1.0 智能化园区网络解决方案 2.0 IDC数据中心网络解决方案 3.0 企业云解决方案 4.0 信息安全整体解决方案 5.0 智慧无线整体解决方案 6.0 高清视频会议解决方案 7.0 IDC机房建设解决方案 8.0 智能化弱电解决方案 9.0 智能楼宇解决方案 10.0 智能管理中心整体解决方案
解决方案

1.0 智能化园区网络解决方案

2.0 IDC数据中心网络解决方案

3.0 企业云解决方案

4.0 信息安全整体解决方案

5.0 智慧无线整体解决方案

6.0 高清视频会议解决方案

7.0 IDC机房建设解决方案

8.0 智能化弱电解决方案

9.0 智能楼宇解决方案

10.0 智能管理中心整体解决方案

4.1 出口安全应用解决方案
4.1 出口安全应用解决方案
发布日期:2018-07-13

 

随着XX系统网络上IT应用的不断增加以及网络中设备的增加,网络边界安全成为最重要的安全问题之一,需要组合型的安全解决方案。

边界安全解决方案概述:

XX系统边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区来确定。定义安全分区的原则就是首先根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。根据以上原则,H3C提出XX系统的安全分区模型,主要包括:内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等。如下图所示:

 

参照以上的分区,考虑到当前网络上的主要威胁,我们提出以防火墙、防病毒模块、网络安全监控模块和入侵防御系统(IPS)为支撑的边界安全解决方案:

1)    防火墙:最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IPMAC绑定等安全增强措施。由于防火墙部署在网关位置,也可以在防火墙中集成防病毒模块和网络安全监控模块。

2)    防病毒:通过部署防病毒模块(ASM)可以在网关处阻止病毒、木马等威胁的传播,保护网络内部用户免受侵害。采用防病毒模块(ASM),改变了原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。

3)    网络安全监控:通过启用流量监控功能可以实时收集网络流量信息,分析网络应用情况,可以识别分析一百多种协议,包括P2P等应用层协议。网络安全监控模块(NSM)可以将收集的信息存储在本地或远端服务器,为用户提供网络优化和再投资的依据。

4)    入侵防御:传统的安全解决方案中,防火墙和入侵检测系统 (IDSIntrusion DetectionSystem) 已经被普遍接受,但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备,不能充分地分析应用层协议数据中的攻击信号,而IDS也不能阻挡检测到的攻击。因此,即使在网络中已部署了防火墙、IDS等基础网络安全产品,IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过在线部署,IPS可以检测并直接阻断恶意流量。

    边界安全解决方案的典型部署:


XX系统互联网出口部署防火墙(集成防病毒和网络安全监控模块)和IPS设备,同时通过防火墙和IPS将企业内部网、DMZ、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。

边界安全解决方案特点:

1)    全面防护:在安全区域规划基础上,在网络边界部署防火墙、IPS等安全设备,能够实现网络27层的威胁抵御,形成动态、立体的全面安全防护;

2)    深层防护:通过H3C防火墙和IPS的部署,可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对P2P应用禁止和限流、抵抗DoS/DDoS的攻击等等。

 


上一条:
下一条:
(c) 2016广州明创网络科技有限公司版权所有 技术支持:35互联