随着互联网的发展,IP技术开始成为网络世界的主宰。IP已经不再局限于数据网络中,语音、视频等多媒体信息也逐步由IP技术来转发,以太网变得越来越复杂。原本以太网就是一个管理相对简单的网络,近年来,随着带宽的不断增加,以太网的管理也通过新技术的出现而不断加强。不过随着融合的不断发展。以太网的网络安全问题再一次突出出来。
VoIP的安全性容易被忽视
VoIP技术日趋成熟,类似话音压缩、QoS质量保障之类的话题被大家广泛的讨论并达成共识。可以说VoIP技术已经从原来的实验性质真正的专向为成熟的商业应用。现在已经有很多企业用户已经开始关注起VoIP这一应用。但是,在应用中,用户和设备供应厂家更多的会将精力放在话音质量和同现有数据网络的融合上面,很少考虑到VoIP所存在的安全隐患。特别是在大多数人眼中,VoIP是电话设备,因此潜意识中就缺乏安全仪式。但事实上,由于语音传输融入到了数据网络中,话音与数据都以数据包的形式转发,因此,这些安全隐患将导致整个防守严密的网络遭受不测。比如,市场上很多采用H.323协议的VoIP系统在H.245建立过程中都存在漏洞,容易在1720端口上受到DoS的攻击,导致从而系统的不稳定甚至瘫痪。
此外,VoIP设备的软件往往是固化在硬件之中的,更新慢,安全漏洞不易弥补,而帐户密码问题与PC等相比更容易被忽视,因此,加载语音之后的数据网在安全方面存在的漏洞较多,且不容易被察觉。但是,这些漏洞一样能够被来自于外部的攻击所利用,给企业的网络安全带来严重威胁。
因此,在新的网络发展趋势下,对于网络应用的安全问题需要重新做出思考。虽然安全是一个老话题,但不同时期,用户将面临不同的网络安全挑战。
目前要解决这些问题,一方面要在产品和技术上不断改进,以完善设备安全性,另一方面,更重要的是建立起来安全意识,从安全管理方面做些工作,避免这些安全漏洞造成重大损失。那么如何在管理方面保证安全呢?
VPN就是很好的一个管理措施,基本上,将VoIP访问单独划分为一个VPN,这样即使出现安全问题,也可以局限在一定的范围内,不会对整个网络造成安全危害。在神州数码的网络安全方案中,"安全域"是一个有效的选择。安全域实际上是一个划定安全策略的VLAN,比如给VoIP的访问设定为一个安全域,而其他网络用户使用其他的安全域。这个VoIP的安全域基于相应的数据访问权限和流量,从而防止因为非法的攻击而导致整个网络瘫痪。在安全策略的分发方面,需要有一定的机制,神州数码采用LinkManager系统网管软件和DCBI认证系统来保证VLAN安全策略的分发。
数据网络的安全防范更重要
即便是面向多技术融合的以太网络,数据安全还是最重要的课题,有了良好的数据网络的防范结束,多技术的网络安全问题就有了基本保障。对于网络的安全,基本上需要两手准备,一手是防火墙,它主要应对来自网络外部的安全威胁,比如黑客攻击,非法访问等等问题;另外一手是针对于网络内部的安全措施。
近几年来,防火墙技术发展的很快,目前千兆防火墙已经广泛使用,防火墙技术已经基本成熟。在防火墙方面,最重要的是防火墙需要有私有协议。为什么这么说呢?随着防火墙技术逐渐走向成熟,人们对于它的工作原理也就越来越熟悉。对于采用私有协议的防火墙来说,其安全性能就更好一些,常见的黑客工具和手段就难以破解,病毒也不容易渗入。正式这个原因,神州数码自己开发了网络安全开发平台(DCFOS),在这个平台上开发的神州数码防火墙具有私秘协议,这在安全性方面更加突出。
