通过等保2.0分析我们系统的脆弱性
网络在集成中一直被认为是最简单的一块,其实是因为TCP/IP模型在几十年的运行下逐渐稳定,并且各大网络厂商通过各种简单的配置方式来简化配置,加上大家对“网管”的固有印象,导致了大家忽略了网络规划的重要性,忽略了网络配置的细节,一个规划好配置好的网络确实能减少不少日常问题,个人觉得在当今互联网时代,99%的应用系统、中间件、数据库、缓存、消息队列等组件都是基于网络模型开发的,作为一个网络工程师应该是熟悉TCP/IP四层模型,包含链路层、网络层、传输层、应用层,了解这些组件的基本网络运行方式和业务网络模型,能以抓包的方式去分析网络中各式各样的新老问题。
二、安全通信网络
网络架构 |
a) 应保证网络设备的业务处理能力满足业务高峰期需要; |
b) 应保证网络各个部分的带宽满足业务高峰期需要; |
c) 应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; |
d) 应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; |
e) 应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 |
在考虑网络设备处理性能和网络各部分带宽时首先要考虑该设备和该链路是用来跑具体哪些应用的,业务、管理、备份等,同时要考虑成本、功能,从而规划需要的性能和带宽,一般的普通交换机只要考虑包转发率、端口速率、端口类型、端口数量等性能,而框式交换机相对于普通交换机有了更高的扩展性,考虑的时候就不太一样,CLOS架构的交换机要配备交换矩阵,交换矩阵配备的数量不同那交换机包转发的速率也就不同,不同型号的框式交换机能配备最高型号的板卡类型也不同,最高配备的接口数量也不同;医疗行业因为资源有限很少考虑将不同的应用流量分不同的链路转发,或者通过QoS的方式去限速,其实这些很有必要考虑,随着数据库增量更新大、虚拟机数量增多等原因,要实现虚拟化、物理机、数据库等定时备份或实时备份,就要利用掉链路很大一部分带宽,在设计时我们可以使用LAN-Free的架构,备份通过单独的网络运行,从而不影响业务流量,如果没有使用LAN-Free的架构,那就要考虑备份经过的沿途链路和设备都要满足正常应用系统运行的同时满足备份;医疗行业大部分还使用了CS的系统架构,客户端直接通过数据库连接和数据库交换机,并且大部分流量以查询为主,不像BS架构设计能通过前端优化浏览器到应用服务器的速度和带宽使用,也同时优化了数据库连接和执行效率,CS的架构那就要计算单台终端上可能产生的流量,从而计算出核心数据库需要的带宽;在设计新机房网络的时候我将设备的带外管理网络独立出来,之前和多设备操作系统死机只能通过现场重启,而通过带外管理可以随时远程重启、查看、重装操作系统,极大地方便了远程值班的同事解决服务器宕机的故障;在分配不同网络区域的时候我们也要考虑到逻辑的问题,如网络的STP、VLAN等规划,避免一个网络区域的故障影响了别的网络,可能很多医疗机构将多个VLAN合并在一个STP生成树下,真的出现问题时那将是毁灭性的灾难,更多的时候我们考虑时候其他二层防环检测、三层隔离等技术,从而不是大家常说的全网一个VLAN的大二层架构。 医院在重要网络区域间隔离,个人认为有几处需要关注:①内外网之间的隔离,这个也是最常见的,之前大家应该都会选择网闸,但是基于外网应用的不断增多,内网之间的交互也越来越多,单纯的网闸无法防护应用层的攻击,此时我们就需要考虑在内外网之间添加IPS、WAF、防毒、行为管理等设备,方便的可以考虑NGFW;②外网建立DMZ区域,做好外网终端和外网DMZ、外网终端和互联网、外网DMZ和互联网之间的相互访问控制和安全防护;③数据中心建议建立内网DMZ和专网DMZ,当数据中心和内网、专网交互时做好访问控制和安全防护,内网DMZ因为大部分应用是CS二层架构,只能直接通过数据中心防火墙对所有数据中心资产做好防护,而专网DMZ我基本没有看到有医院考虑,和专网的交互很多通过前置机访问,虽然很多前置机都是反向代理,但是从规范性来考虑,专网的对面其实是别的单位,此时就应该有单独的DMZ区域和对方交互,;④数据中心内部大部分还采用传统的VLAN模型,没有使用租户的形式,我们在护网的过程中就能发现只要打入内网后,基本上就是四通八达,而需要实现类似于租户的形式,我们可以采用VxLAN架构+安全服务链,或者直接使用EDR微隔离的功能,通过VxLAN的形式可以解决x86操作系统或者其他专有设备的二层安全防护,并且安全服务链根据需要的防护类型实现精准防护。 冗余一直是我在设计网络架构时考虑的重要参数之一,设备、板卡、风扇、电源、链路、CPU、内存、硬盘等都需要被考虑到,当单个硬件的故障被触发时,冗余的降级能力同时也要考虑,这保障了系统能经得起多大的故障,真正实现高可用、高可靠,在合理的范围内不用考虑PRO和PTO的问题;冗余可以通过多种方式实现,双主双活、热备、冷备等,在能满足应用系统要求的情况下尽可能使用双主双活的方式,减少不必要的主备切换,如防火墙规划的时候尽量使用双主双活的方案,在一台防火墙宕机的情况下,另一台防火墙能正常接管,并且做到会话同步,确保长链接会话不受影响,如果长链接会话断了重新建立可能会产生很多问题。容灾环境也是冗余的一部分,在等保要求中异地容灾起码是在100㎞以上,很少有医院能够通过分院的形式达到这个要求,那么可以考虑异地云环境,在出现自然灾害时最低要求保证数据不丢失,在使用容灾环境时同样要考虑容灾的资源配置能否满足全量的业务运行,容灾环境的网络环境能满足和生产一样的要求,容灾的切换过程不应该是复杂的,尽量通过服务端的容灾配置切换,减少终端的配置变更。 |