边界安全解决方案
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全解决方案
网络管理区
对外连接区
合作伙伴
内网办公区
外联数据区
数据中心区
互联网 连接区
企业内部网络 分支机构
分支机构
广域网 连接区
分支机构
分支机构
分支机构
合作伙伴
合作伙伴 远程办公
远程办公 分支机构
通过以上的分区设计和网络现状,华为 3Com 提出了以防火墙、VPN 和应用层防御系 统为支撑的深度边界安全解决方案:
3
典型组网应用
边界安全解决方案
网络管理中心
VPN Client
移动办公 VPN
防火墙/VPN
企业内部网 IPS
防火墙/VPN
2M E1
IPS
分支机构1
VPN
分支机构2
分支机构3
VPN
数据中心 VPN隧道
在企业互联网出口部署防火墙和VPN设备,分支机构及移动办公用户分别通过VPN网关 和VPN客户端安全连入企业内部网络;同时通过防火墙和IPS将企业内部网、DMZ、数据中 心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同 层次的安全防护。
2
边界安全解决方案
通信费用,并且可以灵活的增加和删除 VPN 节点。通过 VPN,可以在远端用户、分支机构、 合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全。利用公共网 络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴, 另一方面极大的提高了网络的资源利用率。
应用层防御 传统的安全解决方案中,防火墙和入侵检测系统 (IDS,Intrusion Detection System) 已 经被普遍接受,但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网 络层的安全设备,不能充分地分析应用层协议数据中的攻击信号,而IDS也不能阻挡检测到 的攻击。因此,即使在网络中已部署了防火墙、IDS等基础网络安全产品,IT部门仍然发现 网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当 初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结 果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。 以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备,作为防 火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。 通过在线部署,检测并直接阻断恶意流量。 方案特点 全面防护 通过对安全区域的设计,在网络边界部署防火墙、VPN、IPS等安全设备,不仅能够保 证2至7层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防 护; VPN特性丰富 华为3Com安全解决方案的VPN特性非常丰富,包括适用于分支机构的动态VPN (DVPN)解决方案、适用于MPLS VPN和IPSec VPN环境下的VPE解决方案、适用于链路备 份的VPN高可用方案等,可以满足各种VPN环境的需要; 深层防护 通过华为3Com防火墙和IPS的部署,可以形成有效的深层次安全防护。如对蠕虫的传播 和攻击进行防御、对P2P应用禁止和限流、对服务器的虚拟软件补丁管理、抵抗DoS/DDoS 的攻击等等。
边界安全解决方案
边界安全解决方案
前言 随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问
题,需要对其进行有效的管理和控制,主要体现在以下几个方面: 网络隔离需求: 主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的
源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制, 把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
防火墙 防火墙是最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网 络进行区域分割,提供基于 IP 地址和 TCP/IP 服务端口等的访问控制;对常见的网络攻击, 如拒绝服务攻击、端口扫描、IP 欺骗、IP 盗用等进行有效防护;并提供 NAT 地址转换、流 量限制、用户认证、IP 与 MAC 绑定、智能蠕虫防护等安全增强措施。 VPN VPN(Virtual Private Network,虚拟私有网)是近年来随着 Internet 的广泛应用而迅速 发展起来的一种新技术,实现在公用网络上构建私人专用网络。VPN 只为特定的企业或用 户群体所专用。从用户角度看来,使用 VPN 与传统专网没有任何区别。VPN 作为私有专网, 一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN 资源不会被网络中的 其它 VPN 或非该 VPN 用户使用;另一方面,VPN 提供足够安全性,能够确保 VPN 内部信 息的完整性、保密性、不可抵赖性。 VPN 具有成本低、易扩展、高安全等优点。通过公用网来建立 VPN,可以节省大量的
攻击防范能力: 由于 TCP/IP 协议的开放特性,缺少足够的安全特性的考虑,带来了很大的安全风险, 常见的 IP 地址窃取、IP 地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击 (DoS/DDoS)等,必须能够提供有效的检测和防范措施。 网络优化需求: 对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带 宽,同时应该提供完善的 QoS 机制,保证数据传输的质量。另外,应该能够对一些常见的 高层协议,提供细粒度的控制和过滤能力,比如支持 WEB 和 EMAIL 过滤,支持 P2P 识别 并限流等能力。 用户管理需求: 对于接入局域网、广域网或者 Internet 的内网用户,都需要对他们的网络应用行为进行 管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。 方案概述 对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计 来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安 全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同 一安全区域。根据以上原则,华为 3Com 提出以下的安全分区设计模型,主要包括内网办公 区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等 区域。
