网络边界安全的定义及部署方案

随着XX系统网络上IT应用的不断增加以及网络中设备的增加，网络边界安全成为最重要的安全问题之一，需要组合型的安全解决方案。

边界安全解决方案概述：

对XX系统边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区来确定。定义安全分区的原则就是首先根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。根据以上原则，H3C提出XX系统的安全分区模型，主要包括：内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等。如下图所示：

参照以上的分区，考虑到当前网络上的主要威胁，我们提出以防火墙、防病毒模块、网络安全监控模块和入侵防御系统（IPS）为支撑的边界安全解决方案：

1)    防火墙：最主流也是最重要的安全产品，是边界安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。由于防火墙部署在网关位置，也可以在防火墙中集成防病毒模块和网络安全监控模块。

2)    防病毒：通过部署防病毒模块（ASM）可以在网关处阻止病毒、木马等威胁的传播，保护网络内部用户免受侵害。采用防病毒模块（ASM），改变了原有被动等待病毒感染的防御模式，实现网络病毒的主动防御，切断病毒在网络边界传递的通道。

3)    网络安全监控：通过启用流量监控功能可以实时收集网络流量信息，分析网络应用情况，可以识别分析一百多种协议，包括P2P等应用层协议。网络安全监控模块（NSM）可以将收集的信息存储在本地或远端服务器，为用户提供网络优化和再投资的依据。

4)    入侵防御：传统的安全解决方案中，防火墙和入侵检测系统 (IDS，Intrusion DetectionSystem) 已经被普遍接受，但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，而IDS也不能阻挡检测到的攻击。因此，即使在网络中已部署了防火墙、IDS等基础网络安全产品，IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果，必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，IPS可以检测并直接阻断恶意流量。

    边界安全解决方案的典型部署：

在XX系统互联网出口部署防火墙（集成防病毒和网络安全监控模块）和IPS设备，同时通过防火墙和IPS将企业内部网、DMZ、数据中心、互联网等安全区域分隔开，并通过制定相应的安全规则，以实现各区域不同级别、不同层次的安全防护。

边界安全解决方案特点：

1)    全面防护：在安全区域规划基础上，在网络边界部署防火墙、IPS等安全设备，能够实现网络2至7层的威胁抵御，形成动态、立体的全面安全防护；

2)    深层防护：通过H3C防火墙和IPS的部署，可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对P2P应用禁止和限流、抵抗DoS/DDoS的攻击等等。