入控制点配合完成对用户的认证过程,并根据用户类别进行权限分配。
用户计费策略的实施。由计费系统对用户根据时长、流量等进行计费。
网络异常分析、安全事件应急处理。后台的安全管理平台、IDS与SAC终端、接入控制点、多功能安全网关可以配合完成对安全事件的应急处理。
用户的反向追踪定位。通过认证系统,可以准确判断用户所处的物理位置。 
应用支撑系统中的各功能模块都具备“管理”、“控制”的功能,通过与接入控制点、终端、多功能安全网关的配合来完成用户管理、准入控制、安全事件响应等具体功能。应用支撑系统同时是网管员与网络的交互界面,高智能的应用支撑平台能够减少网管员工作量,简化网络管理流程。 
总结:凡事“预则立,不预则废”,网络的建设也是如此。港湾“和谐网络”架构的提出正是给园区网的建设规划了一个蓝图,帮助网络建设者在网络建设之前做好充分的考虑,为建设“以用为本的聪明网络”打下坚实的基础。
智能和谐园区网的安全事件应急处理--抵御威胁、联动防御
随着网络信息化程度不断提高,网络安全事件也呈现出多样化、复杂化的发展趋势。其中有以破坏计算机软硬件资源为目的的计算机病毒;有以窃取机密信息为目的的木马、邮件病毒、黑客人为攻击等;有以破坏服务器对外服务为目的的DDOS攻击;有以破坏网络带宽资源进而瘫痪网络服务功能为目的的蠕虫病毒;有以攻击网络、窃取信息为目的的僵尸网络等等。给正常的网络应用造成了巨大威胁,网络安全已经成为人们关注的焦点。
虽然目前已经有多种方式应对网络安全问题,例如:在网络中部署防火墙、病毒网关、IDS等设备,以及采用访问控制、通信加密、入侵检测、安全扫描、防病毒等防范手段,在一定程度上减少了安全事件的发生。然而,防御永远比攻击更困难,有效的防御方式总是在致命的攻击发生后才被发现并应用。绝对的安全是无法达到的,因此我们必须考虑当网络中发生安全事件后如何及时应对。
目前对网络持续服务能力造成重大威胁的主要是网络蠕虫病毒、DDOS、广播包攻击、Ping Flood等占用网络资源为目的的攻击。典型的如网络蠕虫病毒中的红色代码病毒,冲击波病毒等,其工作过程是首先由病毒程序对网络内某PC发起攻击,将自身植入,然后该病毒程序不断复制自身重复这个过程,并向网络发送大量垃圾流量,多个PC染毒后网络中将充满这种垃圾流量,导致网络瘫痪,网络服务中断。由这个过程可以看出,此类攻击是以破坏网络持续服务能力为目的,而PC流量的异常变化是此类攻击的共同特征。
这种攻击往往是结合了病毒技术与黑客攻击技术,在用户本身不知情的情况下产生的。并且此类攻击会通过不断变化产生新的变种,而当前的防火墙、防病毒网关、IDS都是根据攻击行为特征和病毒代码特征来实现对攻击的防范。这种防范措施只能抵御已知的攻击,而无法防范经过不断变种后的未知攻击。解决此类问题要从攻击的本质特征抓起,网络系统要具备感知PC流量的异常变化,能分析其特征,并及时进行防范处理。
港湾和谐网络园区网解决方案关注网络的持续服务能力,结合了主机安全管理软件、802.1x认证系统和IDS系统提出了本安全事件应急处理方案。主机安全管理软件用以感知PC异常流量,由IDS系统对异常流量特征分析和确诊,由802.1x认证系统和交换机执行防范操作。具体流程如图所示: 
该方案的组成部件包括:PC上安装的SAC(安全接入控制)客户端,该客户端同时作为802.1x客户端;支持802.1x认证、ACL访问控制列表和速率限制的uHammer智能接入交换机;主机安全管理平台软件(天珣);AAA服务器(蓝信);IDS系统(天阗)。
该方案的流程分为五步:
1. 客户端流量异常上报到安全管理平台;主机安全管理客户端通过监控PC网卡可获知PC的流量状态,网络管理员可设置PC正常状态域值,包括TCP连接数等,这些数值的异常增大通常是攻击行为,一旦发现即刻上报。
2. 安全管理平台在AAA系统上查找用户上网接入设备,通报用户异常情况;安全管理平台接到报警后将报警信息送交AAA系统,AAA系统会定位该用户所在交换机及端口。
3. AAA系统和交换机联动,进行速率限制,降低其对网络的冲击,并通过SAC客户端提示用户。
4. 将用户数据交IDS系统分析;
5. 若发现非法数据,IDS报警,同时向用户发出提示,然后关闭用户所在的交换机端口。
该方案的实现原则是:1、对怀疑PC降速;2、对用户告警;3、阻断染毒PC。
通过该方案的实现,提升了网络的抗冲击能力,保障了网络的持续服务提供能力,为病毒的防范尤其是未知蠕虫病毒的防范提供了一个行之有效的解决方式。
