隨著信息技術的發展,計算機的應用已經遍及全世界。許多企業依靠IT技術來構建自己的信息系統和業務運營平臺。IT網絡的使用極大地增強了企業的核心競爭力,使企業在信息時代脫穎而出。
企業利用通信網絡將孤立的單機系統連接起來,相互通信,共享資源。然而,由於計算機信息的* * *享受和互聯網獨特的開放性,企業的信息安全問題日益嚴重。
外部安全
隨著互聯網的發展,網絡安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫和敏感信息泄露已經成為最普遍的安全威脅。對於企業用戶來說,每當遇到這些威脅,往往會造成數據破壞、系統異常、網絡癱瘓、信息被盜、工作效率下降,直接或間接的經濟損失也很大。
國內治安
根據最新調查,在被調查的企業中,超過60%的員工使用互聯網處理私人事務。網絡使用不當會降低生產力,妨礙計算機網絡,消耗企業網絡資源,並引入病毒和間諜,或使不法員工通過網絡泄露企業機密,給企業造成數千萬美元的損失。
內部網絡之間以及內部和外部網絡之間的連接安全性。
隨著企業的發展和移動辦公的普及,逐漸形成了企業總部、分公司、移動辦公人員等新的互動運營模式。如何應對總部、分公司、移動辦公人員的信息安全,既保證信息的及時共享,又防止泄密,成為企業成長過程中不得不考慮的問題。本地機構與總部網絡連接的安全性直接影響企業的高效運營。
1.中小企業網絡現狀分析
中小企業因規模、行業、工作方式、管理方式不同,網絡拓撲機構也不同。網絡情況有以下幾種。
集中式:
中小型企業網絡壹般只在總部設置完善的網絡布局。采用專線接入、ADSL接入或多線接入等網絡接入方式,壹般網絡的終端總數從幾十個到幾百個不等。有些網絡劃分了子網,部署了與核心業務相關的服務器,比如數據庫、郵件服務器、文檔數據庫,甚至ERP服務器。
分散式:
采用多分支機構辦公和移動辦公,每個分支機構有少量網絡部署。大型分公司采用專線接入,壹般分公司采用ADSL接入。主要通過VPN訪問公司的主機設備和數據庫,通過郵件或內網進行業務交流。
綜合型:
集中與分散相結合。
全面的企業網絡圖
2.網絡安全設計原則
網絡安全系統的核心目標是實現對網絡系統和應用運行過程的有效控制和管理。任何安全體系都必須建立在技術、組織和制度的基礎上。
系統設計原則
通過分析信息網絡的層次關系,提出科學的安全體系和安全框架,並根據安全體系分析各種安全風險,最大限度地解決可能出現的安全問題。
全球綜合設計原則
從中小企業的實際情況來看,僅僅依靠壹種安全措施是不能解決所有安全問題的。建議考慮使用各種安全措施,並使用高度可擴展的安全解決方案和產品。
可行性、可靠性和安全性
可行性是安全方案的基礎,將直接影響網絡通信平臺的流暢度,可靠性是安全系統和網絡通信平臺正常運行的保障,安全性是設計安全系統的最終目的。
3.整體網絡安全系統架構
安全方案必須基於科學的網絡安全體系結構,因為安全體系結構是安全方案設計和分析的基礎。
整體安全系統架構
隨著對應用層的攻擊和威脅越來越多,只有網絡層以下的安全解決方案不足以應對來自應用層的攻擊。舉個簡單的例子,那些帶有後門程序的蠕蟲病毒,簡單的防火墻/VPN安全系統是對付不了的。因此,我們建議企業采用立體化、多層次的安全體系架構。如圖2所示,這種多級安全體系不僅要求在網絡邊界設置防火墻/VPN,還要求設置針對網絡病毒、垃圾郵件等應用層攻擊的保護措施,將應用層的保護放在網絡邊緣。這種主動防護可以完全阻擋來自內網的攻擊內容。
1.整體安全保護系統
基於以上規劃和分析,建議中小企業網絡安全系統根據系統的實現目的,采用集成式高可靠性安全網關實現以下系統功能:
防火墻系統
虛擬專用網系統
入侵檢測系統
網絡行為監控系統
垃圾郵件過濾系統
病毒掃描系統
