關(guān)于企業(yè)網(wǎng)絡(luò)安全的解決方案
關(guān)于企業(yè)網(wǎng)絡(luò)安全的解決方案
以下就是學(xué)習(xí)啦小編為大家?guī)淼钠髽I(yè)網(wǎng)絡(luò)安全解決方案,歡迎大家閱讀!!!
信息科技的發(fā)展使得計算機的應(yīng)用范圍已經(jīng)遍及世界各個角落。眾多的企業(yè)都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務(wù)運營平臺。IT網(wǎng)絡(luò)的使用極大地提升了企業(yè)的核心競爭力,使企業(yè)能在信息資訊時代脫穎而出。企業(yè)利用通信網(wǎng)絡(luò)把孤立的單機系統(tǒng)連接起來,相互通信和共享資源。但由于計算機信息的共享及互聯(lián)網(wǎng)的特有的開放性,使得企業(yè)的信息安全問題日益嚴重。
外部安全
隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶,每當遭遇這些威脅時,往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊,工作效率下降,直接或間接的經(jīng)濟損失也很大。
內(nèi)部安全
最新調(diào)查顯示,在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當使用,降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜,或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機密,從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。
內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全
隨著企業(yè)的發(fā)展壯大及移動辦公的普及,逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎幺處理總部與分支機構(gòu)、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運作。
1. 中小企業(yè)的網(wǎng)絡(luò)情況分析
中小企業(yè)由于規(guī)模大小、行業(yè)差異、工作方式及治理方式的不同有著不同的網(wǎng)絡(luò)拓撲機構(gòu)。網(wǎng)絡(luò)情況有以下幾種。
集中型:
中小企業(yè)網(wǎng)絡(luò)一般只在總部設(shè)立完善的網(wǎng)絡(luò)布局。采取專線接入、ADSL接入或多條線路接入等網(wǎng)絡(luò)接入方式,一般網(wǎng)絡(luò)中的終端總數(shù)在幾十到幾百臺不等。網(wǎng)絡(luò)中有的劃分了子網(wǎng),并部署了與核心業(yè)務(wù)相關(guān)的服務(wù)器,如數(shù)據(jù)庫、郵件服務(wù)器、文檔資料庫、甚至ERP服務(wù)器等。
分散型:
采取多分支機構(gòu)辦公及移動辦公方式,各分支機構(gòu)均有網(wǎng)絡(luò)部署,數(shù)量不多。大的分支采取專線接入,一般分支采取ADSL接入方式。主要是通過訪問公司主機設(shè)備及資料庫,通過郵件或內(nèi)部網(wǎng)進行業(yè)務(wù)溝通交流。
綜合型:
集中型與分散型的綜合。
綜合型企業(yè)網(wǎng)絡(luò)簡圖
2. 網(wǎng)絡(luò)安全設(shè)計塬則
網(wǎng)絡(luò)安全體系的核心目標是實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和治理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這叁個基礎(chǔ)之上。
體系化設(shè)計塬則
通過分析信息網(wǎng)絡(luò)的層次關(guān)系,提出科學(xué)的安全體系和安全框架,并根據(jù)安全體系分析存在的各種安全風(fēng)險,從而最大限度地解決可能存在的安全問題。
全局綜合性設(shè)計塬則
從中小企業(yè)的實際情況看,單純依靠一種安全措施,并不能解決全部的安全問題。建議考慮到各種安全措施的使用,使用一個具有相當高度、可擴展性強的安全解決方案及產(chǎn)品。
可行性、可靠性及安全性
可行性是安全方案的根本,它將直接影響到網(wǎng)絡(luò)通信平臺的暢通,可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺正常運行的保證,而安全性是設(shè)計安全系統(tǒng)的最終目的。
3. 整體網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)
安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上,因為安全架構(gòu)是安全方案設(shè)計和分析的基礎(chǔ)。
整體安全系統(tǒng)架構(gòu)
隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大,只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個簡單的例子,那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。如圖2所示,這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻/,還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護措施,將應(yīng)用層的防護放在網(wǎng)絡(luò)邊緣,這種主動防護可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。