4
网络管理区
对外连接区
合作伙伴
内网办公区
外联数据区
数据中心区
互联网 连接区
企业内部网络 分支机构
分支机构
广域网 连接区
分支机构
分支机构
分支机构
合作伙伴
合作伙伴 远程办公
远程办公 分支机构
通过以上的分区设计和网络现状,华为 3Com 提出了以防火墙、VPN 和应用层防御系 统为支撑的深度边界安全解决方案:
3
典型组网应用
边界安全解决方案
网络管理中心
VPN Client
移动办公 VPN
防火墙/VPN
企业内部网 IPS
防火墙/VPN
2M E1
IPS
分支机构1
VPN
分支机构2
分支机构3
VPN
数据中心 VPN隧道
在企业互联网出口部署防火墙和VPN设备,分支机构及移动办公用户分别通过VPN网关 和VPN客户端安全连入企业内部网络;同时通过防火墙和IPS将企业内部网、DMZ、数据中 心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同 层次的安全防护。
2
边界安全解决方案
通信费用,并且可以灵活的增加和删除 VPN 节点。通过 VPN,可以在远端用户、分支机构、 合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全。利用公共网 络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴, 另一方面极大的提高了网络的资源利用率。
应用层防御 传统的安全解决方案中,防火墙和入侵检测系统 (IDS,Intrusion Detection System) 已 经被普遍接受,但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网 络层的安全设备,不能充分地分析应用层协议数据中的攻击信号,而IDS也不能阻挡检测到 的攻击。因此,即使在网络中已部署了防火墙、IDS等基础网络安全产品,IT部门仍然发现 网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当 初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结 果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。 以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备,作为防 火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。 通过在线部署,检测并直接阻断恶意流量。 方案特点 全面防护 通过对安全区域的设计,在网络边界部署防火墙、VPN、IPS等安全设备,不仅能够保 证2至7层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防 护; VPN特性丰富 华为3Com安全解决方案的VPN特性非常丰富,包括适用于分支机构的动态VPN (DVPN)解决方案、适用于MPLS VPN和IPSec VPN环境下的VPE解决方案、适用于链路备 份的VPN高可用方案等,可以满足各种VPN环境的需要; 深层防护 通过华为3Com防火墙和IPS的部署,可以形成有效的深层次安全防护。如对蠕虫的传播 和攻击进行防御、对P2P应用禁止和限流、对服务器的虚拟软件补丁管理、抵抗DoS/DDoS 的攻击等等。
边界安全解决方案
边界安全解决方案
前言 随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问
题,需要对其进行有效的管理和控制,主要体现在以下几个方面: 网络隔离需求: 主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的
源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制, 把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
防火墙 防火墙是最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网 络进行区域分割,提供基于 IP 地址和 TCP/IP 服务端口等的访问控制;对常见的网络攻击, 如拒绝服务攻击、端口扫描、IP 欺骗、IP 盗用等进行有效防护;并提供 NAT 地址转换、流 量限制、用户认证、IP 与 MAC 绑定、智能蠕虫防护等安全增强措施。 VPN VPN(Virtual Private Network,虚拟私有网)是近年来随着 Internet 的广泛应用而迅速 发展起来的一种新技术,实现在公用网络上构建私人专用网络。VPN 只为特定的企业或用 户群体所专用。从用户角度看来,使用 VPN 与传统专网没有任何区别。VPN 作为私有专网, 一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN 资源不会被网络中的 其它 VPN 或非该 VPN 用户使用;另一方面,VPN 提供足够安全性,能够确保 VPN 内部信 息的完整性、保密性、不可抵赖性。 VPN 具有成本低、易扩展、高安全等优点。通过公用网来建立 VPN,可以节省大量的
攻击防范能力: 由于 TCP/IP 协议的开放特性,缺少足够的安全特性的考虑,带来了很大的安全风险, 常见的 IP 地址窃取、IP 地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击 (DoS/DDoS)等,必须能够提供有效的检测和防范措施。 网络优化需求: 对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带 宽,同时应该提供完善的 QoS 机制,保证数据传输的质量。另外,应该能够对一些常见的 高层协议,提供细粒度的控制和过滤能力,比如支持 WEB 和 EMAIL 过滤,支持 P2P 识别 并限流等能力。 用户管理需求: 对于接入局域网、广域网或者 Internet 的内网用户,都需要对他们的网络应用行为进行 管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。 方案概述 对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计 来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安 全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同 一安全区域。根据以上原则,华为 3Com 提出以下的安全分区设计模型,主要包括内网办公 区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等 区域。
4