企业网络安全NGFW+ICG方案.docx
《企业网络安全NGFW+ICG方案.docx》由会员分享,可在线阅读,更多相关《企业网络安全NGFW+ICG方案.docx(9页珍藏版)》请在冰豆网上搜索。
企业网络安全NGFW+ICG方案
安全解决方案
北京网康科技有限公司
1安全风险分析
1.1来自公网的安全风险分析
由于内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
透过网络传播,还会影响到与本系统网络有连接的外单位网络。
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易造到来自外网一些不怀好意的入侵者的攻击。
如:
●入侵者通过漏洞扫描、Sniffer嗅探等工具来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击;
●入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息;
●恶意攻击:
入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪;
●发送大量包含恶意代码或病毒程序的邮件。
1.2来自内部人员及分部的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。
来自机构内部局域网的威胁包括:
●误用和滥用关键、敏感数据和计算资源。
无论是有不满情绪的员工的故意破坏,还是没有访问关键系统权限的员工因误操作而进入关键系统,由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响。
●因不当使用Internet接入而降低生产率。
不当使用Internet资源不但会浪费工人的时间,还能增加计算机网络的负担,降低了人员与网络的工作效率。
●如果工作人员发送、接收和查看攻击性材料,可能会形成敌意的工作环境,从而增大内耗。
●内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;
●内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;
●内部人员利用公司网络访问黄色网站、反动网站和其他与工作无关的网站;
●内部人员访问不良网站时,无意中执行了网页上的恶意代码或病毒程序;
●内部人员使用移动存储设备,不小心涉带有关病毒,导致网络瘫痪;
●内部人员使用BT、P2P下载,严重影响网络使用
2安全方案设计
2.1方案概述
我们为贵单位网络构架了一个整套的安全体系结构,整个体系中最基本单元是每台在线主机的安全,即安全体系中的每一个点;子网/局域网是体系中的块状组成部分,是安全体系中的各个面;整个安全体系由各个层次和面组成,形成安全体系的立体框架。
我们知道实现网络安全不是一次可以完成的任务,需要不断根据网络环境和网络管理进行调整,我们设计的解决方案充分兼容今后的安全管理及优化的需求。
基于以上的分析,我们建议以系统的内部安全优化修复,清除网络安全漏洞为主要手段,提高网络内每个点的安全系数,清除各点的安全隐患,以网络优化系统、防火墙和防毒软件等安全产品对网络施以自动监控和防御,在各个面形成有效的防御体系,最后通过加强人员培训,提高管理水平,制定先进的安全策略,消除全网的各种安全威胁,全面提高软件、硬件和人员的安全水平,形成一个牢固的,立体的网络安全防御体系。
2.2总体设计
依据我们的安全系统设计原则,并结合贵单位网络系统的实际情况和需求,采用一系列产品搭建安全防范体系,通过安全技术和管理手段,使安全产品充分发挥其安全保护的作用。
首先,从安全区域上,我们将网络划分为:
服务器区、办公区,并采用防火墙将上述各个区域进行隔离,以对各个区域之间的相互访问进行访问控制,构成第一道安全防护体系。
对于接入Internet的区域,都将Internet的LAN接口接在防火墙的接口上,从而实现对来自Internet的入侵的防护。
第二,为了对保护公司本部的重要服务器(如管理服务器、邮件服务器、数据库服务器),特将这些重要的服务器放在同一网段,用防火墙进行访问控制,该网段称为非军事化区(DMZ区)。
