企业全网安全解决方案Word文档下载推荐.docx
《企业全网安全解决方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《企业全网安全解决方案Word文档下载推荐.docx(60页珍藏版)》请在冰点文库上搜索。
带宽和应用滥用、APT潜伏渗透、BYOD接入管控、WLAN使用控制、病毒蠕虫扩散、信息泄露等已成为企业内部网络最主要的安全问题;
安全连接问题:
内部网络之间、内外网络之间的连接安全,如企业总部、各地分支机构、第三方合作伙伴、移动办公人员之间,既要保障信息及时共享,又要防止机密信息泄露。
对于不同接入方,其所拥有的权限,既要能够满足正常业务的需求,又不能超越其职能权限,避免越权访问和敏感信息泄露;
运维管理安全:
共享帐号安全隐患,设备繁多控制策略复杂,操作无法监管,内部操作不透明,外部操作不可控,没有统一的身份管理平台,频繁切换应用程序登录,日志分散不可用,不能集中有效审计等问题困扰着企业网络的安全运维管理。
第2章企业网络安全需求分析
对于大部分企业来说,其IT网络的建设可以划分六个区域,分别为:
互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、运维管理域。
这六个区域因为承载的业务内容和作用不同,所面临的安全风险也有所不同,需要的安全防护措施亦有差别。
2.1互联网接入域安全需求分析
互联网接入区域将企业内部网络与互联网逻辑隔离,作为企业内部用户访问互联网的出口,其中互联网接入区域将单位内部网络与互联网逻辑隔离,作为内部用户访问互联网的出口,同时承担着两方面的作用:
一是内部用户访问互联网的统一出口;
二是为社会公众和合作伙伴提供企业信息服务的入口。
互联网接入域是连接企业内部与外部的桥梁,因此面临着来自两个方向的安全威胁:
1)外部威胁,如黑客扫描和入侵、拒绝服务攻击、病毒或蠕虫侵袭、僵尸木马、信息泄露等。
2)内部威胁,如无意识的风险引入、网络资源滥用导致的新风险,以及内部的故意破坏等。
2.1.1防火墙访问控制
通过防火墙在内部网络和外部网络之间构造一道保护屏障,从而保护内部网络免受非法用户的侵入,通过防火墙将内外部网络隔离,实现有效的边界访问控制,并界定用户的访问请求是否符合安全规则,基于防火墙预设的访问控制规则、端口和协议的检测和控制机制等手段使可信双方进行通信,并阻断不可信的访问行为。
2.1.2防止黑客扫描入侵
外部黑客出于好奇、报复或经济利益等目的会对内网服务器和业务系统发起非法扫描,获取内部网络的安全漏洞,发起基于存在漏洞的恶意攻击行为,从而获取到未授权的机密信息或内部系统的控制权限。
2.1.3防御DDoS攻击
DDoS攻击一般由黑客控制Internet上的“僵尸”系统完成,通过对互联网上缺少防御的主机植入某些代码,这些机器就会被DDoS攻击者控制,当黑客发动DDoS攻击时,只需要同时向这些将僵尸机发送指令,攻击就会由这些“僵尸”机器完成。
DDoS攻击主要有带宽型攻击、流量型攻击和应用型攻击,其主要的表现为利用海量的数据包、请求或应用消耗目标网络或设备资源,导致无法处理正常的业务或访问请求,造成公司的服务质量下降、生产效率降低、信誉受损等一系列问题。
2.1.4防止病毒蠕虫入侵
病毒蠕虫等威胁内容是黑客最常利用的网络入侵工具。
网络蠕虫病毒传播速度快,一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,网络拥塞,同时也会对核心敏感数据造成严重的威胁,导致业务和生产的中断、敏感信息泄露等问题。
2.1.5防零时差攻击
零时差攻击(Zero-hour/dayAttack)是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。
零时差攻击对应用系统和网络的威胁和损害令人恐怖,这相当于在用户没有任何防备的情况下,黑客发起了闪电战,可能在极短的时间内摧毁关键的应用系统,造成网络瘫痪等风险。
2.1.6防止间谍软件
间谍软件能够在用户不知情的情况下偷偷进行非法安装,并且安装后很难找到其踪影,并悄悄把截获的一些机密信息发送给第三者的软件。
间谍软件在安装时什么都不显示,运行时用户也不知晓,删除起来非常困难。
由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并建立了一个进入个人电脑的通道,很容易对用户电脑做后续的攻击。
