關于企業(yè)網絡安全的解決方案

關于企業(yè)網絡安全的解決方案

　　以下就是學習啦小編為大家?guī)淼钠髽I(yè)網絡安全解決方案，歡迎大家閱讀!!!

　　信息科技的發(fā)展使得計算機的應用范圍已經遍及世界各個角落。眾多的企業(yè)都紛紛依靠IT技術構建企業(yè)自身的信息系統(tǒng)和業(yè)務運營平臺。IT網絡的使用極大地提升了企業(yè)的核心競爭力，使企業(yè)能在信息資訊時代脫穎而出。企業(yè)利用通信網絡把孤立的單機系統(tǒng)連接起來，相互通信和共享資源。但由于計算機信息的共享及互聯(lián)網的特有的開放性，使得企業(yè)的信息安全問題日益嚴重。

　　外部安全

　　隨著互聯(lián)網的發(fā)展，網絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時，往往會造成數(shù)據破壞、系統(tǒng)異常、網絡癱瘓、信息失竊，工作效率下降，直接或間接的經濟損失也很大。

　　內部安全

　　最新調查顯示，在受調查的企業(yè)中60%以上的員工利用網絡處理私人事務。對網絡的不正當使用，降低了生產率、阻礙電腦網絡、消耗企業(yè)網絡資源、并引入病毒和間諜，或者使得不法員工可以通過網絡泄漏企業(yè)機密，從而導致企業(yè)數(shù)千萬美金的損失。

　　內部網絡之間、內外網絡之間的連接安全

　　隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎幺處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經成為企業(yè)成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業(yè)的高效運作。

　　1. 中小企業(yè)的網絡情況分析

　　中小企業(yè)由于規(guī)模大小、行業(yè)差異、工作方式及治理方式的不同有著不同的網絡拓撲機構。網絡情況有以下幾種。

　　集中型:

　　中小企業(yè)網絡一般只在總部設立完善的網絡布局。采取專線接入、ADSL接入或多條線路接入等網絡接入方式，一般網絡中的終端總數(shù)在幾十到幾百臺不等。網絡中有的劃分了子網，并部署了與核心業(yè)務相關的服務器，如數(shù)據庫、郵件服務器、文檔資料庫、甚至ERP服務器等。

　　分散型:

　　采取多分支機構辦公及移動辦公方式，各分支機構均有網絡部署，數(shù)量不多。大的分支采取專線接入，一般分支采取ADSL接入方式。主要是通過訪問公司主機設備及資料庫，通過郵件或內部網進行業(yè)務溝通交流。

　　綜合型:

　　集中型與分散型的綜合。

　　2. 網絡安全設計塬則

　　網絡安全體系的核心目標是實現(xiàn)對網絡系統(tǒng)和應用操作過程的有效控制和治理。任何安全系統(tǒng)必須建立在技術、組織和制度這叁個基礎之上。

　　體系化設計塬則

　　通過分析信息網絡的層次關系，提出科學的安全體系和安全框架，并根據安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。

　　全局綜合性設計塬則

　　從中小企業(yè)的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。建議考慮到各種安全措施的使用，使用一個具有相當高度、可擴展性強的安全解決方案及產品。

　　可行性、可靠性及安全性

　　可行性是安全方案的根本，它將直接影響到網絡通信平臺的暢通，可靠性是安全系統(tǒng)和網絡通信平臺正常運行的保證，而安全性是設計安全系統(tǒng)的最終目的。

　　3. 整體網絡安全系統(tǒng)架構

　　安全方案必須架構在科學網絡安全系統(tǒng)架構之上，因為安全架構是安全方案設計和分析的基礎。

　　整體安全系統(tǒng)架構

　　隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構。如圖2所示，這種多層次的安全體系不僅要求在網絡邊界設置防火墻/，還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網絡邊緣，這種主動防護可將攻擊內容完全阻擋在企業(yè)內部網之外。

　　1. 整體安全防護體系

　　基于以上的規(guī)劃和分析，建議中小企業(yè)企業(yè)網絡安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，采用一種整合型高可靠性安全網關來實現(xiàn)以下系統(tǒng)功能:

　　防火墻系統(tǒng)

　　系統(tǒng)

　　入侵檢測系統(tǒng)

　　網絡行為監(jiān)控系統(tǒng)

　　垃圾郵件過濾系統(tǒng)

　　病毒掃描系統(tǒng)

　　帶寬治理系統(tǒng)

　　無線接入系統(tǒng)

　　2.方案建議內容

　　2.1. 整體網絡安全方案

　　通過如上的需求分析，我們建議采用如下的整體網絡安全方案。網絡安全平臺的設計由以下部分構成:

