边界安全防护应首当其冲-至顶网.pdfVIP

边界安全防护应首当其冲 前言 随着网络技术的不断发展以及网络建设的复杂化， 网络边界安全成为最重要的安全问题， 需 要对其进行有效的管理和控制，主要体现在以下几个方面： 网络隔离需求： 主要是指能够对网络区域进行分割， 对不同区域之间的流量进行控制， 通过对数据包的源地 址、目的地址、源端口、目的端口、网络协议等参数，可以实现对网络流量的精细控制，把可能 的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。 攻击防范能力： 由于 TCP/IP 协议的开放特性，缺少足够的安全特性的考虑，带来了很大的安全风险，常见 的 IP 地址窃取、 IP 地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击（ DoS/DDoS）等， 必须能够提供有效的检测和防范措施。 病毒抵御能力： 网络中蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透，后门木马和 垃圾邮件侵袭的不断，影响企业用户的正常工作，甚至威胁的企业生存。如何识别和处理病毒， 抵御未知病毒，降低网络风险成为急需解决的问题。 网络可视化监控： 网络流量的统计、 实时流量的监控、 系统漏洞检测和网络流量应用管理等功能， 是网络管理 的基础。 如果可以图形化界面和直观全面的展现各种统计信息， 就能够帮助管理人员可掌握网络 状况，增强了网络的风险防范能力。 网络优化需求： 对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽， 同时应该提供完善的 QoS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议， 提供细粒度的控制和过滤能力，比如支持 WEB和 EMAIL 过滤，支持 P2P 识别并限流等能力。 用户管理需求： 对于接入局域网、广域网或者 Internet 的内网用户，都需要对他们的网络应用行为进行管 理，包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。 方案概述 对边界进行安全防护， 首先必须明确哪些网络边界需要防护， 这可以通过安全分区设计来确 定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产， 其次对安全资产定 义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。 根据以上原则， H3C提出以下的安全分区设计模型，主要包括内网办公区、数据中心区、外联数 据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。 通过以上的分区设计和网络现状， H3C提出了以防火墙、 VPN和应用层防御系统为支撑的深 度边界安全解决方案： 路由器 路由器在网络中承担路由转发的功能， 它们讲流量引导进入网络、 流出网络或者在网络中传 输，由于边界路由器具有丰富的网络接口，一般置于 internet 出口或广域网出口，是流量进入 和流出之前我们可以控制的第一道防线。 防火墙 防火墙是最主流也是最重要的安全产品， 是边界安全解决方案的核心。 它可以对整个网络进 行区域分割， 提供基于 IP 地址和 TCP/IP 服务端口等的访问控制； 对常见的网络攻击， 如拒绝服 务攻击、端口扫描、 IP 欺骗、 IP 盗用等进行有效防护；并提供 NAT地址转换、流量限制、用户 认证、 IP 与 MAC绑定等安全增强措施。 由于防火墙部署位置的先天优势，在防火墙中提供了病毒防护和网络流量实时监控功能。 防病毒 通过开启病毒防护可以在网关处抵御了网络中病毒、 木马等威胁的传播， 保护网络内部用户 免受侵害。 采用 ASM实现了网关病毒防御，