計算機網路的核心是保證網路可共享資源的安全;
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,數據的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免於破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。
對計算機信息構成不安全的因素很多,其中包括人為的因素、自然的因素和偶發的因素。其中,人為因素是指,一些不法之徒利用計算機網路存在的漏洞,或者潛入計算機房,盜用計算機系統資源,非法獲取重要數據、篡改系統數據、破壞硬體設備、編制計算機病毒。人為因素是對計算機信息網路安全威脅最大的因素。
B. 在設計保障信息安全的人員和設備的方案中,系統是基礎,()是核心,管理是保證。
人。
信息安全管理是一個過程,而不是一個產品,其本質是風險管理。信息安全風險管理可以看成是一個不斷降低安全風險的過程,最終目的是使安全風險降低到一個可接受的程度,使用戶和決策者可以接受剩餘的風險。信息安全風險管理貫穿信息系統生命周期的全部過程。
信息系統生命周期包括規劃、設計、實施、運維和廢棄五個階段。每個階段都存在相關風險,需要採用同樣的信息安全風險管理的方法加以控制。
(2)網路安全方案系統基礎是什麼核心擴展閱讀:
注意事項:
每個聯網的設備都會在其整個生命周期中的某個時刻進行更新。物聯網設備的優點之一是它們可以通過網路(OTA)接收軟體/硬體更新。也就是說允許授權更新的能力對於確保設備和在其上面運行的代碼的完整性(不被篡改)至關重要。
簡而言之,請使用安全代碼簽名過程驗證更新的簽名,並確保僅在設備上執行受信任的代碼。保護代碼簽名密鑰和證書同樣重要,可以防止攻擊者破壞簽名過程,從而將惡意軟體注入設備。
C. 簡要概述網路安全保障體系的總體框架
網路安全保障體系的總體框架
1.網路安全整體保障體系
計算機網路安全的整體保障作用,主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。
圖4 網路安全保障體系框架結構
【拓展閱讀】:風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上,制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法,以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心,風險分為信用風險、市場風險和操作風險,其中包括信息安全風險。
實際上,在網路信息安全保障體系框架中,充分體現了風險管理的理念。網路安全保障體系架構包括五個部分:
(1)網路安全策略。以風險管理為核心理念,從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層,起到總體的戰略性和方向性指導的作用。
(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實,包括管理、運作和技術三個不同層面,在每一層面都有相應的安全政策和標准,通過落實標准政策規范管理、運作和技術,以保證其統一性和規范性。當三者發生變化時,相應的安全政策和標准也需要調整相互適應,反之,安全政策和標准也會影響管理、運作和技術。
(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程(風險評估、安全控制規劃和實施、安全監控及響應恢復)。是網路安全保障體系的核心,貫穿網路安全始終;也是網路安全管理機制和技術機制在日常運作中的實現,涉及運作流程和運作管理。
(4)網路安全管理。網路安全管理是體系框架的上層基礎,對網路安全運作至關重要,從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現,而網路安全管理體系是從人員組織的角度保證正常運作,網路安全技術體系是從技術角度保證運作。
(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性,從而達到網路安全保障體系的目標,實現整個生命周期(預防、保護、檢測、響應與恢復)的風險防範和控制。
引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9
D. 不論是網路的安全保密技術,還是站點的安全技術,其核心問題是
核心問題是保護數據安全。
通過採用各種技術和管理措施,使網路系統正常運行,從而確保網路數據的可用性、完整性和保密性。所以,建立網路安全保護措施的目的是確保經過網路傳輸和交換的數據不會發生增加、修改、丟失和泄露等。
