典型企业网络边界安全解决方案.docx

1、典型企业网络边界安全解决方案典型企业网络边界安全解决方案名目1前言1.1方案目的本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在2千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的ERP系统，支撑企业职员处理日常事务的OA系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。依照当前国内企业的进展趋势，中小企业出现出快速增长的势头，运算机系统为企业的治理、运营、爱护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对

2、信息化建设的依靠也越来越强，但同时由于运算机网络所普遍面临的安全威逼，又给企业的信息化带来严峻的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严峻威逼着企业信息系统的正常运行；内网的非法破坏、非法授权访问、职员有意泄密等事件，也是的企业的正常运营秩序受到威逼，如何做到既高效又安全，是大多数中小企业信息化关注的重点。而作为信息安全体系建设，涉及到各个层面的要素，从治理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全操纵和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行

3、环境，保证中小企业运算机网络的安全性。1.2方案概述本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问那么是通过专线链路直截了当访问到总部；总部及分支机构均有互联网出口，提供给职员进行上网访问，同时总部的互联网出口也作为网站公布的链路途径。典型中小型企业的网络结构可表示如下：典型中小型企业网络结构示意图为保证中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设成效：实现有效的访问操纵：对职员访问互联网，以及职

4、员访问业务系统的行为进行有效操纵，杜绝非法访问，禁止非授权访问，保证访问的合法性和合规性；实现有效的集中安全治理：中小型企业的治理特点为总部高度集中模式，通过网关的集中治理系统，中小企业能够集中监控总部及各个分支机构职员的网络访问行为，做到可视化的安全。保证安全健康上网：对职员的上网行为进行有效监控，禁止职员在上班时刻使用P2P、网游、网络视频等过度占用带宽的应用，提高职员办公效率；对职员访问的网站进行实时监控，限制职员访问不健康或不安全的网站，从而造成病毒的传播等；爱护网站安全：对企业网站进行有效爱护，防范来自互联网上黑客的有意渗透和破坏行为；爱护关键业务安全性：对重要的应用服务器和数据库服

5、务器实施爱护，防范病毒和内部的非授权访问；实现实名制的安全监控：中小型企业的特点是，主机IP地址不固定，但全公司有统一的用户治理措施，通常通过AD域的方式来实现，因此关于访问操纵和行为审计，可实现基于身份的监控，实现所谓的实名制治理；实现总部与分支机构的可靠远程传输：典型中小型企业的链路使用模式为，专线支撑重要的业务类访问，互联网链路平常作为职员上网使用，当专线链路故障可作为备份链路，为此通过总部与分支机构部署网关的IPSEC VPN功能，可在利用备份链路进行远程通讯中，保证数据传输的安全性；对移动办公的安全保证：利用安全网关的SSL VPN功能，提供给移动办公人员进行远程安全传输爱护，确保数

6、据的传输安全性；2安全需求分析2.1典型中小企业网络现状分析中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问那么是通过专线链路直截了当访问到总部；总部及分支机构均有互联网出口，提供给职员进行上网访问，同时总部的互联网出口也作为网站公布的链路途径。双链路给中小企业应用访问带来的好处是，业务访问走专线，可保证业务的高可靠性；上网走互联网链路，增加灵活性，即各个分支机构可依照自己的人员规模，采纳合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心

7、往往采纳三层交换机，通过VLAN来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在VLAN的基础上还配置了ACL，对不同VLAN间的访问实行操纵；各分支机构的网络结构那么相对简单，通过堆叠二层交换连接到不同终端。具体的组网结构可参考以下图：典型中小企业组网结构示意图2.2典型中小企业网络安全威逼在没有采取有效的安全防护措施，典型的中小型企业由于分布广，同时架构在TCP/IP网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临专门多的安全威逼，其中典型的网络安全威逼包括：【非法和越权的访问】中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和

8、网站系统，在缺乏访问操纵的前提下专门容易受到非法和越权的访问；尽管大多数软件都实现了身份认证和授权访问的功能，然而这种操纵只表达在应用层，假如远程通过网络层的嗅探或攻击工具因为在网络层应用服务器与任何一台企业网内的终端差不多上相通的，有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业隐秘，造成泄露；【恶意代码传播】大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，然而随着蠕虫、木马等网络型病毒的显现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特点是，在网络中能够进行大量的扫描，当发觉有弱点的

