信息科技的發展使得計算機的應用範圍已經遍及世界各個角落。眾多的企業都紛紛依靠IT技術構建企業自身的信息系統和業務運營平臺。IT網絡的使用極大地提升了企業的核心競爭力,使企業能在信息資訊時代脫穎而出。
企業利用通信網絡把孤立的單機系統連接起來,相互通信和***享資源。但由於計算機信息的***享及互聯網的特有的開放性,使得企業的信息安全問題日益嚴重。
外部安全
隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對於企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
內部安全
最新調查顯示,在受調查的企業中60%以上的員工利用網絡處理私人事務。對網絡的不正當使用,降低了生產率、阻礙電腦網絡、消耗企業網絡資源、並引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密,從而導致企業數千萬美金的損失。
內部網絡之間、內外網絡之間的連接安全
隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎麽處理總部與分支機構、移動辦公人員的信息***享安全,既要保證信息的及時***享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全直接影響企業的高效運作。
1. 中小企業的網絡情況分析
中小企業由於規模大小、行業差異、工作方式及管理方式的不同有著不同的網絡拓撲機構。網絡情況有以下幾種。
集中型:
中小企業網絡壹般只在總部設立完善的網絡布局。采取專線接入、ADSL接入或多條線路接入等網絡接入方式,壹般網絡中的終端總數在幾十到幾百臺不等。網絡中有的劃分了子網,並部署了與核心業務相關的服務器,如數據庫、郵件服務器、文檔資料庫、甚至ERP服務器等。
分散型:
采取多分支機構辦公及移動辦公方式,各分支機構均有網絡部署,數量不多。大的分支采取專線接入,壹般分支采取ADSL接入方式。主要是通過VPN訪問公司主機設備及資料庫,通過郵件或內部網進行業務溝通交流。
綜合型:
集中型與分散型的綜合。
綜合型企業網絡簡圖
2. 網絡安全設計原則
網絡安全體系的核心目標是實現對網絡系統和應用操作過程的有效控制和管理。任何安全系統必須建立在技術、組織和制度這三個基礎之上。
體系化設計原則
通過分析信息網絡的層次關系,提出科學的安全體系和安全框架,並根據安全體系分析存在的各種安全風險,從而最大限度地解決可能存在的安全問題。
全局綜合性設計原則
從中小企業的實際情況看,單純依靠壹種安全措施,並不能解決全部的安全問題。建議考慮到各種安全措施的使用,使用壹個具有相當高度、可擴展性強的安全解決方案及產品。
可行性、可靠性及安全性
可行性是安全方案的根本,它將直接影響到網絡通信平臺的暢通,可靠性是安全系統和網絡通信平臺正常運行的保證,而安全性是設計安全系統的最終目的。
3. 整體網絡安全系統架構
安全方案必須架構在科學網絡安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
整體安全系統架構
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網絡層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著後門程序的蠕蟲病毒是簡單的防火墻/VPN安全體系所無法對付的。因此我們建議企業采用立體多層次的安全系統架構。如圖2所示,這種多層次的安全體系不僅要求在網絡邊界設置防火墻/VPN,還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網絡邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。
1. 整體安全防護體系
基於以上的規劃和分析,建議中小企業企業網絡安全系統按照系統的實現目的,采用壹種整合型高可靠性安全網關來實現以下系統功能:
防火墻系統
VPN系統
入侵檢測系統
網絡行為監控系統
