色婷婷丁香五月天|国产欧美日韩精品在线|AV在线亚洲男人的天堂|亚洲欧美蜜芽tv在线一区|成年WWXX视频在线观看|最新国产成人盗摄精品视频|日本一区二区三区不卡在线看|99国产免费高清一本二本三本

濰坊網(wǎng)泰網(wǎng)絡(luò)技術(shù)有限公司

可視化應(yīng)用安全防護(hù)方案

需求概述
  互聯(lián)網(wǎng)及IT技術(shù)的應(yīng)用在改變?nèi)祟惿畹耐瑫r(shí),也滋生了各種各樣的新問題,其中信息網(wǎng)絡(luò)安全問題將成為其面對(duì)的最重要問題之一。網(wǎng)絡(luò)帶寬的擴(kuò)充、IT應(yīng)用的豐富、互聯(lián)網(wǎng)用戶的膨脹式發(fā)展,使得網(wǎng)絡(luò)和信息平臺(tái)早已成為攻擊愛好者和安全防護(hù)者最激烈斗爭(zhēng)的舞臺(tái)。Web時(shí)代的安全問題已遠(yuǎn)遠(yuǎn)超于早期的單機(jī)安全問題,盡管防火墻、IDS、UTM等傳統(tǒng)安全產(chǎn)品在不斷的發(fā)展和自我完善,但是道高一尺魔高一丈,黑客們不僅專門針對(duì)安全設(shè)備開發(fā)各種工具來(lái)偽裝攻擊、逃避檢測(cè),在攻擊和入侵的形式上也與應(yīng)用相結(jié)合越來(lái)越緊密。這些都使傳統(tǒng)的安全設(shè)備在保護(hù)網(wǎng)絡(luò)安全上越來(lái)越難。目前更多的出現(xiàn)了以下的安全問題:


  投資成本攀升,運(yùn)維效率下降
  許多企業(yè)為了應(yīng)對(duì)復(fù)雜的安全威脅,購(gòu)買了多個(gè)廠商的安全產(chǎn)品,安全建設(shè)猶如堆積木一般。購(gòu)買的安全防護(hù)產(chǎn)品愈來(lái)愈多,問題也隨之出現(xiàn):大量的安全防護(hù)產(chǎn)品部署,需要大量專業(yè)安全管理人員負(fù)責(zé)維護(hù),復(fù)雜的安全架構(gòu)使得管理同樣變得復(fù)雜化,由于企業(yè)采用了多套安全解決方案,這就要求有很多技術(shù)人員精通不同廠商的解決方案。購(gòu)買產(chǎn)品很簡(jiǎn)單,日常運(yùn)維很復(fù)雜,這對(duì)企業(yè)本來(lái)就有限的IT人員、安全管理人員來(lái)講是非常痛苦和困難的事情。而且不同廠商安全解決方案之間的協(xié)調(diào)性也有待商榷,當(dāng)專業(yè)化的攻擊和威脅來(lái)臨時(shí),這些安全產(chǎn)品之間能不能發(fā)揮協(xié)同作用抵御威脅這還是一個(gè)很大的問號(hào)。對(duì)企業(yè)的管理者來(lái)說,如何降低管理成本、提高運(yùn)維效率、提升企業(yè)安全水平,是目前最急待解決的問題。


  “數(shù)據(jù)庫(kù)泄密”、“網(wǎng)頁(yè)遭篡改”等應(yīng)用層安全事件頻現(xiàn)
  2011年上半年,索尼超過1億個(gè)客戶帳戶的詳細(xì)資料和1200萬(wàn)個(gè)沒有加密的信用卡號(hào)碼失竊,索尼已花掉了1.71億美元用于泄密事件之后的客戶挽救、法律成本和技術(shù)改進(jìn)這筆損失只會(huì)有增無(wú)減。
  2011年5月10日上午消息,一些兜售廉價(jià)軟件的黑客攻擊了多個(gè)知名網(wǎng)站,包括美國(guó)宇航局(以下簡(jiǎn)稱“NASA”)和斯坦福大學(xué)的網(wǎng)站。
  有網(wǎng)友就在微博中反映:買家在自己開的網(wǎng)店購(gòu)物之后,付款時(shí)卻將貨款打到一個(gè)不相干的帳戶。后查明,是這個(gè)買家此前已經(jīng)中毒。這種情況下,在中毒電腦上進(jìn)行的所有交易都將給騙子付款。
  盡管部署了眾多安全設(shè)備,此類問題仍然頻發(fā),原因何在:
   >  當(dāng)前攻擊層次逐步向應(yīng)用層轉(zhuǎn)變,傳統(tǒng)防火墻失效;
   >  黑客采取混合攻擊,組合多種威脅方法,傳統(tǒng)的單點(diǎn)式安全設(shè)備失效;
   >  黑客采取混合攻擊,單點(diǎn)式安全設(shè)備串聯(lián),或是UTM, 由于都未真正融合眾多安全功能,無(wú)法將各種攻擊信息關(guān)聯(lián)和共享,無(wú)法跟蹤黑客攻擊攻擊各個(gè)環(huán)節(jié),漏網(wǎng)威脅與日俱增。


