有幸拜读了李斌老师的《企业信息安全建设与运维指南》,书中详细介绍了基础安全建设、自动化系统建设、业务安全体系建设,受益匪浅。
结合李斌老师的书,做了随笔整理。
企业办公网安全体系建设,包括终端基础安全体系、防火墙和VPN、入侵检测/防御系统、邮件系统安全和统一账号认证系统建设。
1.终端基础安全
这部分内容上一篇有介绍:企业安全建设之基础办公安全体系建设(终端基础安全)
企业员工日常办公需要进行网络连接、如图主要包括以下几类:
·办公网用户需要访问互联网
·总部和分支机构需要进行互联
·办公网需要访问IDC(互联网数据中心)或生产网
·员工需要远程接入办公网
企业在进行网络互联和网络使用过程中,存在以下安全需求。
1)网络边界访问控制
办公网、生产网、互联网的安全级别是不一样的,其中互联网是最不安全的,存在大量的恶意攻击和尝试;生产网承载公司核心线上业务,需要进行重点保护;办公网往往比较复杂,安全风险也较高。因此在网络边界需要进行访问控制,对访问源、访问目的和端口进行限制,降低网络互联风险。
2)通信安全和传输安全
企业分支机构和总部远程办公接入都需要进行互联和网络信息传输,要保障数据传输安全,避免数据在传输过程中被恶意窃取;此外针对远程办公接入用户,还需要进行身份认证和权限控制,防止非授权访问和不安全接入。
3)安全上网
员工访问互联网时,可能有意或无意访问了恶意网站(如病毒网站、色情网站、钓鱼网站),被植入了木马或后门,导致终端被入侵;此员工可能使用了不安全的或公司不允许使用的软件,如各种远程控制软件和协助工具、p2p客户端、代理软件和协议等。企业需要在互联网访问出口处对上网行为进行安全管控。
下面主要介绍介绍防火墙、VPN和上网行为管理,通过这些设备和系统,解决网络互联安全风险问题。
2.1 防火墙
2.1.1防火墙简介和发展历程
防火墙是提供网络访问控制的硬件设备,防火墙的发展主要经历了以下几个阶段:
·防火墙:提供基于状态检测的防火墙,工作在OSI模型的第3层和第4层,基于源IP、目的IP、目的端口的访问控制。状态检测防火墙不仅维护了防火墙规则表,还建立了状态连接表,跟踪进出网络的会话状态,检测会话状态的完整性,阻断恶意和非法的连接,提高了网络的安全性。
·UTM:在防火墙的基础上增加了IPS(入侵防御系统)、恶意URL库、防病毒网关、VPN和上网行为管理模块,这些功能都集成到一台硬件设备中,降低了企业的投资成本。但由于集成的模块多,需要在数据包处理过程中统一对所有模块进行处理,也就是需要多次拆包和封包,在实际应用过程中性能很容易成为瓶颈。
·NGFW:功能上和UTM基本相同,不同的是NGFW采用高性能硬件架构和高效处理机制,即一次拆包,多个模块和功能并行检测,处理性能大大提升,是目前的主流防火墙。
2.1.2防火墙选型注意事项
防火墙通常部署在网络边界,如互联网出口、办公网和生产网边界,在进行产品选型时,主要考虑以下几个方面:
1)网络吞吐量
网络吞吐量指在开启所需功能(如防火墙+IPS+防病毒系统)后,在路由模式下,基于RFC2544标准,在1518字节下的整机最大吞吐量。网络吞吐量用于评价防火墙能处理和承载多少网络流量,是防火墙选型的重要指标。
2)最大并发连接数、每秒新建连接数
最大并发连接数指防火墙可以承受的最大的同时连接数量,每个连接都是一个TCP连接或UDP连接,最大并发数一般跟防火墙的内存有关系,目前主流的防火墙,一般并发连接数都很高,能满足实际的应用需求。
每秒新建连接数是每秒能处理的新建连接请求数,用户打开一个网站,往往会有多个HTTP/HTTPS请求,当访问结束后,连接关闭。这指标很重要,反映了防火墙能处理的并发请求数量,与真实网络环境中的用户数有关系,指标较高,就能支撑更多用户数环境的使用。如果这个指标偏低,新建连接数超过防火墙能处理的每秒新建连接数时,后面的用户需要等待前面的用户处理完成才能访问,用户会明显感受到网络访问速度慢。
3)VPN隧道数
一般防火墙还同时作为IPsec VPN网关,使用这个功能时,需要考虑VPN隧道数这个指标,也就是能满足多少用户使用VPN隧道访问资源。
4)网络接口数
这个和网络环境有很大关系,需要考虑防火墙的应用场景,如用于进行互联网连接,并且如果有多条线路就需要配置多个网口;需要考虑是否需要使用光口等情况;需要考虑扩容需求,如当前只需要用到4个网口,则企业可以先购买4个网口,后期通过扩展卡扩容至8个网口。
5)模块冗余和高可用
如果对高可用有要求,还需要考虑模块冗余性,如双电源。另外在使用时,要考虑防火墙是否支持双击热备和故障切换,保证不因为防火墙硬件故障而影响使用。
6)集中管理
如果有多个分支机构,需要考虑防火墙的集中管理功能,包括防护墙策略集中管理、防火墙日志统一收集和分析等。
7)功能授权和升级