9、主机后快速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点可能是台主机，也可能是服务器被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。【防范ARP欺诈】大多数的中小企业都遭受过此类攻击行为，这种行为的典型特点是利用了网络的先天性缺陷，即两台主机需要通讯时，必须先相互广播ARP地址，在相互交换IP地址和ARP地址后方可通讯，专门是中小企业都需要通过边界的网关设备，实现分支机构和总部的互访；ARP欺诈确实是某台主机假装成网关，公布虚假的ARP信息，让内网的主机误认为该主机确实是网关，从而把跨过网段的访问数据包比如分支机构人员访问互联网或总部

10、的业务系统都传递给该主机，轻微的造成无法正常访问网络，严峻的那么将会引起泄密；【恶意访问】关于中小型企业网而言，各个分支机构的广域网链路带宽是有限的，因此必须有打算地分配带宽资源，保证关键业务的进行，这就要求不管针对专线所转发的访问，依旧互联网出口链路转发的访问，都要求对那些过度占用带宽的行为加以限制，幸免因某几台终端过度抢占带宽资源而阻碍他人对网络的使用。这种恶意访问行为包括：过度使用P2P进行大文件下载，长时刻访问网游，长时刻访问视频网站，访问恶意网站而引发病毒传播，直截了当攻击网络等行为。【身份与行为的脱节】常见的访问操纵措施，依旧QOS措施，其操纵依据差不多上IP地址，而众所周知IP地

11、址是专门容易伪造的，即使大多数的防火墙都支持IP+MAC地址绑定，MAC地址也是能被伪造的，如此一方面造成策略的制定专门苦恼，因为中小型企业内职员的身份是分级的，每个职员因岗位不同需要访问的目标是不同的，需要提供的带宽保证也是不同的，这就需要在了解每个人的IP地址后来制定策略；另一方面容易形成操纵缺陷，即低级别职员假装成高级别职员的地址，从而可占用更多的资源。身份与行为的脱节的阻碍还在于日志记录上，由于日志的依据也是依照IP地址，如此对发生违规事件后的追查造成极大的障碍，甚至无法追查。【拒绝服务攻击】大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，然而由于该平台面向互联网开放

12、，专门容易受到黑客的攻击，其中最典型的确实是拒绝服务攻击，该行为也利用了现有TCP/IP网络传输协议的先天性缺陷，大量发送要求连接的信息，而不发送确认信息，使得遭受攻击的主机或网络设备长时刻处于等待状态，导致缓存被占满，而无法响应正常的访问要求，表现为确实是拒绝服务。这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象；【不安全的远程访问】关于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是专门一种提高系统可靠性，并充分利用现有网络资源的极好方法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访

13、问往往面临专门多的安全威逼，最为典型的确实是攻击者嗅探数据包，或篡改数据包，破坏正常的业务访问，或者泄露企业的商业隐秘，使企业遭受到严峻的缺失。【缺乏集中监控措施】典型中小型企业的特点是，集中治理，分布监控，然而在安全方面目前尚缺乏集中的监控手段，关于各分支机构职员的上网行为，访问业务的行为，以及总部重要资源的受访问状态，都没有集中的监控和治理手段，一旦发生安全事件，将专门难快速进行察觉，也专门难有效做出反应，事后也专门难取证，使得企业的安全治理无法真正落地。2.3典型中小企业网络安全需求针对中小企业在安全建设及运维治理中所暴露出的问题，山石网科认为，应当进行有针对性的设计和建设，最大化降低威