再使用SSLVPN设备将重要服务器进行发布,对外呈现只有SSLVPN一个服务,并根据具体要求配置SSLVPN安全访问策略,保护公司本部的重要服务器。
第三,在网络出口防火墙与核心交换机间部署网康互联网控制网关(ICG)设备,对内网的所有网络行为进行审计和记录,及时有效地管理办公人员的上网行为,包括网页服务、即时聊天、论坛言论发布、邮件收发等;除此之外还可进行全网的流量分析,并阻断P2P及与办公无关的应用,保证带宽的使用价值,提升网络的可用性,减少投资。
并可以分析网络带宽利用状况,方便排除网络故障。
第四,通过网康防火墙的部署,全面地保护内部各区域网络不受到病毒的入侵和破坏。
利用全方位的企业防毒产品,实施“层层设防,集中控管,以防为主、防治结合”的策略,使网络没有能成为病毒入侵的薄弱环节。
拓扑图如下:
2.3详细设计
2.3.1外部安全防护
网康下一代防火墙NGFW。
通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,NGFW能够为用户提供有效的应用层一体化安全防护,帮助帮助用户安全地开展业务并简化用户的网络安全架构。
入侵、病毒、木马防护
网康下一代防火墙NGFW提供了对黑客入侵、上传或下载病毒和木马的防护手段。
通过在“策略配置”界面配置“安全策略”,用户可以非常方便地实现基于用户、应用、服务和时间的一体化防护。
针对企业的具体情况,建议采用开启对服务器域从外到内的IPS和AV防护,防范从外部发起的网络攻击、传病毒、传木马等行为;开启从内到外的IPS、AV防护和URL过滤,防范内部用户的攻击、染毒、僵尸主机或访问恶意网站等行为。
策略配置完成后可以在设备首页实时看到当前网络的威胁和告警信息,同时也可以在监控中心的威胁日志、告警日志和网址过滤日志中看到更多的细节信息。
DoS防护
网康下一代防火墙NGFW提供了对DoS攻击的防护功能,可以配置策略针对不同的DoS攻击类型进行聚合防护和分类防护。
针对企业的具体情况,建议分别对从内到外和从外到内的DoS攻击防护进行配置。
其中,服务器域的连接数阈值要相应提高。
ARP防护
网康下一代防火墙NGFW支持通过绑定静态ARP的方式防止ARP攻击。
建议企业根据实际网络拓扑情况在各核心设备上开启静态ARP功能,进行IP和MAC的绑定,防止ARP欺骗造成的无法联网或无法访问某些网站的现象产生。
网络攻击防护
网康下一代防火墙NGFW支持通过对常见网络攻击进行防护,如TearDrop、LAND、WinNuke、Smurf、Fraggle和PingOfDeath等。
建议企业开启网络攻击防护功能,保障网络服务器的安全。
主动发现服务器是否被植入木马
网康下一代防火墙NGFW提供了深入的应用洞察能力,用户可以通过简单的配置方便地主动发现服务器是否有异常行为,从而发现服务器中隐藏的木马。
主动发现网络中存在风险的服务器或僵尸主机
建议采用以下方式主动发现网络中存在风险的服务器或僵尸主机。
1.定期查看“应用分析”模块,筛选应用名称为“木马”、“远程桌面”、“ssh”、“HTTPPROXY”等高风险应用,查看产生这些应用流量的IP地址,根据需要进行防护和整改。
2.定期查看“应用分析”模块,筛选网址类别为“木马病毒”、“钓鱼网站”等高风险网址,查看排名前几名的IP,主动对这些IP进行杀毒。
3.定期查看“监控中心”的应用对比统计功能,查看网络中同一时段的应用连接数和流量变化,当高风险应用连接数和流量较大时,可在“应用分析”和“流量日志”中找到相应时段的流量细节。
主动检测网站是否被挂黑链或挂马
建议采用以下方式主动网站是否被挂黑链或挂马。
1.在网站服务器或其他无人使用的服务器上设定计划任务,定时访问xxx政府机关官方网站首页。
2.定期查看“应用分析”模块,筛选源地址为服务器IP,筛选普通HTTP应用,查看目的IP地址是否正常,若出现异常IP地址即为被挂黑链,若筛选的IP地址出现较大HTTP下载流量即为被挂马。
2.3.2内部安全防护
网康互联网控制网关(ICG),为用户提供专业的用户管理、应用控制、网页过滤、内容审计、流量管理和行为分析等功能。
可以帮助客户达成上网行为可视、减少安全风险,减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源。