间谍软件能够消耗计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。
它还能够窃取密码、信用卡号和其它机密数据。
因此,间谍软件对企业网络的危害非常巨大,需要一种有效的手段防止间谍软件向企业内部网络渗透。
2.1.7应用带宽管控
内网用户在上班时间有意无意的进行与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购、手机APP使用等,严重影响工作效率,并占用大量的带宽,导致关键业务应用或关键人员得不到足够的带宽资源,降低企业内部的工作效率。
2.1.8链路负载均衡
企业往往会部署多条链路,保证网络服务的质量,消除单点故障,减少停机时间。
为提升外网用户从外部访问内部网站和应用系统的速度和性能,就需要对多条链路进行负载优化,实现在多条链路上动态平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路,保障业务应用不中断。
2.2广域网接入域安全需求分析
对于大部分企业来说,都可能存在企业集团总部、子公司或各地分支办事处,并且各个节点已形成自己的局域网结构,并通过广域网互联互通,实现集团总部与子公司、办事处之间多种资源信息的共享互通。
因此,构建一个高效、安全的广域网络系统势必为企业的发展“添砖加瓦”。
建立安全、可靠的高效广域网系统,需着重考虑和解决以下问题:
2.2.1安全互联组网
目前很多企业的大型分支已经采用专线与总部进行互联,但部分中小分支由于较为分散,仍采用公网线路直接与总部互联访问服务器。
这种将服务器直接挂在公网上并对外开放端口的方式,直接造成整体服务器区安全防护水平较低,很容易遭受互联网络攻击的问题。
因此在总部和分支互联建设中必须充分考虑安全互联组网的需求,并防止外部人员的非法侵入。
2.2.2数据安全性保障
在总部与小型分支或办事处之间基于互联网通信,组织信息平台上的应用系统如果不经加密和认证等安全处理,跑在互联网这个不安全而又开放的网络上,一旦重要数据如果遭到窃取,带来的损失将无法估量。
因此,有必要利用VPN等技术通过Internet建立安全可靠、经济便捷的虚拟专用网络。
2.2.3专网数据加固
在总部与大型分支之间采用专线组网,保证内网系统访问数据与互联网的安全隔离。
但是在专网内同样存在信息安全级别不同的应用系统数据,高安全级别的数据信息如果直接在网络中明文传输,存在被窃听、篡改的风险,从信息安全规划及权限的安全方面进行考虑,有必要在专网中对不同安全级别的应用系统采取逻辑隔离、安全加密、权限划分等加固手段。
2.2.4移动办公安全
网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。
为了实现人们的远程办公,需要保证人员外出时可以安全访问组织内部网络进行日常操作,并同时确保数据的安全。
因此在选择方法时,应建立完整的安全准入机制,实现对用户的认证鉴权。
2.2.5第三方安全接入
随着业务规模的扩大,业务系统也在不断延伸,除了建设内部自己使用的业务系统外,还建立了第三人员使用的业务系统,如供应商接入系统、代理商接入系统等,这些业务系统提高了企业的业务运作效率,但也带来了众多不可控风险:
如身份认证单一、接入终端安全性无法控制、数据易被窃取、越权访问、恶意访问无法追踪、访问速度慢。
2.2.6广域网链路质量优化
分公司员工日常的工作都需要依靠信息平台来完成,因此员工接入总部访问应用的速度和其工作效率直接相关。
如果全部使用专线进行总部与分支互联,网络成本太高,而且扩展性较差。
因此,广域网接入域安全需求,就需要考虑广域网链路质量优化问题,保障关键应用的服务质量和交付性能。
如何消减总部节点、分支节点的吞吐瓶颈,提升员工访问速度;
如何减少分支网络丢包、延时现象问题;
如何避免应用本身交互过多,遭遇广域网后响应速度慢,影响业务效率问题。
2.3外联服务域安全需求分析
企业外联服务域也叫DMZ。
DMZ区域常存放对外门户WEB、EMAIL、FTP、OA等服务器,主要用于提升企业网络媒介宣传、职员邮件办公、文件上传下载等需求。
该区域是企业的展示窗口、对外业务的平台,该区域网络质量的好坏,直接影响着企业的形象和发展。
