企业网络出口安全改造

引言： 目前大多数企业在内网和互联网的边界建立了较为完善的由外而内的安全防护措施，能够有效地防护来自互联网的攻击。笔者所在单位有线网络用户有1500个，无线网络用户有500个，面对庞大的网络结构和复杂的网络应用，我们通过基于行为管控的企业网络出口安全改造加强了由内而外访问的安全管理。

目前大多数企业在内网和互联网的边界建立了较为完善的由外而内的安全防护措施，能够有效地防护来自互联网的攻击。

笔者所在单位有线网络用户有1500个，无线网络用户有500个，面对庞大的网络结构和复杂的网络应用，如何对网络效能行为进行统计、分析和评估，如何监控、控制一些非工作上网行为和非正常上网行为，如何杜绝用户通过电子邮件、IM等途径泄漏内部机密资料，如何在日常办公过程中采取相应的流控机制，以保障核心业务系统的正常访问，以及管理员如何在发生问题时有查证的依据？这些都成为了网络安全管理需要解决的问题。为此，我们通过基于行为管控的企业网络出口安全改造加强了由内而外访问的安全管理，解决以上问题。

方案设计

图1 原网络出口拓扑图

原网络出口拓扑如图1，公司网络出口连接行业网、互联网和DMZ区对外服务器。目前对网络出口的安全防护采取二层防护的方式，第一层部署思科PIX525防火墙，通过NAT内外网IP地址转换和访问控制策略进行防护；第二层部署UTM安全网关，通过ISP地址映射、访问控制策略、病毒和入侵防御，及流量控制对公司内网连接行业网、互联网和DMZ区服务器进行安全防护。

改造后网络出口拓扑如图2， 改造后，网络出口第一层的PIX防火墙更换为负载均衡防火墙，原PIX防火墙上的NAT地址映射和访问控制策略迁移到负载均衡防火墙上。两台设备做主-备模式构成冗余，并增加互联网链路负载策略，实现访问电信的流量调度到电信线路，移动的流量调度到移动线路，达到多线路的自动负载均衡，提高出口的可用性。

图2 改造后网络出口拓扑图

在UTM和内网之间增加上网行为管理设备，两台设备做主-备或主-主模式形成冗余。通过策略实现基于用户角色的接入认证、权限控制、合规审计和带宽分配等安全管理，并根据不同用户、终端类别、应用类别、时间等更多的元素，制定更精细的网络管理策略。

改造实施

1.安全配置修改

因上网行为管理设备采取透明模式部署，UTM安全网关上网络IP、路由和接口配置不变，访问行业网和DMZ区服务器的内外NAT映射和安全策略不变。涉及互联网访问的NAT映射和安全策略需要改动，包括由内而外和由外而内的双向访问。主要改动在于原来访问互联网的双链路选择由UTM转到负载均衡防火墙上，原来在UTM上配置的电信、移动的双NAT地址映射改为单NAT地址映射，安全策略也需要根据NAT映射的不同进行相应的改动。

2、用户认证

内网访问行业网和DMZ区不做用户认证，在上网行为管理设备可以根据访问目的IP地址进行例外。

互联网访问：

（1）公司员工：有线和无线用户均采用域用户认证。有线用户结合公司AD域进行单点登陆认证，用域用户登陆操作系统后自动进行认证，上网时不需再次输入用户名和密码。无线用户结合公司AD域做外部认证，通过连接WiFi，上网时弹出portal页面，键入用户的AD域帐号信息与密码，实现外部认证单点登录。

（2）外部用户：目前的认证方式有短信、用户名/密码、微信和二维码。

短信认证：用户只需要输入手机号码，获得并输入短信验证码后，就可以获得上网权限。

用户名/密码认证：网络管理员给上网人员统一下发用户名/密码，上网人员通过帐号接入，实现上网人员的身份认证和行为管控。

微信认证：用户认证页面会自动提醒用户需要关注组织的“官方微信公众账号”，并发送上网请求，才能获得上网权限。这可以帮助企业推广社交媒体的粉丝数量，更好的帮助企业推广品牌宣传。

二维码认证：用户认证页面会自动弹出一个二维码，只有内部人员用自己的移动终端扫描二维码，确认同意后，用户才能获得上网权限。而且，为了满足合规要求，接待人员，可以在页面上备注用户身份信息，便于后续查找。认证方式优缺点分析如表1。根据管理要求，对长时间驻留公司的外来人员，如维护人员、开发人员等采用用户名/密码的认证方式，对临时来访人员采用二维码认证方式。

表1 认证方式优缺点分析

3.行为管控和带宽分配

通过设备内置的URL库和应用识别规则库，识别目前网络中各种主流应用，如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。根据不同应用制定不同的管理策略，限制与工作无关的行为。

通过多级父子通道技术，完全匹配企业组织人员架构和网络应用结构。在经过用户和应用的通道化后，给不同通道分配不同带宽。同时，带宽的分配并不是一成不变的。通过配置线路空闲阀值，以及定义线路的空闲和繁忙状态，实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制，应用流量可突破原来设定的最大带宽限制；当线路繁忙时可以下压通道带宽，使带宽恢复到被限制状态，执行原有的流控策略。

4.多链路负载均衡

（1）出站负载均衡

内网的用户访问互联网资源时，负载均衡防火墙根据预先设定负载策略和IP地址表将访问电信的资源的出站流量分配到电信的链路之上，并做源地址的NAT，保证数据包返回时能够正确接收；同理，访问移动资源的流量会通过相应策略和IP地址表被分配到移动的链路之上。

（2）入站负责均衡

当外部用户访问内部资源时，通过智能DNS解析技术将一个域名绑定多个运营商的公网地址，负责解析来自不同运营商用户的域名解析请求；根据不同负载均衡策略为不同运营商的用户返回最佳的访问地址，实现用户入站流量的负载均衡。

应用效果

通过安全改造，企业加强内网访问外网的安全防护和管理，达到网络用户、行为和流量可视可控的目的，实现了网络安全管理的精细化，满足了企业安全管理和合规审计的要求，并通过链路负载均衡策略提高网络出口的可靠性和访问速度。