《深信服科技企业全网安全解决方案培训资料.docx》由会员分享,可在线阅读,更多相关《深信服科技企业全网安全解决方案培训资料.docx(71页珍藏版)》请在三一办公上搜索。
1、 企业网络安全解决方案 深信服科技企业全网安全解决方案目录第1章 企业网络安全背景11.1 企业网络发展状况11.2 企业网络安全问题1第2章 企业网络安全需求分析22.1 互联网接入域安全需求分析32.1.1 防火墙访问控制32.1.2 防止黑客扫描入侵32.1.3 防御DDoS攻击42.1.4 防止病毒蠕虫入侵42.1.5 防零时差攻击42.1.6 防止间谍软件52.1.7 应用带宽管控52.1.8 链路负载均衡52.2 广域网接入域安全需求分析62.2.1 安全互联组网62.2.2 数据安全性保障62.2.3 专网数据加固72.2.4 移动办公安全72.2.5 第三方安全接入72.2.6
2、 广域网链路质量优化82.3 外联服务域安全需求分析82.3.1 系统漏洞攻击保护82.3.2 防止信息泄露和篡改92.3.3 WEB应用安全93.3.4 防止黑客扫描入侵92.3.5 防止拒绝服务102.3.6 防范内部威胁102.3.7 服务器负载均衡102.4 数据中心域安全需求分析102.4.1 防火墙隔离控制112.4.2 防止病毒蠕虫入侵112.4.3 漏洞攻击保护112.4.4 防APT攻击122.4.5 防范内部威胁122.4.6 防止拒绝服务122.4.7 WEB应用安全132.4.8 虚拟云化风险保护132.5 内网办公域安全需求分析132.5.1 上网行为管理142.5.
3、2 漏洞病毒防护142.5.4 Wlan安全需求142.5.5 开发环境安全152.1.6 防止僵尸网络152.6 运维管理域安全需求分析152.6.1 防火墙区域隔离162.6.2 防范病毒类入侵162.6.3 集中运维管理162.6.4 操作运维审计17第3章 深信服企业全网安全解决方案173.1 方案总体设计173.2 互联网接入域安全方案183.1.1 方案说明183.2.2方案价值203.3 广域网接入域安全方案203.1.1 方案说明203.3.2 方案价值233.4 外联服务域安全方案243.1.1 方案说明243.4.2 方案价值253.5 数据中心域安全方案263.1.1 方
4、案说明263.5.2 方案价值283.6 内网办公域安全方案283.1.1 方案说明283.6.2 方案价值303.7 运维管理域安全方案303.1.1 方案说明303.7.2 方案价值31第4章 深信服解决方案产品介绍324.1 下一代防火墙NGAF介绍324.2.1 下一代防火墙NGAF简介324.2.2 产品功能列表334.4 安全网关SSL VPN介绍364.4.1 SSL VPN简介364.4.2 产品功能列表374.5 广域网优化WOC介绍394.5.1 广域网优化产品简介394.5.2 产品功能列表404.2 上网行为管理AC介绍414.2.1 上网行为管理AC简介414.2.2
5、 产品功能列表414.3 应用交付AD介绍434.3.1 应用交付AD简介434.3.2 产品功能列表444.6 集中管理平台SC介绍464.6.1 集中管理平台简介464.6.2 产品功能列表464.7 WLAN产品介绍474.7.1 WLAN产品简介474.7.2 产品功能列表51第1章 企业网络安全背景1.1 企业网络发展状况互联网是人类最伟大的发明。互联网的快速发展促进了企事业单位的信息化建设,互联网丰富的资源和日益成熟的网络基础建设大大提高了企业的生产力和工作效率,互联网信息技术的持续使用,给企业的持续、快速、高效发展提供了助力,企业的管理成本和生产成本得到了持续降低。然而,伴随着网
6、络技术的发展,各类黑客行为和攻击技术给企业的持续、快速、健康、安全的发展带来了困扰。IDC报告指出针对企业的黑客攻击事件呈现逐年递增的趋势。近年来,大量的企业信息安全事件出现在我们的视野,如七天、如家等酒店的开房信息泄露,索尼影音官网被黑及用户信息泄露,卡巴斯基总部被黑客侵入等,这些事件不仅对企业的商业活动和企业信誉带来损害,还对社会公民的正常生活造成干扰。普华永道针对中国企业的一份调研报告指出“已检测到的信息安全事件对企业带来的财务影响正在迅速增加,同时仍有许多攻击没被发现或者报告,仅在中国内地与香港地区,失窃的知识产权或者商业机密的实际价值已远超数十亿美元”。事实充分说明:网络安全是企业单