數據完整性是信息安全的三個基本要點之一,指在傳輸、存儲信息或數據的過程中,確保信息或數據不被未授權的篡改或在篡改後能夠被迅速發現。
在信息安全領域使用過程中,常常和保密性邊界混淆。以普通RSA對數值信息加密為例,黑客或惡意用戶在沒有獲得密鑰破解密文的情況下,可以通過對密文進行線性運算,相應改變數值信息的值。
(4)網路安全方案系統基礎是什麼核心擴展閱讀:
不同的單位和組織,都有自己的網路信息中心,為確保信息中心、網路中心機房重要數據的安全(保密),一般要根據國家法律和有關規定製定,適合本單位的數據安全制度。
機密級及以上秘密信息存儲設備不得並入互聯網。重要數據不得外泄,重要數據的輸入及修改應由專人來完成。重要數據的列印輸出及外存介質應存放在安全的地方,列印出的廢紙應及時銷毀。
E. 網路安全策略的核心是什麼
針對你的需要 制定的安全策略 針對人的管理 針對設備的管理
1. 安全需求分析 "知已知彼,百戰不殆"。只有明了自己的安全需求才能有針對性地構建適合於自己的安全體系結構,從而有效地保證網路系統的安全。
2. 安全風險管理 安全風險管理是對安全需求分析結果中存在的安全威脅和業務安全需求進行風險評估,以組織和部門可以接受的投資,實現最大限度的安全。風險評估為制定組織和部門的安全策略和構架安全體系結構提供直接的依據。
3. 制定安全策略 根據組織和部門的安全需求和風險評估的結論,制定組織和部門的計算機網路安全策略。
4. 定期安全審核 安全審核的首要任務是審核組織的安全策略是否被有效地和正確地執行。其次,由於網路安全是一個動態的過程,組織和部門的計算機網路的配置可能經常變化,因此組織和部門對安全的需求也會發生變化,組織的安全策略需要進行相應地調整。為了在發生變化時,安全策略和控制措施能夠及時反映這種變化,必須進行定期安全審核。 5. 外部支持 計算機網路安全同必要的外部支持是分不開的。通過專業的安全服務機構的支持,將使網路安全體系更加完善,並可以得到更新的安全資訊,為計算機網路安全提供安全預警。
6. 計算機網路安全管理 安全管理是計算機網路安全的重要環節,也是計算機網路安全體系結構的基礎性組成部分。通過恰當的管理活動,規范組織的各項業務活動,使網路有序地進行,是獲取安全的重要條件。
F. 網路安全有五大要素,分別是什麼
網路安全有五大要素:
1、保密性
信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
2、完整性
數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
3、可用性
可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
4、可控性
對信息的傳播及內容具有控制能力。
5、可審查性
出現安全問題時提供依據與手段
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
隨著計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、文件處理,基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網(Intranet)、企業外部網(Extranet)、全球互聯網(Internet)的企業級計算機處理系統和世界范圍內的信息共享和業務處理。
在系統處理能力提高的同時,系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基於網路連接的安全問題也日益突出,整體的網路安全主要表現在以下幾個方面:
1、網路的物理安全;
2、網路拓撲結構安全;
3、網路系統安全;
4、應用系統安全;
5、網路管理的安全等。
(6)網路安全方案系統基礎是什麼核心擴展閱讀:
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下四種:
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
3、信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
參考資料來源:網路-網路安全
G. 網路的核心部分
區域網交換機是組成網路系統的核心設備
交換機在企業網中佔有重要的地位,通常是整個網路的核心所在,這一地位使它成為黑客入侵和病毒肆虐的重點對象,為保障自身網路安全,企業有必要對區域網上的交換機漏洞進行全面了解。
區域網交換機分類
從傳輸介質和傳輸速度上看,區域網交換機可以分為乙太網交換機、快速乙太網交換機、千兆乙太網交換機、FDDI交換機、ATM交換機和令牌環交換機等多種,這些交換機分別適用於乙太網、快速乙太網、FDDI、ATM和令牌環網等環境。
