NBAD案例分析 电子企业安全网络改造规划

　　规划前架构

　　规划后架构

　　目前在线设备有Fortinet、FortiAnalyzer、UTM(AboCom)、Alcatel6850、NBAD switch、NBAD manager、AboCom Content Recorder、AboCom Mail Server

　　NBAD产品介绍

　　NBADswitch –是具备24/48端口10/100Mbps + 2Combo Gigabit传统Layer 2边缘交换机(NBADswitch)，它的设计目标就是-以线速效能达成局域网稽核、攻击防护、完整及多层次的可用性与深层的安全管理，以达到内网安全第一线的网络用户病毒散播侦防、隔离、并达到自我治疗、复原的目的。这些手段包括：

　　网络认证–(1)身份认证 -NBADswitch支持IEEE 802.1x认证机制，让网络使用者进入网络之前必须经过身份确认的程序，并支持SyGate、Microsoft NAP端点安全认证，以确保使用者入网前可以提供主机完整性检查(Host Integrity Check)。(2)设备认证 -NBADswitch芯片支持MAC、Port、IP组合绑定的设备认证机制(Device Authentication)，让不便使用IEEE 802.1x身份认证机制的人员或设备，可利用此机制阻止未授权设备(Rogue Device)的入侵或避免网络MAC/IP存取冲突。(3)TCP#封锁 -NBADswitch可以设定需要封锁的TCP port，使特定的网络服务无法在网络上运行，这通常是发现有如虫或病毒正利用该TCP#进行感染的时所使用的手段。(4)DHCP导正与强制 -NBADswitch可以借用特定的手法导正不正常的DHCP使用，例如Rouge DHCP Server 、DHCP强制。(5)802.1Q perPort VLAN -NBADswitch可以设定 PerPort VLAN 主要是提供快速设定每个 port 对应一个 VLAN, 目的可使交换机每个相邻的端口都不互通，这可以使网络用户即使中毒也互不干扰。

　　异常侦测–NBADswitch内建第2-4层ARP及信息流量统计及异常流量的ASIC芯片，每个封包经过交换机上的每一个端口均送往此芯片监测，以线速检测是否为恶意的攻击封包，而提供的异常侦测方式包括：(1)ARP攻击侦测–小区网络或学校常有因为中毒或学生刻意使用netcut来扰乱整个网络常使管理员疲于奔命。(2)蠕虫攻击- 部分因为操作系统或数据库的漏洞造成蠕虫利用后门散播,进而拖垮整个网络。(3)流量异常侦测(anomaly based) – 这是一种统计基础的防卫机制，预设每个IP合理的信息流量临界值(thresholds)，当某网络用户session流量超过此临界值，NBADswitch可立即根据预设的管制动作采取行动。(4) 扫描侦测–通常病毒、蠕虫、黑客进行感染或攻击之前都会进行Port Scan / IP Scan , 因此掌握这些扫描很重要。(5)钓鱼侦测- 可侦测使用者浏览到恶意网页,而遭到挟持植入后门程序。

　　隔离管理–NBADswitch内建完善的隔离管理程序，善加利用可以节省网络管理员大量的时间，达到管理的自动化，这些程序包括：(1)隔离程序 – NBADswitch检测到攻击源时会立即执行预设的隔离政策，包括完全隔离或移送Quarantine VLAN、降速Rate Limit等。(2)通知 – 一旦中毒者被移送Quarantine VLAN，且开启网页时;NBADremedy会自动发出隔离通知，使中毒者了解发生了什么事，并可依照指示进行治疗程序;同时可以启动Windows PoP-UP通知管理员。(3)复原 – NBADswitch可以依照设定的时间自动将中毒者回复正常，如中毒者仍继续攻击将再度被隔离。

　　NBADmanager - 是可应用于任何网络环境的网管系统，不仅可监视NBADswitch网络交换机，还可提供不同品牌网络硬件设备(内建SNMP的MIB-II值)管理功能，皆可与此网管系统搭配使用，提供完整的网络管理方案。网络管理员可藉由SNMP标准协议监视与管理组织内网络设备，甚至获得所有NBADswitch内IP flow流量信息。主要功能：

　　实时网络状态的监视- NBADmanager登录后立即显示网络现况，包括组织表上设备的状态、汇集进出NBADswitch所有IP flow Top-N流量表、SNMP trap与syslog最新事件记录。

　　网络设备的管理- 所有的NBADswitch均由NBADmanager控管，经由NBADmanager可查询各个NBADswitch的网络状况，如IP地址、设备位置、目前网络运作状况，包含各网络port的封包流量，或是已经Port-down，并且对每一部NBADSwitch 的Session监控、蠕虫病毒&Dos/DDoS防御管理、事件记录文件(Event trap log)的管理。

　　NBADswitch策略的派送 - 所有NBADswitch/sensor系统内QoS、Mac+IP Binding List、蠕虫辨别定义等设定策略(Policy)，均经由NBAD Manager设定后经由网络派送至各个NBADswitch，如此就勿需对每一台NBADswitch逐一进行设定，提高管理效率，降低管理上的不便性。提供设备群组设定功能，让管理者可依照实际设备摆放位置或组织架构来设定本设备。

　　达成效益

　　网络建置后，建立了一套用户MAC/IP监管系统，在接入层防范了ARP攻击、蠕虫泛滥等常见内网问题，配合NBADmanager及时对异常流量做记录与适当处理，透过多层分工控管简化管理层次并及时处理异常事件，及时准确地对威胁进行追踪及定位;通过与Firewall/UTM的配合，有效防范了未知名的入侵者侵入，保护了使用者文件及服务器档案。通过将端点防御、网络行为记录稽核、网关安全防御、内网认证及威胁侦测防御的各功能模块的整合，简化了网络管理复杂性，打造一个安全的、高效的、可管理的企业信息服务网络。