淺議網絡架構中的安全問題

王希忠 段志鳴 黃俊強

（黑龍江省電子信息產品監督檢驗院 黑龍江 150090）

0 引言

目前，很多單位和領導都認為網絡建設中的安全問題關鍵是資金的問題，只要資金到位，所有的安全問題都會迎刃而解，只要設備到位，就萬事大吉，其實這是對網絡安全存在的一個誤區。應該承認，網絡安全的建設水平確實需要相應的資金投入來支撐，但是應該認識到網絡建設中安全問題不僅僅需要硬件設施來完善，更多時候是我們在考慮和設計的網絡架構中忽略了關鍵的安全要素，本文面將結合四種常見的網絡架構進行研究和分析，并提出安全的網絡架構應該具備的基本要素。

1 常見的網絡架構及存在的安全問題分析

筆者通過長期的信息安全評估和測評實踐，總結了以下常見的四種網絡架構，作為研究的重點，分析其設計上的優勢和可取之處，指出其存在的不足之處和安全問題，與之類似的網絡系統也可參照以下模型進行分析和研究。

（1）缺乏健壯性的網絡架構

圖1 缺乏健壯性的網絡架構

圖1是現在網絡安全建設中比較常見的一種網絡架構，采用防火墻實現內外網的邏輯隔離，網絡邊界處部署了防毒墻、入侵防御系統；在終端接入區域和核心交換機之間、服務接入區域和核心交換機之間都部署了防火墻，網絡核心處部署了網絡安全審計系統和入侵檢測系統，在管理區域部署了漏洞掃描系統、防病毒系統、桌面安全管理系統和網絡管理系統，應該說整個網絡架構不論在面對外部攻擊或是內部破壞方面都具備相當強的抵御能力，而且也考慮到內部惡意代碼防范，網絡綜合管理，系統漏洞檢測修復等方面。現在研究分析該網絡架構存在的安全問題：網絡中主核心交換機只有一臺，主核心交換機與各區域匯聚交換機都是單鏈路連接，如果主核心交換機發生故障，整個網絡基本上就陷于癱瘓狀態，因為各個區域的數據交換完全依靠主核心的路由轉發來實現，整個單位的業務數據傳輸就陷于停滯狀態，因此結論是該網絡架構不滿足網絡健壯性方面的要求，存在較大的安全隱患。另一方面，從網絡系統中部署的安全設備和各類支持管理系統判斷，該網絡運營支持單位應該并不缺乏建設資金支持，只是在當初進行網絡架構設計時，對網絡的冗余性考慮不足，形成現在的基礎運行架構。

（2）缺乏防護能力的網絡架構

圖2 缺乏防護能力的網絡架構

圖2中的網絡架構主要特點是，主核心交換機雙冗余部署，所有與核心的連接線路都是雙鏈路考慮，內部網絡通過路由器作為邊界與互聯網連接，整個網絡的健壯性良好，同時內部部署了網絡管理系統和桌面安全終端管理系統，對整個網絡和終端有統一管理。但是整個網絡缺乏對安全防護方面的考慮，首先是邊界缺少訪問控制設備或是入侵防范設備，內部沒有惡意代碼防范措施，沒有事件回溯考慮，也沒有網絡安全掃描手段，應該說整個網絡系統缺少基本的安全保障，即使是面對一般的網絡攻擊，也可能導致整個系統的被破壞和被癱瘓。因此結論是該網絡架構存在極大的安全問題，如果不及時完善，一旦出現安全事件，后果將不堪設想。

（3）缺乏統一管理的網絡架構

圖3 缺乏統一管理的網絡架構

圖3所示網絡架構的基本特點是，網絡邊界通過防火墻與互聯網做邏輯隔離和訪問控制，內部通過部署各種安全及檢測設備降低安全風險系數，健壯性方面采取雙核心雙鏈路冗余部署進行保障，整個網絡架構在抗攻擊和預防故障方面都有良好的表現。但是結論仍然是存在比較明顯的安全問題：業務系統服務器和各類安全檢測設備都直接與核心交換機相連，沒有劃分區域進行單獨管理或者是占用了核心交換機寶貴的連接端口，很可能造成當主核心交換個別端口故障時沒有可替代端口；因為內部沒有部署網絡綜合管理系統，系統管理人員對整個網絡的運行維護缺少監測和管理手段，交換、路由和安全設備陷入各自為戰的局面；缺少桌面終端安全管理，將使網絡管理中心失去對內部網絡用戶的安全監管，非法外聯者和非法內聯者就有可能乘虛而入。