按照最廣泛的普通分類方法,區域網交換機可以分為桌面型交換機(Desktop Switch)、組型交換機(Workgroup Switch)和校園網交換機(Campus Switch)三類。
1. 桌面型交換機是最常見的一種交換機,使用最廣泛,尤其是在一般辦公室、小型機房和業務受理較為集中的業務部門、多媒體製作中心、網站管理中心等部門。在傳輸速度上,現代桌面型交換機大都提供多個具有10/100Mbps自適應能力的埠。
2. 組型交換機即工作組交換機,常用來作為擴充設備,在桌面型交換機不能滿足需求時,大多直接考慮組型交換機。雖然組型交換機只有較少的埠數量,但卻支持較多的MAC地址,並具有良好的擴充能力,埠的傳輸速度基本上為100Mbps。
3. 校園網交換機,這種交換機應用相對較少,僅應用於大型網路,且一般作為網路的骨幹交換機,並具有快速數據交換能力和全雙工能力,可提供容錯等智能特性,還支持擴充選項及第三層交換中的虛擬區域網(VLAN)等多種功能。
根據架構特點,人們還將區域網交換機分為機架式、帶擴展槽固定配置式、不帶擴展槽固定配置式3種產品。
1. 機架式交換機 這是一種插槽式的交換機,這種交換機擴展性較好,可支持不同的網路類型,如乙太網、快速乙太網、千兆乙太網、ATM、令牌環及FDDI等,但價格較貴,高端交換機有不少採用機架式結構。
2. 帶擴展槽固定配置式交換機 它是一種有固定埠數並帶少量擴展槽的交換機,這種交換機在支持固定埠類型網路的基礎上,還可以通過擴展其他網路類型模塊來支持其他類型網路。這類交換機的價格居中。
3. 不帶擴展槽固定配置式交換機 這類交換機僅支持一種類型的網路(一般是乙太網),可應用於小型企業或辦公室環境下的區域網,價格最便宜,應用也最廣泛。
區域網交換機常見技術指標
區域網交換機基本技術指標較多,這些技術指標全面反映了交換機的技術性能和功能,是用戶選購產品時參考的重要數據來源。其中比較重要的技術指標如下。
1. 機架插槽數:指機架式交換機所能安插的最大模塊數。
2. 擴展槽數:指固定配置式帶擴展槽交換機所能安插的最大模塊數。
3. 最大可堆疊數:指可堆疊交換機的堆疊單元中所能堆疊的最大交換機數目。顯然,此參數也說明了一個堆疊單元中所能提供的最大埠密度與信息點連接能力。
4. 支持的網路類型:一般情況下,固定配置式不帶擴展槽交換機僅支持一種類型的網路,機架式交換機和固定配置式帶擴展槽交換機可支持一種以上類型的網路,如支持乙太網、快速乙太網、千兆乙太網、ATM、令牌環及FDDI等。一台交換機所支持的網路類型越多,其可用性和可擴展性將越強。
5. 最大SONET埠數: SONET(Synchronous Optical Network,同步光傳輸網路)是一種高速同步傳輸網路規范,最大速率可達2.5Gbps。一台交換機的最大SONET埠數是指這台交換機的最大下聯的SONET介面數。
6. 背板吞吐量: 背板吞吐最也稱背板帶寬,單位是每秒通過的數據包個數(pps),表示交換機介面處理器或介面卡和數據匯流排間所能吞吐的最大數據量。一台交換機的背板帶寬越高,所能處理數據的能力就越強,但同時成本也將會越高。
7. MAC地址表大小:連接到區域網上的每個埠或設備都需要一個MAC地址,其他設備要用到此地址來定位特定的埠及更新路由表和數據結構。一個設備的MAC地址表的大小反映了連接到該設備能支持的最大節點數。
8. 支持的協議和標准:區域網交換機所支持的協議和標准內容,直接決定了交換機的網路適應能力。這些協議和標准一般是指由國際標准化組織所制定的聯網規范和設備標准。由於交換機工作在第二層或第三層上,工作中要涉及到第三層以下的各類協議,一般來講,根據開放互聯網路模型可進行如下分類。
(1)第一層(物理層)協議 包括EIA/TIA-232、EIA/TIA-449、X.21和EIA530/EIA530A介面定義等,這些定義基本上決定了交換機上各物理介面的類型與作用。
(2)第二層(鏈路層)協議 包括802.1d/SPT、802.1Q、802.1p及802.3x等。
(3)第三層(網路層)協議 包括IP、IPX、RIP1/2、OSPF、BGP4、VRRP,以及組播協議等等。
區域網交換機選購要素
用戶在選購區域網交換機時,應該主要考慮以下因素。
1、外型尺寸的選擇
如果網路較大,或已完成樓宇級的綜合布線,工程要求網路設備上機架集中管理,應選機架式組型交換機或者校園網交換機。如果沒有上述需求,桌面型的交換機具有更高的性能價格比。
2、可伸縮性
區域網交換機的可伸縮性是選擇區域網交換機的一個重要問題。可伸縮性好並非僅僅是產品擁有很多埠數量。因為交換機應用最重要的事情之一,是確定其埠在什麼情況下會出現擁塞。所以用戶需要考慮下面兩個方面的問題。
(1) 內部可伸縮性 在2個堆疊的交換機之間,最大的可伸縮性是多少?帶寬的增長在交換機沒有過載時,有多少個埠的傳輸速率可以從10Mbps提高到100Mbps?
