引言： 目前大多數(shù)企業(yè)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界建立了較為完善的由外而內(nèi)的安全防護措施，能夠有效地防護來自互聯(lián)網(wǎng)的攻擊。筆者所在單位有線網(wǎng)絡用戶有1500個，無線網(wǎng)絡用戶有500個，面對龐大的網(wǎng)絡結(jié)構(gòu)和復雜的網(wǎng)絡應用，我們通過基于行為管控的企業(yè)網(wǎng)絡出口安全改造加強了由內(nèi)而外訪問的安全管理。

目前大多數(shù)企業(yè)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界建立了較為完善的由外而內(nèi)的安全防護措施，能夠有效地防護來自互聯(lián)網(wǎng)的攻擊。

筆者所在單位有線網(wǎng)絡用戶有1500個，無線網(wǎng)絡用戶有500個，面對龐大的網(wǎng)絡結(jié)構(gòu)和復雜的網(wǎng)絡應用，如何對網(wǎng)絡效能行為進行統(tǒng)計、分析和評估，如何監(jiān)控、控制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為，如何杜絕用戶通過電子郵件、IM等途徑泄漏內(nèi)部機密資料，如何在日常辦公過程中采取相應的流控機制，以保障核心業(yè)務系統(tǒng)的正常訪問，以及管理員如何在發(fā)生問題時有查證的依據(jù)？這些都成為了網(wǎng)絡安全管理需要解決的問題。為此，我們通過基于行為管控的企業(yè)網(wǎng)絡出口安全改造加強了由內(nèi)而外訪問的安全管理，解決以上問題。

方案設計

圖1 原網(wǎng)絡出口拓撲圖

原網(wǎng)絡出口拓撲如圖1，公司網(wǎng)絡出口連接行業(yè)網(wǎng)、互聯(lián)網(wǎng)和DMZ區(qū)對外服務器。目前對網(wǎng)絡出口的安全防護采取二層防護的方式，第一層部署思科PIX525防火墻，通過NAT內(nèi)外網(wǎng)IP地址轉(zhuǎn)換和訪問控制策略進行防護；第二層部署UTM安全網(wǎng)關(guān)，通過ISP地址映射、訪問控制策略、病毒和入侵防御，及流量控制對公司內(nèi)網(wǎng)連接行業(yè)網(wǎng)、互聯(lián)網(wǎng)和DMZ區(qū)服務器進行安全防護。

改造后網(wǎng)絡出口拓撲如圖2， 改造后，網(wǎng)絡出口第一層的PIX防火墻更換為負載均衡防火墻，原PIX防火墻上的NAT地址映射和訪問控制策略遷移到負載均衡防火墻上。兩臺設備做主-備模式構(gòu)成冗余，并增加互聯(lián)網(wǎng)鏈路負載策略，實現(xiàn)訪問電信的流量調(diào)度到電信線路，移動的流量調(diào)度到移動線路，達到多線路的自動負載均衡，提高出口的可用性。

圖2 改造后網(wǎng)絡出口拓撲圖

在UTM和內(nèi)網(wǎng)之間增加上網(wǎng)行為管理設備，兩臺設備做主-備或主-主模式形成冗余。通過策略實現(xiàn)基于用戶角色的接入認證、權(quán)限控制、合規(guī)審計和帶寬分配等安全管理，并根據(jù)不同用戶、終端類別、應用類別、時間等更多的元素，制定更精細的網(wǎng)絡管理策略。

改造實施

1.安全配置修改

因上網(wǎng)行為管理設備采取透明模式部署，UTM安全網(wǎng)關(guān)上網(wǎng)絡IP、路由和接口配置不變，訪問行業(yè)網(wǎng)和DMZ區(qū)服務器的內(nèi)外NAT映射和安全策略不變。涉及互聯(lián)網(wǎng)訪問的NAT映射和安全策略需要改動，包括由內(nèi)而外和由外而內(nèi)的雙向訪問。主要改動在于原來訪問互聯(lián)網(wǎng)的雙鏈路選擇由UTM轉(zhuǎn)到負載均衡防火墻上，原來在UTM上配置的電信、移動的雙NAT地址映射改為單NAT地址映射，安全策略也需要根據(jù)NAT映射的不同進行相應的改動。

