典型企业网络边界安全解决方案..docxVIP

典型中小企业网络边界安全解决方案意见征询稿Hillstone Networks Inc.2010年9月29日目录1前言41.1方案目的41.2方案概述42安全需求分析62.1典型中小企业网络现状分析62.2典型中小企业网络安全威胁82.3典型中小企业网络安全需求102.3.1需要进行有效的访问控制102.3.2深度应用识别的需求112.3.3需要有效防范病毒112.3.4需要实现实名制管理112.3.5需要实现全面URL过滤122.3.6需要实现IPSEC VPN122.3.7需要实现集中化的管理123安全技术选择133.1技术选型的思路和要点133.1.1首要保障可管理性133.1.2其次提供可认证性133.1.3再次保障链路畅通性143.1.4最后是稳定性143.2选择山石安全网关的原因143.2.1安全可靠的集中化管理153.2.2基于角色的安全控制与审计163.2.3基于深度应用识别的访问控制173.2.4深度内容安全(UTMPlus?)173.2.5高性能病毒过滤183.2.6灵活高效的带宽管理功能193.2.7强大的URL地址过滤库213.2.8高性能的应用层管控能力213.2.9高效IPSEC VPN223.2.10高可靠的冗余备份能力224系统部署说明234.1安全网关部署设计244.2安全网关部署说明254.2.1部署集中安全管理中心254.2.2基于角色的管理配置294.2.3配置访问控制策略304.2.4配置带宽控制策略314.2.5上网行为日志管理334.2.6实现URL过滤354.2.7实现网络病毒过滤364.2.8部署IPSEC VPN374.2.9实现安全移动办公385方案建设效果38前言方案目的本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在2千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的ERP系统，支撑企业员工处理日常事务的OA系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。根据当前国内企业的发展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依赖也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严重的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着企业信息系统的正常运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。而作为信息安全体系建设，涉及到各个层面的要素，从管理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。方案概述本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下：典型中小型企业网络结构示意图为保障中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设效果：实现有效的访问控制：对员工访问互联网，以及员工访问业务系统的行为进行有效控制，杜绝非法访问，禁止非授权访问，保障访问的合法性和合规性；实现有效的集中安全管理：中小型企业的管理特点为总部高度集中模式，通过网关的集中管理系统，中小企业能够集中监控总部及各个分支机构员工的网络访问行为，做到可视化的安全。保障安全健康上网：对员工的上网行为进行有效监控，禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用，提高员工办公效率；对员工访问的网站进行实时监控，限制员工访问不健康或不安全的网站，从而造成病毒的传播等；保护网站安全：对企业网站进行有效保护，防范来自互联网上黑客的故意渗透和破坏行为；保护关键业务安全性：对重要的应用服务器和数据库服务器实施保护，防范病毒和内部的非授权访问；实现实名制的安全监控：中小型企业的特点是，主机IP地址不固定，但全公司有统一的用户管理措施，通常通过AD域的方式来实现，因此对于访问控制和行为审计，可实现基于身份的监控，实现所谓的实名制管理；实现总部