7、位网络建设的重点内容,网络安全建设和加固是一个持续的工程。1.2 企业网络安全问题当今企业都在广泛使用网络信息技术,以不断提高企业的核心竞争力。由于计算机网络的开放性,网络信息化给企业带来效益的同时,也给企业增加了风险隐患,企业网络安全问题日益严重。那么,企业网络到底面临哪些主要的安全问题呢?外网安全问题:非法接入、网络入侵、黑客攻击、病毒传播、蠕虫攻击、漏洞利用、僵尸木马、信息泄露等已成为企业网络安全最为广泛的威胁;内网安全问题:带宽和应用滥用、APT潜伏渗透、BYOD接入管控、WLAN使用控制、病毒蠕虫扩散、信息泄露等已成为企业内部网络最主要的安全问题;安全连接问题:内部网络之间、内外网络
8、之间的连接安全,如企业总部、各地分支机构、第三方合作伙伴、移动办公人员之间,既要保障信息及时共享,又要防止机密信息泄露。对于不同接入方,其所拥有的权限,既要能够满足正常业务的需求,又不能超越其职能权限,避免越权访问和敏感信息泄露; 运维管理安全:共享帐号安全隐患,设备繁多控制策略复杂,操作无法监管,内部操作不透明,外部操作不可控,没有统一的身份管理平台,频繁切换应用程序登录,日志分散不可用,不能集中有效审计等问题困扰着企业网络的安全运维管理。第2章 企业网络安全需求分析对于大部分企业来说,其IT网络的建设可以划分六个区域,分别为:互联网接入域、广域网接入域、外联服务域、数据中心域、内网办公域、
9、运维管理域。这六个区域因为承载的业务内容和作用不同,所面临的安全风险也有所不同,需要的安全防护措施亦有差别。2.1 互联网接入域安全需求分析互联网接入区域将企业内部网络与互联网逻辑隔离,作为企业内部用户访问互联网的出口, 其中互联网接入区域将单位内部网络与互联网逻辑隔离,作为内部用户访问互联网的出口,同时承担着两方面的作用:一是内部用户访问互联网的统一出口;二是为社会公众和合作伙伴提供企业信息服务的入口。互联网接入域是连接企业内部与外部的桥梁,因此面临着来自两个方向的安全威胁:1)外部威胁,如黑客扫描和入侵、拒绝服务攻击、病毒或蠕虫侵袭、僵尸木马、信息泄露等。2)内部威胁,如无意识的风险引入、
10、网络资源滥用导致的新风险,以及内部的故意破坏等。2.1.1 防火墙访问控制通过防火墙在内部网络和外部网络之间构造一道保护屏障,从而保护内部网络免受非法用户的侵入,通过防火墙将内外部网络隔离,实现有效的边界访问控制,并界定用户的访问请求是否符合安全规则,基于防火墙预设的访问控制规则、端口和协议的检测和控制机制等手段使可信双方进行通信,并阻断不可信的访问行为。2.1.2 防止黑客扫描入侵外部黑客出于好奇、报复或经济利益等目的会对内网服务器和业务系统发起非法扫描,获取内部网络的安全漏洞,发起基于存在漏洞的恶意攻击行为,从而获取到未授权的机密信息或内部系统的控制权限。2.1.3 防御DDoS攻击DDo
11、S攻击一般由黑客控制Internet上的“僵尸”系统完成,通过对互联网上缺少防御的主机植入某些代码,这些机器就会被DDoS攻击者控制,当黑客发动DDoS攻击时,只需要同时向这些将僵尸机发送指令,攻击就会由这些“僵尸”机器完成。DDoS攻击主要有带宽型攻击、流量型攻击和应用型攻击,其主要的表现为利用海量的数据包、请求或应用消耗目标网络或设备资源,导致无法处理正常的业务或访问请求,造成公司的服务质量下降、生产效率降低、信誉受损等一系列问题。 2.1.4 防止病毒蠕虫入侵病毒蠕虫等威胁内容是黑客最常利用的网络入侵工具。网络蠕虫病毒传播速度快,一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的
12、下降,网络拥塞,同时也会对核心敏感数据造成严重的威胁,导致业务和生产的中断、敏感信息泄露等问题。2.1.5 防零时差攻击零时差攻击(Zero-hour/day Attack)是指从系统漏洞、协议弱点被发现到黑客制造出针对该漏洞、弱点的恶意代码并发起攻击之间的时间差几乎为零的攻击。零时差攻击对应用系统和网络的威胁和损害令人恐怖,这相当于在用户没有任何防备的情况下,黑客发起了闪电战,可能在极短的时间内摧毁关键的应用系统,造成网络瘫痪等风险。2.1.6 防止间谍软件间谍软件能够在用户不知情的情况下偷偷进行非法安装,并且安装后很难找到其踪影,并悄悄把截获的一些机密信息发送给第三者的软件。间谍软件在安装
