關(guān)于企業(yè)網(wǎng)絡(luò)安全的解決方案

　　以下就是學(xué)習(xí)啦小編為大家?guī)淼钠髽I(yè)網(wǎng)絡(luò)安全解決方案，歡迎大家閱讀!!!

　　信息科技的發(fā)展使得計算機的應(yīng)用范圍已經(jīng)遍及世界各個角落。眾多的企業(yè)都紛紛依靠IT技術(shù)構(gòu)建企業(yè)自身的信息系統(tǒng)和業(yè)務(wù)運營平臺。IT網(wǎng)絡(luò)的使用極大地提升了企業(yè)的核心競爭力，使企業(yè)能在信息資訊時代脫穎而出。企業(yè)利用通信網(wǎng)絡(luò)把孤立的單機系統(tǒng)連接起來，相互通信和共享資源。但由于計算機信息的共享及互聯(lián)網(wǎng)的特有的開放性，使得企業(yè)的信息安全問題日益嚴(yán)重。

　　外部安全

　　隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當(dāng)遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也很大。

　　內(nèi)部安全

　　最新調(diào)查顯示，在受調(diào)查的企業(yè)中60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡(luò)、消耗企業(yè)網(wǎng)絡(luò)資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機密，從而導(dǎo)致企業(yè)數(shù)千萬美金的損失。

　　內(nèi)部網(wǎng)絡(luò)之間、內(nèi)外網(wǎng)絡(luò)之間的連接安全

　　隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構(gòu)、移動辦公人員這樣的新型互動運營模式。怎幺處理總部與分支機構(gòu)、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運作。

　　1. 中小企業(yè)的網(wǎng)絡(luò)情況分析

　　中小企業(yè)由于規(guī)模大小、行業(yè)差異、工作方式及治理方式的不同有著不同的網(wǎng)絡(luò)拓?fù)錂C構(gòu)。網(wǎng)絡(luò)情況有以下幾種。

　　集中型:

　　中小企業(yè)網(wǎng)絡(luò)一般只在總部設(shè)立完善的網(wǎng)絡(luò)布局。采取專線接入、ADSL接入或多條線路接入等網(wǎng)絡(luò)接入方式，一般網(wǎng)絡(luò)中的終端總數(shù)在幾十到幾百臺不等。網(wǎng)絡(luò)中有的劃分了子網(wǎng)，并部署了與核心業(yè)務(wù)相關(guān)的服務(wù)器，如數(shù)據(jù)庫、郵件服務(wù)器、文檔資料庫、甚至ERP服務(wù)器等。

　　分散型:

　　采取多分支機構(gòu)辦公及移動辦公方式，各分支機構(gòu)均有網(wǎng)絡(luò)部署，數(shù)量不多。大的分支采取專線接入，一般分支采取ADSL接入方式。主要是通過訪問公司主機設(shè)備及資料庫，通過郵件或內(nèi)部網(wǎng)進行業(yè)務(wù)溝通交流。

　　綜合型:

　　集中型與分散型的綜合。

　　2. 網(wǎng)絡(luò)安全設(shè)計塬則

　　網(wǎng)絡(luò)安全體系的核心目標(biāo)是實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用操作過程的有效控制和治理。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這叁個基礎(chǔ)之上。

　　體系化設(shè)計塬則

　　通過分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險，從而最大限度地解決可能存在的安全問題。

　　全局綜合性設(shè)計塬則

　　從中小企業(yè)的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。建議考慮到各種安全措施的使用，使用一個具有相當(dāng)高度、可擴展性強的安全解決方案及產(chǎn)品。

　　可行性、可靠性及安全性

　　可行性是安全方案的根本，它將直接影響到網(wǎng)絡(luò)通信平臺的暢通，可靠性是安全系統(tǒng)和網(wǎng)絡(luò)通信平臺正常運行的保證，而安全性是設(shè)計安全系統(tǒng)的最終目的。

　　3. 整體網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)

　　安全方案必須架構(gòu)在科學(xué)網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)之上，因為安全架構(gòu)是安全方案設(shè)計和分析的基礎(chǔ)。