1、内容审计
外发信息审计
通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。
本方案提供全方位的审计功能,可实现针对IM、邮件、FTP、论坛发帖等应用的内容审计。
审计功能在默认配置下关闭,需要管理员手动打开审计功能,方可实现全方位的审计。
同时,可通过分级分权功能,收回设备管理员审计功能的权限,以彻底关闭审计功能,在这种情况,打开审计功能的权限仅超级管理员拥有。
邮件收发审计和过滤
网康ICG不但可以审计通过任意端口的POP3和SMTP协议收发邮件内容,同时还可以审计通过WEB-MAIL发送邮件的内容,实现对用户邮件收发内容的全面审计。
2、行为管理
网页过滤
Web是互联网上内容最丰富、访问量最大的应用,然而网页内容良莠不齐,充斥许多反动、暴力、色情以及其它不健康的信息;此外,大量网络应用,如P2P,IM,网络电视、游戏等等,也借助HTTP协议或者80端口,一方面躲避防火墙的封堵,一方面携带病毒、恶意软件,为内网用户带来安全风险,挤占网络带宽。
网康ICG通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置,对违反国家法律、危害企业安全的内容进行过滤,避免用户有意无意访问包含非法内容的网页,净化网络,减少病毒进入局域网的几率,降低企业法律风险,创造文明健康的上网环境。
Ø最领先的中文URL分类数据库
网页内容浩如烟海,URL数目数以千万计。
传统的网页过滤通过预设的关键字,对网页内容进行匹配,效率很低,而且误封率居高不下,已经退出应用的主流。
另外一种方法是预先设置需要封堵的URL列表,对URL进行实时的匹配过滤,这也存在很大的缺陷,由于URL数量巨大,依靠手工添加方式不可能实现完整的过滤,而且对URL列表的更新管理几乎不可能。
目前国际上最先进的方式是将URL按照一定的标准进行预分类,然后由网关设备对类别进行过滤,既解决了过滤效率的问题,又保证了过滤的完整性与实效性。
应用控制
随着技术的迅猛发展,各种互联网应用层出不穷,如即时通讯(IM)、网络游戏、在线炒股以及在线音乐视频等等。
未加管理的使用,不可避免地影响员工的工作效率。
在一项调查中,超过80%的员工在上班时间做过与工作无关的工作,其中,有60%的被调查员工承认其主要是在玩网络游戏、用QQ/MSN等即时通讯软件聊天,以及炒股等等。
这些不当网络活动大大降低了员工的工作效率,造成了企业人力资源的严重浪费。
同时,与工作无关的应用,如P2P下载、在线视频等对带宽资源的挤占,使得关键业务的使用质量无法保障,大大降低了出口链路的利用率,造成了企业带宽资源的严重浪费。
Ø基于特征识别的覆盖全面的应用协议数据库
欲控制各种网络应用,必先准确识别。
传统安全产品通过IP或者端口封堵各种协议,只能局限于标准的协议,如HTTP,SMTP,且主要是在网络层以及传输层进行,对应用层的内容无能为力,而且,如果IP与端口经过动态协商建立,比如QQ,P2P下载等,则完全不能胜任。
网康ICG对应用的识别是通过应用特征与行为特征实现的。
所谓应用特征,是指在成序列的数据包的应用层信息中,存在有规律的字节特征,它可以唯一地标识某种应用协议,就如同一个人无论穿什么颜色的衣服,其指纹特征不会改变,而且是唯一的。
类似地,ICG可以通过特征值准确地识别网络应用;而行为特征,是指连续多个包或者多个并发的网络连接表现出来的某种行为模式具有一定规律性,通过这些行为模式可以识别特征值不明显的应用类型。
网康ICG拥有国内最全面的网络应用协议数据库,分为20余种大类,共2000多种协议。
3、带宽管理
Ø网络感知
网康行为管理设备提供丰富的监控界面,可以实时显示网络运行情况,以图标形式显示设备实时流速、用户实时流速、应用实时流速、实时审计日志等,如下图:
Ø支持灵活的流量限额手段
流量限速
流量限速功能可以基于时间、VLAN、对从源用户(组)去往目的用户(组)的网络应用上传、下载流速进行限制。
每用户带宽上限
每用户带宽上限功能可以对每个用户的带宽进行管理,具体分为每用户的带宽上限控制和通道内每用户的带宽上限控制。
流量限额
网康ITM还可以从流量的角度对网络应用进行管理,通过每用户的流量限额和通道整体的流量限额功能,为某种网络应用设定流量限额阀值,在预定的周期性时间段范围内,限制此应用的流量总额连接控制
