专线广域网安全解决方案
在众多的安全手段当中,物理隔离是最简单有效的手段之一,因此很多企事业单位都会通过租用专线的情势搭建与Internet物理隔离的专线广域网,以保障本身的信息安全。
此时,已解决了来自互联网的安全要挟以后,信息安全关注的重点变成如何保障专线广域网的信息安全上来。
专线广域网信息安全的特点
分析专线广域网的利用环境,会发现整网的多管理员的管理模式,是其最大的特点。专线广域网连接的是各个分支机构的局域网,而一半情况下,每一个局域网都会有自己的管理员。对比较大型的专线广域网,也会实行分级网管策略,比如国家到各省的专线广域网为一个管理机构,各省内、市内的专线广域网又是各自独立的网管机构,从而构成多级网管的状态。专线广域网的这类多管理员特点,使得专线广域网在信息安全建设中需要斟酌以下几个问题:
1.怎样快速有效的抑制蠕虫病毒在网内的传播
由于专线广域网将所有的局域网进行了连接,一旦某一局域网内出现了蠕虫病毒,则病毒会通过专线广域网快速传播。而多管理员结构又造成这样一种情况,当某一管理员发现蠕虫病毒时,需要通过其它管理员来进行相应动作,从而使得对蠕虫病毒的响应速度变慢,乃至得不到控制。
2.怎么解决源自内网攻击行动和对攻击来源的定位问题
解决了源自Internet的安全要挟,其实不意味着攻击不会产生。个别不满员工的报复行动,由于缺少安全意识酿成的无意识的破坏行动,由于非法连接外网从而造成成为第三方想内网发起攻击的跳板等等问题,都使得需要对源自内网攻击行动进行辨认控制,并且需要定位攻击源。但是一样由于多管理员的问题,造成了定位困难。特别在某些内部局域网还采取了NAT技术的情况下,问题更加突出。
3.广域网带宽的有效保护问题
广域网带宽是非常紧缺和昂贵的,而在其上常常又常常承载视频会议等对带宽和时延非常敏感的利用,因此公道使用广域网带宽就显得非常重要。对比较大型的广域网,内部资源非常丰富,自建FTP乃至P2P下载的情况常常出现,这常常对有限的广域网带宽带来很大的压力。而在多管理员环境下,很难保证全网同一的QoS策略的有效实行。
除上述问题外,对比较大型的专线广域网常常会采取MPLS 技术进行多业务承载,这又对安全装备提出了组网适应性的要求,要求所选用的安全装备能够支持MPLS报文辨认、OSPF路由协议等网络特性。