该区域面临来自内外网多个区域的安全威胁,并且针对该区域的攻击往往隐藏在正常访问业务行为中,导致传统安全设备很难发现和阻止这些威胁。
该区域主要的安全需求有:
2.3.1系统漏洞攻击保护
DMZ区域内部有大量业务服务器,其底层和业务应用系统会不断产生新的安全漏洞,给了入侵者可乘之机。
黑客能够利用这些漏洞发起对DMZ区的攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对网站敏感信息监控、窃取、篡改等目的。
因此需要有效的工具来识别并防护针对系统漏洞的攻击。
2.3.2防止信息泄露和篡改
黑客通过漏洞利用、WEB攻击、弱密码等手段一旦侵入了DMZ系统,将可能窃取DMZ系统数据库中储存的用户资料、身份信息、账户信息等敏感数据,损害企业的经济利益;
黑客也可能直接篡改企业对外Web网页内容,使企业的形象和信誉受损;
黑客甚至会在企业对外提供服务的网站挂载木马病毒,网站的访问用户也会被木马病毒感染,这种情况下企业可能因此而承担法律责任。
2.3.3WEB应用安全
针对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。
针对web应用的安全问题有:
由于Web应用程序的编写过程中引入的安全漏洞问题,比如SQL注入、跨站脚本攻击等;
系统底层漏洞问题,如服务器底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞给了入侵者可乘之机;
黑客、病毒木马等威胁还能利用弱口令、管理员界面等潜在缺陷对网站进行攻击。
3.3.4防止黑客扫描入侵
外部黑客出于好奇、报复或经济利益等目的会对外联区服务器和业务系统发起非法扫描,获取内部网络的安全缺陷和漏洞,进一步发起恶意攻击行为,从而获取到未授权的机密信息或内部系统的控制权限。
2.3.5防止拒绝服务
黑客通过DOS/DDOS拒绝服务攻击使外联服务平台无法响应正常请求。
这种攻击行为使得Web等系统充斥大量要求回复的信息,严重消耗网络系统资源,导致外联服务平台无法对外正常提供服务,影响企业正常的业务开展。
2.3.6防范内部威胁
企业内部网络安全状况也影响着外联区域的安全,比如网络中存在的DoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会破坏外联平台的安全稳定运行。
2.3.7服务器负载均衡
随着访问用户数量的不断增加,给后台的服务器带来越来越大的压力。
需要通过服务器负载均衡机制,保证用户访问流量能在各服务器上均衡分配,提高服务器资源的利用率,减轻服务器的压力。
从而保证访问的速度和稳定性。
2.4数据中心域安全需求分析
数据中心是IT建设的心脏,作为业务集中化部署、发布、存储的区域,数据中心承载着业务的核心数据以及机密信息。
对于恶意攻击者而言,数据中心永远是最具吸引力的目标。
所以数据中心的安全建设显得格外重要。
数据中心主要的安全需求包括:
2.4.1防火墙隔离控制
通过防火墙在数据中心构造一道网络层保护屏障,通过防火墙的区域隔离和访问控制规则,来界定用户的访问请求是否符合安全要求,并隔离来自internet、intranet、extrane等区域的安全风险,实现数据中心网络接入安全。
2.4.2防止病毒蠕虫入侵
服务器是数据中心中计算资源的核心来源,也用于连接网络资源、存储资源,是数据中心中业务交付的重要支撑,因此也是网络入侵者最主要的目标。
病毒、蠕虫、木马等恶意代码一旦感染数据中心服务器,就可能在数据中心网络快速传播,消耗数据中心网络资源,劫持服务器应用,窃取敏感信息,发送垃圾信息,甚至重定向用户到恶意网页。
所以数据中心网络安全建设需要包含检测和清除病毒蠕虫木马等恶意内容的机制。
2.4.3漏洞攻击保护
数据中心大量的服务器底层操作系统和业务应用都可能存在安全漏洞,给了入侵者可乘之机。
黑客能够利用这些漏洞发起对数据中心业务服务器的攻击,比如弱口令密码攻击、应用程序弱点利用、服务弱点利用等,非法获取更多的内部操作管理权限,实现对内部敏感信息监控、窃取、篡改等目的。
因此需要有效的工具来识别并防护针对数据中心服务器业务系统漏洞的攻击。
2.4.4防APT攻击
黑客的攻击手段越来越先进,并带有很强的目的性。
近几年APT攻击经常见诸报端,这是一类攻击手段很先进、目的性和持续性很强的高级持续性威胁(APT)。