(2) 外部可伸縮性 和交換機上聯的最高速率有關。例如,有1台24用戶埠的可堆疊區域網交換機,假設這24個埠能傳輸的流量全都是10Mbps,並且該交換機上聯的速率為1Gbps,因此,如果其中有8個埠的速率提高到100Mbps,就會導致上聯的飽和。因為8個埠的傳輸速率達到100Mbps時,總流量就是800Mbps。而剩下的16個埠,每個埠速率為10Mbps,總共才160Mbps。這樣,24個埠流量總和為960Mbps。說明這台交換機再也無法處理快速乙太網的連接了,否則就會出現擁塞。如果交換機上聯的速率為2Gbps,則它最多隻能處理19個快速乙太網埠,否則就會發生擁塞。所以,交換機的可伸縮性,直接決定了區域網各信息點傳輸速率的升級能力。
3、可管理性
對區域網交換機來說,在運行和管理方面所付出的代價,同樣遠遠超過購買成本。基於這方面考慮,可管理性已開始成為評定交換機的另一個關鍵因素。
一般來講,交換機本身就具有一定的可管理性能,至於可堆疊式交換機還具有可以把幾個所堆疊的交換機作為1台交換機來管理的優點,而不需要對每一台區域網交換機分別進行管理和監視。需要注意的是,在可管理內容中包括了處理具有優先權流量的服務質量(QoS)、增強策略管理的能力、管理虛擬區域網流量的能力,以及配置和操作的難易程度。其中QoS性能主要表現在保留所需要的帶寬,從而支持不同服務級別的需求。可管理性還涉及到交換機對策略的支持,策略是一組規則,它控制交換機工作。網路管理員採用策略分配帶寬,並對每個應用流量和控制網路訪問指定優先順序。其重點是帶寬管理策略,且必須滿足服務級別協議SLA。分布式策略是堆成組疊交換機的重要內容,應該檢查可堆疊交換機是否支持目錄管理功能,如輕型目錄訪問協議(LDAP),以提高交換機的可管理性。
4、埠帶寬及類型
選擇什麼類型的區域網交換機,用戶應首先應根據自己組網帶寬需要決定,再從交換機埠帶寬設計方面來考慮。從埠帶寬的配置看,目前市場上主要有以下三類。
第一種配置:n×10M+m×100M低快速埠專用型
一般骨幹網的傳輸速率為100Mbps全雙工,分支速率為10Mbps。從技術角度看,這類配置的區域網交換機嚴格限制了網路的升級,用戶無法實現高速多媒體網路,因此國內外廠商已基本停止生產這種產品。
第二種配置:n×10/100Mbps埠自適應型
目前這種交換機是市場上的主流產品,因為它們有自動協商功能(Auto Negotiation),能夠檢測出其下聯設備的帶寬是100M還是10M,是全雙工還是半雙工。當網卡與交換機相聯時,如果網卡支持全雙工,這條鏈路可以收發各佔100M,實現200M的帶寬,同樣的情況可能出現在交換機到交換機的連接中,應用環境非常寬松。
第三種配置:n×1000M+m×100M高速埠專用型
與第一類交換機配置方式相似,所不同的是不僅帶寬要多幾個數量級,而且埠類型也完全不同。採用這種配置方案的交換機,是當前高速網路和光纖網路接入方案中的重要設備,可徹底解決網路伺服器之間的瓶頸問題。如3Com公司的3C39024(1×1000SX+24×10/100BaseTX)、3C39036(1×1000SX+36×10/100BaseTX)千兆上聯至伺服器,解決了伺服器到伺服器的瓶頸問題。但成本要遠遠高於前兩類產品。
5、VLAN技術
VLAN技術主要是用來管理虛擬區域網用戶在交換機之間的流量,作為一種有效的網管手段,虛擬LAN將區域網上的一組設備配置成好象在同一線路上進行通信,而實際上它們處於不同的網段。一個VLAN是一個獨立的廣播域,可有效地防止廣播風暴。由於VLAN基於邏輯連接而不是物理連接,因此配置十分靈活。現在已經把一台交換機是否支持VLAN作為衡量一台交換機性能好壞的一個很重要的參數。最初的VLAN劃分基於埠(Port Based ),大部分台灣廠商的交換機都遵循這一標准。較新的VLAN劃分標准不但能實現Port Based VLAN,而且能支持MAC Based VLAN以及Protocol Based VLAN,遵循IEEE802.1Q標准。802.1Q是VLAN標准,利用交換機埠、MAC地址及第三層協議和策略方面來支持VLAN的實現。不同廠商的設備只要支持802.1Q標准,就可以互聯,進行VLAN的劃分。交換機產品的VLAN標准並不統一,用戶在選擇時一定注意這些標准和自己的需要是否一致。
6、第三層交換功能
第三層交換功能最明顯的特點就是交換機提供VLAN,而劃分VLAN是為了屏蔽廣播數據包,及網路安全與網路控制管理方面的需要。不過,這種能夠滿足VLAN之間高效通信需求,且價格較高的第三層區域網交換機,對於在中小企業應用廣泛的區域網系統中,並沒有多少價值。因為VLAN劃分對於獨立性極高的中小企業網路來講,其網路內部的安全性和可管理性已沒有多少意義了。取而代之的是,這種要求不高的安全和管理要,完全可以採用技術成熟、種類較多、性能穩定和價格低廉的第二層交換機來完成。其實,採用基於第二層交換機也可以實現VLAN功能。第二層交換機還是有其許多優點,適合廣大中小型用戶。
