边界安全部署白皮书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
边界安全部署白皮书
关键词:园区边界,安全部署
摘要:H3C边界安全解决方案从用户的实际需求出发,运用H3C丰富的安全技术积累,用户可以基于技术、预算等多方面需求来选择安全产品,将这些安全结合起来进行边界安全建设,以达到保护整个网络的安全的目的。
1 技术背景
随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问题,也是目前网络安全建设中首要考虑的问题,在边界安全的建设中大多数企业的网络建设者都会提出以下问题:
1)什么是网络边界?
2)我们已经有了防火墙,还会有什么安全问题吗?
3)当网络问题发生时,如何快速有效的对网络出口的安全策略进行优化?
4)如何解决出口流量监控的问题?
今日,新的安全技术和产品层出不穷,实践证明单个部件是不能很好地对网络安全进行防御的,各个企业可能已经拥有了网络安全各个方面的专门技术,如防火墙、人侵检测系统、VPN、反病毒等等,如何使多个部件协同工作,利用各个部件的长处,以达到最好的效果并具有冗余。
H3C边界安全解决方案从用户的实际需求出发,运用H3C丰富的安全技术积累,用户可以基于技术、预算等多方面需求来选择安全产品,将这些安全结合起来进行边界安全建设,以达到保护整个网络的安全的目的。
2 边界安全解决方案介绍
什么是网络边界呢?网络边界是我们的网络与其他网络的分界线,对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。可以划分为:互联网连接区、广域网连接区、外联数据区、对外连接区、
数据中心区、内网办公区、网络管理区等。
在互联网连接区、广域网连接区、外联数据区、数据中心区等网络边界区域需要考虑以下几个安全部件:
边界路由器
边界防火墙
IPS
VPN 设备
边界防病毒
边界流量分析监控
日志管理设备
网络边界是一个网络的重要组成部分,负责控制网络的最初及最后过滤,对一些公共服务器区进行保护,负责链路安全的VPN技术也是在网络边界设备建立和终结的,因此边界安全的有效部署对整网安全意义重大,下面就结合H3C的安全产品来向大家推荐一些边界安全的部署方案。
2.1 边界路由器
路由器在网络中承担路由转发的功能,它们讲流量引导进入网络、流出网络或者在网络中传输,由于边界路由器具有丰富的网络接口,一般置于internet出口或广域网出口,是流量进入和流出之前我们可以控制的第一道防线。
H3C MSR系列路由器系列产品具有丰富的集成安全特性,包括Firewall、IPSec VPN、MPLS VPN、CA、Secure Shell(SSH)协议2.0、入侵保护、DDoS防御、攻击防御等。在网络安全防御战略中起着重要作用。VPN技术方面,MSR 50系列产品提供专门的安全数据连接设计技术,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎(NDE),通过硬件的方式大大提高数据加密性能,保证转发和加密同步高性能,同时可节省接口插槽。
2.2 边界防火墙
防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。防火墙可以对边界路由器不
能监控的流量进行更加深人地分析和过滤,并能够按照管理者所确定的策略来阻塞或者允许流量经过。
SecPath系列防火墙是H3C为企业以及运营商用户设计的专业网络安全产品,通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上,为用户提供全面的安全防护:包括增强型状态安全过滤,虚拟防火墙技术,抗攻击防范能力,针对P2P应用进行深入内容检测并且对这些应用采取阻断、限流的控制措施,提供丰富的日志功能和告警功能,全面NAT应用支持等等功能,在组网上SecPath系列硬件防火墙在网络关键位置可部署为状态备份、负载分担,不但能为用户提供广泛和深入的安全防护和安全连接功能,同时可以降低与安全相关的总体拥有成本,是网络边界安全部件的理想选择。
2.3 IPS
随着互联网的不断发展,黑客攻击技术也出现了许多新的变化,这也促使网络安全产品不断的更新换代。一种新型的安全防护产品——网络入侵防御系统应运而生。网络入侵防御系统作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。
H3C系列IPS产品,具备对2层到7层流量的深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。
2.4 VPN
VPN技术是通过公众IP网络建立私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,减轻企业的远程访问费用负担,节省电话费用开支,并且提供安全的端到端数据通讯。
H3C提供专业的SecPath V 系列VPN网关设备,考虑到不同用户的组网及投资需求,H3C路由器和防火墙设备上也集成VPN功能,可支持多种VPN业务,如SSL VPN、L2TP VPN、GRE VPN 、IPSec VPN、MPLS VPN和动态VPN等,可以构建多种形式的VPN,可以很好的满足不同组网要求。
2.5 边界防病毒
近年来计算机病毒乘着网络信息化的热潮,不断骚扰和破坏人们正常的工作秩序。病毒已逐渐成为网络安全的祸首,严重的病毒爆发将直接导致网络的瘫痪,在边界安全防护中也同样要考虑对病毒的防护。