目前,防火墙和病毒服务器逐渐成为防护外来病毒攻击和黑客攻击的主要手段。此外,防火墙的发展逐步走向安全功能多元化。除了外部攻击的防护之外,防火墙逐步溶入了更多的管理功能。比如,增加病毒监测和病毒数据包侦测等功能。神州数码在防火墙上增加了VPN的管理能力,主要集中在通过防火墙来完成VPN的策略管理。在神州数码企业网安全策略方面,"安全域"是一个非常重要的概念。是基于安全策略的VPN,神州数码防火墙产品已经加入了安全策略的管理。这对中小规模的网络来说十分适用,一方面网络结构进一步简化,另一方面,防火墙成为既能对外防护,又能够完成内部防护的关键设备,从网络的辅助设施转变成网络和核心设施。
在网络内部防范方面,一般的企业网可以通过外设防火墙,内部通过较为简单的方案就可以达到基本的安全防范。毕竟网络管理可以与行政管理结合起来。但是,企业网在教育行业是一个例外。主要集中在高等院校的校园网。这主要在于高校校园网用户基数很大,往往是数万人在使用,而且应用十分丰富,学生电脑病毒和黑客工具的应用十分普遍,这对安全管理形成很大的威胁。此外,更为重要的是,端口铺设到宿舍之后,高校校园网面临着运营问题,而面对各种可能存在的代理服务器,私自假设的交换机,以及非常规设备(如"三通"之类的设备),这样就容易造成多人使用一个帐户,或者盗用别人帐户的问题。而对于运营问题,还有一个挑战就是如何鉴别同样一个帐户在不同场合是否需要计费的问题,比如,某个学生在教室等场所可能是不计费的,但是在宿舍则是需要计费的。同样,高校校园网本质上融合了企业网和电信运营网的共同特征,这些特征都远远超过传统企业网的内容。因此,安全管理十分复杂。基本上来说,需要解决这样几个问题:首先是身份认证,如何透过各种代理服务器和非法设备识别到具体用户,并以此来判断是否用户上网合法;其次是网络设备的突发容量的应对能力,数万人上网和下网,以此带来的高强度的认证和数据交换,十分容易造成网络瘫痪;第三个问题是安全防护问题,学生好奇心强,随着黑客工具的傻瓜化,很多攻击并非来自于学生的恶意目的,但是网络却不断承受大量的来自于内部的网络攻击,很容易造成校园网的瘫痪,特别是容易因为病毒爆发而导致网络瘫痪。可以说,高校校园网的安全问题研究,对于企业网来说有和强的借鉴意义。
D2SMP是有效的安全管理方案
D2SMP是分布式安全域管理策略的简称。有几个部分构成,首先是通过防火墙来保障屏蔽来自外部的非法访问;其次是将内部安全管理分布于网络的各个部分,特别是接入层,这就要求接入层的交换设备具有安全防范能力,主要是能够识别用户身份。神州数码网络设备在这个方面主要通过IEEE802.1X协议和DCBI系统来完成。在这个系统中,用户需要一个客户端软件,神州数码的系统能够自动将这个客户端软件加载到用户端,当用户上网需求提出后,DCBI根据用户帐户、密码、IP地址、端口地址、MAC地址等多种信息来判断用户身份,从而返回指令,打开或者关闭交换机端口,以此来允许或者拒绝用户访问。第三部分是LinkManager和DCBI,这个系统的作用是用户身份识别,以此来确定是否允许用户上网,LinkManager将根据用户的身份自动加载相应的安全管理策略,并将这个用户加入相应级别的"安全域",从而保证整个网络的安全。第四部分是"安全域"的设定,主要包括用户访问的策略,流量管理策略等等内容,比如流量管理,即使用户电脑病毒爆发,由于流量策略的管理和相应"安全域"的访问规范,以便攻击危险仅局限在这个"安全域"中,以免对整个网络造成危害。
安全问题是以太网永恒的话题,随着技术融合越来越重要,基于技术融合下的以太网安全问题也就显得更加复杂和多样。D2SMP目前应用已经取得了一定的成效,但是安全发展是无止境的,特别是在宽带情况下,交换效率与管理本身就是一对矛盾,随着技术发展,安全问题也将不断的需要完善。