14、逼，并实现有效的治理。2.3.1需要进行有效的访问操纵网络安全建设的首要因素确实是访问操纵，操纵的核心是访问行为，应实现对非许可访问的杜绝，限制职员对网络资源的使用方式。中小企业的业务多样化，必定造成访问行为的多样化，因此如何有效鉴别正常的访问，和非法的访问是专门必要的，专门是针对中小企业职员对互联网的访问行为，应当采取有效的操纵措施，杜绝过度占用带宽的访问行为，保证正常的业务和上网访问。关于中小企业重要的应用服务器和数据库资源，应当有效鉴别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全操纵手段，保证关键的业务访问。2.3.2深度应用识别的需求引入的安全操纵系统，应当能够支持深度

15、应用识别功能，专门是对使用动态端口的P2P和IM应用，能够做到精准鉴别，并以此为基础实现基于应用的访问操纵和QOS，提升操纵和限制的精度和力度。关于分支机构外来用户，在利用分支机构互联网出口进行访问时，基于身份识别做到差异化的操纵，提升系统总体的爱护效率。2.3.3需要有效防范病毒在访问操纵的技术上，需要在网络边界进行病毒过滤，防范病毒的传播；在互联网出口上要能够有效检测出挂马网站，对访问此类网站而造成的病毒下发，能够快速检测并响应；同时也能够防范来自其他节点的病毒传播。2.3.4需要实现实名制治理应对依靠IP地址进行操纵，QOS和日志的缺陷，应实现基于用户身份的访问操纵、QOS、日志记录，应

16、能够与中小企业现有的安全准入系统整合起来，当职员接入办公网并对互联网访问时，先进行准入验证，验证通过后将验证信息PUSH给网关，网关拿到此信息，在用户发出上网要求时，依照IP地址来索引相关的认证信息，确定其角色，最后再依照角色来执行访问操纵和带宽治理。在日志记录中，也能够依照确定的身份来记录，使得日志能够方便地追溯到具体的职员。2.3.5需要实现全面URL过滤应引入专业性的URL地址库，并能够分类和及时更新，保证各个分支机构在执行URL过滤策略是，能够保持一致和同步。2.3.6需要实现IPSEC VPN利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公

17、司的通信得到更高的可靠性保证。然而由于互联网平台的开放性，假如将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供IPSEC VPN功能，对传输数据进行加密和完整性爱护，保证数据传输的安全性。2.3.7需要实现集中化的治理集中化的治理第一要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。总部能够统一对各个分支机构的安全设备进行全局性配置治理，各个分支机构也能够在不违抗全局性策略的前提下，配置符合本节点特点的个性化策略。由于各个厂商的技术壁垒，

18、不同产品的功能差异，因此要实现集中化治理的前提确实是统一品牌，统一设备，而从投资爱护和便于爱护的角度，中小企业应当选择具有多种功能的安全网关设备。3安全技术选择3.1技术选型的思路和要点现有的安全设备无法解决当前切实的安全问题，也无法进一步扩展以适应当前治理的需要，因此必须进行改造，统一引入新的设备，来更好地满足运行爱护的要求，在引入新设备的时候，必须遵循下属的原那么和思路。3.1.1首要保证可治理性网络安全设备应当能够被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着专门重要的意义，因此系统必须能够被统一治理起来，实现日志行为，专门是

19、各种防护手段形成的记录进行集中的记录与分析。此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可依照自身的特点，在不违抗全局性策略的前提下，进行灵活定制。3.1.2其次提供可认证性设备必须能够实现基于身份和角色的治理，设备不管在进行访问操纵，依旧在QOS，依旧在日志记录过程中，依据必须是真实的访问者身份，做到精细化治理，可追溯性记录。关于中小企业而言，设备必须能够与中小企业的AD域治理整合，通过AD域来鉴别用户的身份和角色信息，并依照角色执行访问操纵和QOS，依照身份来记录上网行为日志。3.1.3再次保证链路畅通性关于多出口链路的分支机构，引入的安全设备应当支持多链路负载均

20、衡，正常状态下设备能够依照出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路专门的状态下，能够自动切换负载，保证职员的正常上网。目前中小企业利用互联网的要紧应用确实是上网扫瞄，因此系统应提供强大的URL地址过滤功能，对职员访问非法网站能够做到有效封堵，这就要求设备应提供强大的URL地址库，并能够自动升级，降低治理难度，提高操纵精度。中小企业的链路是有限的，因此应有效封堵P2P、IM等过度占用带宽的业务访问，保证链路的有效性。3.1.4最后是稳固性选择的产品必须可靠稳固，选择产品形成的方案应尽量幸免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品