H. 網路的問題急用!!!!!!!!!
中小企業整體網路安全解決方案解析
信息科技的發展使得計算機的應用范圍已經遍及世界各個角落。眾多的企業都紛紛依靠IT技術構建企業自身的信息系統和業務運營平台。IT網路的使用極大地提升了企業的核心競爭力,使企業能在信息資訊時代脫穎而出。
企業利用通信網路把孤立的單機系統連接起來,相互通信和共享資源。但由於計算機信息的共享及互聯網的特有的開放性,使得企業的信息安全問題日益嚴重。
外部安全
隨著互聯網的發展,網路安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對於企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網路癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
內部安全
最新調查顯示,在受調查的企業中60%以上的員工利用網路處理私人事務。對網路的不正當使用,降低了生產率、阻礙電腦網路、消耗企業網路資源、並引入病毒和間諜,或者使得不法員工可以通過網路泄漏企業機密,從而導致企業數千萬美金的損失。
內部網路之間、內外網路之間的連接安全
隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎麼處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網路連接安全直接影響企業的高效運作。
1. 中小企業的網路情況分析
中小企業由於規模大小、行業差異、工作方式及管理方式的不同有著不同的網路拓撲機構。網路情況有以下幾種。
集中型:
中小企業網路一般只在總部設立完善的網路布局。採取專線接入、ADSL接入或多條線路接入等網路接入方式,一般網路中的終端總數在幾十到幾百台不等。網路中有的劃分了子網,並部署了與核心業務相關的伺服器,如資料庫、郵件伺服器、文檔資料庫、甚至ERP伺服器等。
分散型:
採取多分支機構辦公及移動辦公方式,各分支機構均有網路部署,數量不多。大的分支採取專線接入,一般分支採取ADSL接入方式。主要是通過VPN訪問公司主機設備及資料庫,通過郵件或內部網進行業務溝通交流。
綜合型:
集中型與分散型的綜合。
綜合型企業網路簡圖
2. 網路安全設計原則
網路安全體系的核心目標是實現對網路系統和應用操作過程的有效控制和管理。任何安全系統必須建立在技術、組織和制度這三個基礎之上。
體系化設計原則
通過分析信息網路的層次關系,提出科學的安全體系和安全框架,並根據安全體系分析存在的各種安全風險,從而最大限度地解決可能存在的安全問題。
全局綜合性設計原則
從中小企業的實際情況看,單純依靠一種安全措施,並不能解決全部的安全問題。建議考慮到各種安全措施的使用,使用一個具有相當高度、可擴展性強的安全解決方案及產品。
可行性、可靠性及安全性
可行性是安全方案的根本,它將直接影響到網路通信平台的暢通,可靠性是安全系統和網路通信平台正常運行的保證,而安全性是設計安全系統的最終目的。
3. 整體網路安全系統架構
安全方案必須架構在科學網路安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
整體安全系統架構
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網路層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著後門程序的蠕蟲病毒是簡單的防火牆/VPN安全體系所無法對付的。因此我們建議企業採用立體多層次的安全系統架構。如圖2所示,這種多層次的安全體系不僅要求在網路邊界設置防火牆/VPN,還要設置針對網路病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網路邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。
1. 整體安全防護體系
基於以上的規劃和分析,建議中小企業企業網路安全系統按照系統的實現目的,採用一種整合型高可靠性安全網關來實現以下系統功能:
防火牆系統
VPN系統
入侵檢測系統
網路行為監控系統
垃圾郵件過濾系統
病毒掃描系統
帶寬管理系統
無線接入系統
2.方案建議內容
2.1. 整體網路安全方案
通過如上的需求分析,我們建議採用如下的整體網路安全方案。網路安全平台的設計由以下部分構成:
防火牆系統:採用防火牆系統實現對內部網和廣域網進行隔離保護。對內部網路中伺服器子網通過單獨的防火牆設備進行保護。
VPN系統:對遠程辦公人員及分支機構提供方便的IPSec VPN接入,保護數據傳輸過程中的安全,實現用戶對伺服器系統的受控訪問。
入侵檢測系統:採用入侵檢測設備,作為防火牆的功能互補,提供對監控網段的攻擊的實時報警和積極響應。
網路行為監控系統:對網路內的上網行為進行規范,並監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。
病毒防護系統:強化病毒防護系統的應用策略和管理策略,增強病毒防護有效性。
垃圾郵件過濾系統:過濾郵件,阻止垃圾郵件及病毒郵件的入侵。
移動用戶管理系統:對內部筆記本電腦在外出後,接入內部網進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。
帶寬控制系統:使網管人員對網路中的實時數據流量情況能夠清晰了解。掌握整個網路使用流量的平均標准,定位網路流量的基線,及時發現網路是否出現異常流量並控制帶寬。
總體安全結構如圖:
網路安全規劃圖
本建議書推薦採用法國LanGate®產品方案。LanGate® UTM統一安全網關能完全滿足本方案的全部安全需求。LanGate® UTM安全網關是在專用安全平台上集成了防火牆、VPN、入侵檢測、網路行為監控、防病毒網關、垃圾郵件過濾、帶寬管理、無線安全接入等功能於一身的新一代全面安全防護系統。
LanGate® UTM產品介紹
3.1. 產品概括
LanGate 是基於專用晶元及專業網路安全平台的新一代整體網路安全硬體產品。基於專業的網路安全平台, LanGate 能夠在不影響網路性能情況下檢測有害的病毒、蠕蟲及其他網路上的安全威脅,並且提供了高性價比、高可用性和強大的解決方案來檢測、阻止攻擊,防止不正常使用和改善網路應用的服務可靠性。
高度模塊化、高度可擴展性的集成化LanGate網路產品在安全平台的基礎上通過各個可擴展的功能模塊為企業提供超強的安全保護服務,以防禦外部及內部的網路攻擊入。此產品在安全平台上集成各種功能應用模塊和性能模塊。應用模塊添加功能,例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過濾引擎。這種安全模塊化架構可使新的安全服務在網路新病毒、新威脅肆虐時及時進行在線升級挽救網路,而無需進行資金及資源的再投入。輕松安裝、輕松升級的LanGate產品簡化了網路拓撲結構,降低了與從多個產品供應商處找尋、安裝和維護多種安全服務相關的成本。
3.2. 主要功能
基於網路的防病毒
LanGate 是網關級的安全設備,它不同於單純的防病毒產品。LanGate 在網關上做 HTTP、SMTP、POP 和 IMAP的病毒掃描,並且可以通過策略控制流經不同網路方向的病毒掃描或阻斷,其應用的靈活性和安全性將消除企業不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的,可以實時更新病毒庫。
基於用戶策略的安全管理
整個網路安全服務策略可以基於用戶進行管理,相比傳統的基於 IP的管理方式,提供了更大的靈活性。
防火牆功能
LanGate 系列產品防火牆都是基於狀態檢測技術的,保護企業的計算機網路免遭來自 Internet 的攻擊。防火牆通過「外->內」、「內->外」、「內->內」(子網或虛擬子網之間)的介面設置,提供了全面的安全控制策略。
VPN功能
LanGate支持IPSec、PPTP及L2TP的VPN 網路傳輸隧道。LAN Gate VPN 的特性包括以下幾點:
支持 IPSec 安全隧道模式
支持基於策略的 VPN 通信
硬體加速加密 IPSec、DES、3DES
X509 證書和PSK論證
集成 CA
