基于MPLS VPN网络的信息监控与分析的研究

◆叶红良 金萱跃

（江阴兴澄特种钢铁有限公司 江苏 214400）

基于MPLS VPN网络的信息监控与分析的研究

◆叶红良 金萱跃

（江阴兴澄特种钢铁有限公司 江苏 214400）

本文分析MPLS VPN在企业网络环境应用的现状，提出在VPN专网中引入IPS、UTM等网络安全设备，建立监控管理服务机制，探讨强化MPLS VPN专线的网络安全的方法及对策，实现对信息分析与事件跟踪。

MPLS VPN；网络安全；监控服务；日志分析

0 引言

随着互联网的快速发展，采用MPLS的虚拟专用网技术成为一些跨地域集团性企业组网的重要手段。MPLS-VPN专线业务基于IP网络，采用多协议标记交换技术，在公共IP网络上构建企业专网，实现数据、语音、图像多业务宽带连接，并结合QoS服务、CoS服务等相关技术，为用户提供高质量的服务，特别是可通过MPLS VPN搭建企业统一的通信平台。

但随之而来的是网络设备、主机系统、数据库系统的不断增加，信息的安全性问题凸显，对于外网入侵、DOS攻击等，内网的病毒蔓延、ARP攻击，要求企业增加防护措施和强化防护手段。因此就信息在网络中的传递、监控、分析和管理，以及在VPN线路安全的管控，如何建立统一的安全管理策略，这也成为网络安全研究的一个重要方向。

1 MPLS VPN组网安全性

MPLS VPN一般由用户边缘路由器CE，提供商边缘路由PE，提供商核心路由器P三类设备组成。那么，MPLS VPN的安全是通过独立的地址、路由的隔离、有效的攻击防范等方法实现的。

对于企业网络来讲，地址独立是非常重要的，它可以防止企业内部网络暴露在外部，并且可以对地址进行访问控制。在MPLS VPN的方案里，地址管理是占据很重的地位。

当然通过静态路由的设置可以解决用户设备跟边界设备之间的路由协议，保证边界设备的地址独立。同样，边界设备因不存在直接信息交换的通道，可以实现路由信息分离，不给双方带来安全隐患。

对于存在着大量用户的业务数据的骨干网，如何保障上网的数据不泄漏是一个关键，所以这里面，采用隐藏骨干网络拓扑是MPLS VPN的一个安全有效办法。

此外，用户还可以提高PE与CE之间的抵御能力，抵挡恶意攻击侵入，采取设置防火墙、IPS等手段，使用数据安全加密等方法，进一步提高安全性。

2 MPLS VPN信息监控和分析探讨

2.1 目前MPLS VPN面临的信息安全现状

目前国内的基础运营商电信、移动、联通均提供MPLS VPN服务，第三方运营商以中企通信、太平洋电信为主要代表。他们共同的基本原理及拓扑是一致的。

图1 MPLS VPN拓扑结构图

他们拥有了VPN本身具有的安全技术，但也存在一些需要改进的地方：

（1）每天产生的VPN网络日志数量多，无法集中保存和管理。

（2）海量的数据没法分析，可能的安全威胁淹没在几十万条安全日志里。

（3）亡羊补牢式的事中、事后处理，无法及时全面的“查出根本原因”，且不能做出合理有效地风险和规避决策。

（4）因缺乏信息安全管理设备，无法做出有效的拦截和及时的处置。

（5）频繁变化的安全攻击技术及大量日志，需要更为专业人员的分析、处理。

因此企业建立一个网络信息安全监控、分析、处理的管理系统需求日趋迫切，也是对服务提供商网络安全保障的一种要求。

2.2 网络信息分析方法

企业通过网络所提供的信息与数据必须符合国际、政策、行业标准等，必须受控及合规。网络信息的传输过程、传输的日志在故障排查、事故处置上都要求被记录，提高事故的应变，提供鉴别方法，协助企业迅速恢复对其 IT 资产的掌控。其包含监测及管理安全设备和应用，含防火墙、路由器、防毒系统、入侵侦测和防御系统等等。

2.2.1 建立安全管理监控服务

区别于防火墙等产品专注于解决某一问题，建立安全信息和事件管理服务机制，将事件、威胁和风险数据集中到一起，以提供强大安全情报、快速事件响应、无缝日志管理以及可扩展合规报告。

采用贯通应用层、执行层和管理层的平台，把信息日志、安全监控规则进行自动收集及实时关联和优先级排序，确定事件的根本原因，帮助企业IT分析、预测并生成切实可行的信息，更快更准做出运营决策。

2.2.2 整合IT安全设备，建立监控系统

通过将不同的IT设备进行整合，采用商业级的SIEM技术，进行事件分析和事件管理。包括IPS、防火墙、服务器和桌面操作系统、网络设备等其他安全产品融入到安全监控服务中，对网络数据进行捕获、分析，从而提高信息威胁的跟踪与风险评估，实现实时协作、受控响应及精确报告。

措施一、利用IPS实现网络架构防护机制：

来自网路的危险和攻击日益增多（如DoS拒绝服务，DDoS分布式拒绝服务，暴力破解等），在IDC机房或核心设备前设置managed IPS，对流经MPLS VPN网络的数据进行漏洞扫描，查找识别库中定义的攻击代码特征，过滤有害数据流，并记载入监控服务数据库方便事后分析。

同时结合考虑应用程序或网路传输中的异常情况，识别入侵和攻击，记录用户或用户程序违反安全条例、数据包在不应该出现的时段出现、作业系统或应用程序弱点正在被利用等现象。

措施二、UTM接入收集网络日志：

在MPLS VPN 各PE出口部署UTM，远程日志收集，实时监控网络安全日志，对恶意流量进行记录和警告，上传至监控管理系统，保障整个网络环境下收集信息的完整，为监控、分析、排查补充提供依据。

措施三、形成监控、事件分析报告：

通过被监控的IPS、UTM设备的日志收集、分析、关联和聚合，提供潜在信息安全事件发生时的实时告警和报告，提供在线的信息安全事件查询。

2.3 网络日志、安全事件的分析意义

建立网络日志、安全事件的监控收集服务，提供实时的分析，对可能存在的攻击告警，识别真正的威胁信息、危害行为；根据分析报告、告警信息，优化改进网络配置或增加硬件防护，提高VPN网络的安全性。

3 结束语

对于企业来讲，每天警告一万条、或者一千万条的威胁数据，对于决策者来说是没有意义的。他们希望看到的是跟实际业务结合，综合评估在可预见范围内将会有多大损失，需要投入多少资金、人力解决相关问题。管理监控服务最重要的就是数据的动态分析，根据数据的分析做出临时性应对决策，接着在确定相关联事件及其对基础设施的影响后，采取针对性的行动，因此管理服务的建立将帮助网络工程师快速做出决策提供坚实的判断依据。

[1]高海英，薛元星，辛阳.VPN技术[M ].北京：机械工业出版社，2004.

[2]李晓东.MPLS技术与实现[M].电子工业出版社，2002.

[3]石永红，刘嘉勇，汤云革.基于MPLS的VPN技术原理及其实现[J].电子技术应用，2004.