华为防火墙在校园出口安全方案中的应用(基于IP地址的策略控制和基于用户的策略控制)

防火墙在校园出口安全方案中的应用

本案例介绍了防火墙在校园出口安全方案中的应用。通过分析校园网安全面临的主要问题以及校方在网络访问管理中的常见需求,本案例给出了最典型的2个应用方案,可以解决大多数情况下的校园网安全方案部署。

方案简介

随着教育信息化的加速,高校网络建设日趋完善,在师生畅享丰富网络资源的同时,校园网络的安全问题也逐渐凸显,并直接影响学校的教学、管理、科研等活动。如何构建一个安全、高速的校园网络,已成为高校网络管理者需要迫切解决的问题。

校园网从网络层到应用层的各个层面都面临着不同的安全威胁:

  • 网络边界防护:校园网一般拥有多个出口,链路带宽高,网络结构复杂;病毒、蠕虫的传播成为最大安全隐患;越来越多的远程网络接入,对安全性构成极大挑战。
  • 内容安全防护:无法及时发现和阻断网络入侵行为;需要对用户访问的URL进行控制,允许或禁止访问某些网页资源,规范上网行为;需要防范不当的网络留言和内容发布,防止造成不良的社会影响。

FW作为高性能的下一代防火墙,可以部署在校园网出口,帮助高校降低安全威胁,实现有效的网络管理。FW不仅可以提供安全隔离和日常攻击防范,还具备多种高级应用安全能力,如攻击防范、IPS、防病毒、上网行为审计等,在实施边界防护的同时提供应用层防护。

图1-1所示,FW作为安全网关部署在校园网出口,提供内、外网互访的安全隔离和防护。FW不仅可以提供传统的基于IP地址的安全策略制定和网络访问控制,还可以提供基于用户的访问控制和行为溯源。这给予了网络管理者极大的灵活性,可以依据网络实际情况选择最高效的管控策略,并减少安全维护的工作量。

图1-1  FW在校园网中的应用

方案一:基于IP地址的策略控制

典型组网

图1-2所示,FW作为安全网关部署在校园网出口,为校内用户提供宽带服务,为校外用户提供服务器访问服务。由于校园网络是逐步、分期发展起来的,所以出口链路的带宽并不均衡,其中教育网的链路带宽为1G,ISP1的3条链路带宽分别为200M、1G和200M,ISP2的2条链路带宽均为1G。

图1-2  基于IP地址的策略控制组网图

由于学校网络的主要用途是学习和工作,所以在保证内网用户和服务器安全的同时,要合理分配带宽资源,并对网络流量进行负载分担,提升内外部用户的访问体验。校园网的主要需求如下:

  • 负载分担
    • 为了保证内网用户的上网体验,充分利用多条ISP链路,学校希望访问特定ISP网络的流量优先从该ISP对应的出接口转发出去,例如访问教育网的流量优先从GE1/0/1转发,访问ISP2的流量优先从GE1/0/5或GE1/0/6转发。同时,对属于同一ISP的多条链路,可以按照链路带宽或权重的比例进行流量负载分担。为提高转发的可靠性,防止单条链路流量过大导致丢包,各链路间还要实现链路备份。
    • 各ISP链路的传输质量实际上是不同的,其中教育网和ISP2的链路质量较高,可以用来转发对时延要求较高的业务流量(例如远程教学系统的流量),ISP1的链路质量较差,可以用来转发占用带宽大、业务价值小的业务流量(例如P2P流量)。考虑到费用因素,访问其他高校服务器的流量、图书馆内用户的上网流量、所有匹配缺省路由的流量需要从教育网链路转发出去。
    • 由于校内用户自动获得的是同一个DNS服务器地址,所以流量将从同一条ISP链路转发出去。学校希望充分利用其他链路资源,所以要分流部分DNS请求报文到其他ISP链路上。如果只是改变了报文的出接口,还是无法解决后续上网流量集中在一条链路上的问题。所以要将报文发送到不同ISP的DNS服务器上,这样解析后的地址就属于不同的ISP,达到了分流的目的。
    • 学校内部署了DNS服务器提供域名解析服务,不同ISP的用户访问学校网站时,可以解析到属于自己ISP的地址,不会解析到其他ISP的地址,提高访问质量。
    • 由于访问图书馆服务器的流量较大,所以需要部署2台服务器对流量进行负载分担。
  • 地址转换
    • 校内用户访问Internet时需要使用公网IP地址。
    • 校内服务器使用公网IP地址同时为内、外网用户提供服务,例如图书馆服务器、Portal服务器、DNS服务器等。
  • 安全防护
    • 按照网络设备所处的位置划分不同区域,并对各区域间的流量进行安全隔离,控制各区域间的互访权限。例如,允许校内用户访问外网资源,只允许外网用户访问校内服务器的指定端口。
    • 能够防御常见的DDoS攻击(例如SYN flood攻击)和单包攻击(例如Land攻击)。
    • 能够对网络入侵行为进行阻断或告警。
  • 带宽管控

    由于带宽资源有限,所以学校希望限制P2P流量占用的带宽比例,并限制每个用户的P2P流量带宽。常见的P2P流量主要来源于下载软件(如迅雷、电驴、BT、Ares、Vuze)、音乐软件(如酷我音乐盒、酷狗、SoulSeek)或视频网站或软件(如百度影音、爱奇艺、搜狐影音)。