通常这种攻击方式都带有明确的攻击意图和不达目的不休止的特点,黑客往往应用先进的攻击手段绕过防御体系,实现对企业高价值机密信息的破坏、窃取、篡改等目的,从而给业务系统造成不可挽回的损失。
因此,数据中心安全建设需要考虑防范APT攻击,避免重要信息资产失窃或破坏。
2.4.5防范内部威胁
企业内部网络安全状况也影响着外联区域数据中心的安全,比如内部网络中存在DoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会破坏数据中心的安全稳定运行。
2.4.6防止拒绝服务
数据中心作为业务集中化部署、发布、存储的区域,数据中心承载着业务的核心数据以及机密信息,其业务的可靠性非常关键。
黑客利用协议漏洞或控制“肉鸡”向数据中心服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题,对数据中心的可靠造成危害。
2.4.7WEB应用安全
数据中心有大量的WEB应用,黑客针对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。
2.4.8虚拟云化风险保护
虚拟化云数据中心是数据中心的发展方向,通过虚拟化技术构建基础设施资源池,实现资源的按需分配,提高整体资源利用率。
但云数据中心虚拟化也带来了新的安全风险,比如虚拟化导致了风险集中、流量复杂、边界弱化、越权访问等问题,因此需要一种适合虚拟化云数据中心的安全管控机制,提供虚拟化内部的安全区域划分、边界管控、二到七层安全保护。
2.5内网办公域安全需求分析
随着全球信息化及网络技术的不断发展,网络安全问题特别是内部网络安全问题正在日益突出。
“堡垒最容易从内部攻破”,因此做好企业内网办公区域的网络安全建设,对于企业整体网络的安全保护意义重大。
无论是内部终端的违规外联、违规接入和违规操作,还是内部系统数据保密性、可控性和可用性要求,都是企业内网办公区域安全建设需要思考的问题。
那么,企业内网办公区主要有哪些安全需求呢?
2.5.1上网行为管理
内网办公员工在上班时间有意无意的做与工作无关的网络行为,比如炒股、玩网游、看视频;
随着智能终端的普及,没有提供Wlan的企业,其内部员工为了便捷性,往往会通过360随身WiFi等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。
这些行为严重影响单位工作效率,所以企业需要对内部上网的员工行为进行有效的识别和管理。
2.5.2漏洞病毒防护
内网办公区分布有大量的终端设备,如果这些终端不能及时更新系统漏洞补丁,将会给黑客可乘之机,一旦某台终端感染病毒,很容易向全网扩散。
因此,内网安全建设需要包括:
具备快速发现终端设备的系统漏洞并自动分发补丁能力,具备快速有效的定位网络中病毒、蠕虫、黑客的引入点并及时、准确的切断安全事件发生点的能力。
2.5.4Wlan安全需求
随着无线技术的发展,BYOD、移动办公的普及,无线网络覆盖能使得在企业内部,会议室、办公区等任何区域接入办公网络,简单方便。
企业在构建WLAN网络过程中,不仅要考虑高速稳定的网络质量,WLAN网络安全问题同样需要重视。
杜绝盗用账号、非法接入的安全威胁,并针对外部访客、内部人员(不同部门、不同职位)分配不同的应用访问权限,实现精细化网络接入控制,并避免复杂的临时账号申请机制。
2.5.5开发环境安全
开发部门由于其业务特殊性,对开发环境和文档管理环境的安全性要求非常高。
为了支撑业务的飞速拓展,在开发项目中往往还会牵涉到很多第三方公司和外包项目,甚至于开发人员需要在任意地点进行办公,这对开发系统的安全构成了极大的挑战。
因此,需要有一套安全的开发环境,能够让开发项目的员工及外包员工在受控环境下,进行相关应用的开发和调试,同时能有效保护应用代码及企业数据的安全。
2.1.6防止僵尸网络
僵尸网络是攻击者出于恶意目的,采用多种传播手段,通过互联网使大量主机感染僵尸程序,从而控制这些被感染的主机,从而在控制者和被感染主机之间形成一个一对多控制的网络,黑客利用这些僵尸主机作为进一步入侵的跳板。
攻击者通过控制大量僵尸主机实现僵尸网络本地扩散、敏感信息窃取、分布式拒绝服务攻击和垃圾邮件发送等恶意目的。
而企业内部大量的终端设备往往是黑客种植僵尸网络的目标,因此企业需要一种有效的措施来防止僵尸网络的植入,并检测和清除已存在的僵尸网络。
2.6运维管理域安全需求分析