如果需要购买IPS模块、防病毒模块、恶意URL库模块,还需要考虑这类模块的升级费用。
2.1.3 防火墙应用常见
在不同的应用场景下,防火墙的主要作用、功能应用和工作模式如下。
1)用户上网
在这种情况下,防火墙主要提供内网到外网的访问通道,对内部访问互联网进行地址转换呢,需要考虑启用入侵防御、防病毒网关、多链路负载均衡和链路故障切换。
这种场景下防火墙工作模式为路由模式。
2)提供外网访问服务
这种场景下,防火墙将办公应用(如OA、邮箱等)映射到互联网上,以供互联网用户访问。同样需要考虑启用入侵防御、网关防病毒等功能。
这种场景下防火墙工作模式为路由模式。
3)进行边界访问控制。
在分支机构和总部办公网、办公网和IDC之间,要考虑启用边界访问策略控制和入侵防御、网关防病毒等功能。
这种场景下防火墙工作模式为透明模式。
2.2 VPN网关
VPN主要分为IPsec VPN和SSL VPN。
IPsec VPN:使用IPsec协议在两个网络之间建立加密的传输隧道,工作在OSI模型的第3层。
SSL VPN:工作在SSL层,主要用于在远程接入终端(如办公计算机、手机)和网关之间建立安全加密隧道。
2.2.1 IPsec VPN简介和应用
IPsec VPN主要用于在不同办公场所之间建立网络安全通信信道,如分支机构办公终端需要访问总部办公应用系统(OA、ERP等)如图。
分支机构使用IPsec VPN网关与总部IPsec VPN网关建立安全通信信道,在进行组网和使用时,需要考虑以下几个问题。
·IPsec VPN协议是通用的,分支和总部可以使用不同品牌的硬件设备,但考虑到统一管理问题,建议使用统一品牌的设备。产品选型时应重点考虑设备支持的最大VPN隧道数。
·建议合理规划网段,各分支机构和总部的网段互相独立,不要发生冲突。
·跨运营商网络通信速度慢,如A运营商和B运营商建立IPsec VPN通信,通信速度会比较慢。因此建议总部需要有不同运营上线路,各分支机构选择延时低的线路接入。
·严格进行ACL限制,一般分支只允许访问总部基础办公服务网段(如OA、ERP等),不同分支间、分支和总部办公网段不建议互通,避免一个分支被入侵后,扩散到总部或其他分支。
·总部IPsec VPN网关建议考虑高可用,单台设备故障(包括设备断电、VPN通信端口故障、VPN通信链路故障)后可以切换到另一台设备上重建vpn隧道。
·网关需要具有DPD(失效对等体检测)功能,因为一般分支机构使用ADSL等非固定IP接入,获取新IP后VPN隧道会断掉,需要实现自动重连并建立新隧道。
2.2.2 SSL VPN简介和应用实践
SSL VPN应用于远程办公用户接入办公网,采用SSL对数据包进行加密保护,保证了数据的安全。
SSL VPN部署方便,用户安装SSL VPN客户端后就可以访问具有权限的系统,在实际应用中需要注意以下几个方面的问题。
·SSL VPN需要对互联网暴露客户端通信端口(一般是443端口),攻击者也可以通过这个端口发起攻击,所以需要确保设备自身安全并及时更新厂商安全补丁,避免攻击者直接进入内网。
·选型时要考虑设备支持最大用户数,同时在线用户数等指标,同时要注意支持客户端的丰富性,如windows、MacOS、Linux、安卓、iOS等系统。
·建议使用LDAP账号认证,同时要增加双因素认证(如增加短信认证因子,不建议使用图形验证,存在被爆破的风险)。
·进行精细化授权管理,对接人用户仅开放最小权限。
·考虑高可用,如双机热备。
·考虑多线路接入,使用户可以选择延时低的线路接入。
2.3上网行为管理
上网行为管理系统已经基本成为企业的标配产品,企业部署上网行为管理系统,主要解决用户上网过程中存在的如下问题。
2.3.1控制办公网访问互联网的应用
限制P2P等高宽带客户端的使用,避免消耗过多宽带影响用户办公。
管控软件的使用,如禁止使用远程协助软件、聊天软件,限制网盘等客户端的使用。
2.3.2避免访问恶意网站或违禁网站
通过恶意URL库和关键字识别,避免用户访问色情、博彩、反动等网站。
2.3.3实现上网行为审计
根据网络安全等级保护的要求,企业需要保存用户上网记录,包括用户名、访问时间、访问URL等信息,并且这些信息至少需要保存6个月。
需要及时更新URL恶意库和应用识别库,否则当应用客户端更新后,上网行为将无法被识别和拦截。
本章主要介绍了--企业安全建设之基础办公安全体系建设(防火墙、VPN和上网行为管理),下一章会写到入侵建和防御系统在基础办公安全体系中的建设。
欢迎关注LemonSec
觉得不错点个“赞”、“在看”哦
本文始发于微信公众号(LemonSec):企业安全建设之基础办公安全体系建设(防火墙、VPN和上网行为管理)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论