基于MPLS VPN網絡的信息監控與分析的研究

◆葉紅良 金萱躍

（江陰興澄特種鋼鐵有限公司 江蘇 214400）

基于MPLS VPN網絡的信息監控與分析的研究

◆葉紅良 金萱躍

（江陰興澄特種鋼鐵有限公司 江蘇 214400）

本文分析MPLS VPN在企業網絡環境應用的現狀，提出在VPN專網中引入IPS、UTM等網絡安全設備，建立監控管理服務機制，探討強化MPLS VPN專線的網絡安全的方法及對策，實現對信息分析與事件跟蹤。

MPLS VPN；網絡安全；監控服務；日志分析

0 引言

隨著互聯網的快速發展，采用MPLS的虛擬專用網技術成為一些跨地域集團性企業組網的重要手段。MPLS-VPN專線業務基于IP網絡，采用多協議標記交換技術，在公共IP網絡上構建企業專網，實現數據、語音、圖像多業務寬帶連接，并結合QoS服務、CoS服務等相關技術，為用戶提供高質量的服務，特別是可通過MPLS VPN搭建企業統一的通信平臺。

但隨之而來的是網絡設備、主機系統、數據庫系統的不斷增加，信息的安全性問題凸顯，對于外網入侵、DOS攻擊等，內網的病毒蔓延、ARP攻擊，要求企業增加防護措施和強化防護手段。因此就信息在網絡中的傳遞、監控、分析和管理，以及在VPN線路安全的管控，如何建立統一的安全管理策略，這也成為網絡安全研究的一個重要方向。

1 MPLS VPN組網安全性

MPLS VPN一般由用戶邊緣路由器CE，提供商邊緣路由PE，提供商核心路由器P三類設備組成。那么，MPLS VPN的安全是通過獨立的地址、路由的隔離、有效的攻擊防范等方法實現的。

對于企業網絡來講，地址獨立是非常重要的，它可以防止企業內部網絡暴露在外部，并且可以對地址進行訪問控制。在MPLS VPN的方案里，地址管理是占據很重的地位。

當然通過靜態路由的設置可以解決用戶設備跟邊界設備之間的路由協議，保證邊界設備的地址獨立。同樣，邊界設備因不存在直接信息交換的通道，可以實現路由信息分離，不給雙方帶來安全隱患。

對于存在著大量用戶的業務數據的骨干網，如何保障上網的數據不泄漏是一個關鍵，所以這里面，采用隱藏骨干網絡拓撲是MPLS VPN的一個安全有效辦法。

此外，用戶還可以提高PE與CE之間的抵御能力，抵擋惡意攻擊侵入，采取設置防火墻、IPS等手段，使用數據安全加密等方法，進一步提高安全性。

2 MPLS VPN信息監控和分析探討

2.1 目前MPLS VPN面臨的信息安全現狀

目前國內的基礎運營商電信、移動、聯通均提供MPLS VPN服務，第三方運營商以中企通信、太平洋電信為主要代表。他們共同的基本原理及拓撲是一致的。

圖1 MPLS VPN拓撲結構圖

他們擁有了VPN本身具有的安全技術，但也存在一些需要改進的地方：

（1）每天產生的VPN網絡日志數量多，無法集中保存和管理。

（2）海量的數據沒法分析，可能的安全威脅淹沒在幾十萬條安全日志里。

（3）亡羊補牢式的事中、事后處理，無法及時全面的“查出根本原因”，且不能做出合理有效地風險和規避決策。

（4）因缺乏信息安全管理設備，無法做出有效的攔截和及時的處置。

（5）頻繁變化的安全攻擊技術及大量日志，需要更為專業人員的分析、處理。

因此企業建立一個網絡信息安全監控、分析、處理的管理系統需求日趨迫切，也是對服務提供商網絡安全保障的一種要求。

2.2 網絡信息分析方法

企業通過網絡所提供的信息與數據必須符合國際、政策、行業標準等，必須受控及合規。網絡信息的傳輸過程、傳輸的日志在故障排查、事故處置上都要求被記錄，提高事故的應變，提供鑒別方法，協助企業迅速恢復對其 IT 資產的掌控。其包含監測及管理安全設備和應用，含防火墻、路由器、防毒系統、入侵偵測和防御系統等等。

2.2.1 建立安全管理監控服務

區別于防火墻等產品專注于解決某一問題，建立安全信息和事件管理服務機制，將事件、威脅和風險數據集中到一起，以提供強大安全情報、快速事件響應、無縫日志管理以及可擴展合規報告。

采用貫通應用層、執行層和管理層的平臺，把信息日志、安全監控規則進行自動收集及實時關聯和優先級排序，確定事件的根本原因，幫助企業IT分析、預測并生成切實可行的信息，更快更準做出運營決策。

2.2.2 整合IT安全設備，建立監控系統

通過將不同的IT設備進行整合，采用商業級的SIEM技術，進行事件分析和事件管理。包括IPS、防火墻、服務器和桌面操作系統、網絡設備等其他安全產品融入到安全監控服務中，對網絡數據進行捕獲、分析，從而提高信息威脅的跟蹤與風險評估，實現實時協作、受控響應及精確報告。

措施一、利用IPS實現網絡架構防護機制：

來自網路的危險和攻擊日益增多（如DoS拒絕服務，DDoS分布式拒絕服務，暴力破解等），在IDC機房或核心設備前設置managed IPS，對流經MPLS VPN網絡的數據進行漏洞掃描，查找識別庫中定義的攻擊代碼特征，過濾有害數據流，并記載入監控服務數據庫方便事后分析。

同時結合考慮應用程序或網路傳輸中的異常情況，識別入侵和攻擊，記錄用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點正在被利用等現象。

措施二、UTM接入收集網絡日志：

在MPLS VPN 各PE出口部署UTM，遠程日志收集，實時監控網絡安全日志，對惡意流量進行記錄和警告，上傳至監控管理系統，保障整個網絡環境下收集信息的完整，為監控、分析、排查補充提供依據。

措施三、形成監控、事件分析報告：

通過被監控的IPS、UTM設備的日志收集、分析、關聯和聚合，提供潛在信息安全事件發生時的實時告警和報告，提供在線的信息安全事件查詢。

2.3 網絡日志、安全事件的分析意義

建立網絡日志、安全事件的監控收集服務，提供實時的分析，對可能存在的攻擊告警，識別真正的威脅信息、危害行為；根據分析報告、告警信息，優化改進網絡配置或增加硬件防護，提高VPN網絡的安全性。

3 結束語

對于企業來講，每天警告一萬條、或者一千萬條的威脅數據，對于決策者來說是沒有意義的。他們希望看到的是跟實際業務結合，綜合評估在可預見范圍內將會有多大損失，需要投入多少資金、人力解決相關問題。管理監控服務最重要的就是數據的動態分析，根據數據的分析做出臨時性應對決策，接著在確定相關聯事件及其對基礎設施的影響后，采取針對性的行動，因此管理服務的建立將幫助網絡工程師快速做出決策提供堅實的判斷依據。

[1]高海英，薛元星，辛陽.VPN技術[M ].北京：機械工業出版社，2004.

[2]李曉東.MPLS技術與實現[M].電子工業出版社，2002.

[3]石永紅，劉嘉勇，湯云革.基于MPLS的VPN技術原理及其實現[J].電子技術應用，2004.