　　 防火墻系統(tǒng):采用防火墻系統(tǒng)實現(xiàn)對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行保護。

　　 系統(tǒng):對遠程辦公人員及分支機構提供方便的ipSec 接入，保護數(shù)據傳輸過程中的安全，實現(xiàn)用戶對服務器系統(tǒng)的受控訪問。

　　 入侵檢測系統(tǒng):采用入侵檢測設備，作為防火墻的功能互補，提供對監(jiān)控網段的攻擊的實時報警和積極響應。

　　 網絡行為監(jiān)控系統(tǒng):對網絡內的上網行為進行規(guī)范，并監(jiān)控上網行為，過濾網頁訪問，過濾郵件，限制上網聊天行為，阻止不正當文件的下載。

　　 病毒防護系統(tǒng):強化病毒防護系統(tǒng)的應用策略和治理策略，增強病毒防護有效性。

　　 垃圾郵件過濾系統(tǒng):過濾郵件，阻止垃圾郵件及病毒郵件的入侵。

　　 移動用戶治理系統(tǒng):對內部筆記本電腦在外出后，接入內部網進行安全控制，確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。

　　 帶寬控制系統(tǒng):使網管人員對網絡中的實時數(shù)據流量情況能夠清楚了解。把握整個網絡使用流量的平均標準，定位網絡流量的基線，及時發(fā)現(xiàn)網絡是否出現(xiàn)異常流量并控制帶寬。

　　總體安全結構如圖:

　　網絡安全規(guī)劃圖

　　本建議書推薦采用法國LanGate®產品方案。LanGate® UTM統(tǒng)一安全網關能完全滿足本方案的全部安全需求。LanGate® UTM安全網關是在專用安全平臺上集成了防火墻、、入侵檢測、網絡行為監(jiān)控、防病毒網關、垃圾郵件過濾、帶寬治理、無線安全接入等功能于一身的新一代全面安全防護系統(tǒng)。

　　LanGate® UTM產品介紹

　　3.1. 產品概括

　　LanGate 是基于專用芯片及專業(yè)網絡安全平臺的新一代整體網絡安全硬件產品?；趯I(yè)的網絡安全平臺， LanGate 能夠在不影響網絡性能情況下檢測有害的病毒、蠕蟲及其他網絡上的安全威脅，并且提供了高性價比、高可用性和強大的解決方案來檢測、阻止攻擊，防止不正常使用和改善網絡應用的服務可靠性。

　　高度模塊化、高度可擴展性的集成化LanGate網絡產品在安全平臺的基礎上通過各個可擴展的功能模塊為企業(yè)提供超強的安全保護服務，以防御外部及內部的網絡攻擊入。此產品在安全平臺上集成各種功能應用模塊和性能模塊。應用模塊添加功能，例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過濾引擎。這種安全模塊化架構可使新的安全服務在網絡新病毒、新威脅肆虐時及時進行在線升級拯救網絡，而無需進行資金及資源的再投入。輕松安裝、輕松升級的LanGate產品簡化了網絡拓撲結構，降低了與從多個產品供給商處找尋、安裝和維護多種安全服務相關的成本。

　　3.2. 主要功能

　　基于網絡的防病毒

　　LanGate 是網關級的安全設備，它不同于單純的防病毒產品。LanGate 在網關上做 HTTP、SMTP、POP 和 IMAP的病毒掃描，并且可以通過策略控制流經不同網絡方向的病毒掃描或阻斷，其應用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的，可以實時更新病毒庫。

　　基于用戶策略的安全治理

　　整個網絡安全服務策略可以基于用戶進行治理，相比傳統(tǒng)的基于 IP的治理方式，提供了更大的靈活性。

　　 防火墻功能

　　LanGate 系列產品防火墻都是基于狀態(tài)檢測技術的，保護企業(yè)的計算機網絡免遭來自 Internet 的攻擊。防火墻通過“外->內”、“內->外”、“內->內”(子網或虛擬子網之間)的接口設置，提供了全面的安全控制策略。

　　 功能

　　LanGate支持IPSec、PPTP及L2TP的 網絡傳輸隧道。LAN Gate 的特性包括以下幾點:

