主页 > 网络知识 > 网络边界安全的定义及部署方案

网络边界安全的定义及部署方案

随着XX系统网络上IT应用的不断增加以及网络中设备的增加,网络边界安全成为最重要的安全问题之一,需要组合型的安全解决方案。

边界安全解决方案概述:

XX系统边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区来确定。定义安全分区的原则就是首先根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。根据以上原则,H3C提出XX系统的安全分区模型,主要包括:内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等。如下图所示:

 

参照以上的分区,考虑到当前网络上的主要威胁,我们提出以防火墙、防病毒模块、网络安全监控模块和入侵防御系统(IPS)为支撑的边界安全解决方案:

1)    防火墙:最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IPMAC绑定等安全增强措施。由于防火墙部署在网关位置,也可以在防火墙中集成防病毒模块和网络安全监控模块。

2)    防病毒:通过部署防病毒模块(ASM)可以在网关处阻止病毒、木马等威胁的传播,保护网络内部用户免受侵害。采用防病毒模块(ASM),改变了原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。

3)    网络安全监控:通过启用流量监控功能可以实时收集网络流量信息,分析网络应用情况,可以识别分析一百多种协议,包括P2P等应用层协议。网络安全监控模块(NSM)可以将收集的信息存储在本地或远端服务器,为用户提供网络优化和再投资的依据。

4)    入侵防御:传统的安全解决方案中,防火墙和入侵检测系统 (IDSIntrusion DetectionSystem) 已经被普遍接受,但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备,不能充分地分析应用层协议数据中的攻击信号,而IDS也不能阻挡检测到的攻击。因此,即使在网络中已部署了防火墙、IDS等基础网络安全产品,IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过在线部署,IPS可以检测并直接阻断恶意流量。

    边界安全解决方案的典型部署:

 

XX系统互联网出口部署防火墙(集成防病毒和网络安全监控模块)和IPS设备,同时通过防火墙和IPS将企业内部网、DMZ、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。

边界安全解决方案特点:

1)    全面防护:在安全区域规划基础上,在网络边界部署防火墙、IPS等安全设备,能够实现网络27层的威胁抵御,形成动态、立体的全面安全防护;

2)    深层防护:通过H3C防火墙和IPS的部署,可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对P2P应用禁止和限流、抵抗DoS/DDoS的攻击等等。

提取码请登录后查看!
说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!