13、时什么都不显示,运行时用户也不知晓,删除起来非常困难。由于间谍软件隐藏在用户计算机中、秘密监视用户活动,并建立了一个进入个人电脑的通道,很容易对用户电脑做后续的攻击。间谍软件能够消耗计算能力,使计算机崩溃,并使用户被淹没在网络广告的汪洋大海中。它还能够窃取密码、信用卡号和其它机密数据。因此,间谍软件对企业网络的危害非常巨大,需要一种有效的手段防止间谍软件向企业内部网络渗透。2.1.7 应用带宽管控内网用户在上班时间有意无意的进行与工作无关的网络行为,比如聊天、炒股、玩网游、看视频、网购、手机APP使用等,严重影响工作效率,并占用大量的带宽,导致关键业务应用或关键人员得不到足够的带宽资源,降低企
14、业内部的工作效率。2.1.8 链路负载均衡企业往往会部署多条链路,保证网络服务的质量,消除单点故障,减少停机时间。为提升外网用户从外部访问内部网站和应用系统的速度和性能,就需要对多条链路进行负载优化,实现在多条链路上动态平衡分配,并在一条链路中断的时候能够智能地自动切换到另外一条链路,保障业务应用不中断。2.2 广域网接入域安全需求分析对于大部分企业来说,都可能存在企业集团总部、子公司或各地分支办事处,并且各个节点已形成自己的局域网结构,并通过广域网互联互通,实现集团总部与子公司、办事处之间多种资源信息的共享互通。因此,构建一个高效、安全的广域网络系统势必为企业的发展“添砖加瓦”。建立安全、可
15、靠的高效广域网系统,需着重考虑和解决以下问题:2.2.1 安全互联组网目前很多企业的大型分支已经采用专线与总部进行互联,但部分中小分支由于较为分散,仍采用公网线路直接与总部互联访问服务器。这种将服务器直接挂在公网上并对外开放端口的方式,直接造成整体服务器区安全防护水平较低,很容易遭受互联网络攻击的问题。因此在总部和分支互联建设中必须充分考虑安全互联组网的需求,并防止外部人员的非法侵入。2.2.2 数据安全性保障在总部与小型分支或办事处之间基于互联网通信,组织信息平台上的应用系统如果不经加密和认证等安全处理,跑在互联网这个不安全而又开放的网络上,一旦重要数据如果遭到窃取,带来的损失将无法估量。因
16、此,有必要利用VPN等技术通过Internet建立安全可靠、经济便捷的虚拟专用网络。2.2.3 专网数据加固在总部与大型分支之间采用专线组网,保证内网系统访问数据与互联网的安全隔离。但是在专网内同样存在信息安全级别不同的应用系统数据,高安全级别的数据信息如果直接在网络中明文传输,存在被窃听、篡改的风险,从信息安全规划及权限的安全方面进行考虑,有必要在专网中对不同安全级别的应用系统采取逻辑隔离、安全加密、权限划分等加固手段。2.2.4 移动办公安全网上业务的发展使得信息交互越来越频繁,重要的数据和信息在网络中的传输也越来越多,安全性要求也越来越重要。为了实现人们的远程办公,需要保证人员外出时可以
17、安全访问组织内部网络进行日常操作,并同时确保数据的安全。因此在选择方法时,应建立完整的安全准入机制,实现对用户的认证鉴权。2.2.5 第三方安全接入随着业务规模的扩大,业务系统也在不断延伸,除了建设内部自己使用的业务系统外,还建立了第三人员使用的业务系统,如供应商接入系统、代理商接入系统等,这些业务系统提高了企业的业务运作效率,但也带来了众多不可控风险:如身份认证单一、接入终端安全性无法控制、数据易被窃取、越权访问、恶意访问无法追踪、访问速度慢。2.2.6 广域网链路质量优化分公司员工日常的工作都需要依靠信息平台来完成,因此员工接入总部访问应用的速度和其工作效率直接相关。如果全部使用专线进行总
18、部与分支互联,网络成本太高,而且扩展性较差。因此,广域网接入域安全需求,就需要考虑广域网链路质量优化问题,保障关键应用的服务质量和交付性能。如何消减总部节点、分支节点的吞吐瓶颈,提升员工访问速度;如何减少分支网络丢包、延时现象问题;如何避免应用本身交互过多,遭遇广域网后响应速度慢,影响业务效率问题。2.3 外联服务域安全需求分析企业外联服务域也叫DMZ。DMZ区域常存放对外门户WEB、EMAIL、等服务器,主要用于提升企业网络媒介宣传、职员邮件办公、文件上传下载等需求。该区域是企业的展示窗口、对外业务的平台,该区域网络质量的好坏,直接影响着企业的形象和发展。该区域面临来自内外网多个区域的安全威