帶寬管理系統
無線接入系統
2.提案的內容
2.1.整體網絡安全方案
通過以上需求分析,我們建議采用以下總體網絡安全方案。網絡安全平臺的設計包括以下幾個部分:
?防火墻系統:防火墻系統用於隔離和保護內部網和廣域網。內部網絡中服務器子網受單獨的防火墻設備保護。
?VPN系統:為遠程辦公人員和分支機構提供便捷的IPSec VPN接入,保護數據傳輸過程中的安全,實現用戶對服務器系統的受控訪問。
?入侵檢測系統:入侵檢測設備作為防火墻的補充功能,對監控網段上的攻擊提供實時報警和積極響應。
?網絡行為監控系統:規範網絡中的上網行為,監控上網行為,過濾網頁訪問,過濾郵件,限制網上聊天行為,防止下載非法文件。
?病毒防護系統:加強病毒防護系統的應用策略和管理策略,增強病毒防護的有效性。
?垃圾郵件過濾系統:過濾郵件,防止垃圾郵件和病毒郵件的入侵。
?移動用戶管理系統:內部筆記本電腦外出後接入內網進行安全控制,保證筆記本設備的安全。有效防止病毒或黑客程序帶入內網。
?帶寬控制系統:使網絡管理員能夠清楚地了解網絡中的實時數據流。掌握全網流量的平均標準,定位網絡流量的基線,及時發現網絡中是否存在異常流量,控制帶寬。
整體安全結構如下所示:
網絡安全規劃圖
本提案推薦采用法語LanGate?產品方案。蘭蓋特?UTM統壹安全網關可以完全滿足該方案的所有安全要求。蘭蓋特?UTM安全網關是集防火墻、VPN、入侵檢測、網絡行為監控、反病毒網關、垃圾郵件過濾、帶寬管理、無線安全接入等功能於壹身的新壹代綜合安全防護系統。
蘭蓋特?UTM產品介紹
3.1.產品目錄
LanGate是基於專用芯片和專業網絡安全平臺的新壹代整體網絡安全硬件產品。LanGate基於專業的網絡安全平臺,可以在不影響網絡性能的情況下檢測網絡上的有害病毒、蠕蟲等安全威脅,為檢測和阻止攻擊、防止非正常使用、提高網絡應用的服務可靠性提供了壹個高性價比、高可用性、功能強大的解決方案。
在安全平臺的基礎上,高度模塊化和高度可擴展的集成LanGate網絡產品通過各種可擴展的功能模塊為企業提供卓越的安全防護服務,防止外部和內部網絡攻擊。該產品在安全平臺上集成了各種功能應用模塊和性能模塊。應用模塊增加功能,如ClamAV反病毒引擎或卡巴斯基病毒引擎和垃圾郵件過濾引擎。這種安全模塊化架構可以使新的安全服務及時在線升級,在新的病毒和威脅肆虐時拯救網絡,而無需重新投入資金和資源。易於安裝和升級的LanGate產品簡化了網絡拓撲,降低了從多個產品供應商處尋找、安裝和維護各種安全服務的相關成本。
3.2.主要功能
基於網絡的反病毒
LanGate是壹款網關級的安全設備,不同於單純的殺毒產品。LanGate在網關上做HTTP、SMTP、POP、IMAP的病毒掃描,可以通過策略控制不同網絡方向的病毒掃描或攔截。其應用的靈活性和安全性將消除企業不必要的顧慮。LanGate的反病毒引擎可以同時在線升級,可以實時更新病毒庫。
基於用戶策略的安全管理
整個網絡安全服務策略可以基於用戶進行管理,與傳統的基於IP的管理方法相比,提供了更大的靈活性。
?防火墻功能
LanGate系列產品的防火墻基於狀態檢測技術,保護企業的計算機網絡免受來自互聯網的攻擊。防火墻通過“外部->;”“內”和“內->;“外”和“內->;“(子網或虛擬子網之間)提供全面的安全控制策略。
?VPN功能
LanGate支持IPSec、PPTP和L2TP VPN網絡傳輸隧道。局域網網關VPN的特點包括以下幾點:
?支持IPSec安全隧道模式
?支持基於策略的VPN通信
?硬件加速加密IPSec,DES,3DES
?X509證書和PSK演示
?集成CA
?MD5和SHA身份驗證和數據完整性
?自動IKE和手動密鑰交換