运维管理区是保障企业网络能够安全高效运行的重要区域,该区域的重点是安全和稳定性,从而为企业整体网络构造一个可靠的支撑平台。
该区域主要的安全需求如下:
2.6.1防火墙区域隔离
运维管理区是保障企业网络高效运行的重要区域,企业内部大部分IT设备和系统都在该区域维护管理,因此该区域一旦被黑客或不轨员工侵入,极可能造成全局网络危害。
利用防火墙可以给运维管理区打造安全隔离区,并基于严格的访问控制策略和身份认证信息进行区域网络接入;
同时利用新型防火墙给运维管理区打造一片安全的网络环境。
2.6.2防范病毒类入侵
运维区是IT信息系统的神经中枢,一旦被病毒木马、僵尸蠕虫等侵入,将可能导致重要系统的系统配置、管理账号、后台数据等丢失或被篡改,直接造成生成运营故障,对企业的危害非常巨大。
因此,该区域的安全建设需要包含检测和清除病毒、木马、蠕虫、僵尸等恶意内容的机制。
2.6.3集中运维管理
企业内部安全设备较多,因此需要有集中的统一管理和审计分析平台,实现对设备的集中管理、集中监控、集中配置、集中运维、统一审计核查等要求,达到安全事件的监控-响应-再监控的闭环操作,提升网络运维管理便捷性。
2.6.4操作运维审计
如果没有有效的技术手段来保障运维操作的正确执行,那么将对运维人员的违规操作无能为力。
目前应用程序都有相应的审计日志,可以解决应用系统层的审计问题,但是对于操作系统层和数据库层的违规操作(非法修改系统和应用等),无从审计。
因此,必须借助有效的技术手段监管运维人员的操作行为,做到实时监控,快速取证,减少内部的误操作和违规操作,降低运维过程中的操作风险。
第3章深信服企业全网安全解决方案
3.1方案总体设计
为了解决企业网络中遇到的各种安全问题,深信服推出了企业全网安全解决方案,本着安全、可靠、全面、高效、易于管理维护等原则,给出可资借鉴的建设方案。
根据企业不同网络区域定位不同,我们大致可以将企业网络划分为6个区域,分别为:
互联网接入域、外联服务域、广域网接入域、数据中心域、内网办公域、运维管理域。
针对各区域实际的安全需求,深信服给出了贴合的安全防护建议。
整体安全防护方案拓扑图如下所示:
3.2互联网接入域安全方案
3.1.1方案说明
互联网接入区域承担着内部用户访问互联网的统一出口和为外部用户提供企业信息服务的入口,其安全风险来源多且复杂。
针对互联网出口存在的安全问题,通过在互联网出口部署深信服下一代防火墙NGAF、上网行为管理AC和应用交付AD产品,可以很好的解决。
深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有全面的应用层安全防护功能和强劲的处理能力。
深信服下一代防火墙NGAF为企业在网络出口构建一套安全长城,实现内外部网络隔离和访问控制,保护内部网络和用户免受非法侵入,保障可信双方安全通信。
NGAF提供2到7层的安全保护,通过入侵检测与防御、病毒防护、协议异常保护等功能,可以精确实时地识别并防御来自互联网的蠕虫、病毒、木马、间谍软件等网络威胁,防止攻击者对内部网络的渗透和破坏,保障敏感数据不被窃取以及业务的持续运行;
NGAF能实时感知来自互联网上的大量异常请求,并第一时间予以清洗,防止DoS/DDoS攻击的发生,保障正常合法的业务通讯不受影响;
NGAF还提供了实时的漏洞检测功能,该功能不会给网络产生额外的流量,通过实时流量分析,可以发现网络内部业务系统的安全漏洞,快速识别针对存在漏洞的有效攻击,即使没有攻击行为也能发现潜在的风险。
对于最新爆发的0DAY漏洞,深信服云安全中心会第一时间收集漏洞信息并生成防护规则,并通过云中心快速的下发到NGAF设备上,避免黑客发起闪电战。
深信服上网行为管理AC设备能够实现对网络数据流量进行精细化控制管理。
AC设备具备专业的身份认证功能,能够针对用户和用户组实施不同的应用控制和流量分配策略,AC支持本地认证、外部认证、短信认证等多种方式;
AC具备国内最专业的应用识别控制功能,全面的应用识别帮助管理员掌控网络应用现状和用户行为,从而有针对性的制定流控策略,保障核心业务应用使用效果,AC能够有效识控当前网络中各种主流应用,包括1500多种应用、3000多种规则,以及一些SSL加密应用;
AC提供了基于应用、基于时间、多级父子通道、动态流控、智能流控等多种流控手段,满足企业制定周期性、灵活、合理、智能调整的带宽使用方案,最大满足业务对带
升级会员 