  • 溯源审计
    • 为了防止个别校内用户的不当网络行为对学校声誉造成伤害,并做到事后能够回溯和还原事件,需要对校内用户的网络行为进行审计,供日后审查和分析。需要审计的行为主要包括URL访问记录、BBS和微博的发帖内容、HTTP上传和下载行为、FTP上传和下载行为。
    • 学校部署有日志服务器,需要在日志服务器上查看攻击防范和入侵检测的日志,并且能够查看NAT转换前后的IP地址。

方案二:基于用户的策略控制

典型组网

图1-3所示,FW作为安全网关部署在校园网出口,为校内用户提供宽带服务,为校外用户提供服务器访问服务。学校还部署了RADIUS服务器,并在服务器上存储了用户/组和密码等信息,上网用户通过BRAS设备访问网络资源前必须先通过RADIUS服务器的认证。管理员可以根据现有的组织结构,在FW上手动创建或者使用文件批量导入相应的用户/组,然后通过策略来控制不同用户/组对网络的访问行为。为了提高校园网出口的可靠性,学校从ISP1和ISP2分别租用了1G带宽的链路,从教育网申请了10G带宽的链路。

图1-3  基于用户的策略控制组网图

由于学校网络的主要用途是学习和工作,所以在保证内网用户和服务器安全的同时,要合理分配带宽资源,并对网络流量进行负载分担,提升内外部用户的访问体验。校园网的主要需求如下:

  • 用户与认证
    • 上网用户通过BRAS设备接入Internet,RADIUS服务器用于对员工进行认证。用户通过RADIUS认证后,无需在FW上再次认证。
    • 校内上网用户分为几类:包括教师、图书馆上网用户、公共区域上网用户、20元包月上网用户和50元包月上网用户。管理员希望基于用户来控制网络权限,需要FW上存储用户的信息,供策略引用。
    • 对于RADIUS服务器上的新增用户,即使FW上没有此用户的信息,也要允许其能够正常访问网络。
  • 负载分担
    • FW可以基于用户属性控制其上网权限,并根据用户属性的差异选择不同的ISP链路转发相应流量。例如,教师和50元包月用户的流量可以根据报文目的地址从多个ISP链路转发出去;20元包月用户和图书馆上网用户的流量只能从教育网转发;公共区域上网用户的流量优先从教育网转发,当教育网链路过载时,也可以从其他ISP链路转发。
    • 各ISP链路的传输质量实际上是不同的,其中教育网和ISP2的链路质量较高,可以用来转发对时延要求较高的业务流量(例如远程教学系统的流量),ISP1的链路质量较差,可以用来转发占用带宽大、业务价值小的业务流量(例如P2P流量)。考虑到费用因素,访问其他高校服务器的流量、图书馆内用户的上网流量、所有匹配缺省路由的流量需要从教育网链路转发出去。
    • 由于校内用户自动获得的是同一个DNS服务器地址,所以流量将从同一条ISP链路转发出去。学校希望充分利用其他链路资源,所以要分流部分DNS请求报文到其他ISP链路上。如果只是改变了报文的出接口,还是无法解决后续上网流量集中在一条链路上的问题。所以要将报文发送到不同ISP的DNS服务器上,这样解析后的地址就属于不同的ISP,达到了分流的目的。
    • 学校内部署了DNS服务器提供域名解析服务,不同ISP的用户访问学校网站时,可以解析到属于自己ISP的地址,不会解析到其他ISP的地址,提高访问质量。
    • 由于访问图书馆服务器的流量较大,所以需要部署2台服务器对流量进行负载分担。
  • 地址转换
    • 校内用户访问Internet时需要使用公网IP地址。
    • 校内服务器使用公网IP地址同时为内、外网用户提供服务,例如图书馆服务器、Portal服务器、DNS服务器等。
  • 安全防护
    • 按照网络设备所处的位置划分不同区域,并对各区域间的流量进行安全隔离,控制各区域间的互访权限。例如,允许校内用户访问外网资源,只允许外网用户访问校内服务器的指定端口。
    • 能够防御常见的DDoS攻击(例如SYN flood攻击)和单包攻击(例如Land攻击)。
    • 能够对网络入侵行为进行阻断或告警。
  • 带宽管控

    由于带宽资源有限,所以学校希望限制P2P流量占用的带宽比例,并根据用户属性限制每个用户的P2P流量。其中,教师和50元包月用户可以拥有2M的P2P流量带宽,其他用户可以拥有500K的P2P流量带宽。常见的P2P流量主要来源于下载软件(如迅雷、电驴、BT、Ares、Vuze)、音乐软件(如酷我音乐盒、酷狗、SoulSeek)或视频网站或软件(如百度影音、爱奇艺、搜狐影音)。

  • 溯源审计
    • 为了防止个别校内用户的不当网络行为对学校声誉造成伤害,并做到事后能够回溯和还原事件,需要对校内用户的网络行为进行审计,供日后审查和分析。需要审计的行为主要包括URL访问记录、BBS和微博的发帖内容、HTTP上传和下载行为、FTP上传和下载行为。
    • 学校部署有日志服务器,需要在日志服务上查看攻击防范和入侵检测的日志,并且能够查看NAT转换前后的IP地址。