關(guān)于企業(yè)網(wǎng)絡(luò)安全的解決方案

關(guān)于企業(yè)網(wǎng)絡(luò)安全的解決方案

　　以下就是學(xué)習(xí)啦小編為大家?guī)?lái)的企業(yè)網(wǎng)絡(luò)安全解決方案，歡迎大家閱讀!!!

　　信息科技的發(fā)展使得計(jì)算機(jī)的應(yīng)用范圍已經(jīng)遍及世界各個(gè)角落。眾多的企業(yè)都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務(wù)運(yùn)營(yíng)平臺(tái)。IT網(wǎng)絡(luò)的使用極大地提升了企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)能在信息資訊時(shí)代脫穎而出。企業(yè)利用通信網(wǎng)絡(luò)把孤立的單機(jī)系統(tǒng)連接起來(lái)，相互通信和共享資源。但由于計(jì)算機(jī)信息的共享及互聯(lián)網(wǎng)的特有的開(kāi)放性，使得企業(yè)的信息安全問(wèn)題日益嚴(yán)重。

　　外部安全

　　隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來(lái)，計(jì)算機(jī)病毒傳播、蠕蟲(chóng)攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對(duì)于企業(yè)級(jí)用戶(hù)，每當(dāng)遭遇這些威脅時(shí)，往往會(huì)造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟(jì)損失也很大。

　　內(nèi)部安全

　　最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對(duì)網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過(guò)網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)數(shù)千萬(wàn)美金的損失。

　　內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全

　　隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。怎幺處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為企業(yè)成長(zhǎng)過(guò)程中不得不考慮的問(wèn)題。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。

　　1. 中小企業(yè)的網(wǎng)絡(luò)情況分析

　　中小企業(yè)由于規(guī)模大小、行業(yè)差異、工作方式及治理方式的不同有著不同的網(wǎng)絡(luò)拓?fù)錂C(jī)構(gòu)。網(wǎng)絡(luò)情況有以下幾種。

　　集中型:

　　中小企業(yè)網(wǎng)絡(luò)一般只在總部設(shè)立完善的網(wǎng)絡(luò)布局。采取專(zhuān)線接入、ADSL接入或多條線路接入等網(wǎng)絡(luò)接入方式，一般網(wǎng)絡(luò)中的終端總數(shù)在幾十到幾百臺(tái)不等。網(wǎng)絡(luò)中有的劃分了子網(wǎng)，并部署了與核心業(yè)務(wù)相關(guān)的服務(wù)器，如數(shù)據(jù)庫(kù)、郵件服務(wù)器、文檔資料庫(kù)、甚至ERP服務(wù)器等。

　　分散型:

　　采取多分支機(jī)構(gòu)辦公及移動(dòng)辦公方式，各分支機(jī)構(gòu)均有網(wǎng)絡(luò)部署，數(shù)量不多。大的分支采取專(zhuān)線接入，一般分支采取ADSL接入方式。主要是通過(guò)訪問(wèn)公司主機(jī)設(shè)備及資料庫(kù)，通過(guò)郵件或內(nèi)部網(wǎng)進(jìn)行業(yè)務(wù)溝通交流。

　　綜合型:

　　集中型與分散型的綜合。

　　2. 網(wǎng)絡(luò)安全設(shè)計(jì)塬則

　　網(wǎng)絡(luò)安全體系的核心目標(biāo)是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過(guò)程的有效控制和治理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這叁個(gè)基礎(chǔ)之上。

　　體系化設(shè)計(jì)塬則

　　通過(guò)分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問(wèn)題。

　　全局綜合性設(shè)計(jì)塬則

　　從中小企業(yè)的實(shí)際情況看，單純依靠一種安全措施，并不能解決全部的安全問(wèn)題。建議考慮到各種安全措施的使用，使用一個(gè)具有相當(dāng)高度、可擴(kuò)展性強(qiáng)的安全解決方案及產(chǎn)品。

　　可行性、可靠性及安全性

　　可行性是安全方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺(tái)的暢通，可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺(tái)正常運(yùn)行的保證，而安全性是設(shè)計(jì)安全系統(tǒng)的最終目的。

　　3. 整體網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)

　　安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因?yàn)榘踩軜?gòu)是安全方案設(shè)計(jì)和分析的基礎(chǔ)。

　　整體安全系統(tǒng)架構(gòu)

　　隨著針對(duì)應(yīng)用層的攻擊越來(lái)越多、威脅越來(lái)越大，只針對(duì)網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來(lái)自應(yīng)用層的攻擊了。舉個(gè)簡(jiǎn)單的例子，那些攜帶著后門(mén)程序的蠕蟲(chóng)病毒是簡(jiǎn)單的防火墻/安全體系所無(wú)法對(duì)付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。如圖2所示，這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻/，還要設(shè)置針對(duì)網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動(dòng)防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。

