内网安全系统
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
一般说来,内网安全应该考虑以下问题:
-
终端安全策略部署
-
内网访问控制部署
-
网络自身安全保障
方案概述
-
端点准入防御解决终端合规性问题
-
以防火墙为核心的内网访问控制
-
交换机安全特性实现网络自身安全保障
典型部署
内网安全解决方案的典型部署如下图所示:
内网安全解决方案典型组网
全网都要部署具有丰富安全特性的交换机产品,这是内网安全实现的基础。根据内网应用的要求设计VLAN,并通过防火墙安全插卡实现VLAN之间的访问控制,结合交换机的端口隔离特性实心VLAN内的访问限制。
对终端的安全策略进行检查,检查的结果将送至部署于网络管理区域的CAMS安全策略服务器,在同样部署于网络管理区的病毒库服务器和补丁服务器的配合下,结合交换机的Port Security安全特性,实现检查、隔离、修复以及管理监控的端点准入防御功能。
方案特点
-
企业级安全策略实施
-
可扩展的安全解决方案
-
灵活方便的部署与维护
网络边界安全系统
随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问题,需要对其进行有效的管理和控制,主要体现在以下几个方面:
-
网络隔离需求
-
攻击防范能力
-
网络优化需求
-
用户管理需求
方案概述
对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。根据以上原则,安全分区设计模型主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。
通过以上的分区设计和网络现状,以防火墙、VPN和应用层防御系统为支撑作为深度边界安全解决方案:
防火墙
防火墙是最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定、智能蠕虫防护等安全增强措施。
VPN
VPN(Virtual Private Network,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。VPN只为特定的企业或用户群体所专用。从用户角度看来,使用VPN与传统专网没有任何区别。VPN作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN资源不会被网络中的其它VPN或非该VPN用户使用;另一方面,VPN提供足够安全性,能够确保VPN内部信息的完整性、保密性、不可抵赖性。
应用层防御
传统的安全解决方案中,防火墙和入侵检测系统 (IDS,Intrusion Detection System) 已经被普遍接受,但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备,不能充分地分析应用层协议数据中的攻击信号,而IDS也不能阻挡检测到的攻击。因此,即使在网络中已部署了防火墙、IDS等基础网络安全产品,IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。
方案特点
全面防护
通过对安全区域的设计,在网络边界部署防火墙、VPN、IPS等安全设备,不仅能够保证2至7层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防护;
VPN特性丰富
适用于分支机构的动态VPN(DVPN)解决方案、适用于MPLS VPN和IPSec VPN环境下的VPE解决方案、适用于链路备份的VPN高可用方案等,可以满足各种VPN环境的需要;
深层防护
通过防火墙和IDS的部署,可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对P2P应用禁止和限流、对服务器的虚拟软件补丁管理、抵抗DoS/DDoS的攻击等等。
典型组网应用
在企业互联网出口部署防火墙和VPN设备,分支机构及移动办公用户分别通过VPN网关和VPN客户端安全连入企业内部网络;同时通过防火墙和IDS将企业内部网、DMZ、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。 |