21、接入到网络中，任何一台设备故障都会造成全网通信的故障，因此采取集成化的安全产品应当是必定选择。另外，安全产品必须有多种稳固性的考虑，既要有整机稳固性措施，也要有接口稳固性措施，还要有系统稳固性措施，产品能够充分应对各种突发的情形，并保持系统整体工作的稳固性。3.2选择山石安全网关的缘故基于中小企业的产品选型原那么，方案建议采纳的山石网科安全网关，在多核Plus G2硬件架构的基础上，采纳全并行架构，实现更高的执行效率。并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。山石网科安全网关在技术上具有如下的安全技术优势，包括：3.2.1安全可靠的集中化治理山石网科安全治理中心采纳了一

22、种全新的方法来实现设备安全治理，通过提供集中的端到端生命周期治理来实现精细的设备配置、网络设置、VPN配置和安全策略操纵。山石网科安全治理中心能够清晰地分配角色和职责，从而使设备技术人员、网络治理员和安全治理员通过相互协作来提高网络治理效率，减少开销并降低运营成本。 利用山石网科安全治理中心，能够为特定用户分配适当的治理接入权限从只读到全面的编辑权限来完成多种工作。能够承诺或限制用户接入信息，从而使用户能够作出与他们的角色相适应的决策。山石网科安全治理中心的一个关键设计理念是降低安全设备治理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标，山石网科安全治理中心提供了一个

23、综合治理界面以便从一个集中位置上操纵所有设备参数。治理员只需要点击几下鼠标就能够配置设备、创建安全策略或治理软件升级。同时，只要是能够通过山石网科安全治理中心进行配置的设备都能够通过CLI接入。 山石网科安全治理中心还带有一种高性能日志储备机制，使IT部门能够收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。利用内置的报告功能，治理员还能够迅速生成报告来进行调查研究或查看是否符合要求。 山石网科安全治理中心采纳了一种3层的体系结构，该结构通过一条基于TCP的安全通信信道安全服务器协议SSP相连接。SSP能够通过AES加密和SHA1认证来提供受到有效爱护的端到端的安全通信功能。利用

24、通过认证的加密TCP通信链路，就不需要在不同分层之间建立VPN隧道，从而大大提高了性能和灵活性。 山石网科安全治理中心提供统一治理功能，在一个统一界面中集成了配置、日志记录、监控和报告功能，同时还使网络治理中心的所有工作人员能够协同工作。山石网科网络公司的集中治理方法使用户能够在安全性和接入便利性之间达成平稳，关于安全网关这类安全设备的大规模部署专门重要。3.2.2基于角色的安全操纵与审计针对传统基于IP的访问操纵和资源操纵缺陷，山石网科采纳RBNS基于身份和角色的治理技术让网络配置更加直观和精细化，不同基于角色的治理模式要紧包含基于人的访问操纵、基于人的网络资源(服务)的分配、基于人的日志审

25、计三大方面。基于角色的治理模式能够通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可幸免IP盗用或者PC终端被盗用引发的数据泄露等问题。另外，在采纳了RBNS技术后，使得审计记录能够直截了当反追溯到真实的访问者，更便于安全事件的定位。在本方案中，利用山石网科安全网关的身份认证功能，可结合AD域认证等技术，提供集成化的认证+操纵+深度检测+行为审计的解决方案，当访问者需跨网关访问时，网关会依照确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后依照角色执行访问操纵，限制其访问范畴，然后再对访问数据包进行深度检测，依照角色执行差异化的QOS，并在发觉

26、非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。3.2.3基于深度应用识别的访问操纵中小型企业的要紧业务应用系统都建立在 / S等应用层协议之上，新的安全威逼也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，全然无法识别应用，更谈不上安全防护。Hillstone山石网科新一代防火墙能够依照顾用的行为和特点实现对应用的识别和操纵，而不依靠于端口或协议，即使加密过的数据流也能应对自如。StoneOS识别的应用多达几百种，而且跟随着应用的进展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、 等协