　　1. 整體安全防護(hù)體系

　　基于以上的規(guī)劃和分析，建議中小企業(yè)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實(shí)現(xiàn)目的，采用一種整合型高可靠性安全網(wǎng)關(guān)來(lái)實(shí)現(xiàn)以下系統(tǒng)功能:

　　防火墻系統(tǒng)

　　系統(tǒng)

　　入侵檢測(cè)系統(tǒng)

　　網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)

　　垃圾郵件過(guò)濾系統(tǒng)

　　病毒掃描系統(tǒng)

　　帶寬治理系統(tǒng)

　　無(wú)線接入系統(tǒng)

　　2.方案建議內(nèi)容

　　2.1. 整體網(wǎng)絡(luò)安全方案

　　通過(guò)如上的需求分析，我們建議采用如下的整體網(wǎng)絡(luò)安全方案。網(wǎng)絡(luò)安全平臺(tái)的設(shè)計(jì)由以下部分構(gòu)成:

　　 防火墻系統(tǒng):采用防火墻系統(tǒng)實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對(duì)內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過(guò)單獨(dú)的防火墻設(shè)備進(jìn)行保護(hù)。

　　 系統(tǒng):對(duì)遠(yuǎn)程辦公人員及分支機(jī)構(gòu)提供方便的ipSec 接入，保護(hù)數(shù)據(jù)傳輸過(guò)程中的安全，實(shí)現(xiàn)用戶(hù)對(duì)服務(wù)器系統(tǒng)的受控訪問(wèn)。

　　 入侵檢測(cè)系統(tǒng):采用入侵檢測(cè)設(shè)備，作為防火墻的功能互補(bǔ)，提供對(duì)監(jiān)控網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)。

　　 網(wǎng)絡(luò)行為監(jiān)控系統(tǒng):對(duì)網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，過(guò)濾網(wǎng)頁(yè)訪問(wèn)，過(guò)濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。

　　 病毒防護(hù)系統(tǒng):強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和治理策略，增強(qiáng)病毒防護(hù)有效性。

　　 垃圾郵件過(guò)濾系統(tǒng):過(guò)濾郵件，阻止垃圾郵件及病毒郵件的入侵。

　　 移動(dòng)用戶(hù)治理系統(tǒng):對(duì)內(nèi)部筆記本電腦在外出后，接入內(nèi)部網(wǎng)進(jìn)行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進(jìn)內(nèi)網(wǎng)。

　　 帶寬控制系統(tǒng):使網(wǎng)管人員對(duì)網(wǎng)絡(luò)中的實(shí)時(shí)數(shù)據(jù)流量情況能夠清楚了解。把握整個(gè)網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。

　　總體安全結(jié)構(gòu)如圖:

　　網(wǎng)絡(luò)安全規(guī)劃圖

　　本建議書(shū)推薦采用法國(guó)LanGate®產(chǎn)品方案。LanGate® UTM統(tǒng)一安全網(wǎng)關(guān)能完全滿(mǎn)足本方案的全部安全需求。LanGate® UTM安全網(wǎng)關(guān)是在專(zhuān)用安全平臺(tái)上集成了防火墻、、入侵檢測(cè)、網(wǎng)絡(luò)行為監(jiān)控、防病毒網(wǎng)關(guān)、垃圾郵件過(guò)濾、帶寬治理、無(wú)線安全接入等功能于一身的新一代全面安全防護(hù)系統(tǒng)。

　　LanGate® UTM產(chǎn)品介紹

　　3.1. 產(chǎn)品概括

　　LanGate 是基于專(zhuān)用芯片及專(zhuān)業(yè)網(wǎng)絡(luò)安全平臺(tái)的新一代整體網(wǎng)絡(luò)安全硬件產(chǎn)品。基于專(zhuān)業(yè)的網(wǎng)絡(luò)安全平臺(tái)， LanGate 能夠在不影響網(wǎng)絡(luò)性能情況下檢測(cè)有害的病毒、蠕蟲(chóng)及其他網(wǎng)絡(luò)上的安全威脅，并且提供了高性?xún)r(jià)比、高可用性和強(qiáng)大的解決方案來(lái)檢測(cè)、阻止攻擊，防止不正常使用和改善網(wǎng)絡(luò)應(yīng)用的服務(wù)可靠性。

