边界安全防护应首当其冲-至顶网(共4页).doc

《边界安全防护应首当其冲-至顶网(共4页).doc》由会员分享，可在线阅读，更多相关《边界安全防护应首当其冲-至顶网(共4页).doc（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上边界安全防护应首当其冲前言随着网络技术的不断发展以及网络建设的复杂化，网络边界安全成为最重要的安全问题，需要对其进行有效的管理和控制，主要体现在以下几个方面：网络隔离需求：主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。攻击防范能力：由于TCP/IP协议的开放特性，缺少足够的安全特性的考虑，带来了很大的安全风险，常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击（DoS/

2、DDoS）等，必须能够提供有效的检测和防范措施。病毒抵御能力：网络中蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透，后门木马和垃圾邮件侵袭的不断，影响企业用户的正常工作，甚至威胁的企业生存。如何识别和处理病毒，抵御未知病毒，降低网络风险成为急需解决的问题。网络可视化监控：网络流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能，是网络管理的基础。如果可以图形化界面和直观全面的展现各种统计信息，就能够帮助管理人员可掌握网络状况，增强了网络的风险防范能力。网络优化需求：对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的Qo

3、S机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如支持WEB和EMAIL过滤，支持P2P识别并限流等能力。用户管理需求：对于接入局域网、广域网或者Internet的内网用户，都需要对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。方案概述对边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据以上原则，H3C提出以

4、下的安全分区设计模型，主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。通过以上的分区设计和网络现状，H3C提出了以防火墙、VPN和应用层防御系统为支撑的深度边界安全解决方案：路由器路由器在网络中承担路由转发的功能，它们讲流量引导进入网络、流出网络或者在网络中传输，由于边界路由器具有丰富的网络接口，一般置于internet出口或广域网出口，是流量进入和流出之前我们可以控制的第一道防线。防火墙防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网

5、络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。由于防火墙部署位置的先天优势，在防火墙中提供了病毒防护和网络流量实时监控功能。防病毒通过开启病毒防护可以在网关处抵御了网络中病毒、木马等威胁的传播，保护网络内部用户免受侵害。采用ASM实现了网关病毒防御，改变了原有被动等待病毒感染的防御模式，实现网络病毒的主动防御，切断病毒在网络边界传递的通道。网流监控通过启用流量监控功能可以实时收集网络流量信息，分析网络应用情况，可以识别分析一百多种协议，包括P2P等应用层协议。NSM(用于防火墙)/NAM（用于路由器

6、）模块可以将收集的信息存储在本地，或远端服务器，为用户提供优化和再投资的依据。VPNVPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。VPN只为特定的企业或用户群体所专用。从用户角度看来，使用VPN与传统专网没有任何区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被网络中的其它VPN或非该VPN用户使用；另一方面，VPN提供足够安全性，能够确保VPN内部信息的完整性、保密性、不可抵赖性。VPN具有成本低、易扩展、高安全等优点，尤其

7、是免客户端的SSL VPN，进一步降低企业用户的投入。通过公用网来建立VPN，可以节省大量的通信费用，并且可以灵活的增加和删除VPN节点。通过VPN，可以在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全。利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率。应用层防御传统的安全解决方案中，防火墙和入侵检测系统 (IDS，Intrusion Detection System) 已经被普遍接受，但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能

8、充分地分析应用层协议数据中的攻击信号，而IDS也不能阻挡检测到的攻击。因此，即使在网络中已部署了防火墙、IDS等基础网络安全产品，IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果，必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，检测并直接阻断恶

9、意流量。方案特点全面防护通过对安全区域的设计、配合病毒防护和流量监控功能，在网络边界部署防火墙、VPN、IPS等安全设备，不仅能够保证2至7层的安全，同时也保证了数据传输的安全性，形成动态、立体、深层次的全面安全防护；VPN特性丰富H3C安全解决方案的VPN特性非常丰富，包括适用于分支机构的动态VPN（DVPN）解决方案、适用于MPLS VPN和IPSec VPN环境下的VPE解决方案、适用于链路备份的VPN高可用方案等，可以满足各种VPN环境的需要；深层防护通过H3C防火墙和IPS的部署，可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对P2P应用禁止和限流、对服务器的虚拟软件补丁管理、抵抗DoS/DDoS的攻击等等。典型组网应用在企业互联网出口部署防火墙和VPN设备，分支机构及移动办公用户分别通过VPN网关和VPN客户端安全连入企业内部网络；同时通过防火墙和IPS将企业内部网、DMZ、数据中心、互联网等安全区域分隔开，并通过制定相应的安全规则，以实现各区域不同级别、不同层次的安全防护。专心-专注-专业