　　 支持 IPSec 安全隧道模式

　　 支持基于策略的 通信

　　 硬件加速加密 IPSec、DES、3DES

　　 X509 證書和PSK論證

　　 集成 CA

　　 md5 及 SHA認證和數(shù)據完整性

　　 自動 IKE 和手工密鑰交換

　　 SSH IPSEC 客戶端軟件, 支持動態(tài)地址訪問，支持 IKE

　　 通過第叁方操作系統(tǒng)支持的 PPTP 建立 連接

　　 通過第叁方操作系統(tǒng)支持的 L2TP建立 連接

　　 支持NAT穿越

　　 IPSec 和 PPTP

　　 支持無線連接

　　 星狀結構

　　 內容過濾功能

　　LanGate 的內容過濾不同于傳統(tǒng)的基于主機系統(tǒng)結構內容處理產品。LanGate設備是網關級的內容過濾，是基于專用芯片硬件技術實現(xiàn)的。LanGate 專用芯片內容處理器包括功能強大的特征掃描引擎，能使很大范圍類型的內容與成千上萬種要害詞或其它模式的特征相匹配。具有根據要害字、URL或腳本語言等不同類型內容的過濾，還提供了免屏蔽列表和組合要害詞過濾的功能。同時，LanGate 還能對郵件、聊天工具進行過濾及屏蔽。

　　入侵檢測功能

　　LanGate 內置的網絡入侵檢測系統(tǒng)(IDS)是一種實時網絡入侵檢測傳感器，它能對外界各種可疑的網絡活動進行識別及采取行動。IDS使用攻擊特征庫來識別過千種的網絡攻擊。同時LanGate將每次攻擊記錄到系統(tǒng)日志里，并根據設置發(fā)送報警郵件或短信給網絡治理員。

　　垃圾郵件過濾防毒功能　　包括:

　　 對 SMTP服務器的 IP進行黑白名單的識別

　　 垃圾郵件指紋識別

　　 實時黑名單技術

　　 對所有的郵件信息病毒掃描

　　 帶寬控制(QoS)

　　LanGate為網絡治理者提供了監(jiān)測和治理網絡帶寬的手段，可以按照用戶的需求對帶寬進行控制，以防止帶寬資源的不正常消耗，從而使網絡在不同的應用中合理分配帶寬，保證重要服務的正常運行。帶寬治理可自定義優(yōu)先級，確保對于流量要求苛刻的企業(yè)，最大限度的滿足網絡治理的需求。

　　 系統(tǒng)報表和系統(tǒng)自動警告

　　LanGate系統(tǒng)內置具體直觀的報表，對網絡安全進行全方位的實時統(tǒng)計,用戶可以自定義閥值，所有超過閥值的事件將自動通知治理治理人員，通知方式有 Email 及短信方式(需結合短信網關使用)。

　　 多鏈路雙向負載均衡

　　提供了進出流量的多鏈路負載均衡，支持自動檢測和屏蔽故障多出口鏈路，同時還支持多種靜態(tài)和動態(tài)算法智能均衡多個ISP鏈路的流量。支持多鏈路動態(tài)冗余，流量比率和智能切換;支持基于每條鏈路限制流量大小;支持多種DNS解析和規(guī)劃方式，適合各種用戶網絡環(huán)境;支持防火墻負載均衡。

　　3.2. LanGate產品優(yōu)勢

　　 提供完整的網絡保護。

　　 提供高可靠的網絡行為監(jiān)控。

　　 保持網絡性能的基礎下，消除病毒和蠕蟲的威脅。

　　 基于專用的硬件體系，提供了高性能和高可靠性。

　　 用戶策略提供了靈活的網絡分段和策略控制能力。

　　 提供了HA高可用端口，保證零中斷服務。

　　 強大的系統(tǒng)報表和系統(tǒng)自動警告功能。

　　 多種治理方式:SSH、SNMP、WEB?；赪EB(GUI)的配置界面提供了中/英文語言支持。

　　3.3. LANGATE公司簡介

　　總部位于法國的LANGATE集團公司，創(chuàng)立于1998年，致力于統(tǒng)一網絡安全方案及產品的研發(fā)，早期作為專業(yè)IT安全技術研發(fā)機構，專門從事IT綜合型網絡安全設備及方案的研究。如今，LANGATE已經成為歐洲眾多UTM、防火墻、品牌的OEM廠商及專業(yè)研發(fā)合作伙伴，并在IT安全技術方面領先同行，為全球各地區(qū)用戶提供高效安全的網絡綜合治理方案及產品。

　　專利的LanGate® UTM在專用高效安全硬件平臺上集成了Firewall(防火墻)、(虛擬專用網絡)、Content Filtering(內容過濾，又稱上網行為監(jiān)管)、IPS(IntrUCtion PRevention System，即入侵檢測系統(tǒng))、QoS(Quality of Services，即流量治理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網關)及 Wireless Connectivity (無線接入認證)技術。