　　高度模塊化、高度可擴(kuò)展性的集成化LanGate網(wǎng)絡(luò)產(chǎn)品在安全平臺(tái)的基礎(chǔ)上通過(guò)各個(gè)可擴(kuò)展的功能模塊為企業(yè)提供超強(qiáng)的安全保護(hù)服務(wù)，以防御外部及內(nèi)部的網(wǎng)絡(luò)攻擊入。此產(chǎn)品在安全平臺(tái)上集成各種功能應(yīng)用模塊和性能模塊。應(yīng)用模塊添加功能，例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過(guò)濾引擎。這種安全模塊化架構(gòu)可使新的安全服務(wù)在網(wǎng)絡(luò)新病毒、新威脅肆虐時(shí)及時(shí)進(jìn)行在線升級(jí)拯救網(wǎng)絡(luò)，而無(wú)需進(jìn)行資金及資源的再投入。輕松安裝、輕松升級(jí)的LanGate產(chǎn)品簡(jiǎn)化了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，降低了與從多個(gè)產(chǎn)品供給商處找尋、安裝和維護(hù)多種安全服務(wù)相關(guān)的成本。

　　3.2. 主要功能

　　基于網(wǎng)絡(luò)的防病毒

　　LanGate 是網(wǎng)關(guān)級(jí)的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。LanGate 在網(wǎng)關(guān)上做 HTTP、SMTP、POP 和 IMAP的病毒掃描，并且可以通過(guò)策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時(shí)是可在線升級(jí)的，可以實(shí)時(shí)更新病毒庫(kù)。

　　基于用戶(hù)策略的安全治理

　　整個(gè)網(wǎng)絡(luò)安全服務(wù)策略可以基于用戶(hù)進(jìn)行治理，相比傳統(tǒng)的基于 IP的治理方式，提供了更大的靈活性。

　　 防火墻功能

　　LanGate 系列產(chǎn)品防火墻都是基于狀態(tài)檢測(cè)技術(shù)的，保護(hù)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)免遭來(lái)自 Internet 的攻擊。防火墻通過(guò)“外->內(nèi)”、“內(nèi)->外”、“內(nèi)->內(nèi)”(子網(wǎng)或虛擬子網(wǎng)之間)的接口設(shè)置，提供了全面的安全控制策略。

　　 功能

　　LanGate支持IPSec、PPTP及L2TP的 網(wǎng)絡(luò)傳輸隧道。LAN Gate 的特性包括以下幾點(diǎn):

　　 支持 IPSec 安全隧道模式

　　 支持基于策略的 通信

　　 硬件加速加密 IPSec、DES、3DES

　　 X509 證書(shū)和PSK論證

　　 集成 CA

　　 md5 及 SHA認(rèn)證和數(shù)據(jù)完整性

　　 自動(dòng) IKE 和手工密鑰交換

　　 SSH IPSEC 客戶(hù)端軟件, 支持動(dòng)態(tài)地址訪問(wèn)，支持 IKE

　　 通過(guò)第叁方操作系統(tǒng)支持的 PPTP 建立 連接

　　 通過(guò)第叁方操作系統(tǒng)支持的 L2TP建立 連接

　　 支持NAT穿越

　　 IPSec 和 PPTP

　　 支持無(wú)線連接

　　 星狀結(jié)構(gòu)

　　 內(nèi)容過(guò)濾功能

　　LanGate 的內(nèi)容過(guò)濾不同于傳統(tǒng)的基于主機(jī)系統(tǒng)結(jié)構(gòu)內(nèi)容處理產(chǎn)品。LanGate設(shè)備是網(wǎng)關(guān)級(jí)的內(nèi)容過(guò)濾，是基于專(zhuān)用芯片硬件技術(shù)實(shí)現(xiàn)的。LanGate 專(zhuān)用芯片內(nèi)容處理器包括功能強(qiáng)大的特征掃描引擎，能使很大范圍類(lèi)型的內(nèi)容與成千上萬(wàn)種要害詞或其它模式的特征相匹配。具有根據(jù)要害字、URL或腳本語(yǔ)言等不同類(lèi)型內(nèi)容的過(guò)濾，還提供了免屏蔽列表和組合要害詞過(guò)濾的功能。同時(shí)，LanGate 還能對(duì)郵件、聊天工具進(jìn)行過(guò)濾及屏蔽。

　　入侵檢測(cè)功能

　　LanGate 內(nèi)置的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)是一種實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)傳感器，它能對(duì)外界各種可疑的網(wǎng)絡(luò)活動(dòng)進(jìn)行識(shí)別及采取行動(dòng)。IDS使用攻擊特征庫(kù)來(lái)識(shí)別過(guò)千種的網(wǎng)絡(luò)攻擊。同時(shí)LanGate將每次攻擊記錄到系統(tǒng)日志里，并根據(jù)設(shè)置發(fā)送報(bào)警郵件或短信給網(wǎng)絡(luò)治理員。