垃圾郵件過濾系統
病毒掃描系統
帶寬管理系統
無線接入系統
2.方案建議內容
2.1. 整體網絡安全方案
通過如上的需求分析,我們建議采用如下的整體網絡安全方案。網絡安全平臺的設計由以下部分構成:
? 防火墻系統:采用防火墻系統實現對內部網和廣域網進行隔離保護。對內部網絡中服務器子網通過單獨的防火墻設備進行保護。
? VPN系統:對遠程辦公人員及分支機構提供方便的IPSec VPN接入,保護數據傳輸過程中的安全,實現用戶對服務器系統的受控訪問。
? 入侵檢測系統:采用入侵檢測設備,作為防火墻的功能互補,提供對監控網段的攻擊的實時報警和積極響應。
? 網絡行為監控系統:對網絡內的上網行為進行規範,並監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。
? 病毒防護系統:強化病毒防護系統的應用策略和管理策略,增強病毒防護有效性。
? 垃圾郵件過濾系統:過濾郵件,阻止垃圾郵件及病毒郵件的入侵。
? 移動用戶管理系統:對內部筆記本電腦在外出後,接入內部網進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。
? 帶寬控制系統:使網管人員對網絡中的實時數據流量情況能夠清晰了解。掌握整個網絡使用流量的平均標準,定位網絡流量的基線,及時發現網絡是否出現異常流量並控制帶寬。
總體安全結構如圖:
網絡安全規劃圖
本建議書推薦采用法國LanGate?產品方案。LanGate? UTM統壹安全網關能完全滿足本方案的全部安全需求。LanGate? UTM安全網關是在專用安全平臺上集成了防火墻、VPN、入侵檢測、網絡行為監控、防病毒網關、垃圾郵件過濾、帶寬管理、無線安全接入等功能於壹身的新壹代全面安全防護系統。
LanGate? UTM產品介紹
3.1. 產品概括
LanGate 是基於專用芯片及專業網絡安全平臺的新壹代整體網絡安全硬件產品。基於專業的網絡安全平臺, LanGate 能夠在不影響網絡性能情況下檢測有害的病毒、蠕蟲及其他網絡上的安全威脅,並且提供了高性價比、高可用性和強大的解決方案來檢測、阻止攻擊,防止不正常使用和改善網絡應用的服務可靠性。
高度模塊化、高度可擴展性的集成化LanGate網絡產品在安全平臺的基礎上通過各個可擴展的功能模塊為企業提供超強的安全保護服務,以防禦外部及內部的網絡攻擊入。此產品在安全平臺上集成各種功能應用模塊和性能模塊。應用模塊添加功能,例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過濾引擎。這種安全模塊化架構可使新的安全服務在網絡新病毒、新威脅肆虐時及時進行在線升級挽救網絡,而無需進行資金及資源的再投入。輕松安裝、輕松升級的LanGate產品簡化了網絡拓撲結構,降低了與從多個產品供應商處找尋、安裝和維護多種安全服務相關的成本。
3.2. 主要功能
基於網絡的防病毒
LanGate 是網關級的安全設備,它不同於單純的防病毒產品。LanGate 在網關上做 HTTP、SMTP、POP 和 IMAP的病毒掃描,並且可以通過策略控制流經不同網絡方向的病毒掃描或阻斷,其應用的靈活性和安全性將消除企業不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的,可以實時更新病毒庫。
基於用戶策略的安全管理
整個網絡安全服務策略可以基於用戶進行管理,相比傳統的基於 IP的管理方式,提供了更大的靈活性。
? 防火墻功能
LanGate 系列產品防火墻都是基於狀態檢測技術的,保護企業的計算機網絡免遭來自 Internet 的攻擊。防火墻通過“外->內”、“內->外”、“內->內”(子網或虛擬子網之間)的接口設置,提供了全面的安全控制策略。
? VPN功能
LanGate支持IPSec、PPTP及L2TP的VPN 網絡傳輸隧道。LAN Gate VPN 的特性包括以下幾點:
? 支持 IPSec 安全隧道模式
? 支持基於策略的 VPN 通信
? 硬件加速加密 IPSec、DES、3DES
? X509 證書和PSK論證
? 集成 CA
? MD5 及 SHA認證和數據完整性