19、胁,并且针对该区域的攻击往往隐藏在正常访问业务行为中,导致传统安全设备很难发现和阻止这些威胁。该区域主要的安全需求有:2.3.1 系统漏洞攻击保护DMZ区域内部有大量业务服务器,其底层和业务应用系统会不断产生新的安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对DMZ区的攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对网站敏感信息监控、窃取、篡改等目的。因此需要有效的工具来识别并防护针对系统漏洞的攻击。2.3.2 防止信息泄露和篡改黑客通过漏洞利用、WEB攻击、弱密码等手段一旦侵入了DMZ系统,将可能窃取DMZ系统数据库中储存的用户资料、身份信息、账户信息等
20、敏感数据,损害企业的经济利益;黑客也可能直接篡改企业对外Web网页内容,使企业的形象和信誉受损;黑客甚至会在企业对外提供服务的网站挂载木马病毒,网站的访问用户也会被木马病毒感染,这种情况下企业可能因此而承担法律责任。2.3.3 WEB应用安全针对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。针对web应用的安全问题有:由于Web应用程序的编写过程中引入的安全漏洞问题,比如SQL注入、跨站脚本攻击等;系统底层漏洞问题,如服务器底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞给了入侵者可乘之机;黑
21、客、病毒木马等威胁还能利用弱口令、管理员界面等潜在缺陷对网站进行攻击。3.3.4 防止黑客扫描入侵外部黑客出于好奇、报复或经济利益等目的会对外联区服务器和业务系统发起非法扫描,获取内部网络的安全缺陷和漏洞,进一步发起恶意攻击行为,从而获取到未授权的机密信息或内部系统的控制权限。2.3.5 防止拒绝服务黑客通过DOS/DDOS拒绝服务攻击使外联服务平台无法响应正常请求。这种攻击行为使得Web等系统充斥大量要求回复的信息,严重消耗网络系统资源,导致外联服务平台无法对外正常提供服务,影响企业正常的业务开展。2.3.6 防范内部威胁企业内部网络安全状况也影响着外联区域的安全,比如网络中存在的DoS攻击
22、,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会破坏外联平台的安全稳定运行。2.3.7 服务器负载均衡 随着访问用户数量的不断增加,给后台的服务器带来越来越大的压力。需要通过服务器负载均衡机制,保证用户访问流量能在各服务器上均衡分配,提高服务器资源的利用率,减轻服务器的压力。从而保证访问的速度和稳定性。2.4 数据中心域安全需求分析数据中心是IT建设的心脏,作为业务集中化部署、发布、存储的区域,数据中心承载着业务的核心数据以及机密信息。对于恶意攻击者而言,数据中心永远是最具吸引力的目标。所以数据中心的安全建设显得格外重要。
23、数据中心主要的安全需求包括:2.4.1 防火墙隔离控制通过防火墙在数据中心构造一道网络层保护屏障,通过防火墙的区域隔离和访问控制规则,来界定用户的访问请求是否符合安全要求,并隔离来自internet、intranet、extrane等区域的安全风险,实现数据中心网络接入安全。2.4.2 防止病毒蠕虫入侵服务器是数据中心中计算资源的核心来源,也用于连接网络资源、存储资源,是数据中心中业务交付的重要支撑,因此也是网络入侵者最主要的目标。病毒、蠕虫、木马等恶意代码一旦感染数据中心服务器,就可能在数据中心网络快速传播,消耗数据中心网络资源,劫持服务器应用,窃取敏感信息,发送垃圾信息,甚至重定向用户到恶