  網(wǎng)管員對(duì)企業(yè)流量束手無(wú)策
  當(dāng)前網(wǎng)絡(luò)中流量多為七層應(yīng)用,傳統(tǒng)安全設(shè)備對(duì)其不可見,致使IT管理員無(wú)法了解哪些應(yīng)用處于使用中以及哪些用戶在使用這些應(yīng)用,無(wú)法輕松區(qū)分好應(yīng)用和壞應(yīng)用,無(wú)法根據(jù)網(wǎng)絡(luò)狀況實(shí)施控制策略,如何將網(wǎng)絡(luò)控制權(quán)重新還給IT管理員亟待解決。


  部署UTM,網(wǎng)絡(luò)中斷或訪問變慢
  UTM貌似可以解決以上問題,然而,UTM非多種安全防護(hù)功能的真正集成,功能全開后性能大幅下降,花重金購(gòu)置的設(shè)備被迫成為了擺設(shè),客戶急需真正的一體化安全設(shè)備且不應(yīng)該導(dǎo)致網(wǎng)絡(luò)運(yùn)行中斷。


  內(nèi)網(wǎng)出現(xiàn)威脅,追究責(zé)任困難
  企業(yè)內(nèi)網(wǎng)擁有強(qiáng)大的認(rèn)證系統(tǒng),傳統(tǒng)安全產(chǎn)品無(wú)法與之有機(jī)結(jié)合,使之孤立存在,從而內(nèi)網(wǎng)安全機(jī)制無(wú)法定位到人員,出現(xiàn)問題只能定位于大量的IP地址,網(wǎng)管不是計(jì)算機(jī),從一大堆的IP地址中,定位具體人員十分困難。
  安全設(shè)備越快適應(yīng)現(xiàn)網(wǎng)的認(rèn)證系統(tǒng),并充分融合,安全問題真正落實(shí)到位,是多年來(lái)企業(yè)IT人員的夢(mèng)想。


安全建設(shè)方案


  為了能夠更好的針對(duì)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀,控制好可能發(fā)生的各種安全風(fēng)險(xiǎn),建議采用下一代防火墻深信服NGAF針對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全加固。
  首先,我們建議將整個(gè)業(yè)務(wù)系統(tǒng)劃分為如下網(wǎng)絡(luò)安全域:

  數(shù)據(jù)中心安全域:包括各種應(yīng)用系統(tǒng)和服務(wù)器,如OA、視頻、ERP、MAIL等,由于是整個(gè)IT系統(tǒng)的核心,安全級(jí)別最高;
  廣域網(wǎng)邊界安全域:各個(gè)分支機(jī)構(gòu)通過專網(wǎng)接入總部局域網(wǎng),訪問各種業(yè)務(wù)應(yīng)用系統(tǒng),主要包括構(gòu)建專網(wǎng)的核心路由器、分支路由器;
  互聯(lián)網(wǎng)接入安全域:由于內(nèi)部終端、對(duì)外發(fā)布業(yè)務(wù)系統(tǒng)(如網(wǎng)上交易系統(tǒng))都需要與互聯(lián)網(wǎng)相連,訪問互聯(lián)網(wǎng)資源或者對(duì)外提供業(yè)務(wù)。此區(qū)域安全風(fēng)險(xiǎn)最高,需要重點(diǎn)隔離與控制;
  內(nèi)網(wǎng)辦公安全域:包括總部?jī)?nèi)網(wǎng)的辦公終端,為不同的部門提供高速、穩(wěn)定的網(wǎng)絡(luò)接入;

  其次,根據(jù)這些網(wǎng)絡(luò)安全域之間的訪問關(guān)系、安全級(jí)別,我們建議在如下位置部署NGAF進(jìn)行一體化的L2-L7安全防護(hù)與控制,整體方案如下圖所示:

數(shù)據(jù)中心服務(wù)器保護(hù)
  內(nèi)部數(shù)據(jù)中心的服務(wù)器承載的業(yè)務(wù)尤為重要,是整個(gè)IT系統(tǒng)的核心組成部分,因此需要從如下四個(gè)方面著重考慮:
  1)訪問控制:誰(shuí)可以訪問數(shù)據(jù)中心?什么應(yīng)用可以訪問數(shù)據(jù)中心?盜用IP身份怎么辦?如何防止應(yīng)用的濫用和誤用?傳統(tǒng)防火墻基于端口/IP能否解決?
  2)威脅攻擊的問題:如何保護(hù)數(shù)據(jù)中心免受病毒、木馬攻擊;防止數(shù)據(jù)中心服務(wù)器被攻擊
  3)數(shù)據(jù)中心可用性:數(shù)據(jù)中心流量大,需要有效保證核心業(yè)務(wù)可用性
  4)安全事件應(yīng)用響應(yīng)問題:如何了解數(shù)據(jù)中心安全風(fēng)險(xiǎn)問題?是否可以幫助管理員制定策略?

數(shù)據(jù)中心方案拓?fù)?/p>

  通過在數(shù)據(jù)中心核心交換機(jī)外側(cè)部署深信服NGAF可以幫助我們實(shí)現(xiàn)如下四個(gè)安全目標(biāo):
  1)面向用戶、應(yīng)用的安全訪問:將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng),有效解決了傳統(tǒng)防火墻IP/端口的策略無(wú)法精確管理的問題。讓業(yè)務(wù)開放對(duì)象更為明了、管理更方便、策略更易懂。
  2)7層的內(nèi)容安全檢測(cè):7層一體化安全防護(hù)(包括漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等)以及智能的內(nèi)容安全過濾功能,防止各種應(yīng)用威脅干擾服務(wù)器的穩(wěn)定運(yùn)行,確保核心業(yè)務(wù)數(shù)據(jù)的安全。
  3)核心業(yè)務(wù)有保障: 基于應(yīng)用的流量管理,保證核心業(yè)務(wù)帶寬充足。萬(wàn)兆的應(yīng)用層性能,有效保障數(shù)據(jù)中心的可用性。
  4)可視化安全風(fēng)險(xiǎn)評(píng)估:提供服務(wù)器風(fēng)險(xiǎn)和終端風(fēng)險(xiǎn)報(bào)告以及應(yīng)用流量報(bào)表,使全網(wǎng)的安全風(fēng)險(xiǎn)一目了然,幫助管理員分析安全狀況管理數(shù)據(jù)中心。

廣域網(wǎng)邊界安全隔離與防護(hù)
  對(duì)于廣域網(wǎng)邊界安全防護(hù)需要從如下幾個(gè)方面著重考慮:
  1)人員多,應(yīng)用雜:如何制定有效的ACL,ACL是基于IP和端口的,這樣的機(jī)器語(yǔ)言無(wú)法直觀、清晰的制定訪問控制策略,容易出現(xiàn)錯(cuò)配、漏配;
  2)傳統(tǒng)FW缺乏應(yīng)用層威脅防護(hù),病毒木馬在分支機(jī)構(gòu)和總部間傳播速度快
  3)病毒木馬占用廣域網(wǎng)有限帶寬,影響關(guān)鍵業(yè)務(wù)的傳輸
  4)分支數(shù)量多,IT管理水平層次不齊,設(shè)備多,成本高,組網(wǎng)雜,維護(hù)難

廣域網(wǎng)邊界安全防護(hù)方案拓?fù)?/p>

  通過在核心交換機(jī)與核心路由器之間部署深信服NGAF,可以幫助我們實(shí)現(xiàn)如下安全目標(biāo):
  1)面向用戶、應(yīng)用的安全訪問:將訪問控制權(quán)限精確到用戶與業(yè)務(wù)系統(tǒng),有效解決了傳統(tǒng)防火墻IP/端口的策略無(wú)法精確管理的問題。讓業(yè)務(wù)開放對(duì)象更為明了、管理更方便、策略更易懂
  2)廣域網(wǎng)垃圾流量清洗:通過NGAF智能的內(nèi)容安全過濾功能,將病毒、木馬、蠕蟲、DDoS等各種垃圾流量清除,確保帶寬純凈,防止病毒擴(kuò)散
  3)一體化部署,簡(jiǎn)化組網(wǎng): NGAF具備L2-L7一體化安全防護(hù)功能,可以簡(jiǎn)化組網(wǎng),簡(jiǎn)便管理,提高性價(jià)比;

