比蒙科技网络安全审计系统应用及案例.pptxVIP

网络安全行为审计系统应用与解决方案 2 应用 服务器群集 维护群集 外部远程访问 3 门禁系统 摄像监控系统 网络内部设置了访问控制策略、授权、等安全措施，但发生安全事件时，无法定位、分清责任。 在机房出口处部署比蒙科技的SA产品，能够完全解决企业的所有后顾之忧。 审计系统 服务器群集 大型活动会议 服务器机房 4 门禁系统 摄像监控系统 在机房出口处部署比蒙科技的SA产品，能够完全解决企业的所有后顾之忧。 审计系统 维护群集 维护监控室 代维/开发/管理 终端域 安全管理员和审计员无法知道不同的厂商、集成商、维护终端究竟做了什么。 5 门禁系统 摄像监控系统 在机房出口处部署比蒙科技的SA产品，能够完全解决企业的所有后顾之忧。 审计系统 外部远程访问 远程接入维护 第三方合作者/开发者 远程应急响应 需要从异地接入进行维护加密操作，加密后无法对维护操作进行监控。 6 解决方案 全透明审计部署解决方案 审计系统 生产服务器 远程访问者 SA设备可以以桥、路由或桥与路由混合方式运行 完全透明的部署方案，服务器与客户端都无法感知审计设备的存在 建议通过带外管理等方式将业务流量与管理流量分离 生产服务器 7 远程访问代理区部署解决方案 防火墙 Session Auditor 生产服务器 业务使用者 服务器维护人员 (RDP、SSH客户端） 业务流量 (HTTP,POP3,etc) 管理流量 (RDP, SSH, etc) LAN1 LAN0 LAN2 代理区终端服务器 Windows Terminal Server Unix/Linux SA设备可以以桥、路由或桥与路由混合方式运行 业务流量与管理流量分离，业务流量完全不受影响 维护人员先登录到代理区终端服务器，再进入生产服务器进行维护操作 防火墙配置访问控制规则，对管理协议（RDP、SSH等）仅允许以代理区终端服务器为源地址的流量通过 8 利用SA内置VPN的审计部署解决方案 防火墙 Session Auditor 生产服务器 业务使用者 服务器维护人员 (PPTP VPN客户端） 业务流量 (HTTP,POP3,etc) 管理流量 (RDP, SSH, etc) LAN1 LAN0 LAN3 LAN2 本部署方案的特点是将业务流量与管理流量分开，仅对管理流量进行审计 SA VPN功能增强远程维护操作的安全性 SA VPN可使用内置认证或外RADIUS认证 提供远程访问实名制 SA VPN地址池可支持NAT或ARP代理以避免在防火墙或路由器上修改路由表 防火墙配置适当的访问控制策略： 阻止从LAN0到LAN1服务器的管理端口的访问（如远程桌面的3389，SSH的22等） 允许来自LAN2到LAN1服务器管理端口的访问，其源地址为SA分配的IP地址池 9 利用SA内置VPN的审计部署解决方案（单臂） 防火墙 Session Auditor 生产服务器 业务使用者 服务器维护人员 (PPTP VPN客户端） 业务流量 (HTTP,POP3,etc) 管理流量 (RDP, SSH, etc) LAN1 LAN0 LAN2 本部署方案的特点是将业务流量与管理流量分开，仅对管理流量进行审计 SA VPN功能增强远程维护操作的安全性 SA VPN可使用内置认证或外RADIUS认证 提供远程访问实名制 SA VPN地址池可支持NAT或ARP代理以避免在防火墙或路由器上修改路由表 防火墙配置适当的访问控制策略： 阻止从LAN0到LAN1服务器的管理端口的访问（如远程桌面的3389，SSH的22等） 允许来自LAN2到LAN1服务器管理端口的访问，其源地址为SA分配的IP地址池 10 与外置VPN网关结合的审计部署解决方案 本部署方案的特点是通过外置VPN设备将业务流量与管理流量分开，仅对管理流量进行审计 VPN设备增强远程维护操作的安全性 防火墙配置适当的访问控制策略： 阻止从LAN0到LAN1服务器的管理端口的访问（如远程桌面的3389，SSH的22等） 允许来自LAN2到LAN1服务器管理端口的访问，其源地址为VPN网关分配的IP地址池 防火墙 VPN网关 Session Auditor 生产服务器 业务使用者 服务器维护人员 (VPN客户端） 业务流量 (HTTP,POP3,etc) 管理流量 (RDP, SSH, etc) LAN1 LAN0 LAN3 LAN2 OUT IN 11 12