　　整體安全系統(tǒng)架構(gòu)

　　隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構(gòu)。如圖2所示，這種多層次的安全體系不僅要求在網(wǎng)絡(luò)邊界設(shè)置防火墻/，還要設(shè)置針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護措施，將應(yīng)用層的防護放在網(wǎng)絡(luò)邊緣，這種主動防護可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。

　　1. 整體安全防護體系

　　基于以上的規(guī)劃和分析，建議中小企業(yè)企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照系統(tǒng)的實現(xiàn)目的，采用一種整合型高可靠性安全網(wǎng)關(guān)來實現(xiàn)以下系統(tǒng)功能:

　　防火墻系統(tǒng)

　　系統(tǒng)

　　入侵檢測系統(tǒng)

　　網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)

　　垃圾郵件過濾系統(tǒng)

　　病毒掃描系統(tǒng)

　　帶寬治理系統(tǒng)

　　無線接入系統(tǒng)

　　2.方案建議內(nèi)容

　　2.1. 整體網(wǎng)絡(luò)安全方案

　　通過如上的需求分析，我們建議采用如下的整體網(wǎng)絡(luò)安全方案。網(wǎng)絡(luò)安全平臺的設(shè)計由以下部分構(gòu)成:

　　 防火墻系統(tǒng):采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨的防火墻設(shè)備進行保護。

　　 系統(tǒng):對遠程辦公人員及分支機構(gòu)提供方便的ipSec 接入，保護數(shù)據(jù)傳輸過程中的安全，實現(xiàn)用戶對服務(wù)器系統(tǒng)的受控訪問。

　　 入侵檢測系統(tǒng):采用入侵檢測設(shè)備，作為防火墻的功能互補，提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應(yīng)。

　　 網(wǎng)絡(luò)行為監(jiān)控系統(tǒng):對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為進行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。

　　 病毒防護系統(tǒng):強化病毒防護系統(tǒng)的應(yīng)用策略和治理策略，增強病毒防護有效性。

　　 垃圾郵件過濾系統(tǒng):過濾郵件，阻止垃圾郵件及病毒郵件的入侵。

　　 移動用戶治理系統(tǒng):對內(nèi)部筆記本電腦在外出后，接入內(nèi)部網(wǎng)進行安全控制，確保筆記本設(shè)備的安全性。有效防止病毒或黑客程序被攜帶進內(nèi)網(wǎng)。

　　 帶寬控制系統(tǒng):使網(wǎng)管人員對網(wǎng)絡(luò)中的實時數(shù)據(jù)流量情況能夠清楚了解。把握整個網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。

　　總體安全結(jié)構(gòu)如圖:

　　網(wǎng)絡(luò)安全規(guī)劃圖

　　本建議書推薦采用法國LanGate®產(chǎn)品方案。LanGate® UTM統(tǒng)一安全網(wǎng)關(guān)能完全滿足本方案的全部安全需求。LanGate® UTM安全網(wǎng)關(guān)是在專用安全平臺上集成了防火墻、、入侵檢測、網(wǎng)絡(luò)行為監(jiān)控、防病毒網(wǎng)關(guān)、垃圾郵件過濾、帶寬治理、無線安全接入等功能于一身的新一代全面安全防護系統(tǒng)。

　　LanGate® UTM產(chǎn)品介紹

　　3.1. 產(chǎn)品概括

　　LanGate 是基于專用芯片及專業(yè)網(wǎng)絡(luò)安全平臺的新一代整體網(wǎng)絡(luò)安全硬件產(chǎn)品?；趯I(yè)的網(wǎng)絡(luò)安全平臺， LanGate 能夠在不影響網(wǎng)絡(luò)性能情況下檢測有害的病毒、蠕蟲及其他網(wǎng)絡(luò)上的安全威脅，并且提供了高性價比、高可用性和強大的解決方案來檢測、阻止攻擊，防止不正常使用和改善網(wǎng)絡(luò)應(yīng)用的服務(wù)可靠性。