1. 整體安全防護體系
基于以上的規(guī)劃和分析,建議中小企業(yè)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的,采用一種整合型高可靠性安全網(wǎng)關(guān)來實現(xiàn)以下系統(tǒng)功能:
防火墻系統(tǒng)
系統(tǒng)
入侵檢測系統(tǒng)
網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)
垃圾郵件過濾系統(tǒng)
病毒掃描系統(tǒng)
帶寬治理系統(tǒng)
無線接入系統(tǒng)
2.方案建議內(nèi)容
2.1. 整體網(wǎng)絡(luò)安全方案
通過如上的需求分析,我們建議采用如下的整體網(wǎng)絡(luò)安全方案。網(wǎng)絡(luò)安全平臺的設(shè)計由以下部分構(gòu)成:
防火墻系統(tǒng):采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨的防火墻設(shè)備進行保護。
系統(tǒng):對遠程辦公人員及分支機構(gòu)提供方便的ipSec 接入,保護數(shù)據(jù)傳輸過程中的安全,實現(xiàn)用戶對服務(wù)器系統(tǒng)的受控訪問。
入侵檢測系統(tǒng):采用入侵檢測設(shè)備,作為防火墻的功能互補,提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應(yīng)。
網(wǎng)絡(luò)行為監(jiān)控系統(tǒng):對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為進行規(guī)范,并監(jiān)控上網(wǎng)行為,過濾網(wǎng)頁訪問,過濾郵件,限制上網(wǎng)聊天行為,阻止不正當文件的下載。
病毒防護系統(tǒng):強化病毒防護系統(tǒng)的應(yīng)用策略和治理策略,增強病毒防護有效性。
垃圾郵件過濾系統(tǒng):過濾郵件,阻止垃圾郵件及病毒郵件的入侵。
移動用戶治理系統(tǒng):對內(nèi)部筆記本電腦在外出后,接入內(nèi)部網(wǎng)進行安全控制,確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進內(nèi)網(wǎng)。
帶寬控制系統(tǒng):使網(wǎng)管人員對網(wǎng)絡(luò)中的實時數(shù)據(jù)流量情況能夠清楚了解。把握整個網(wǎng)絡(luò)使用流量的平均標準,定位網(wǎng)絡(luò)流量的基線,及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。
總體安全結(jié)構(gòu)如圖:
網(wǎng)絡(luò)安全規(guī)劃圖
本建議書推薦采用法國LanGate®產(chǎn)品方案。LanGate® UTM統(tǒng)一安全網(wǎng)關(guān)能完全滿足本方案的全部安全需求。LanGate® UTM安全網(wǎng)關(guān)是在專用安全平臺上集成了防火墻、、入侵檢測、網(wǎng)絡(luò)行為監(jiān)控、防病毒網(wǎng)關(guān)、垃圾郵件過濾、帶寬治理、無線安全接入等功能于一身的新一代全面安全防護系統(tǒng)。
LanGate® UTM產(chǎn)品介紹
3.1. 產(chǎn)品概括
LanGate 是基于專用芯片及專業(yè)網(wǎng)絡(luò)安全平臺的新一代整體網(wǎng)絡(luò)安全硬件產(chǎn)品?;趯I(yè)的網(wǎng)絡(luò)安全平臺, LanGate 能夠在不影響網(wǎng)絡(luò)性能情況下檢測有害的病毒、蠕蟲及其他網(wǎng)絡(luò)上的安全威脅,并且提供了高性價比、高可用性和強大的解決方案來檢測、阻止攻擊,防止不正常使用和改善網(wǎng)絡(luò)應(yīng)用的服務(wù)可靠性。
高度模塊化、高度可擴展性的集成化LanGate網(wǎng)絡(luò)產(chǎn)品在安全平臺的基礎(chǔ)上通過各個可擴展的功能模塊為企業(yè)提供超強的安全保護服務(wù),以防御外部及內(nèi)部的網(wǎng)絡(luò)攻擊入。此產(chǎn)品在安全平臺上集成各種功能應(yīng)用模塊和性能模塊。應(yīng)用模塊添加功能,例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過濾引擎。這種安全模塊化架構(gòu)可使新的安全服務(wù)在網(wǎng)絡(luò)新病毒、新威脅肆虐時及時進行在線升級拯救網(wǎng)絡(luò),而無需進行資金及資源的再投入。輕松安裝、輕松升級的LanGate產(chǎn)品簡化了網(wǎng)絡(luò)拓撲結(jié)構(gòu),降低了與從多個產(chǎn)品供給商處找尋、安裝和維護多種安全服務(wù)相關(guān)的成本。
3.2. 主要功能
基于網(wǎng)絡(luò)的防病毒
LanGate 是網(wǎng)關(guān)級的安全設(shè)備,它不同于單純的防病毒產(chǎn)品。LanGate 在網(wǎng)關(guān)上做 HTTP、SMTP、POP 和 IMAP的病毒掃描,并且可以通過策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷,其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的,可以實時更新病毒庫。
基于用戶策略的安全治理
整個網(wǎng)絡(luò)安全服務(wù)策略可以基于用戶進行治理,相比傳統(tǒng)的基于 IP的治理方式,提供了更大的靈活性。