MD5 及 SHA認證和數據完整性
自動 IKE 和手工密鑰交換
SSH IPSEC 客戶端軟體, 支持動態地址訪問,支持 IKE
通過第三方操作系統支持的 PPTP 建立 VPN 連接
通過第三方操作系統支持的 L2TP建立 VPN 連接
支持NAT穿越
IPSec 和 PPTP
支持無線連接
星狀結構
內容過濾功能
LanGate 的內容過濾不同於傳統的基於主機系統結構內容處理產品。LanGate設備是網關級的內容過濾,是基於專用晶元硬體技術實現的。LanGate 專用晶元內容處理器包括功能強大的特徵掃描引擎,能使很大范圍類型的內容與成千上萬種關鍵詞或其它模式的特徵相匹配。具有根據關鍵字、URL或腳本語言等不同類型內容的過濾,還提供了免屏蔽列表和組合關鍵詞過濾的功能。同時,LanGate 還能對郵件、聊天工具進行過濾及屏蔽。
入侵檢測功能
LanGate 內置的網路入侵檢測系統(IDS)是一種實時網路入侵檢測感測器,它能對外界各種可疑的網路活動進行識別及採取行動。IDS使用攻擊特徵庫來識別過千種的網路攻擊。同時LanGate將每次攻擊記錄到系統日誌里,並根據設置發送報警郵件或簡訊給網路管理員。
垃圾郵件過濾防毒功能 包括:
對 SMTP伺服器的 IP進行黑白名單的識別
垃圾郵件指紋識別
實時黑名單技術
對所有的郵件信息病毒掃描
帶寬控制(QoS)
LanGate為網路管理者提供了監測和管理網路帶寬的手段,可以按照用戶的需求對帶寬進行控制,以防止帶寬資源的不正常消耗,從而使網路在不同的應用中合理分配帶寬,保證重要服務的正常運行。帶寬管理可自定義優先順序,確保對於流量要求苛刻的企業,最大限度的滿足網路管理的需求。
系統報表和系統自動警告
LanGate系統內置詳細直觀的報表,對網路安全進行全方位的實時統計,用戶可以自定義閥值,所有超過閥值的事件將自動通知管理管理人員,通知方式有 Email 及簡訊方式(需結合簡訊網關使用)。
多鏈路雙向負載均衡
提供了進出流量的多鏈路負載均衡,支持自動檢測和屏蔽故障多出口鏈路,同時還支持多種靜態和動態演算法智能均衡多個ISP鏈路的流量。支持多鏈路動態冗餘,流量比率和智能切換;支持基於每條鏈路限制流量大小;支持多種DNS解析和規劃方式,適合各種用戶網路環境;支持防火牆負載均衡。
3.2. LanGate產品優勢
提供完整的網路保護。
提供高可靠的網路行為監控。
保持網路性能的基礎下,消除病毒和蠕蟲的威脅。
基於專用的硬體體系,提供了高性能和高可靠性。
用戶策略提供了靈活的網路分段和策略控制能力。
提供了HA高可用埠,保證零中斷服務。
強大的系統報表和系統自動警告功能。
多種管理方式:SSH、SNMP、WEB。基於WEB(GUI)的配置界面提供了中/英文語言支持。
3.3. LANGATE公司簡介
總部位於法國的LANGATE集團公司,創立於1998年,致力於統一網路安全方案及產品的研發,早期作為專業IT安全技術研發機構,專門從事IT綜合型網路安全設備及方案的研究。如今,LANGATE已經成為歐洲眾多UTM、防火牆、VPN品牌的OEM廠商及專業研發合作夥伴,並在IT安全技術方面領先同行,為全球各地區用戶提供高效安全的網路綜合治理方案及產品。
專利的LanGate® UTM在專用高效安全硬體平台上集成了Firewall(防火牆)、VPN(虛擬專用網路)、Content Filtering(內容過濾,又稱上網行為監管)、IPS(Intruction Prevention System,即入侵檢測系統)、QoS(Quality of Services,即流量管理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網關)及 Wireless Connectivity (無線接入認證)技術。
LANGATE在全球范圍內推廣UTM整體網路安全解決方案,銷售網路遍及全球30多個國家及地區。LANGATE的產品服務部門遍布各地子公司及各地認可合作夥伴、ISPs、分銷渠道、認證VARs、認可SIs,為全球用戶提供專業全面的IT安全服務。
I. 網路安全技術的核心是什麼
核心是控制,對數據包進行控制,對人的行為進行控制,才能保證安全