中小企业网络安全解决方案.docx
《中小企业网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《中小企业网络安全解决方案.docx(22页珍藏版)》请在冰豆网上搜索。
中小企业网络安全解决方案
中小企业网络安全解决方案
LanGate brone 系列能为中小企业解决 IT 网络所面临的复杂问题提供经济可靠的解决方案。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的 IT 技术构建企业
自身的业务和运营平台将极大的提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖
而出。
但是,作为构建自身 IT 平台基础的网络投入和技术复杂性往往会让大多数中小企业
望而却步。
中小企业在市场环境中的发展和壮大,建立符合自身特点的 IT 是一个事半功倍的重要
途径,这一点已经成为共识。
但是,中小企业在 IT 网络建设方面往往会遇到以下几方面问
题:
企业用于 IT 方面的经费有限
企业缺乏掌握 IT 网络技术的专业人士
企业没有专职的 IT 维护人员
企业的组织结构随机性强,没有稳定的形态会导致网络投资的浪费
LanGate UTM 技术正是针对此项问题的最佳解决方案,它使用先进的 UTM 技术来帮助
中小企业解决 IT 网络所面临的问题。
LanGate 安全网关解决方案是一个针对到中小企业网络建设的一站式的解决方案。
该
方案无需中小企业在网络的技术和人员方面投入任何成本,没有任何网络线路和日常维护
成本,方案中所有投入都不会有浪费。
对于中小企业,该方案的实施没有任何前提条件和技术门槛,客户如同采购计算机一
样简单的完成自身的网络建设。
在售后服务方面,知维度拥有业界一流的支持服务体系,
庞大的软件研发中心为您提供坚强的技术后盾;企业级的解决方案,随需随用;产品模块
化安装和使用;中小企业的价格,极具市场竞争力。
牌服务是一项全面的服务计划,不仅
实现“客户请求,企业提供服务”,还做到主动为客户提供价值。
解决的问题
LanGate 安全网关解决方案是解决企业 IT 建设的网络平台安全的关键,它帮助中小企
业解决了以下问题:
· 网络的安全性
· 员工上网管理
· 垃圾邮件防范
· 企业内部各地区的网络连接
· 企业移动办公员工使用企业内部网络
方案简单说明
LanGate 采用一个连贯的安全平台提供防火墙、内容过滤、边缘杀毒保护和虚拟专用
网技术,这一中央管理式安全方法将安全网关放在主要接入点,预防恶意活动对整个网络
的侵袭,该方式所提供的全面、按层进行的安全措施可完全防护来自内部以及外部网络各
个层面的威胁。
这一整合式安全方法通过在关键接入点安装安全网关(而不是在全网络内各自安装安
全服务)来防御恶意活动在网络中扩散。
这一全面的分层安全方法可坚实防御内部威胁、
外部威胁和网络所有层的威胁。
LanGate 提供了通过在单一设备内实现包括防火墙、虚拟专用网、网络缓存、网址过
滤及病毒扫描等多种功能在内的产品方案,使用户不仅拥有了多性能、简单化、高可靠性
的安全壁垒,而且有效地控制了成本,降低了实施、管理以及服务等多种潜在的消耗。
方案特点
· 高效的安全管理:
产品内置高性能的防火墙,因此对外部的侵犯和内部应用有强大的防
范和管理功能。
· 稳定的运行机制:
整个系统采用自主开发操作系统,通过硬件加速,保证了系统长时间
的稳定运行。
· 扩展方便灵活:
增加节点只需再安装相应 LanGate 产品,几乎不需任何配置,与现行软
件实现无缝连接。
· 操作维护简单:
升级、维护方便,任何一个接入节点不需要专业人员维护,支持所有的
操作系统,支持所有在 TCP/IP 协议上的应用。
· 其他特点:
每个接入节点可以根据各个本地电信资源、自身情况的不同选择适合自己接
入手段组成网络。
“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不
因偶然和恶意的原因遭到破坏、更改和泄漏”。
----国际标准化组织(ISO)
从“信息化高速公路”到“数字地球”,信息化浪潮席卷全球。
Internet 的迅猛发展
不仅带动了信息产业和国民经济地快速增长,也为企业的发展带来了勃勃生机。
以 Internet 为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力
的提高,也逐渐成为提高企业竞争力的重要力量。
企业通过 Internet 可以把遍布世界各地的资源互联互享,但因为其开放性,在
Internet 上传输的信息在安全性上不可避免地会面临很多危险。
