2022年三星中小企业网络安全解决方案.doc

《2022年三星中小企业网络安全解决方案.doc》由会员分享，可在线阅读，更多相关《2022年三星中小企业网络安全解决方案.doc（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、三星中小企业网络平安处理方案 2006-10-09 13:32 三星网络 珍藏到e起顶 【简 介】 当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。企业信息设备在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的平安咨询题也不断困扰着中小企业，关于中小企业网络平安的相关报导也不断层不穷，给中小企业所造成的损失不可估量。由于涉及企业形象的咨询题，所曝光的事件只是冰山一角。 中小企业网络的现状与将来 当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。企业信息设备在提高企业效益的同时，也给企业增加了风险隐患。大企业所面

2、临的平安咨询题也不断困扰着中小企业，关于中小企业网络平安的相关报导也不断层不穷，给中小企业所造成的损失不可估量。由于涉及企业形象的咨询题，所曝光的事件只是冰山一角。针对中小企业网络平安事故大多不为人所知。由于计算机网络特有的开放性。网络平安咨询题日益严峻。中小企业所面临的平安咨询题主要有以下几个方面： 1外网平安骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为妨碍最为广泛的平安威胁。 2内网平安最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了消费率、阻碍电脑网络、耗费企业网络资源、并引入病毒和间谍，或者使得不法员工能够通过网络泄漏企

3、业机密。 3内部网络之间、内外网络之间的连接平安随着企业的开展壮大，逐步构成了企业总部、各地分支机构、挪动办公人员如此的新型互动运营形式。如何处理总部与分支机构、挪动办公人员的信息共享平安，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的咨询题。各地机构与总部之间的网络连接平安直截了当妨碍企业的高效运作。 中小企业网络平安需求分析 目前的中小企业由于人力和资金上的限制，网络平安产品不仅仅需要简单的安装，更重要的是要有针对复杂网络应用的一体化处理方案。其着眼点在于：国内外领先的厂商产品；具备处理突发事件的才能；能够实时监控并易于治理；提供平安策略配置定制；是用户能够非

4、常容易地完善本身平安体系。归结起来，应充分保证以下几点： 1 网络可用性：网络是业务系统的载体，防止如DOS/DDOS如此的网络攻击破坏网络的可用性。 2业务系统的可用性：中小企业主机、数据库、应用效劳器系统的平安运转同样十分关键，网络平安体系必须保证这些系统不会遭受来自网络的非法访咨询、恶意入侵和破坏。 3数据机密性：关于中小企业网络，保密数据的泄密将直截了当带来企业商业利益的损失。网络平安系统应保证机密信息在存储与传输时的保密性。 4访咨询的可控性：对关键网络、系统和数据的访咨询必须得到有效的操纵，这要求系统能够可靠确认访咨询者的身份，慎重受权，并对任何访咨询进展跟踪记录。 5网络操作的可

5、治理性：关于网络平安系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可治理和维护功能。易用的功能 UTM（统一威胁治理）更能满足中小企业的网络平安需求 网络平安系统通常是由防火墙、入侵检测、破绽、平安审计、防病毒、流量监控等功能产品组成的。但由于平安产品来自不同的厂商，没有统一的标准，因而平安产品之间无法进展信息交换，构成许多平安孤岛和平安盲区。而企业用户目前急需的是建立一个标准的平安治理平台，对各种平安产品进展统一治理。因而，UTM产品应运而生，同时正在逐步得到市场的认可。UTM平安、治理方便的特点，是平安设备最大的好处，而这往往也是中小企业对产品的主要需求。 中小企业的资金流比拟薄

6、弱，这使得中小企业在网络平安方面的投入总显得底气缺乏。而整合式的UTM产品相关于单独购置各种功能，能够有效地降低本钱投入。且由于UTM的治理比拟统一，能够大大降低在技术治理方面的要求，弥补中小企业在技术力量上的缺乏。这使得中小企业能够最大限度地降低对平安供给商的技术效劳要求。网络平安方案可行性更强。 UTM产品更加灵敏、易于治理，中小企业能够在一个统一的架构上建立平安根底设备，相关于提供单一专有功能的平安设备，UTM在一个通用的平台上提供多种平安功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等非常多常用的平安功能，而用户既能够选择具备全面功能的UTM设备，也能够依照本人的需要选择某几

7、个方面的功能。更为重要的是，用户能够随时在这个平台上增加或调整平安功能，而任何时候这些平安功能都能够非常好地协同工作。 整体网络平安系统架构 随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的平安处理方案已缺乏以应付来自各种攻击了。例如，那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN平安体系所无法对付的。因而我们建议企业采纳立体多层次的平安系统架构。结合中小企业的网络特征，我们建议采纳基于三星Ubigate IBG ISM（集成平安模块）的UTM整体平安网络架构方案。 图1:基于 Samsung Ubigate iBG ISM整体平安系统架构 如图1所示，这种多层次的平安体系不