?SSH IPSEC客戶端軟件支持動態地址訪問和IKE。
?通過第三方操作系統支持的PPTP建立VPN連接。
?通過第三方操作系統支持的L2TP建立VPN連接。
?支持NAT穿越
?IPSec和PPTP
?支持無線連接
?星狀結構
?內容過濾功能
LanGate的內容過濾不同於傳統的基於主機系統架構的內容處理產品。LanGate device是壹款網關級的內容過濾,基於專用芯片硬件技術。LanGate ASIC內容處理器包括壹個強大的功能掃描引擎,可以將大量內容與數千個關鍵字或其他模式進行匹配。具有根據關鍵字、URL或腳本語言過濾不同類型內容的功能,還提供免屏蔽列表和組合關鍵字過濾功能。同時,LanGate還可以過濾和屏蔽郵件和聊天工具。
入侵檢測功能
LanGate內置的網絡入侵檢測系統(IDS)是壹個實時的網絡入侵檢測傳感器,可以識別各種可疑的網絡活動並采取行動。IDS使用攻擊特征庫來識別成千上萬的網絡攻擊。同時,LanGate在系統日誌中記錄每壹次攻擊,並根據設置向網絡管理員發送報警郵件或短信。
垃圾郵件過濾和防病毒功能包括:
?識別SMTP服務器IP的黑白名單。
?垃圾郵件的指紋識別
?實時黑名單技術
?掃描所有電子郵件中的病毒。
?帶寬控制(QoS)
LanGate為網絡管理者提供了壹種監控和管理網絡帶寬的手段,可以根據用戶的需求進行控制,防止帶寬資源的非正常消耗,使網絡在不同的應用中合理分配帶寬,保證重要業務的正常運行。帶寬管理可以自定義優先級,保證對流量有需求的企業能夠最大限度的滿足網絡管理的需求。
?系統報告和系統自動警告
LanGate系統內置了詳細直觀的報表,可以對網絡安全進行全方位的實時統計。用戶可以定義閾值,所有超過閾值的事件都會自動通過郵件和短信(結合短信網關)通知管理人員。
?多鏈路雙向負載平衡
它提供進出流量的多鏈路負載均衡,支持故障多出口鏈路的自動檢測和屏蔽,還支持多種靜態和動態算法,智能均衡多個ISP鏈路的流量。支持多鏈路動態冗余、流量比和智能切換;支持基於每個鏈路限制流量大小;支持多種DNS解析和規劃方式,適用於各種用戶網絡環境;支持防火墻負載平衡。
3.2.Langate產品的優勢
?提供完整的網絡保護。
?提供高度可靠的網絡行為監控。
?在維護網絡性能的基礎上,消除病毒和蠕蟲的威脅。
?基於特殊的硬件系統,它提供了高性能和高可靠性。
?用戶策略提供靈活的網絡分段和策略控制功能。
?提供HA高可用端口,確保零中斷服務。
?強大的系統報告和自動報警功能。
?多種管理方式:SSH,SNMP,WEB。基於WEB的配置界面(GUI)提供中英文語言支持。
3.3.朗蓋特公司介紹
朗蓋特集團,總部位於法國,成立於1998,致力於統壹網絡安全解決方案和產品的研發。早期作為專業的it安全技術研發機構,專門從事IT綜合網絡安全設備和解決方案的研究。如今,LANGATE已成為歐洲眾多UTM、防火墻、VPN品牌的OEM和專業R&D合作夥伴,是IT安全技術的領導者,為全球各地區用戶提供高效、安全的全面網絡管理解決方案和產品。
專利LanGate?UTM集成了防火墻(Firewall)、VPN (virtual private network)、內容過濾(Content Filtering)、IPS(intrusion Prevention System)、QoS(服務質量,即流量管理)、反垃圾郵件(Anti-Spam)、反病毒(防病毒網關)和無線連接(無線接入認證)。
LANGATE在全球推廣UTM整體網絡安全解決方案,銷售網絡覆蓋全球30多個國家和地區。LANGATE的產品服務部遍布全國各地的子公司,以及認證合作夥伴、ISP、分銷渠道、認證var和認證si,為全球用戶提供專業全面的IT安全服務。