24、意网页。所以数据中心网络安全建设需要包含检测和清除病毒蠕虫木马等恶意内容的机制。2.4.3 漏洞攻击保护数据中心大量的服务器底层操作系统和业务应用都可能存在安全漏洞,给了入侵者可乘之机。黑客能够利用这些漏洞发起对数据中心业务服务器的攻击,比如弱口令密码攻击、应用程序弱点利用、服务弱点利用等,非法获取更多的内部操作管理权限,实现对内部敏感信息监控、窃取、篡改等目的。因此需要有效的工具来识别并防护针对数据中心服务器业务系统漏洞的攻击。2.4.4 防APT攻击黑客的攻击手段越来越先进,并带有很强的目的性。近几年APT攻击经常见诸报端,这是一类攻击手段很先进、目的性和持续性很强的高级持续性威胁(APT
25、)。通常这种攻击方式都带有明确的攻击意图和不达目的不休止的特点,黑客往往应用先进的攻击手段绕过防御体系,实现对企业高价值机密信息的破坏、窃取、篡改等目的,从而给业务系统造成不可挽回的损失。因此,数据中心安全建设需要考虑防范APT攻击,避免重要信息资产失窃或破坏。2.4.5 防范内部威胁企业内部网络安全状况也影响着外联区域数据中心的安全,比如内部网络中存在DoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,内部员工的非法扫描和渗透攻击,及非授权违规操作行为,这些问题都会破坏数据中心的安全稳定运行。2.4.6 防止拒绝服务数据中心作为业务集中化部署、发布、存储的区域,数据中心承载着业
26、务的核心数据以及机密信息,其业务的可靠性非常关键。黑客利用协议漏洞或控制“肉鸡”向数据中心服务器发起的拒绝服务攻击使得服务器无法提供正常服务,导致业务中断等问题,对数据中心的可靠造成危害。2.4.7 WEB应用安全数据中心有大量的WEB应用,黑客针对Web应用的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。针对web应用的安全问题有:由于Web应用程序的编写过程中引入的安全漏洞问题,比如SQL注入、跨站脚本攻击等;系统底层漏洞问题,如服务器底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞给了入侵者可乘之机
27、;黑客、病毒木马等威胁还能利用弱口令、管理员界面等潜在缺陷对网站进行攻击。2.4.8 虚拟云化风险保护虚拟化云数据中心是数据中心的发展方向,通过虚拟化技术构建基础设施资源池,实现资源的按需分配,提高整体资源利用率。但云数据中心虚拟化也带来了新的安全风险,比如虚拟化导致了风险集中、流量复杂、边界弱化、越权访问等问题,因此需要一种适合虚拟化云数据中心的安全管控机制,提供虚拟化内部的安全区域划分、边界管控、二到七层安全保护。2.5 内网办公域安全需求分析随着全球信息化及网络技术的不断发展,网络安全问题特别是内部网络安全问题正在日益突出。“堡垒最容易从内部攻破”,因此做好企业内网办公区域的网络安全建设
28、,对于企业整体网络的安全保护意义重大。无论是内部终端的违规外联、违规接入和违规操作,还是内部系统数据保密性、可控性和可用性要求,都是企业内网办公区域安全建设需要思考的问题。那么,企业内网办公区主要有哪些安全需求呢?2.5.1 上网行为管理内网办公员工在上班时间有意无意的做与工作无关的网络行为,比如炒股、玩网游、看视频;随着智能终端的普及,没有提供Wlan的企业,其内部员工为了便捷性,往往会通过360随身WiFi等方式私自建立个人Wlan,让自己的移动终端可以随意使用单位的上网资源。这些行为严重影响单位工作效率,所以企业需要对内部上网的员工行为进行有效的识别和管理。2.5.2 漏洞病毒防护内网办
29、公区分布有大量的终端设备,如果这些终端不能及时更新系统漏洞补丁,将会给黑客可乘之机,一旦某台终端感染病毒,很容易向全网扩散。因此,内网安全建设需要包括:具备快速发现终端设备的系统漏洞并自动分发补丁能力,具备快速有效的定位网络中病毒、蠕虫、黑客的引入点并及时、准确的切断安全事件发生点的能力。2.5.4 Wlan安全需求随着无线技术的发展,BYOD、移动办公的普及,无线网络覆盖能使得在企业内部,会议室、办公区等任何区域接入办公网络,简单方便。企业在构建WLAN网络过程中,不仅要考虑高速稳定的网络质量,WLAN网络安全问题同样需要重视。杜绝盗用账号、非法接入的安全威胁,并针对外部访客、内部人员(不同