27、议的应用。同时，应用特点库通过网络服务能够实时更新，无须等待新版本软件公布。3.2.4深度内容安全(UTMPlus)山石网科安全网关可选UTMPlus软件包提供病毒过滤，入侵防备，内容过滤，上网行为治理和应用流量整形等功能，能够防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库能够关心治理员轻松设置工作时刻禁止访问的网页，提高工作效率和操纵对不良网站的访问。病毒库，攻击库，URL库能够通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。由于中小企业包含了多个分支机构，一旦因某个节点遭到恶意代码的传播，病毒将会专门快在企业的网

28、络内传播，造成全网故障。在使用了山石网科安全网关后，并在全网各个节点的边界部署后，将在逻辑上形成不同的隔离区，一旦某个节点遭遇到病毒攻击后，可不能阻碍到其他节点。同时山石支持硬件病毒过滤技术，在边界进行病毒查杀的时候，对性能可不能造成过多阻碍。3.2.5高性能病毒过滤关于中小企业而言，在边界进行病毒的过滤与查杀，是有效防范蠕虫、木马等网络型病毒的有效工具，然而传统病毒过滤技术由于需要在应用层解析数据包，因此效率专门低，导致开启病毒过滤后对全网的通信速度形成专门大阻碍。山石安全网关在多核的技术上，对病毒过滤采取了全新的流扫描技术，也确实是所谓的边检测边传输技术，从而大大提升了病毒检测与过滤的效率

29、。流扫描策略传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的，同时旧一代病毒过滤解决方案也继承这一方法。使用这种方法，第一需要下载整个文件，然后开始扫描，最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收，会经历长时刻延迟。关于大文件，用户应用程序可能显现超时。山石网科扫描引擎是基于流的，病毒过滤扫描引擎在数据包流到达时进行检查，假如没有检查到病毒，那么发送数据包流。由此，用户将看到明显的延迟改善，同时他们的应用程序也将更快响应。流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能

30、、低延迟、高可升级性的首要考虑，流扫描技术适合网关病毒过滤解决方案。基于策略的病毒过滤功能山石网科病毒过滤功能与策略引擎完全集成。治理员能够完全操纵以下各方面：哪些域的流量需要进行病毒过滤扫描，哪些用户或者用户组进行扫描，以及哪些服务器和应用被爱护。3.2.6灵活高效的带宽治理功能山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能，称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用Bit Torrent、迅雷、Emule、Edonkey等和即时消息流量进行分类。山石网科QoS第一依照流量的应用类型对流量

31、进行识别和标记。然后，依照顾用识别和标记结果对流量带宽进行操纵同时区分优先级。一个典型应用实例是：用户能够为关键网页扫瞄设置高优先级保证它们的带宽使用；关于P2P下载流量，用户能够为它们设置最低优先级同时限制它们的最大带宽使用量。将山石网科的角色鉴别以及IP QoS结合使用，用户能够专门容易地为关键用户操纵流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽操纵入方向和出方向，这就相当于系统中可容纳最多40,000的QoS队列。结合应用QoS，山石网科设备可提供另一层的流量操纵。山石网科设备能够为每个用户操纵应用流量并对该用户的应用流量区分优先

32、级。例如，关于同一个IP地址产生的不同流量，用户能够基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS，甚至能够对每个IP地址进行流量操纵的同时，还能够对该IP地址内部应用类型的流量进行有效管控。除了高峰时刻，用户经常会发觉他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能FlexQoS能够实时探测网络的出入带宽利用率，进而动态调整特定用户的带宽。弹性QoSFlexQoS既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。总之，通过采取山石网科产品所集成的带宽治理功能，能够在用户网络中做到关键应用优先，领导信息流量优先，非业务应用限速或禁用，VoIP、视频应用保证时延低、无抖动、音质清晰、图片清晰，这些有效治理带宽资源和区分网络应用的成效都能给用户带来更高效、更灵活、更合理的带宽应用，使得昂贵的带宽能猎取最高的效益和高附加值应用。3.2.