　　高度模塊化、高度可擴展性的集成化LanGate網(wǎng)絡(luò)產(chǎn)品在安全平臺的基礎(chǔ)上通過各個可擴展的功能模塊為企業(yè)提供超強的安全保護服務(wù)，以防御外部及內(nèi)部的網(wǎng)絡(luò)攻擊入。此產(chǎn)品在安全平臺上集成各種功能應(yīng)用模塊和性能模塊。應(yīng)用模塊添加功能，例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過濾引擎。這種安全模塊化架構(gòu)可使新的安全服務(wù)在網(wǎng)絡(luò)新病毒、新威脅肆虐時及時進行在線升級拯救網(wǎng)絡(luò)，而無需進行資金及資源的再投入。輕松安裝、輕松升級的LanGate產(chǎn)品簡化了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，降低了與從多個產(chǎn)品供給商處找尋、安裝和維護多種安全服務(wù)相關(guān)的成本。

　　3.2. 主要功能

　　基于網(wǎng)絡(luò)的防病毒

　　LanGate 是網(wǎng)關(guān)級的安全設(shè)備，它不同于單純的防病毒產(chǎn)品。LanGate 在網(wǎng)關(guān)上做 HTTP、SMTP、POP 和 IMAP的病毒掃描，并且可以通過策略控制流經(jīng)不同網(wǎng)絡(luò)方向的病毒掃描或阻斷，其應(yīng)用的靈活性和安全性將消除企業(yè)不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的，可以實時更新病毒庫。

　　基于用戶策略的安全治理

　　整個網(wǎng)絡(luò)安全服務(wù)策略可以基于用戶進行治理，相比傳統(tǒng)的基于 IP的治理方式，提供了更大的靈活性。

　　 防火墻功能

　　LanGate 系列產(chǎn)品防火墻都是基于狀態(tài)檢測技術(shù)的，保護企業(yè)的計算機網(wǎng)絡(luò)免遭來自 Internet 的攻擊。防火墻通過“外->內(nèi)”、“內(nèi)->外”、“內(nèi)->內(nèi)”(子網(wǎng)或虛擬子網(wǎng)之間)的接口設(shè)置，提供了全面的安全控制策略。

　　 功能

　　LanGate支持IPSec、PPTP及L2TP的 網(wǎng)絡(luò)傳輸隧道。LAN Gate 的特性包括以下幾點:

　　 支持 IPSec 安全隧道模式

　　 支持基于策略的 通信

　　 硬件加速加密 IPSec、DES、3DES

　　 X509 證書和PSK論證

　　 集成 CA

　　 md5 及 SHA認(rèn)證和數(shù)據(jù)完整性

　　 自動 IKE 和手工密鑰交換

　　 SSH IPSEC 客戶端軟件, 支持動態(tài)地址訪問，支持 IKE

　　 通過第叁方操作系統(tǒng)支持的 PPTP 建立 連接

　　 通過第叁方操作系統(tǒng)支持的 L2TP建立 連接

　　 支持NAT穿越

　　 IPSec 和 PPTP

　　 支持無線連接

　　 星狀結(jié)構(gòu)

　　 內(nèi)容過濾功能

　　LanGate 的內(nèi)容過濾不同于傳統(tǒng)的基于主機系統(tǒng)結(jié)構(gòu)內(nèi)容處理產(chǎn)品。LanGate設(shè)備是網(wǎng)關(guān)級的內(nèi)容過濾，是基于專用芯片硬件技術(shù)實現(xiàn)的。LanGate 專用芯片內(nèi)容處理器包括功能強大的特征掃描引擎，能使很大范圍類型的內(nèi)容與成千上萬種要害詞或其它模式的特征相匹配。具有根據(jù)要害字、URL或腳本語言等不同類型內(nèi)容的過濾，還提供了免屏蔽列表和組合要害詞過濾的功能。同時，LanGate 還能對郵件、聊天工具進行過濾及屏蔽。

　　入侵檢測功能

　　LanGate 內(nèi)置的網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)是一種實時網(wǎng)絡(luò)入侵檢測傳感器，它能對外界各種可疑的網(wǎng)絡(luò)活動進行識別及采取行動。IDS使用攻擊特征庫來識別過千種的網(wǎng)絡(luò)攻擊。同時LanGate將每次攻擊記錄到系統(tǒng)日志里，并根據(jù)設(shè)置發(fā)送報警郵件或短信給網(wǎng)絡(luò)治理員。