当越来越多的企业把自己
的商务活动放到网络上后,针对网络系统的各种非法入侵、病毒等活动也随之增多。
而我们面临的这些信息安全问题的解决,主要还是依赖于现代信息理论与技术手
段;依赖于安全体系结构和网络安全通信协议等技术;依赖借助于此产生的各种硬件的或
软件的安全产品。
这样,这些安全产品就成为大家解决安全问题的现实选择。
中国网络安全需求分析
网络现状分析
中国国内企业和政府机构都希望能具有竞争力并提高生产效率,这就必须对市场需求作出
及时有力的响应,从而引发了依赖互联网来获取、共享信息的趋势,这样才能进一步提高
生产效率进而推动未来增长。
然而,有网络的地方就有安全的问题。
过去的网络大多是封闭式的,因而比较容
易确保其安全性,简单的安全性设备就足以承担其任务。
然而,当今的网络已经发生了变
化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。
用户每一次连接到网
络上,原有的安全状况就会发生变化。
所以,很多企业频繁地成为网络犯罪的牺牲品。
因
为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了。
主要网络安全问题及其危害
----网络攻击在迅速地增多。
网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务
等等。
考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额
外开支等方面,对网络安全的破坏可能是毁灭性的。
此外,严重的网络安全问题还可能导
致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失,并进而造成的成本损失将
是无法估量的。
---- 病毒邮件攻击的影响日益激烈
病毒、蠕虫和毫无必要的大量电子邮件利用互联网通信资源来传播,引发网络环
境中的传输中断。
根据调查,87%以上的病毒通过电子邮件进入企业!
保密数据和交易秘
密的丢失、员工对电子邮件系统的不当使用已使许多公司不得不承担法律责任,并损害了
许多公司的声誉。
今天,越来越多的公司都在寻求一种主动解决方案来减少信息服务的中断时间并
避免病毒侵入期间造成业务损失。
---- 对网络资源的不合理使用
开放式接入还可以无限制地访问大量恶意、有攻击性的及有争议的内容,以及与
工作无关的材料。
据 IDC 统计,有 30%~40%的 Internet 访问是与工作无关的,甚至有的是
去访问色情站点。
人均每天使用两到三个小时工作时间用于收发个人邮件,浏览娱乐网站以
及在聊天室打发时间。
因此,许多机构必须确定如何在允许员工无阻碍地访问互联网上大量有用信息的同
时限制对不当内容的访问。
中国中小型企业客户分析
中国国内目前的中小型单位因为人力和资金上的局限,需要的网络安全产品不仅
仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:
网络安全、
病毒检测、网站过滤等等。
其着眼点在于:
国内外领先的厂商产品;具备处理突发事件的
能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身
安全体系。
思科安全设计蓝图(SAFE)
SAFE 是思科公司安全解决方案的蓝图,该设计蓝图主要针对企业网络的功能,可
为客户安全网络的设计、实施和维护提供端到端的安全性战略。
该蓝图能够模块化地设计、部署网络安全解决方案,并结合思科合作伙伴产品,
为用户提供一体化的全面解决方案。
这样,就可以将市场领先的安全产品、成熟可靠的安
全策略和单一平台的管理与客户现有网络基础设施结合起来,提供全面的网络保护:
提供高效的投资保护,而不必丢弃现有网络设备
模块化部署,可逐步实现深度分层防御
与合作伙伴良好的互操作性
24x7 全球技术支持
安全性市场的领导者
易于管理
思科中小企业网络安全解决方案
针对中国中小企业客户的实际情况,结合思科先进的 SAFE 蓝图设计理念,思科公
司专门推出了“网络健康 应用健康 精神健康”中小型企业网络安全解决方案:
精简版:
Cisco Secure PIX 501
下面是针对 SOHO 型网络的一种安全解决方案,该方案适用于 10 人以下的网络应用,
通过 Cisco Secure PIX 501 防火墙实现内外网络的安全隔离。
用户特点:
网络用户数较少,通常在 10 人以下
用户有联网的需求,但网络中数据吞吐流量不大
由于资金所限,通常采用 ISDN 或 ADSL 宽带上网,以降低链路费用
需要采用性价比较高的防火墙产品保障内部网络的安全
方案示意图:
方案特点:
该方案可以为 SOHO 型网络提供企业级的网络安全性
在一台设备内提供丰富的安全服务,包括状态防火墙、入侵检测等
可以实现 NAT 和 DHCP 功能,保障内部合法用户的联网需求
支持 PPPOE,满足小型用户通过宽带按需上网的要求
内置图形化 Web 管理界面,简单并易于管理
可平滑升级,具有良好的扩展性
Cisco Secure PIX 501 是一种可靠的、即插即用的专用安全防火墙工具,提供了
无与伦比的高水平网络安全性。
作为专用的工具,这些防火墙不提供 WAN 接口,也不支持
除 RIP 之外的任何路由协议。
该产品安装在一个 WAN 路由器和内部网络之间,提供了基于
自适应安全算法(ASA)的高级状态访问控制。
能够根据分组起始点和目的地址、TCP 序列
号、端口号和其它 TCP 分组标志跟踪单个连接。
分组只有在与来自网络内部的某个有效会
话相关联时才会被允许通过防火墙。
这使得机构的内部和授权外部用户能够进行透明访问,
同时保护内部网络免受未授权访问。
PIX 防火墙的另一个安全特性是非 UNIX 嵌入的操作系
统。
这种专有的控制软件消除了通用操作系统的缺陷,提供了惊人的性能。
标准版:
Cisco Secure PIX 501+TrendMicro25 用户+Websense25 用户
下面是针对小型企业网络的一种安全解决方案,该方案适用于 10-25 个用户的网络应
用,通过 Cisco Secure PIX 501 防火墙实现内外网络的安全隔离,并采用集成的思科合作
伙伴产品实现网络病毒检测和网站过滤的功能。
用户特点:
有一定数量的网络用户,通常在 10—25 个用户左右
用户有联网的需求,且有一定的网络数据吞吐流量
通常采用 ADSL 宽带或较低速率专线上网,以降低链路费用
为保障网络安全,降低维护费用,除需要布置防火墙产品以外,还有防护网络病
毒、限制对互联网带宽的不合理使用等需求
在保障上述需求的前提下,尽量节约采购的费用
方案示意图:
方案特点:
该方案可以为小型网络提供企业级的一体化网络安全
通过一个紧凑的、整合的解决方案提供强大的安全功能
可以实现 NAT 和 DHCP 功能,保障内部合法用户的联网需求
内置图形化 Web 管理界面,简单并易于管理
可以和合作伙伴的产品无缝地结合起来,完成深层次的网络安全性管理,如:
防
止网络病毒的入侵,阻止员工访问非授权的网站等功能
Cisco Secure PIX 501 是一种可靠的、即插即用的专用安全防火墙工具,提供了
无与伦比的高水平网络安全性。
作为专用的工具,这些防火墙不提供 WAN 接口,也不支持
除 RIP 之外的任何路由协议。
该产品安装在一个 WAN 路由器和内部网络之间,提供了基于
自适应安全算法(ASA)的高级状态访问控制。
能够根据分组起始点和目的地址、TCP 序列
号、端口号和其它 TCP 分组标志跟踪单个连接。
分组只有在与来自网络内部的某个有效会
话相关联时才会被允许通过防火墙。
这使得机构的内部和授权外部用户能够进行透明访问,
同时保护内部网络免受未授权访问。
PIX 防火墙的另一个安全特性是非 UNIX 嵌入的操作系
统。
这种专有的控制软件消除了通用操作系统的缺陷,提供了惊人的性能。
豪华版:
Cisco Secure PIX 506E+TrendMicro50 用户+Websense50 用户
下面是针对中型企业网络的一种安全解决方案,该方案适用于 25--50 个用户左右
的网络应用,通过 Cisco Secure PIX 506E 防火墙实现内外网络的安全隔离,并采用集成
的思科合作伙伴产品实现网络病毒检测和网站过滤的功能。
用户特点:
有一定数量的网络用户,通常在 25—50 个用户左右
用户有联网的需求,且有较大的网络数据吞吐流量
通常采用较高速率的专线连接 Internet
有清晰的网络分层体系结构
为保障网络安全,除需要布署防火墙产品以外,还有防护网络病毒、限制对互联
网带宽的不合理使用等需求
对防火墙产品性能有较高要求
方案示意图:
方案特点:
该方案可以为中型网络提供企业级的一体化网络安全
通过一个经济有效的、高性能的解决方案提供丰富的安全功能和强大的管理功能
可以实现 NAT 和 DHCP 功能,保障内部合法用户的联网需求
内置图形化 Web 管理界面,简单并易于管理
可以和合作伙伴的产品无缝地结合起来,完成深层次的网络安全性管理,如:
防
止网络病毒的入侵,阻止员工访问非授权的网站等功能
Cisco Secure PIX 506E 是一种可靠的、即插即用的专用安全防火墙工具,提供
了无与伦比的高水平网络安全性。
作为专用的工具,这些防火墙不提供 WAN 接口,也不支
