典型企业网边界安全解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
典型中小企业网络边界安全解决方案Hillstone Networks Inc.
目录
1 前言 (4)
1.1 方案目的 (4)
1.2 方案概述 (4)
2 安全需求分析 (6)
2.1 典型中小企业网络现状分析 (6)
2.2 典型中小企业网络安全威胁 (8)
2.3 典型中小企业网络安全需求 (10)
2.3.1 需要进行有效的访问控制 (10)
2.3.2 深度应用识别的需求 (11)
2.3.3 需要有效防范病毒 (11)
2.3.4 需要实现实名制管理 (11)
2.3.5 需要实现全面URL过滤 (12)
2.3.6 需要实现IPSEC VPN (12)
2.3.7 需要实现集中化的管理 (12)
3 安全技术选择 (13)
3.1 技术选型的思路和要点 (13)
3.1.1 首要保障可管理性 (13)
3.1.2 其次提供可认证性 (13)
3.1.3 再次保障链路畅通性 (14)
3.1.4 最后是稳定性 (14)
3.2 选择山石安全网关的原因 (14)
3.2.1 安全可靠的集中化管理 (15)
3.2.2 基于角色的安全控制与审计 (16)
3.2.3 基于深度应用识别的访问控制 (17)
3.2.4 深度内容安全(UTMPlus®) (17)
3.2.5 高性能病毒过滤 (18)
3.2.6 灵活高效的带宽管理功能 (19)
3.2.7 强大的URL地址过滤库 (21)
3.2.8 高性能的应用层管控能力 (21)
3.2.9 高效IPSEC VPN (22)
3.2.10 高可靠的冗余备份能力 (22)
4 系统部署说明 (23)
4.1 安全网关部署设计 (24)
4.2 安全网关部署说明 (25)
4.2.1 部署集中安全管理中心 (25)
4.2.2 基于角色的管理配置 (29)
4.2.3 配置访问控制策略 (30)
4.2.4 配置带宽控制策略 (31)
4.2.5 上网行为日志管理 (33)
4.2.6 实现URL过滤 (35)
4.2.7 实现网络病毒过滤 (36)
4.2.8 部署IPSEC VPN (37)
4.2.9 实现安全移动办公 (38)
5 方案建设效果 (38)
1前言
1.1方案目的
本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2方案概述
本方案涉及的典型中小型企业的网络架构为:两级结构,纵向上划分为总部与分支机构,总部
集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下:
典型中小型企业网络结构示意图
为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:
●实现有效的访问控制:对员工访问互联网,以及员工访问业务系统的行为进行有效控制,
杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性;
●实现有效的集中安全管理:中小型企业的管理特点为总部高度集中模式,通过网关的集中
管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。
●保障安全健康上网:对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网
游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监
控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;
●保护网站安全:对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为;
●保护关键业务安全性:对重要的应用服务器和数据库服务器实施保护,防范病毒和内部的
非授权访问;
●实现实名制的安全监控:中小型企业的特点是,主机IP地址不固定,但全公司有统一的用
户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于
身份的监控,实现所谓的实名制管理;
●实现总部与分支机构的可靠远程传输:典型中小型企业的链路使用模式为,专线支撑重要
的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为
此通过总部与分支机构部署网关的IPSEC VPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;
●对移动办公的安全保障:利用安全网关的SSL VPN功能,提供给移动办公人员进行远程安
全传输保护,确保数据的传输安全性;
2安全需求分析
2.1典型中小企业网络现状分析
中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支