　　垃圾郵件過濾防毒功能　　包括:

　　 對 SMTP服務(wù)器的 IP進行黑白名單的識別

　　 垃圾郵件指紋識別

　　 實時黑名單技術(shù)

　　 對所有的郵件信息病毒掃描

　　 帶寬控制(QoS)

　　LanGate為網(wǎng)絡(luò)治理者提供了監(jiān)測和治理網(wǎng)絡(luò)帶寬的手段，可以按照用戶的需求對帶寬進行控制，以防止帶寬資源的不正常消耗，從而使網(wǎng)絡(luò)在不同的應(yīng)用中合理分配帶寬，保證重要服務(wù)的正常運行。帶寬治理可自定義優(yōu)先級，確保對于流量要求苛刻的企業(yè)，最大限度的滿足網(wǎng)絡(luò)治理的需求。

　　 系統(tǒng)報表和系統(tǒng)自動警告

　　LanGate系統(tǒng)內(nèi)置具體直觀的報表，對網(wǎng)絡(luò)安全進行全方位的實時統(tǒng)計,用戶可以自定義閥值，所有超過閥值的事件將自動通知治理治理人員，通知方式有 Email 及短信方式(需結(jié)合短信網(wǎng)關(guān)使用)。

　　 多鏈路雙向負(fù)載均衡

　　提供了進出流量的多鏈路負(fù)載均衡，支持自動檢測和屏蔽故障多出口鏈路，同時還支持多種靜態(tài)和動態(tài)算法智能均衡多個ISP鏈路的流量。支持多鏈路動態(tài)冗余，流量比率和智能切換;支持基于每條鏈路限制流量大小;支持多種DNS解析和規(guī)劃方式，適合各種用戶網(wǎng)絡(luò)環(huán)境;支持防火墻負(fù)載均衡。

　　3.2. LanGate產(chǎn)品優(yōu)勢

　　 提供完整的網(wǎng)絡(luò)保護。

　　 提供高可靠的網(wǎng)絡(luò)行為監(jiān)控。

　　 保持網(wǎng)絡(luò)性能的基礎(chǔ)下，消除病毒和蠕蟲的威脅。

　　 基于專用的硬件體系，提供了高性能和高可靠性。

　　 用戶策略提供了靈活的網(wǎng)絡(luò)分段和策略控制能力。

　　 提供了HA高可用端口，保證零中斷服務(wù)。

　　 強大的系統(tǒng)報表和系統(tǒng)自動警告功能。

　　 多種治理方式:SSH、SNMP、WEB?；赪EB(GUI)的配置界面提供了中/英文語言支持。

　　3.3. LANGATE公司簡介

　　總部位于法國的LANGATE集團公司，創(chuàng)立于1998年，致力于統(tǒng)一網(wǎng)絡(luò)安全方案及產(chǎn)品的研發(fā)，早期作為專業(yè)IT安全技術(shù)研發(fā)機構(gòu)，專門從事IT綜合型網(wǎng)絡(luò)安全設(shè)備及方案的研究。如今，LANGATE已經(jīng)成為歐洲眾多UTM、防火墻、品牌的OEM廠商及專業(yè)研發(fā)合作伙伴，并在IT安全技術(shù)方面領(lǐng)先同行，為全球各地區(qū)用戶提供高效安全的網(wǎng)絡(luò)綜合治理方案及產(chǎn)品。

　　專利的LanGate® UTM在專用高效安全硬件平臺上集成了Firewall(防火墻)、(虛擬專用網(wǎng)絡(luò))、Content Filtering(內(nèi)容過濾，又稱上網(wǎng)行為監(jiān)管)、IPS(IntrUCtion PRevention System，即入侵檢測系統(tǒng))、QoS(Quality of Services，即流量治理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網(wǎng)關(guān))及 Wireless Connectivity (無線接入認(rèn)證)技術(shù)。