8、仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挠在企业内部网之外。关于内网平安，特别是挪动办公，client quarantine（客户端隔离）将对有平安咨询题的主机进展隔离，以免其对整个网络造成更大范围的妨碍。这给整个企业网络提供了平安保障。基于 Samsung Ubigate IBG ISM的UTM提供了当今最高级别的平安性，能够检测到任何异常操作并立即关闭可疑的通讯途径。基于Samsung Ubigate IBG 系列整合平台及其集成平安模块 (ISM) 的UTM整体网络平安方案 网络平安

9、平台的设计由以下部分构成： 防火墙 VPN系统：用基于状态检测的防火墙系统实现对内部网和广域网进展隔离保护。 VPN 为远程办公人员及分支机构提供方便的VPN高速接入，保护数据传输过程中的平安，实现用户对效劳器系统的受控访咨询。 IDS/IPS签名检测:ISM采纳高速形式匹配实现高速签名挑选，从而保证网络功能最优化。IPS系统能够对所有数据进展实时检测。关于可疑攻击行为，IPS系统采纳灵敏的策略进展相应处理，大大降低了IPS系统误报和漏报给内部网络带来的风险。 病毒检测：ISM 中的代理将每个会话的有效负荷组装至文件，然后将该文件发送至系统的防病毒引擎检查该文件，假设感染病毒，则修复文件，然后

10、将文件传输至其原始目的地。支持对、SMTP、POP3、FTP等协议的病毒检测。 通讯异常检测：包括检测，会话限制，TCP/UDP/ICMP洪泛攻击检测和阻止。ISM具有强大的防DOS/DDOS功能，不但能够防备外网的DOS/DDOS，同时关于内网用户发起的DOS攻击，UTM 平安网关也能够进展防备。 客户端隔离：隔离是抑制蠕虫和病毒迸发的最有效方法。为实现此目的，ISM 将安装 Desktop Agent 并与所有内部客户端的Desktop Agent进展通讯。 假如检测到异常通讯，ISM 就会发送一个命令，阻止源计算机生成更多的通讯。 Web应用程序防火墙:Web应用程序防火墙提供高效的防备

11、，防止与Web系统相关的攻击。 URL 挑选:ISM能够按照有害站点数据库检查目的URL 来阻止内部用户访咨询特定的网站，治理员还能够选择预订Websense 数据库，只需加点费用即可。 通讯调整:ISM 能够依照网络治理员设立的策略来操纵特定通讯的带宽。 图2 总体平安构造拓扑图三星UBigate3026特点： 整机模块化设计，所有模块支持热拔插功能,用户可量身定制自已的配置，晋级、维护极灵敏，具备非常强的可扩展性。 1、防火墙（ISM模块）、VPN（VAC卡） 防火墙吞吐量：1.9Gbps Concurrent Session:最大200，000（1G） VPN吞吐量：360 Mbps,

12、VPN最大通道数：最大 2000， IPS吞吐量：1.5Gbps， IPS签名数：超过2,000 支持防病毒网关、防垃圾邮件、URL过滤、Web应用层防火墙、终端平安性 2、路由交换： 支持RIP，OSPF，BGP协议，QOS机制，二、三层企业级交换才能，21G的吞吐量，最多支持54个千兆端口，4个光纤端口 3、VoIP 为模仿和数字提供接口，装备了带有IP和PoE的以太模块，能够提供灵敏多变的企业级语音效劳。并通过广泛的QoS使企业语音和数据业务真正整合，支持模仿、数字和IP。 Samsung Ubigate iBG 系列整合平台及其集成平安模块 (ISM) 提供了具有以下明显优势的“最正确

13、方案”防备措施： 在路由器（通向内部网络的网关）处有多个先进的平安功能； 用于阻止来自端点设备的 Desktop Agent； 通过专用 CPU 和内存获取高功能平安性； 自动签名更新和用于传染的紧急推入效劳； 使用基于 Web 的图形化设备治理器进展轻松配置、治理、监视和毛病排除，可通过s实现远程治理，降低治理本钱； IBG集成交换和路由功能，以及VoIP功能，将大大降低中小企业的整体网络的造价本钱；以及企业运作本钱； Samsung Ubigate iBG 系列整合平台及其集成平安模块 (ISM) 的UTM整体网络平安方案完全满足中小企业网络平安方案的平安需求。提供了当今最高级别的平安性。 三星Ubigate IBG 产品优势 比市场同类产品具有更高的功能，更有竞争性的价格。 提供完好的网络保护。 提供高可靠的网络行为监控。保持网络功能的根底下，消除病毒和蠕虫的威胁。 基于专用的硬件体系，提供了高功能和高可靠性。 用户策略提供了灵敏的网络分段和策略操纵才能。 提供了高可用端口，保证零中断效劳。 强大的系统报表和系统自动警告功能。 多种治理方式：SSH、SNMP、WEB。基于WEB（GUI）的配置界面提供了中/英文语言支持。