防火墻功能
LanGate 系列產(chǎn)品防火墻都是基于狀態(tài)檢測技術(shù)的,保護企業(yè)的計算機網(wǎng)絡(luò)免遭來自 Internet 的攻擊。防火墻通過“外->內(nèi)”、“內(nèi)->外”、“內(nèi)->內(nèi)”(子網(wǎng)或虛擬子網(wǎng)之間)的接口設(shè)置,提供了全面的安全控制策略。
功能
LanGate支持IPSec、PPTP及L2TP的 網(wǎng)絡(luò)傳輸隧道。LAN Gate 的特性包括以下幾點:
支持 IPSec 安全隧道模式
支持基于策略的 通信
硬件加速加密 IPSec、DES、3DES
X509 證書和PSK論證
集成 CA
md5 及 SHA認證和數(shù)據(jù)完整性
自動 IKE 和手工密鑰交換
SSH IPSEC 客戶端軟件, 支持動態(tài)地址訪問,支持 IKE
通過第叁方操作系統(tǒng)支持的 PPTP 建立 連接
通過第叁方操作系統(tǒng)支持的 L2TP建立 連接
支持NAT穿越
IPSec 和 PPTP
支持無線連接
星狀結(jié)構(gòu)
內(nèi)容過濾功能
LanGate 的內(nèi)容過濾不同于傳統(tǒng)的基于主機系統(tǒng)結(jié)構(gòu)內(nèi)容處理產(chǎn)品。LanGate設(shè)備是網(wǎng)關(guān)級的內(nèi)容過濾,是基于專用芯片硬件技術(shù)實現(xiàn)的。LanGate 專用芯片內(nèi)容處理器包括功能強大的特征掃描引擎,能使很大范圍類型的內(nèi)容與成千上萬種要害詞或其它模式的特征相匹配。具有根據(jù)要害字、URL或腳本語言等不同類型內(nèi)容的過濾,還提供了免屏蔽列表和組合要害詞過濾的功能。同時,LanGate 還能對郵件、聊天工具進行過濾及屏蔽。
入侵檢測功能
LanGate 內(nèi)置的網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)是一種實時網(wǎng)絡(luò)入侵檢測傳感器,它能對外界各種可疑的網(wǎng)絡(luò)活動進行識別及采取行動。IDS使用攻擊特征庫來識別過千種的網(wǎng)絡(luò)攻擊。同時LanGate將每次攻擊記錄到系統(tǒng)日志里,并根據(jù)設(shè)置發(fā)送報警郵件或短信給網(wǎng)絡(luò)治理員。
垃圾郵件過濾防毒功能 包括:
對 SMTP服務(wù)器的 IP進行黑白名單的識別
垃圾郵件指紋識別
實時黑名單技術(shù)
對所有的郵件信息病毒掃描
帶寬控制(QoS)
LanGate為網(wǎng)絡(luò)治理者提供了監(jiān)測和治理網(wǎng)絡(luò)帶寬的手段,可以按照用戶的需求對帶寬進行控制,以防止帶寬資源的不正常消耗,從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬,保證重要服務(wù)的正常運行。帶寬治理可自定義優(yōu)先級,確保對于流量要求苛刻的企業(yè),最大限度的滿足網(wǎng)絡(luò)治理的需求。
系統(tǒng)報表和系統(tǒng)自動警告
LanGate系統(tǒng)內(nèi)置具體直觀的報表,對網(wǎng)絡(luò)安全進行全方位的實時統(tǒng)計,用戶可以自定義閥值,所有超過閥值的事件將自動通知治理治理人員,通知方式有 Email 及短信方式(需結(jié)合短信網(wǎng)關(guān)使用)。
多鏈路雙向負載均衡
提供了進出流量的多鏈路負載均衡,支持自動檢測和屏蔽故障多出口鏈路,同時還支持多種靜態(tài)和動態(tài)算法智能均衡多個ISP鏈路的流量。支持多鏈路動態(tài)冗余,流量比率和智能切換;支持基于每條鏈路限制流量大小;支持多種DNS解析和規(guī)劃方式,適合各種用戶網(wǎng)絡(luò)環(huán)境;支持防火墻負載均衡。
3.2. LanGate產(chǎn)品優(yōu)勢
提供完整的網(wǎng)絡(luò)保護。
提供高可靠的網(wǎng)絡(luò)行為監(jiān)控。
保持網(wǎng)絡(luò)性能的基礎(chǔ)下,消除病毒和蠕蟲的威脅。
基于專用的硬件體系,提供了高性能和高可靠性。
用戶策略提供了靈活的網(wǎng)絡(luò)分段和策略控制能力。
提供了HA高可用端口,保證零中斷服務(wù)。
強大的系統(tǒng)報表和系統(tǒng)自動警告功能。
多種治理方式:SSH、SNMP、WEB?;赪EB(GUI)的配置界面提供了中/英文語言支持。
3.3. LANGATE公司簡介
總部位于法國的LANGATE集團公司,創(chuàng)立于1998年,致力于統(tǒng)一網(wǎng)絡(luò)安全方案及產(chǎn)品的研發(fā),早期作為專業(yè)IT安全技術(shù)研發(fā)機構(gòu),專門從事IT綜合型網(wǎng)絡(luò)安全設(shè)備及方案的研究。如今,LANGATE已經(jīng)成為歐洲眾多UTM、防火墻、品牌的OEM廠商及專業(yè)研發(fā)合作伙伴,并在IT安全技術(shù)方面領(lǐng)先同行,為全球各地區(qū)用戶提供高效安全的網(wǎng)絡(luò)綜合治理方案及產(chǎn)品。
專利的LanGate® UTM在專用高效安全硬件平臺上集成了Firewall(防火墻)、(虛擬專用網(wǎng)絡(luò))、Content Filtering(內(nèi)容過濾,又稱上網(wǎng)行為監(jiān)管)、IPS(IntrUCtion PRevention System,即入侵檢測系統(tǒng))、QoS(Quality of Services,即流量治理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網(wǎng)關(guān))及 Wireless Connectivity (無線接入認證)技術(shù)。