互聯(lián)網(wǎng)出口邊界防護(hù)
  由于互聯(lián)網(wǎng)邊界實(shí)現(xiàn)了對(duì)外業(yè)務(wù)發(fā)布系統(tǒng)和內(nèi)網(wǎng)終端的互聯(lián)網(wǎng)接入,因此需要從如下幾個(gè)方面著重考慮:
  對(duì)外業(yè)務(wù)系統(tǒng)發(fā)布:
  1)網(wǎng)站被掛馬、數(shù)據(jù)遭篡改,企業(yè)/單位形象受損,造成經(jīng)濟(jì)損失,帶來(lái)負(fù)面影響
  2)合理控制服務(wù)器外聯(lián)權(quán)限,封堵黑客遠(yuǎn)程控制,上傳病毒、木馬;
  3)響應(yīng)速度要求快,系統(tǒng)穩(wěn)定性要求高,需要簡(jiǎn)化組網(wǎng),降低延時(shí),減少單點(diǎn)故障;

內(nèi)網(wǎng)終端互聯(lián)網(wǎng)接入:
  1)瀏覽器、OS、Flash漏洞多,上網(wǎng)容易感染病毒、木馬,竊取隱私
  2)合理控制服務(wù)器外聯(lián)權(quán)限,封堵黑客遠(yuǎn)程控制終端,將內(nèi)網(wǎng)終端作為跳板,入侵服務(wù)器
  3)用戶權(quán)限多樣,安全策略配置復(fù)雜

互聯(lián)網(wǎng)邊界安全方案拓?fù)?/p>

  通過在互聯(lián)網(wǎng)接入路由器后部署深信服NGAF,網(wǎng)上交易系統(tǒng)部署在DMZ區(qū),可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)終端和對(duì)外業(yè)務(wù)發(fā)布系統(tǒng)的雙重防護(hù)
  對(duì)外業(yè)務(wù)發(fā)布系統(tǒng)防護(hù):
  1)防止黑客入侵,獲取權(quán)限,竊取數(shù)據(jù):
通過NGAF的漏洞防護(hù)、服務(wù)器防護(hù)、病毒防護(hù)等多種應(yīng)用內(nèi)容防護(hù)功能,防止黑客入侵,保證服務(wù)器穩(wěn)定運(yùn)行;
  2)精確控制服務(wù)器外聯(lián)權(quán)限:通過NGAF精確的應(yīng)用識(shí)別,放行服務(wù)器補(bǔ)丁升級(jí)、病毒庫(kù)升級(jí)等必要外聯(lián)流量,阻斷各種無(wú)關(guān)非法外聯(lián)流量;
  3)簡(jiǎn)化組網(wǎng)、降低延時(shí): NGAF具備L2-L7一體化安全防護(hù)功能,可以簡(jiǎn)化組網(wǎng),減少故障點(diǎn);通過單次解析引擎減低延時(shí);

  內(nèi)部終端安全防護(hù):
  1)全面防護(hù),標(biāo)本兼治:通過NGAF的惡意網(wǎng)站過濾功能,防止終端訪問威脅網(wǎng)站和應(yīng)用;通過漏洞防護(hù)、病毒防護(hù)、惡意控件/腳本過濾功能,切斷威脅感染終端的各種技術(shù)手段;
  2)精確識(shí)別,防止非法外聯(lián):通過NGAF精確的應(yīng)用識(shí)別,放行服務(wù)器補(bǔ)丁升級(jí)、病毒庫(kù)升級(jí)等必要外聯(lián)流量,阻斷各種無(wú)關(guān)非法外聯(lián)流量,防止終端被作為跳板入侵服務(wù)器
  3)一體化部署,配置簡(jiǎn)單: NGAF具備L2-L7一體化安全防護(hù)功能,可以簡(jiǎn)化組網(wǎng),簡(jiǎn)便管理,提高性價(jià)比;


聯(lián)系我們

地址: 山東省濰坊市健康東街6888號(hào)藍(lán)色智谷融媒體中心801

郵編: 261041

電話: 0536-8295518

傳真: 0536-8295518

郵箱: service@nety.com.cn

聯(lián)系我們
潮州市| 江北区| 新平| 内丘县| 海宁市| 佛坪县| 怀柔区| 彰化县| 兴海县| 德兴市| 新昌县| 清涧县| 文登市| 双江| 仙桃市| 容城县| 池州市| 清镇市| 察隅县| 大城县| 汾阳市| 沙湾县| 瑞丽市| 田林县| 南昌市| 宁阳县| 云林县| 松潘县| 昌都县| 诸城市| 砀山县| 诏安县| 康定县| 盐池县| 晋中市| 视频| 都安| 中卫市| 利川市| 涞源县| 隆昌县|