基层央行 | 插卡式防火墙在基层人行的应用与实践
随着计算机网络技术的高速发展,企事业单位所面临的网络威胁也越来越隐蔽多变。在网络关键位置部署防火墙可以有效抵挡大部分的网络攻击,守护网络安全。本文以基层人行为例,介绍了一种基于现网实际情况改动较小、投资较少的网络安全设计方案。利用插卡式防火墙进行边界防护,保障网络安全,从而达到网络安全防护能力提升的功效。
实践背景
人民银行分支机构的网络结构在应对外部入侵等安全攻击方面存在许多不足。如省会中支所在的省级节点仅具有边界防火墙,只能防护进出省级节点的南北向流量。生产区更是没有安全防护,易被攻破,因此需要对东西向流量以及生产区的进出流量加强网络安全访问控制。地市中支所在的市级节点安全防护更差,缺少南北向流量防护的纵向防火墙,整个网络与省级节点之间没有任何安全防护,存在严重的安全隐患。
1.核心交换机上增加访问存在缺点。一是配置多、难度大。在数据中心中存在大量互访流量,要编写ACL的难度非常巨大,且通过命令行配置易出错。二是影响核心性能。交换机作为数据中心数据转发的基础,ACL配置过于影响核心交换机处理性能。三是维护复杂。目前主流交换机厂商的设备都是通过命令行进行管理,大量ACL对于配置维护以及后期排错具有极大影响。四是安全防护能力弱。通过ACL只能做到基于IP五元组的隔离,无法做到网络的精细化管控。
2.部署专业边界安全网关设备。部署独立安全网关设备会增加网络节点,导致原有网络拓扑结构改变,整体网络变动较大,不仅增加设备成本,还会增加运维及实施成本。
因此采用插卡式防火墙,将其作为交换机板卡扩展,不仅易于实施,还能满足安全防护需求。在基础网络设备中,通过插卡的形式融合安全,相比传统的外置独立安全设备,具有安装布线简单、管理部署简单、即插即用、功能及性能易扩展等优点。对于安全而言,通过这种方式,可以有效利用网络设备丰富的端口资源及强大的交换网能力。而对于网络设备而言,则可以按需增加各种安全防护能力,可以说是一种绝佳的互补形态。
技术分析
人民银行省级节点与市级节点网络结构是一个典型的三层架构。为保证快速交付及上线,在对原有网络拓扑结构尽可能不改动的前提下,选择在核心交换机上增加插卡式防火墙的方案,可以灵活、迅速的在主网络设备中整合防火墙等安全功能,实现网络安全防护的高度一体化。
插卡防火墙作为交换主机的安全业务处理引擎,可以被主机统一管理配置。并且主机上的多插卡之间逻辑上是一个业务整体,主机只需要将流量引到该逻辑单元,其内部的各业务插卡可以自动实现负载分担。在多业务插卡情况下,通过服务链的方式可以让网络管理员简单地通过指定业务流及业务引擎处理顺序即可实现多业务引擎之间的自动引流。同时插卡具有大容量的内存,可以实现海量并发会话支持,满足省级节点、市级节点的性能要求。在功能上除具备防火墙、VPN、防攻击、NAT等基本防火墙功能外,同时集成了IPS、AV、应用识别与控制、URL自定义及分类过滤、内容控制等多维度深度安全防御功能。还可以支持基于链路和服务器的负载均衡,可以满足省级节点、市级节点的网络安全防护要求。
目前,插卡式防火墙已经完全具备了三层网络设备间的转发能力,这使得防火墙插卡可以极其灵活的应用在核心交换机中,同时又能提供丰富的安全特性,为网络环境提供安全防护。将防火墙作为交换机的业务板卡设计,可以同时利用交换机的高性能转发特性和防火墙板卡的安全特性,保障网络传输通道的可靠与安全。
方案设计
在设备内部,插卡式防火墙与设备主机之间通过背板总线进行高速数据交换,基于交换机的无阻塞架构技术,可以为整体设备提供强大的转发能力。同时可通过交换机的扩展能力为设备提供大量的外部接口,可以满足丰富的接入需求。
当防火墙板卡安装上以后,通过配置安全策略,对于需要防护的流量,引流到安全插卡上进行处理。对于VLAN间需要防护的流量,也可以引流到安全服务区处理。通过防火墙插卡按需引流,可以简化整网安全策略,降低传输时延及被阻断的风险。
如图所示,黄色流量与绿色流量为外部进入数据中心内的流量,红色与蓝色是数据中心内部跨VLAN的流量。通过按需引流的方式将流量引入防火墙插卡中进行安全过滤,可以对流量进行灵活管理。
图 防火墙插卡流量示意图
除此之外,防火墙板卡还能提供丰富、全面的协议特征库,可识别超过2000种协议,全面覆盖主流应用并可以根据业务流量五元组自定义应用,还支持全面的检测技术,采用融合的深度包检测和动态流识别技术,通过协议特征、流量特征等技术,精确识别网络应用,对网络应用流量进行精细化管控。
不仅如此,防火墙插卡还支持VPN、IPS、安全过滤以及地址转换等功能,在不改变网络拓扑的情况下,通过防火前插卡以提升交换机的安全防护能力,为整体网络提供全面、可靠的安全保护。
实践分析和总结
1.市级节点优化措施。通过增加防火墙插卡后,网络安全大大的得到了提升。同时通过WEB界面管理与配置,可以极大提升运维效率。大量的日志与报表呈现也为管理员掌控全网网络安全提供强大的数据基础。
2.省级节点优化措施。主要生产区与办公区等区域之间的东西向流量实现了有效的安全隔离,可以对访问各个业务系统的流量进行管控。同时还提供了丰富的流量控制策略,可以保证数据中心内流量精细化管理。还增加了强大的审计能力,可以通过设备日志、攻击日志以及流量分析日志等查看网络的安全状态以及威胁。在市级节点中,节点内部网络与省级节点之间具有完整的安全防护策略,可以对进出市级节点的流量做到端口级控制,有效的防护省级节点和市级节点之间的攻击流量,提升网络的安全性。
3.防火墙插卡的最新Web管理构架。这样做可视化效果强,操作简单快捷,可以采用页面中直接匹配设计好的安全策略模板,也可以根据业务情况自定义安全策略,并且配置及时生效,可以极大提升运维效率。同时,插卡式防火墙还支持用户类日志、安全类日志、设备类日志以及应用类日志等多种日志类型供管理员查看,帮助管理员了解整网运行状态。也支持按照流量情况、威胁情况以及策略匹配率等多种方式导出报表,使得管理员可以根据报表进行统计分析,并将分析结果输出报告或通过大屏展示。
通过一段时间的运行使用,插卡式防火墙的作用得到了很好的体现,达到了预期效果。在保护网络免受病毒感染和恶意攻击中起到了重要作用,保证了基层央行的网络安全,同时提升了网络管理员的运维管理效率。
(栏目编辑:李朝瑞)
往期精选:
(点击查看精彩内容)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