30、部门、不同职位)分配不同的应用访问权限,实现精细化网络接入控制,并避免复杂的临时账号申请机制。2.5.5 开发环境安全开发部门由于其业务特殊性,对开发环境和文档管理环境的安全性要求非常高。为了支撑业务的飞速拓展,在开发项目中往往还会牵涉到很多第三方公司和外包项目,甚至于开发人员需要在任意地点进行办公,这对开发系统的安全构成了极大的挑战。因此,需要有一套安全的开发环境,能够让开发项目的员工及外包员工在受控环境下,进行相关应用的开发和调试,同时能有效保护应用代码及企业数据的安全。2.1.6 防止僵尸网络僵尸网络是攻击者出于恶意目的,采用多种传播手段,通过互联网使大量主机感染僵尸程序,从而控制这些被
31、感染的主机,从而在控制者和被感染主机之间形成一个一对多控制的网络,黑客利用这些僵尸主机作为进一步入侵的跳板。攻击者通过控制大量僵尸主机实现僵尸网络本地扩散、敏感信息窃取、分布式拒绝服务攻击和垃圾邮件发送等恶意目的。而企业内部大量的终端设备往往是黑客种植僵尸网络的目标,因此企业需要一种有效的措施来防止僵尸网络的植入,并检测和清除已存在的僵尸网络。2.6 运维管理域安全需求分析运维管理区是保障企业网络能够安全高效运行的重要区域,该区域的重点是安全和稳定性,从而为企业整体网络构造一个可靠的支撑平台。该区域主要的安全需求如下:2.6.1 防火墙区域隔离运维管理区是保障企业网络高效运行的重要区域,企业内
32、部大部分IT设备和系统都在该区域维护管理,因此该区域一旦被黑客或不轨员工侵入,极可能造成全局网络危害。利用防火墙可以给运维管理区打造安全隔离区,并基于严格的访问控制策略和身份认证信息进行区域网络接入;同时利用新型防火墙给运维管理区打造一片安全的网络环境。2.6.2 防范病毒类入侵运维区是IT信息系统的神经中枢,一旦被病毒木马、僵尸蠕虫等侵入,将可能导致重要系统的系统配置、管理账号、后台数据等丢失或被篡改,直接造成生成运营故障,对企业的危害非常巨大。因此,该区域的安全建设需要包含检测和清除病毒、木马、蠕虫、僵尸等恶意内容的机制。2.6.3 集中运维管理企业内部安全设备较多,因此需要有集中的统一管
33、理和审计分析平台,实现对设备的集中管理、集中监控、集中配置、集中运维、统一审计核查等要求,达到安全事件的监控-响应-再监控的闭环操作,提升网络运维管理便捷性。2.6.4 操作运维审计如果没有有效的技术手段来保障运维操作的正确执行,那么将对运维人员的违规操作无能为力。目前应用程序都有相应的审计日志,可以解决应用系统层的审计问题,但是对于操作系统层和数据库层的违规操作(非法修改系统和应用等),无从审计。因此,必须借助有效的技术手段监管运维人员的操作行为,做到实时监控,快速取证,减少内部的误操作和违规操作,降低运维过程中的操作风险。第3章 深信服企业全网安全解决方案3.1 方案总体设计为了解决企业网
34、络中遇到的各种安全问题,深信服推出了企业全网安全解决方案,本着安全、可靠、全面、高效、易于管理维护等原则,给出可资借鉴的建设方案。根据企业不同网络区域定位不同,我们大致可以将企业网络划分为6个区域,分别为:互联网接入域、外联服务域、广域网接入域、数据中心域、内网办公域、运维管理域。针对各区域实际的安全需求,深信服给出了贴合的安全防护建议。整体安全防护方案拓扑图如下所示:3.2 互联网接入域安全方案3.1.1 方案说明互联网接入区域承担着内部用户访问互联网的统一出口和为外部用户提供企业信息服务的入口,其安全风险来源多且复杂。针对互联网出口存在的安全问题,通过在互联网出口部署深信服下一代防火墙NG
35、AF、上网行为管理AC和应用交付AD产品,可以很好的解决。深信服下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有全面的应用层安全防护功能和强劲的处理能力。深信服下一代防火墙NGAF为企业在网络出口构建一套安全长城,实现内外部网络隔离和访问控制,保护内部网络和用户免受非法侵入,保障可信双方安全通信。NGAF提供2到7层的安全保护,通过入侵检测与防御、病毒防护、协议异常保护等功能,可以精确实时地识别并防御来自互联网的蠕虫、病毒、木马、间谍软件等网络威胁