? 自動 IKE 和手工密鑰交換
? SSH IPSEC 客戶端軟件, 支持動態地址訪問,支持 IKE
? 通過第三方操作系統支持的 PPTP 建立 VPN 連接
? 通過第三方操作系統支持的 L2TP建立 VPN 連接
? 支持NAT穿越
? IPSec 和 PPTP
? 支持無線連接
? 星狀結構
? 內容過濾功能
LanGate 的內容過濾不同於傳統的基於主機系統結構內容處理產品。LanGate設備是網關級的內容過濾,是基於專用芯片硬件技術實現的。LanGate 專用芯片內容處理器包括功能強大的特征掃描引擎,能使很大範圍類型的內容與成千上萬種關鍵詞或其它模式的特征相匹配。具有根據關鍵字、URL或腳本語言等不同類型內容的過濾,還提供了免屏蔽列表和組合關鍵詞過濾的功能。同時,LanGate 還能對郵件、聊天工具進行過濾及屏蔽。
入侵檢測功能
LanGate 內置的網絡入侵檢測系統(IDS)是壹種實時網絡入侵檢測傳感器,它能對外界各種可疑的網絡活動進行識別及采取行動。IDS使用攻擊特征庫來識別過千種的網絡攻擊。同時LanGate將每次攻擊記錄到系統日誌裏,並根據設置發送報警郵件或短信給網絡管理員。
垃圾郵件過濾防毒功能 包括:
? 對 SMTP服務器的 IP進行黑白名單的識別
? 垃圾郵件指紋識別
? 實時黑名單技術
? 對所有的郵件信息病毒掃描
? 帶寬控制(QoS)
LanGate為網絡管理者提供了監測和管理網絡帶寬的手段,可以按照用戶的需求對帶寬進行控制,以防止帶寬資源的不正常消耗,從而使網絡在不同的應用中合理分配帶寬,保證重要服務的正常運行。帶寬管理可自定義優先級,確保對於流量要求苛刻的企業,最大限度的滿足網絡管理的需求。
? 系統報表和系統自動警告
LanGate系統內置詳細直觀的報表,對網絡安全進行全方位的實時統計,用戶可以自定義閥值,所有超過閥值的事件將自動通知管理管理人員,通知方式有 Email 及短信方式(需結合短信網關使用)。
? 多鏈路雙向負載均衡
提供了進出流量的多鏈路負載均衡,支持自動檢測和屏蔽故障多出口鏈路,同時還支持多種靜態和動態算法智能均衡多個ISP鏈路的流量。支持多鏈路動態冗余,流量比率和智能切換;支持基於每條鏈路限制流量大小;支持多種DNS解析和規劃方式,適合各種用戶網絡環境;支持防火墻負載均衡。
3.2. LanGate產品優勢
? 提供完整的網絡保護。
? 提供高可靠的網絡行為監控。
? 保持網絡性能的基礎下,消除病毒和蠕蟲的威脅。
? 基於專用的硬件體系,提供了高性能和高可靠性。
? 用戶策略提供了靈活的網絡分段和策略控制能力。
? 提供了HA高可用端口,保證零中斷服務。
? 強大的系統報表和系統自動警告功能。
? 多種管理方式:SSH、SNMP、WEB。基於WEB(GUI)的配置界面提供了中/英文語言支持。
3.3. LANGATE公司簡介
總部位於法國的LANGATE集團公司,創立於1998年,致力於統壹網絡安全方案及產品的研發,早期作為專業IT安全技術研發機構,專門從事IT綜合型網絡安全設備及方案的研究。如今,LANGATE已經成為歐洲眾多UTM、防火墻、VPN品牌的OEM廠商及專業研發合作夥伴,並在IT安全技術方面領先同行,為全球各地區用戶提供高效安全的網絡綜合治理方案及產品。
專利的LanGate? UTM在專用高效安全硬件平臺上集成了Firewall(防火墻)、VPN(虛擬專用網絡)、Content Filtering(內容過濾,又稱上網行為監管)、IPS(Intruction Prevention System,即入侵檢測系統)、QoS(Quality of Services,即流量管理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網關)及 Wireless Connectivity (無線接入認證)技術。
LANGATE在全球範圍內推廣UTM整體網絡安全解決方案,銷售網絡遍及全球30多個國家及地區。LANGATE的產品服務部門遍布各地子公司及各地認可合作夥伴、ISPs、分銷渠道、認證VARs、認可SIs,為全球用戶提供專業全面的IT安全服務。