持除 RIP 之外的任何路由协议。
该产品安装在一个 WAN 路由器和内部网络之间,提供了基
于自适应安全算法(ASA)的高级状态访问控制。
能够根据分组起始点和目的地址、TCP 序
列号、端口号和其它 TCP 分组标志跟踪单个连接。
分组只有在与来自网络内部的某个有效
会话相关联时才会被允许通过防火墙。
这使得机构的内部和授权外部用户能够进行透明访
问,同时保护内部网络免受未授权访问。
PIX 防火墙的另一个安全特性是非 UNIX 嵌入的操
作系统。
这种专有的控制软件消除了通用操作系统的缺陷,提供了惊人的性能。
上述三个解决方案是思科公司针对目前最常见的网络安全、病毒检测、网站过滤等
安全问题提出的一体化的有效解决方案,通过和合作伙伴的紧密结合,为客户提供一套模
块化的捆绑产品 ,切实解决现有中小型企业用户的实际需求。
思科 Cisco Secure PIX500 系列防火墙是网络基础设施内部的实施强化用户安全
性策略并限制对网络资源访问的专用硬件产品。
其功能是检查数据包和会话过程,针对各
种不同应用、地址或用户类型而设定的具体参数来分析和控制进入或离开的数据包。
通过
PIX 的部署,可以保护用户公开的 Internet 服务器,限制外部网络到内部网络的数据流,
为内部用户提供网络地址转换(NAT)等各种功能,从而为用户提供针对基于网络的攻击保
护,并可预防和消除造成带宽拥挤的分布式拒绝服务攻击(DDOS)。
趋势科技公司(TrendMicro)开发的产品是一种针对 SMTP 网关、基于策略的高性
能反病毒和内容安全解决方案,它集成了病毒保护的内容过滤功能,这就是说凭借此产品,
您可管理电子邮件内容过滤并提供控制,且防止病毒和电子邮件中的其它恶意代码产生影
响。
保护企业信息处理系统免遭来自互联网的电子邮件病毒的损害,并防止复制或非业务
内容的传输。
Websense 公司开发的 Websense Enterprise 是一种员工互联网管理系统,可以为
Cisco PIX 防火墙提供集成化互联网过滤,帮助网络管理员有效地监控管理和报告内部网
到互联网接入的网络流量。
网络管理员可以指定限制机构内互联网使用的策略。
Websense
Enterprise 随后根据预定义策略过滤网络活动、监控并报告有关活动的信息。
将 Websense
主 URL 数据库与 Cisco PIX 防火墙共用时,可创建灵活、高性能的内容过滤策略。
互联网
请求发送至 Cisco PIX 防火墙,然后是防火墙的 Websense 进行询问,以确定应该许可还是
阻止此请求。
同时,Cisco PIX 防火墙将原始请求发至互联网。
因为在收到来自 Websense
的确认前就将请求发至互联网,故 Cisco PIX 防火墙不会减缓授权企业接入。
在将站点返
回请求用户前需 Websense 确认,这可以防止未授权接入。
中小企业网络安全解决方案
NTERNET 的应用愈来愈广泛,已经成为公司、企业进行商务活动不可或缺的工具和平台。
许许多
多的公司将自己的局域网连入 INTERNET,充分享受着网络的便利和快捷。
但是目前 INTERNET 网
络的基础是脆弱的,由于 TCP/IP 标准协议本身并不具备任何信息安全保护措施,各种操作系统也存
在先天缺陷和由于不断增加新功能带来的漏洞,使基于 INTERNET 网的攻击犯罪可以毫无阻碍的进
行。
同时各种计算机病毒,也让计算机用户都为它付出了沉重的代价。
在飞速发展的互连网上增长
的犯罪活动(主要是黑客攻击)以及泛滥的病毒使各国金融、生产/商贸企业承受巨大的压力和现实
损失。
目前可将网络的不安全因素大致归为以下三类:
来自公用网络或开放环境的侦测、攻击;
来自内部网络的侦测、攻击;
基于明文传送的网上邮件系统、以及基于明文的信息存储系统的被攻击。
---企业网若不具备先进的网络安全防护措施,会造成多种危害,其中最直接的危害是对企业、个人
造成不可弥补的损失,如:
保密文件、财会报表、进货、库存、销售订单及客户名单等机密数据被
入侵者查看、修改。
若要避免这种时间的发生,就要加强网络的安全防护。
例如使重要部门的网络
在物理上与 Internet 完全脱离,在局域网和 INTERNET 之间增加防火墙、路由器等网络隔离设备,
都是比较有效的物理防护措施,但网络安全是一个整体的概念,只要能接触重要部门网络的人没有
完全与 Internet 脱离,就不能说该网络与 Internet 已经完全脱离。
所以人员的管理致为重要。
---网络应用系统的安全体系应包含:
访问控制。
通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
检查安全漏洞。