36、,防止攻击者对内部网络的渗透和破坏,保障敏感数据不被窃取以及业务的持续运行;NGAF能实时感知来自互联网上的大量异常请求,并第一时间予以清洗,防止DoS/DDoS攻击的发生,保障正常合法的业务通讯不受影响;NGAF还提供了实时的漏洞检测功能,该功能不会给网络产生额外的流量,通过实时流量分析,可以发现网络内部业务系统的安全漏洞,快速识别针对存在漏洞的有效攻击,即使没有攻击行为也能发现潜在的风险。对于最新爆发的0DAY漏洞,深信服云安全中心会第一时间收集漏洞信息并生成防护规则,并通过云中心快速的下发到NGAF设备上,避免黑客发起闪电战。深信服上网行为管理AC设备能够实现对网络数据流量进行精细化控制
37、管理。AC设备具备专业的身份认证功能,能够针对用户和用户组实施不同的应用控制和流量分配策略,AC支持本地认证、外部认证、短信认证等多种方式;AC具备国内最专业的应用识别控制功能,全面的应用识别帮助管理员掌控网络应用现状和用户行为,从而有针对性的制定流控策略,保障核心业务应用使用效果,AC能够有效识控当前网络中各种主流应用,包括1500多种应用、3000多种规则,以及一些SSL加密应用;AC提供了基于应用、基于时间、多级父子通道、动态流控、智能流控等多种流控手段,满足企业制定周期性、灵活、合理、智能调整的带宽使用方案,最大满足业务对带宽的需求,实现带宽的最大价值。深信服AD产品作为专业的应用交付
38、设备,能够为企业互联网接入域提供多链路负载均衡解决方案。企业往往部署了多条互联网链路,由于使用设置等问题,往往有的链路一直处于繁忙状态,而另外条链路却处于闲置状态,造成互联网资源的浪费和用户的访问速度得不到保障。深信服 AD设备能够进行DNS请求转发,通过深信服 AD寻找合适的DNS服务器返回给内网电脑。利用链路繁忙控制、智能路由等技术,通过事先设定好负载算法,就能按照事先设定的链路利用策略将流量分配到不同的链路之上,实现多条链路负载运行,保障了网络资源利用率的最优、最大化。3.2.2 方案价值相比传统方案,NGAF提供全面的L2-L7威胁防护,实现了更加完整高效的网络安全,并减少了故障节点;
39、单台NGAF即可实现比过去多台设备更好的防护效果,大大减少了设备购买投资和运维成本;AC产品实现了更加细致精准的应用和带宽控制,保障了正常业务带宽需求,实现了带宽高效利用,提升带宽价值;AD产品提供了精细智能的多链路负载均衡,满足链路高效使用和自动备份,实现了网络资源利用率的最优、最大化。3.3 广域网接入域安全方案3.1.1 方案说明企业总部与子公司、办事处之间的广域网通道建设,能够实现多种资源信息的高效互通,而广域网通道内部传输的数据大多都是企业的重要信息资产,对保密性和实效性要求较高。通过部署深信服下一代防火墙、SSL VPN安全网关、广域网优化等安全产品,可以帮助企业打造高效、安全的广
40、域网络通信系统。企业采用专线或VPN方式建立广域网通道,如图所示,在企业总部和分支机构部署NGAF、SSL VPN和WOC广域网优化等安全产品,可以实现分支和总部安全通信和网络链路优化,并满足外出员工移动办公安全接入需求;广域网各个节点的NGAF设备结合SC集中管理平台和外置数据中心,能够实现广域网全网各节点安全监测和防护,使整个企业集团全网安全状况尽在掌握。NGAF能够识别和防御L2到L7的安全威胁,能检测并防止病毒防、蠕虫、木马、漏洞、WEB应用攻击等安全威胁在广域网内部传播,实现各分支机构安全状况实时上报监控,及时了解全网安全动态,安全日志统一管理、集中分析,快速加固防护薄弱点,优化安全
41、运维,实现安全设备统一管理、集中特征更新与推送、安全策略快速同步,实现对广域网各个节点一站式安全监测和保护。采用SSL VPN安全网关,可以对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立,非常方便的实现网络接入和数据安全保障。在系统安全加固方面,采用登录SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的
42、确定性。在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。由于登录SSL VPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。对于已经建立专线组网的分支,将应用系统以SSL VPN资源的方式进行,进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭,分支用户登录SSL VPN之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。同时,可针对这些应用系统进
