1. 概述
随着网络规模的不断增大,其应用和复杂度也在不断增加。对一个大型园区来说,通常包括很多不同的公司/部门/群组在同时使用网络,网络上承载着各种不同的复杂应用。如,一个大型科技园区,集中了几十、上百家公司,他们共用网络、Internet出口和一些资源服务器,但他们各自的办公和生产业务却需要与其他公司业务隔离开来,限制外部人员的访问权限;另如,政府、金融等部门,对日常生产、办公业务与涉密业务进行安全的隔离也有着严格的要求。
很多时候,需要对这些不同部门/群组用户的资源访问权限进行控制、不同业务间的网络传输也需要安全隔离,这种隔离指的是访问、传输、应用端到端的隔离。
对于有业务和应用隔离需求的用户来说,传统的物理网络隔离方案已无法满足需求:网络重复建设、分散管理、安全策略难部署、无法提供统一的应用服务等,都大大增加了用户在网络投资、建设和运维、管理方面的负担。
园区虚拟化解决方案很好地解决了这个问题,把共用的一套物理网络、客户端、服务器资源虚拟出多套逻辑资源,供不同的群组/部门、业务使用,实现根据业务和应用划分访问权限和业务流向、安全隔离,同时,也能根据需要提供灵活的互访控制。
图1 网络虚拟化逻辑示意图
2. 解决方案介绍
园区虚拟化解决方案就是把网络等硬件设备和应用服务等都看成统一的资源,通过一些技术实现手段和方案设计,把这套共有的资源虚拟成多套逻辑资源,供不同的群组/业务使用。虽然在物理上这些资源是统一、集中的,但对不同的用户/业务来说,能够使用到的资源、配置的安全/管理策略可能各不相同。
在园区虚拟化整体解决方案中,主要包含下边三个部分:
网络接入控制:保证接入用户的合法性和安全性,并能够控制用户的访问权限
业务逻辑隔离:保证接入用户能够正确访问相应的资源,以及业务数据交换的隔离
统一服务和管理:通过集中策略管理,保证数据中心、服务器能为相应的合法用户提供服务
图2 园区虚拟化解决方案逻辑关系图
2.1 网络接入控制
通过网络接入控制来对接入网络的终端进行资源访问授权和接入层安全保障。
在网络中,任何一台终端的安全状态,都将直接影响到整个网络的安全。非法用户的侵入,肆意破坏和盗取内部资源信息;不符合企业安全策略的终端(如防病毒库版本低,补丁未升级),容易遭受攻击、感染病毒,如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染;在一个没有安全防护的网络中,最终的结果可能是全网瘫痪,所有终端都无法正常工作。
对用户接入终端简单的权限认证,可以使用标准的IEEE 802.1X认证,这种基于端口的认证方式还可以通过动态VLAN下发,控制用户进入隔离区还是访问正常的网络资源。
另一种可进行用户接入控制的方案是使用H3C的端点准入防御(EAD,Endpoint Admission Defense)系统。H3C公司推出的端点准入防御(EAD)解决方案,旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。
通过EAD系统进行接入控制的处理流程如下:
1)用户终端试图接入网络时,首先通过安全客户端进行用户身份认证,非法用户将被拒绝接入网络
2)合法用户将被要求进行安全状态认证,由安全策略服务器验证用户终端安全状态是否符合基于用户帐号预定义的安全策略,包括补丁版本、病毒库版本是否合格,软件安装允许是否合格、是否使用代理服务器等信息,不合格用户将被安全联动设备隔离到隔离区
3)进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作,直到安全状态合格
4)建立EAD与MPLS VPN的关联关系,安全状态合格的用户将能够正常接入网络,并通过Cams服务器预先配置好的用户对资源访问的策略关系,下发策略使用户获得基于身份资源服务
图3 Cams服务器调整接入用户资源访问权限
这样,无论用户从网络何处接入,都要进行安全性检查和认证,认证通过后由策略服务器下发配置使用户获得同样的网络资源,大大提高了网络接入的灵活性。
(责任编辑:高爽)