通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
攻击监控。
通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应
的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
加密通讯。
主动的加密通讯,可使攻击者不能了解、修改敏感信息。
认证。
良好的认证体系可防止攻击者假冒合法用户。
备份和恢复。
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
多层防御。
攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
设立安全监控中心,为信息系统提供安全体系管理、监控、保护及紧急情况服务
在网络中增加多功能的防火墙,可以实现上述安全体系的大部分功能。
防火墙通过有选择性地决定
哪些用户可以接入您的网络而哪些不能,有效地保护您的网络。
防火墙甚至使您可以控制不同应用,
如 ftp, telnet, www 及电子邮件等。
---添加防火墙的网络拓扑如图所示。
防火墙的主要技术措施如下:
设置隔离区(DMZ),把邮件服务器等放到该区,并把该区的服务器映射到外网的合法地址上以便
Internet 网上用户访问。
严禁 Internet 网上用户到公司内部网的访问。
允许公司内部网通过地址转换方式(NAT)访问 Internet。
允许拨号用户通过拨号访问服务器到公司内部网访问。
网络拓扑图:
中小企业网络安全整体解决方案
一、现状分析
中小企业用户的局域网一般来说网络结构不太复杂,主机数量不太多,服务器提供的服务相对较
少。
这样的网络通常很少甚至没有专门的管理员来维护网络的安全。
这就给黑客和非法访问提供了
可乘之机。
这样的网络使用环境一般存在下列安全隐患和需求:
1. 计算机病毒在企业内部网络传播。
2. 内部网络可能被外部黑客的攻击。
3. 对外的服务器(如:
www、ftp 等)没有安全防护,容易被黑客攻击。
4. 内部网络用户上网行为没有有效监控管理,影响日常工作效率,容易形成内部网络的安全
隐患。
5. 远程、移动用户对公司内部网络的安全访问。
二、瑞星中小企业整体解决方案
瑞星公司针对中小企业的上述特点,利用瑞星公司的系列安全产品为中小企业量身定制一种安全
高效的网络安全解决方案。
瑞星防毒墙 RSW-1000P 是一款多功能、高性能、低价位的产品,它不但提供了对内部网络和对外
服务器的保护、防止黑客对这些网络的攻击,为远程、移动用户提供一个安全的远程连接功能,是
中小企业网络安全的首选产品。
瑞星网络杀毒软件是瑞星自主开发的企业网络防病毒软件,通过“集中管理、分布处理”在中小企业
内部的服务器和客户端同时部署杀毒软件共同完成对整个网络的病毒防护工作,为用户的网络系统
提供全方位防病毒解决方案。
三、选用产品
∙瑞星防毒墙 RSW-1000P
∙瑞星网络版杀毒软件
四、瑞星中小企业整体解决方案实现主要功能
1. 安全的网络边缘防护
瑞星防毒墙可以根据用户的不同需要,具备针对 HTTP、FTP、SMTP 和 POP3 协议内容检
查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功
能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用
户对外部不良资源的滥用。
2. 计算机病毒的监控和清除
瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,通过瑞星网
络防病毒体系在网络内客户端和服务器上建立反病毒系统,并且可以实现防病毒体系的统
一、集中管理,实时掌握、了解当前网络内计算机病毒事件,并实现对网络内的所有计算
机远程反病毒策略设置和安全操作。
3. 灵活的控制台和 Web 管理方式
瑞星的系列安全产品都提供控制台管理和 Web 管理两种方式,通过这两种管理方式管理员
可以灵活、简便地根据自身实际情况设置、修改安全策略,及时掌握了解网络当前的运行
基本信息。
4. 强大的日志分析和统计报表能力
瑞星的系列安全产品对网络内的安全事件都作出详细的日志记录,这些日志记录包括事件
名称、描述和相应的主机 IP 地址等相关信息。
此外,报表系统可以自动生成各种形式的攻
击统计报表,形式包括日报表,月报表,年报表等,通过来源分析,目标分析,类别分析
等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理
人员提高网络的安全
升级会员 