43、行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。由于所有访问总部服务器区的数据都将经由SSL VPN进行转发,对于用户权限外的应用,SSL VPN将自动阻断其连接,防止恶意盗链。并且SSL VPN设备对外只开放443端口,从而可屏蔽掉其他端口的攻击。SSL VPN的数据流处理方式可隐藏内网服务器区结构,并对服务器访问的IP、域名进行伪装。SSL VPN在进行用户对服务器区发起的访问时,采用SSL VPN登录认证、细粒度应用访问授权、传输数据加密,从数据安全的角度提供隔离保护。SSL VPN的EasyConnect还能帮助企业内网部署的终端服务器将应用程序界面用图形的方式呈现
44、于智能终端之上,在部署过程中,无需对现网结构和应用程序做任何改变,轻松实现跨平台访问,解决企业用户通过iPhone、Android等智能终端访问的问题,实现业务数据快速迁移,同时保障业务系统数据不落地,存储在终端服务器。深信服SSL VPN网关提供专业的IPSec VPN功能,满足企业建设IPSec VPN专网的需求,实现各区域安全互联和数据加固的需求。深信服广域网优化产品WOC提供了协议优化、缓存、流压缩、流量整形、链路质量优化等多种技术,能够帮助用户加快关键应用的响应速度,大幅提升专网的传输效率。专线内存在大量的冗余数据传输,容易导致专网带宽压力过大。WOC产品采用动态流压缩、基于码流特征
45、数据优化对专网中流量进行大幅削减,降低带宽负荷,实现带宽增值。WOC还可以对ERP、邮件、FTP文件传输等应用进行优化,减少数据交互,提升访问速度,提高工作效率。WOC通过快速重传、选择性重传、改善拥塞机制、增大滑动窗口大小等几种技术手段对传统的TCP传输协议做改进,提高链路质量和访问速度。WOC还能够实时感知专网流量分布情况,从而实现业务流量整形和不断调优。3.3.2 方案价值NGAF提供全面的L2-L7威胁防护,避免了各个节点的安全风险在广域网通道传播;NGAF全网统一安全监控和防护,实现了安全设备集中管理、安全日志集中收集、安全策略集中下发、安全事件统一运维,快速提高整个广域网全网的安全
46、水平;SSL VPN网关为企业提供了可靠的VPN组网、远程业务发布和员工远程接入需求,满足了安全、快速、易用、可靠的广域网互联服务;WOC产品通过流量削减和协议、应用、链路质量优化技术,即使链路质量不佳情况下,也能保障核心业务稳定运行,实现带宽增值;3.4 外联服务域安全方案3.1.1 方案说明DMZ区域是企业的对外展示和对外业务的平台,该区域的网络安全和稳定可靠关系着企业形象和品牌发展。针对该区域存在的网络安全问题,通过部署深信服下一代防火墙和应用交付产品就可以完美解决。深信服NGAF产品具备全面的二到七层安全功能,能一站式智能化解决DMZ区域的网络安全问题。通过启用入侵防御、病毒防护、漏洞
47、检测保护等功能,可以实时发现DMZ区域业务系统存在的安全漏洞,实时防御来自互联网的蠕虫、病毒、木马等网络攻击,防止攻击者对外联服务网络的扫描、入侵和破坏,保障系统数据安全和业务的持续运行。NGAF具备专业的WEB应用安全防护功能,有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击,防止网站被黑客扫描攻击,NGAF还支持隐藏的服务器响应信息,如http出错页面、响应报头、FTP信息等;NGAF还提供了网页防篡改功能,能够实时检测并拦截网页篡改的信息并通知管理员确认,同时对外提供篡改重定向功能,提供正常界面或备份服务器的重定向,保证用户仍可正常访问网站;NGAF提供了敏感信息防泄漏功能,能够实时检测并阻断网站源代码、用户帐号信息、服务器重要配置文件等敏感信息被泄露,实时记录泄漏行为,并通过邮件等方式报警;NGAF提供专业的DoS/DDoS攻击防护功能,能快速识别并清洗异常访问行为,保障正常合法的业务不受影响。NGAF还提供了待处理问题板块,该板块展示了NGAF监测发现的安全问题,包括各类风险的分类汇总及问题的详细描述,同时NGAF还提供了风险问
