边界安全防护应首当其冲-至顶网.docVIP

边界安全 随着网络技术的不断发展以及网络建设的复杂化，网络边界安全成为最重要的安全问题，需要对其进行有效的管理和控制，主要体现在以下几个方面： 网络隔离需求： 主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。 攻击防范能力： 由于TCP/IP协议的开放特性，缺少足够的安全特性的考虑，带来了很大的安全风险，常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击（DoS/DDoS）等，必须能够提供有效的检测和防范措施。 病毒抵御能力： 网络中蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透，后门木马和垃圾邮件侵袭的不断，影响企业用户的正常工作，甚至威胁的企业生存。如何识别和处理病毒，抵御未知病毒，降低网络风险成为急需解决的问题。 网络可视化监控： 网络流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能，是网络管理的基础。如果可以图形化界面和直观全面的展现各种统计信息，就能够帮助管理人员可掌握网络状况，增强了网络的风险防范能力。 网络优化需求： 对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QoS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如支持WEB和EMAIL过滤，支持P2P识别并限流等能力。 用户管理需求： 对于接入局域网、广域网或者Internet的内网用户，都需要对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。 方案概述 对边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据以上原则，H3C提出以下的安全分区设计模型，主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。 通过以上的分区设计和网络现状，H3C提出了以防火墙、VPN和应用层防御系统为支撑的深度边界安全解决方案： 路由器 路由器在网络中承担路由转发的功能，它们讲流量引导进入网络、流出网络或者在网络中传输，由于边界路由器具有丰富的网络接口，一般置于internet出口或广域网出口，是流量进入和流出之前我们可以控制的第一道防线。 防火墙 防火墙是最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。 由于防火墙部署位置的先天优势，在防火墙中提供了病毒防护和网络流量实时监控功能。 防病毒 通过开启病毒防护可以在网关处抵御了网络中病毒、木马等威胁的传播，保护网络内部用户免受侵害。采用ASM实现了网关病毒防御，改变了原有被动等待病毒感染的防御模式，实现网络病毒的主动防御，切断病毒在网络边界传递的通道。 网流监控 通过启用流量监控功能可以实时收集网络流量信息，分析网络应用情况，可以识别分析一百多种协议，包括P2P等应用层协议。NSM(用于防火墙)/NAM（用于路由器）模块可以将收集的信息存储在本地，或远端服务器，为用户提供优化和再投资的依据。 VPN VPN（Virtual Private Network，虚拟私有网）是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。VPN只为特定的企业或用户群体所专用。从用户角度看来，使用VPN与传统专网没有任何区别。VPN作为私有专网，一方面与底层承载网络之间保持资源独立性，即在一般情况下，VPN资源不会被网络中的其它VPN或非该VPN用户使用；另一方面，VPN提供足够安全性，能够确保VPN内部信息的完整性、保密性、不可抵赖性。 VPN具有成本低、易扩展、高安全等优点，尤其是免客户端的SSL VPN，进一步降低企业用户的投入。通过公用网来建立VPN，可以节省大量的通信费用，并且可以灵活的增加和删除VPN节点。通过VPN，可以在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接，保证数据传输的安全。利用公共网络进行信息通讯，一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴，另一方面极大的提高了网络的资源利用率。 应用层防御