方案简介
内网安全解决方案考虑到内网安全的方方面面,针对上述内网安全的主要问题都提出了有针对性的技术,这些技术相互关联、相互配合,形成完善的内网安全解决方案。
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
一般说来,内网安全应该考虑以下问题:
终端安全策略部署
终端安全是内网安全的核心问题,终端安全策略的部署也就是内网安全的最主要部分。但是受限于终端用户安全应用水平,如何确保网络中的终端安全状态符合企业安全策略,却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端,是一项费时费力的工作,往往造成企业安全策略与终端安全实施之间存在巨大的差距。
内网访问控制部署
传统上,在内网是通过划分VLAN,配合ACL进行访问控制,这虽然可以在一定程度上实现内网访问控制,却难以做到比较精细的安全控制,同时也可能会影响到VLAN间用户的访问,从而影响网络的使用效率。对于部分交换机,ACL数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。
网络自身安全保障
目前在内网安全事件中,出现从攻击主机转为攻击网络资源的趋势,而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。
方案优势
端点准入防御解决终端合规性问题
为了解决现有安全防御体系中存在的不足,很多品牌都推出了端点准入防御(EAD),旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。
EAD将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
EAD方案通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括:
检查——检查用户终端的安全状态,配合不同方式的身份验证技术(802.1x、VPN、Portal等),可以确保接入终端的合法与安全。
隔离——隔离违规终端。不符合企业安全策略的终端,将被限制访问权限,只能访问“隔离区”内的病毒库/补丁服务器等用于系统修复的网络资源。
修复——强制安装系统补丁、升级防病毒软件。
管理与监控——EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合,强制实施终端安全配置(如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等),监控用户终端的安全事件(如查杀病毒、修改安全设置等)。
以防火墙为核心的内网访问控制
为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,我们提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块,通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。
SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起,使得交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务。防火墙模块主要实现对企业网络的监控和业务的约束,插入交换机中实现企业网络和园区网络的安全隔离。
SecBlade 防火墙模块主要对需要保护的区域进行策略定制和控制,可以支持所有报文的安全检测,同时SecBlade 防火墙模块支持多安全区域的设置,支持SECUREVLAN,对于需要防火墙隔离或保护的VLAN区域,用户可以将SECUREVLAN绑缚到其中的一个SecBlade 防火墙插卡模块上,这样可以通过设置SECUREVLAN支持对交换机内网之间(不同VLAN之间)访问的策略定制和安全检测。
此外,端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。
交换机安全特性实现网络自身安全保障
以太网在设计时没有考虑安全性的要求,这造成了以太网自身存在很多的安全隐患,正是这种原因,目前出现了从攻击主机向攻击网络资源转变的趋势。
基于我们在以太网安全领域积累的大量经验,在交换机产品中提供了大量的安全特性,可以充分保障以太网的安全。这些安全特性同时也是内网安全解决方案中很多功能实现的基础,例如在EAD解决方案中就使用到了接入交换机的PortSecurity特性。这些安全特性包括:
接入控制技术——PortSecurity
接入安全技术——防IP伪装
防中间人攻击——STP Root /BPDU 保护
防ARP欺骗
DHCP server 保护
推荐设备型号
飞塔FG-201E
方案应用场景介绍
全网都要部署具有丰富安全特性的交换机产品,这是内网安全实现的基础。根据内网应用的要求设计VLAN,并通过SecBlade防火墙安全插卡实现VLAN之间的访问控制,结合交换机的端口隔离特性实心VLAN内的访问限制。
在所有的终端上部署EAD解决方案所需的iNode客户端,对终端的安全策略进行检查,检查的结果将送至部署于网络管理区域的CAMS安全策略服务器,在同样部署于网络管理区的病毒库服务器和补丁服务器的配合下,结合交换机的Port Security安全特性,实现检查、隔离、修复以及管理监控的端点准入防御功能。
接入千兆交换机,选择浪潮S5960L-24TS-L
一个内网安全基本架构就出来
提供方案商家信息如下:
公司名称:广州市文聪计算机科技有限公司
联系电话:15622386898
产品店铺:http://s.zol.com.cn/shop_176121/
服务承诺
联系我们
企业专线:18902260550,020-88525090