Ø支持丰富的流量保障手段
带宽保证
带宽保证功能可以在带宽资源有限而多种网络应用并存的情况下,通过为关键业务建立并指定带宽通道的方式,从而避免了关键业务应用与非关键业务应用共同争用带宽,有效保障了关键业务应用的正常使用。
带宽预留
在保障关键业务应用时,既可以通过通道的带宽保证来实现,也可以通过带宽预留来实现。
带宽预留可以对对进入特定通道的某(些)关键业务的应用架设“带宽专线”,通过划分专门的带宽,使关键业务在任何时候都可以独享该通道全部的带宽资源,彻底避免非关键业务无序抢占此专线带宽资源,从而使关键业务应用的带宽需求能获得可靠保障。
带宽平均
根据通道里用户数量的动态变化实时调整各用户的带宽分配,保证流经通道里的所有用户动态平均享用该通道的全部带宽资源,实现带宽资源得到高效与公平地利用。
3网康方案价值与产品优势
3.1易用性
该方案可以支持透明桥接、网关、旁路镜像、代理模式等多种部署方式,可以最大程度兼容各种网络环境下的部署需求,同时最大程度地减少对现有网络结构的改造需求,设备上线十分简单,操作量小,实施快速。
修改任何设备配置无需重启,满足不间断运营的要求;采用图形化报警方式,使得风险可快速被管理员获得;管理采用HTTPS方式,对浏览器无插件依赖;系统健康参数一目了然,CPU,内存,硬盘使用率,持续运行时间一目了然;排错简单,一键bypass功能按下后,可直接定位问题是否由设备造成;各分支设备可集中管理,实现设备状况统一监控,策略集中下发,集中回收;通过图形化的操作方式,以及标准的配置过程模式,利用鼠标的勾勾选选即可实现策略的完整配置,满足非专业人员的快速使用。
设备版本一键升级,用户只需点击升级按钮即可实现全版本的更新,原有配置与日志数据可完全保留;整个升级过程不依赖客户端,没有任何需要判断的分支步骤;URL数据库与应用协议库保持以天为单位的快速更新。
3.2健壮性
网康设备提供硬件bypass与软件bypass双重保护,确保发生异常时网络依然畅通。
通过带电模式下的智能bypass功能,当系统出现宕机等严重异常时,工作接口可以自动的物理导通,同时管理接口还可以继续排查设备的问题。
在不影响用户正常使用的同时,还能定位问题的来源。
网康科技的产品拥有多项高性能优化专利,在同等级的硬件平台上可以提供更强的处理转发性能,从而有效的避免新添加的设备带来的网络延时,在提供上网行为管理功能的同时,不会影响原有线路的质量。
网康科技采用了自主研发的NSOS操作系统,并进行了专门安全加固,可有效的防护对设备的攻击和入侵,全面保障设备自身的安全。
网康科技采用了独有的用户交互隐身技术,无论是对用户弹出的认证登录框,还是行为阻塞的提示框,或者客户端下载框都采用了设备隐身技术,使得最终用户无法获取设备本身的地址。
避免了可能的有针对性的尝试攻击,或者DOS攻击。
3.3产品优势
●网康下一代防火墙
领先的应用识别技术
凭借网康科技在应用识别和内容控制领域8年的技术积累,实现了对2000种以上网络应用的识别,其中包含了300多种高风险应用,从各种维度对不同应用做出评价。
先进的主动防御技术
基于行为分析感知僵尸主机,通过多维度的数据分析和多种类型日志的智能关联集成,实现应用威胁的可视化,便于用户提早发现网络中潜在的威胁,并主动调整安全策略。
高性能的应用安全防护
采用网康独有专利技术的多核加速转发引擎,充分发挥硬件优势,实现高性能的应用安全防护。
移动识别和管理
支持超过500种移动互联网应用,覆盖苹果、安卓、塞班等多种移动平台,涵盖聊天、微博、视频、地图等多种主流应用类型。
●网康上网行为管理(ICG)
丰富的用户识别类型
支持基于IP/MAC、计算机名、POP3、Proxy、LDAP、AD域、Radius、Portal进行认证,同时支持和多种认证系统联动,实现单点认证。
国内最大的URL库
拥有国内最大且唯一拥有自主知识产权的、包含3000万中文网页的URL库,每日更新,即时发现恶意网站。
精确网页内容审计
可针对必要的分类进行分类网页快照留存设计,满足审计全面性的同时,不消耗过多的存储资源。
精确搜索引擎关键字审计,可针对不用的搜索分类进行不同关键字的设置,例如对图片视频类要控制色情类的词语,文字网页类的搜索要控制政治类的词语。
升级会员 