　　垃圾郵件過(guò)濾防毒功能　　包括:

　　 對(duì) SMTP服務(wù)器的 IP進(jìn)行黑白名單的識(shí)別

　　 垃圾郵件指紋識(shí)別

　　 實(shí)時(shí)黑名單技術(shù)

　　 對(duì)所有的郵件信息病毒掃描

　　 帶寬控制(QoS)

　　LanGate為網(wǎng)絡(luò)治理者提供了監(jiān)測(cè)和治理網(wǎng)絡(luò)帶寬的手段，可以按照用戶(hù)的需求對(duì)帶寬進(jìn)行控制，以防止帶寬資源的不正常消耗，從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬，保證重要服務(wù)的正常運(yùn)行。帶寬治理可自定義優(yōu)先級(jí)，確保對(duì)于流量要求苛刻的企業(yè)，最大限度的滿(mǎn)足網(wǎng)絡(luò)治理的需求。

　　 系統(tǒng)報(bào)表和系統(tǒng)自動(dòng)警告

　　LanGate系統(tǒng)內(nèi)置具體直觀的報(bào)表，對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的實(shí)時(shí)統(tǒng)計(jì),用戶(hù)可以自定義閥值，所有超過(guò)閥值的事件將自動(dòng)通知治理治理人員，通知方式有 Email 及短信方式(需結(jié)合短信網(wǎng)關(guān)使用)。

　　 多鏈路雙向負(fù)載均衡

　　提供了進(jìn)出流量的多鏈路負(fù)載均衡，支持自動(dòng)檢測(cè)和屏蔽故障多出口鏈路，同時(shí)還支持多種靜態(tài)和動(dòng)態(tài)算法智能均衡多個(gè)ISP鏈路的流量。支持多鏈路動(dòng)態(tài)冗余，流量比率和智能切換;支持基于每條鏈路限制流量大小;支持多種DNS解析和規(guī)劃方式，適合各種用戶(hù)網(wǎng)絡(luò)環(huán)境;支持防火墻負(fù)載均衡。

　　3.2. LanGate產(chǎn)品優(yōu)勢(shì)

　　 提供完整的網(wǎng)絡(luò)保護(hù)。

　　 提供高可靠的網(wǎng)絡(luò)行為監(jiān)控。

　　 保持網(wǎng)絡(luò)性能的基礎(chǔ)下，消除病毒和蠕蟲(chóng)的威脅。

　　 基于專(zhuān)用的硬件體系，提供了高性能和高可靠性。

　　 用戶(hù)策略提供了靈活的網(wǎng)絡(luò)分段和策略控制能力。

　　 提供了HA高可用端口，保證零中斷服務(wù)。

　　 強(qiáng)大的系統(tǒng)報(bào)表和系統(tǒng)自動(dòng)警告功能。

　　 多種治理方式:SSH、SNMP、WEB?；赪EB(GUI)的配置界面提供了中/英文語(yǔ)言支持。

　　3.3. LANGATE公司簡(jiǎn)介

　　總部位于法國(guó)的LANGATE集團(tuán)公司，創(chuàng)立于1998年，致力于統(tǒng)一網(wǎng)絡(luò)安全方案及產(chǎn)品的研發(fā)，早期作為專(zhuān)業(yè)IT安全技術(shù)研發(fā)機(jī)構(gòu)，專(zhuān)門(mén)從事IT綜合型網(wǎng)絡(luò)安全設(shè)備及方案的研究。如今，LANGATE已經(jīng)成為歐洲眾多UTM、防火墻、品牌的OEM廠商及專(zhuān)業(yè)研發(fā)合作伙伴，并在IT安全技術(shù)方面領(lǐng)先同行，為全球各地區(qū)用戶(hù)提供高效安全的網(wǎng)絡(luò)綜合治理方案及產(chǎn)品。

　　專(zhuān)利的LanGate® UTM在專(zhuān)用高效安全硬件平臺(tái)上集成了Firewall(防火墻)、(虛擬專(zhuān)用網(wǎng)絡(luò))、Content Filtering(內(nèi)容過(guò)濾，又稱(chēng)上網(wǎng)行為監(jiān)管)、IPS(IntrUCtion PRevention System，即入侵檢測(cè)系統(tǒng))、QoS(Quality of Services，即流量治理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網(wǎng)關(guān))及 Wireless Connectivity (無(wú)線接入認(rèn)證)技術(shù)。