2、用戶認證

內(nèi)網(wǎng)訪問行業(yè)網(wǎng)和DMZ區(qū)不做用戶認證，在上網(wǎng)行為管理設備可以根據(jù)訪問目的IP地址進行例外。

互聯(lián)網(wǎng)訪問：

（1）公司員工：有線和無線用戶均采用域用戶認證。有線用戶結(jié)合公司AD域進行單點登陸認證，用域用戶登陸操作系統(tǒng)后自動進行認證，上網(wǎng)時不需再次輸入用戶名和密碼。無線用戶結(jié)合公司AD域做外部認證，通過連接WiFi，上網(wǎng)時彈出portal頁面，鍵入用戶的AD域帳號信息與密碼，實現(xiàn)外部認證單點登錄。

（2）外部用戶：目前的認證方式有短信、用戶名/密碼、微信和二維碼。

短信認證：用戶只需要輸入手機號碼，獲得并輸入短信驗證碼后，就可以獲得上網(wǎng)權(quán)限。

用戶名/密碼認證：網(wǎng)絡管理員給上網(wǎng)人員統(tǒng)一下發(fā)用戶名/密碼，上網(wǎng)人員通過帳號接入，實現(xiàn)上網(wǎng)人員的身份認證和行為管控。

微信認證：用戶認證頁面會自動提醒用戶需要關(guān)注組織的“官方微信公眾賬號”，并發(fā)送上網(wǎng)請求，才能獲得上網(wǎng)權(quán)限。這可以幫助企業(yè)推廣社交媒體的粉絲數(shù)量，更好的幫助企業(yè)推廣品牌宣傳。

二維碼認證：用戶認證頁面會自動彈出一個二維碼，只有內(nèi)部人員用自己的移動終端掃描二維碼，確認同意后，用戶才能獲得上網(wǎng)權(quán)限。而且，為了滿足合規(guī)要求，接待人員，可以在頁面上備注用戶身份信息，便于后續(xù)查找。認證方式優(yōu)缺點分析如表1。根據(jù)管理要求，對長時間駐留公司的外來人員，如維護人員、開發(fā)人員等采用用戶名/密碼的認證方式，對臨時來訪人員采用二維碼認證方式。

表1 認證方式優(yōu)缺點分析

3.行為管控和帶寬分配

通過設備內(nèi)置的URL庫和應用識別規(guī)則庫，識別目前網(wǎng)絡中各種主流應用，如IM聊天軟件、金融軟件、微博、社區(qū)論壇、網(wǎng)盤、在線視頻等。根據(jù)不同應用制定不同的管理策略，限制與工作無關(guān)的行為。

通過多級父子通道技術(shù)，完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡應用結(jié)構(gòu)。在經(jīng)過用戶和應用的通道化后，給不同通道分配不同帶寬。同時，帶寬的分配并不是一成不變的。通過配置線路空閑閥值，以及定義線路的空閑和繁忙狀態(tài)，實現(xiàn)針對性制定流控策略。當線路空閑時可以放寬通道帶寬限制，應用流量可突破原來設定的最大帶寬限制；當線路繁忙時可以下壓通道帶寬，使帶寬恢復到被限制狀態(tài)，執(zhí)行原有的流控策略。

4.多鏈路負載均衡

（1）出站負載均衡

內(nèi)網(wǎng)的用戶訪問互聯(lián)網(wǎng)資源時，負載均衡防火墻根據(jù)預先設定負載策略和IP地址表將訪問電信的資源的出站流量分配到電信的鏈路之上，并做源地址的NAT，保證數(shù)據(jù)包返回時能夠正確接收；同理，訪問移動資源的流量會通過相應策略和IP地址表被分配到移動的鏈路之上。

（2）入站負責均衡

當外部用戶訪問內(nèi)部資源時，通過智能DNS解析技術(shù)將一個域名綁定多個運營商的公網(wǎng)地址，負責解析來自不同運營商用戶的域名解析請求；根據(jù)不同負載均衡策略為不同運營商的用戶返回最佳的訪問地址，實現(xiàn)用戶入站流量的負載均衡。

應用效果

通過安全改造，企業(yè)加強內(nèi)網(wǎng)訪問外網(wǎng)的安全防護和管理，達到網(wǎng)絡用戶、行為和流量可視可控的目的，實現(xiàn)了網(wǎng)絡安全管理的精細化，滿足了企業(yè)安全管理和合規(guī)審計的要求，并通過鏈路負載均衡策略提高網(wǎng)絡出口的可靠性和訪問速度。