（4）缺乏安全規劃的網絡架構

圖4 缺乏安全規劃的網絡架構

圖4中的網絡架構，采用中轉服務器進行內外網邏輯隔離，外部網絡因為沒有安全需要所以省略了安全方面的考慮，內部網絡雙核心雙鏈路冗余設計，同時部署了相應的安全檢測、掃描、審計設備和管理系統，并且為了保證應用系統的安全訪問，在服務器的前端又增設了兩臺防火墻，如果忽略中轉服務器的因素，整個網絡架構設計應該說是比較安全和充分可行的，但是問題出在中轉服務器的部署位置上。該中轉服務器兩塊網卡同時連接內外網，通過一個軟件將內部數據定時導出發布到外部網站上，考慮到如果中轉服務器失去控制權變成攻擊者的跳板，那么數據庫服務器2和應用服務器2將面對來自外網的直接攻擊，因此該網絡架構存在較大安全隱患。中轉服務器本應接在應用服務區域邊界的防火墻上，而不是接在接入交換機上，通過防火墻來控制中轉服務器對應用服務區的訪問，會大大提高該網絡架構的安全系數。考慮到該網絡架構里中轉服務器所在的外網區域缺少必要的安全防護措施，中轉服務器被攻擊者控制的風險還是客觀存在的。

2 安全網絡架構的幾個基本要素分析

本文上面舉例說明了幾種常見的網絡架構中存在的安全隱患和問題，現在筆者按照一般應用條件下，安全網絡架構應該具有基本要素進行講解，并解釋這些要素的具體作用。

（1）健壯性：網絡中的核心處理設備在性能和業務處理能力要能滿足當前系統業務高峰期的需要，并且有冗余考慮，雙機雙鏈路配置，避免骨干網絡存在單點故障安全的情況。

（2）安全域、安全路徑：根據系統使用單位管理需要和所涉及信息的重要程度等因素，劃分子網或網段，按照方便管理和控制的原則為各子網、網段分配地址段，建立相應的安全區域；將重要網段部署在系統核心區域，在重要網段與其他網段之間部署防火墻、IPS、網閘等防護手段進行邏輯隔離。在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑，嚴格控制業務終端的訪問區域。

（3）訪問控制：在網絡邊界部署防火墻，啟用訪問控制功能。限制網絡最大流量數及網絡連接數，部署流控設備對流量進行管理和控制；采用IP+MAC地址綁定或其他手段防止地址欺騙攻擊；采取訪問控制措施控制主機對受控系統資源的訪問；限制具有撥號訪問權限的用戶數量。[1]

（4）事件的回溯：通過部署主機日志集中審計系統和網絡集中審計系統，能根據記錄數據進行分析并生成審計報表，以便對事件的追溯和回放。

（5）非法連接管控：通過部署桌面安全管控系統或是內網安全管理系統，控制非法接入或不授權的外聯。

（6）入侵防范：在網絡中部署入侵防御系統（IPS）、入侵檢測系統（IDS），或者是具備此類功能的安全設備來防止惡意攻擊和入侵。

（7）惡意代碼防范：在網絡邊界部署防毒墻系統或者在網管區部署網絡防病毒系統，或者具備此類功能的安全設備，防止病毒感染泛濫。

（8）安全掃描：在網絡中部署漏洞掃描系統或者具備此類功能的安全設備，能及時掌握網絡中的存在的安全漏洞和系統的安全狀況。

（9）網絡管理：在網絡中部署網絡綜合管理系統對網絡的整體運行情況進行監控，實現網絡設備、安全設備、重要服務器等的統一管理。[2]

3 結束語

隨著計算機技術的迅速發展，基于網絡連接的安全問題也日益突出，由于網絡架構是為設計、構建和管理一個通信網絡提供一個構架和技術基礎的藍圖。同時也決定了系統使用單位在面對外部網絡威脅時的安全性，這就要求對網絡架構的設計思路也要及時跟上網絡安全形勢發展的需要，不管是網絡的建設單位還是網絡的承建單位，都要充分考慮網絡架構設計過程中的安全要素問題，避免工程建設期間和完成后才發現網絡存在重要安全隱患，還需要進行二次建設或者整改工作，造成不必要的資金和資源的浪費。

[1]中國國家標準化管理委員會、中華人民共和國國家質量監督檢驗檢疫總局[S].《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求》.

[2]曹子建，趙宇峰，容曉峰.網絡入侵檢測與防護墻聯動平臺設計[J].信息網絡安全，2012，（09）：12-14.