搜索
瑞华中小企业网络安全解决方案2009-10-26e路有我网络更安全2网络现状分析伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受病毒和黑客的入侵,已成为所有用户信息化健康发展所要考虑的重要事情之一。尤其是证券行业、企业单位所涉及的信息可以说都带有机密性,所以,其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对用户机构信息安全构成威胁。为保证网络系统的安全,有必要对其网络进行专门安全防护设计。网络的发展加剧了病毒的快速传播企业网络分析企业网络面临的安全问题系统漏洞、安全隐患多可利用资源丰富病毒扩散速度快企业用户对网络依赖性强网络使用人员安全意识薄弱e路有我网络更安全3网络管理漏洞较多内部网络无法管控信息保密性难以保证基础网络应用成为黑客和病毒制造者的攻击目标黑客和病毒制造者将攻击重点由以前的广域网转移到企业内网可能带来的损失网络安全/病毒事故导致信息外泄和数据破坏,导致巨大财产损失网络安全/病毒事故导致内部网络瘫痪,无法正常工作网络带宽的不断加大,员工的行为无法约束,使工作效率大大下降。系统漏洞的不断增加,攻击方式多样化发展,通过漏洞辐射全网快速传播,导致网络堵塞,业务无法正常运行。病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与境外服务器连接,将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。网络行为无法进行严格规划和审计,致使网络安全处于不可预知和控制的状态。瑞华中小网络安全解决方案华中小网络安全解决方案面对以上的问题,瑞华公司根据对典型中小网络的分析,制定整体的网络安全防护体系,对网络边界和网络内部进行了合理化的方案制定,做到最大限度的保障用户网络安全和内部业务的正常运行。对所有通过的数据进行检测,包括HTTP、FTP、SMTP、POP3等协议传输的数据,内部网络的规范应用进行管控,而且还提供了对外服务器的保护、防止黑客对这些网络的攻击等等。下面是部署典型中小网络结构拓扑图:e路有我网络更安全4方案设计思路划分安全域控制网络的安全的一种方法就是把网络化分成单独的逻辑网络域,如组织内部的网络域,和外部网络域,每一个网络域由所定义的安全边界来保护。这种边界的实施可通过在相连的两个网络或多个网络之间安全网关来控制其间访问和信息流。网关要经过配置,以过滤两个区域或多个网络之间的通信量和根据组织的访问控制方针来堵塞未授权访问。边界防护的技术对策从外部传入计算机病毒、蠕虫和特洛伊木马等重大威胁使用防毒墙中的防病毒模块进行病毒、木马的分析和查杀。修改传输中的数据使用防火墙的状态检测来完成发现对传输中数据的非授权访问,另外也将阻止未授权用户在一个远程会话过程中的插入。从外部攻击web服务器、导致内部服务器瘫痪,业务终止。网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为黑客攻击的突破口,因此,在实施方案时要对服务器的安e路有我网络更安全5全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着黑客各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。非法用户侵入网络和ARP攻击等重大威胁使用防火墙的IP和MAC地址绑定可以有效的避免arp攻击导致网络瘫痪的发生。从而避免了外部用户非法接入现象的发生。局域网病毒防护单一的防毒策略,导致局域网病毒无限制蔓延使用瑞星网络级防病毒体系可以部署多层次病毒防线,截断病毒可能传播的各种渠道,如服务器、客户端等,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范局域网用户无法在线升级,无法统一管理,导致整个网路没有规范性。没有集中管理的防病毒系统是不完整的防毒系统。只有构建了统一的防病毒集中管理系统,才能保证了整个防毒产品可以从病毒监控管理中心及时得到更新,同时又使系统管理人员可以在任何时间通过管理控制台对整个防毒系统进行集中管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。局域网用户系统漏洞日益增加,蠕虫病毒的不断泛滥等重大威胁使用瑞星网络版杀毒软件可以统一修复局域网用户的系统漏洞及其不安全设置。无法确定内部机器中毒范围,定义机器进行处理通过管理控制台全面直观地展现整个网络中的安全情况:网络内存在哪些病毒,哪些客户端存在病毒,客户端的升级情况和比例,防病毒系统系统的运行情况(系统中心升级情况,日志记录是否超大,授权数是否超出)。并针对这些分析给出指导性的操作建议。让网络管理员能够轻松地掌握网络中的总体安全情况并及时调整防毒策略。内部网络管理互联网控制网关是面向企业用户的软硬件一体化的控制管理网关,它提供强大的网页过滤功能,屏蔽员工对非法网站的访问;提供了基于时间、用户、应用的精细管理控制策略,控制员工在上班时间干与工作无关的事情。如:网络游戏、炒股、观看在线视频,以及无节制的网络聊天等等,从而保障工作效率;提供了对通过电子邮件、即时通讯、论坛发帖等途e路有我网络更安全6径的外发信息进行监控审计,避免了企业机密信息泄露;此外网康ICG还提供应用层的带宽管理,有效阻止、限制P2P等严重消耗带宽的应用,确保企业的核心业务带宽得以保障。企业管理最头疼的事推荐产品防火墙:联想网御防火墙拥有创新的VSP、USE、MRP等安全关键技术,采用了独创的较为先进技术-深度核过滤技术,即基于OS内核的深度内容过滤技术。其产品在众多领域已经部署了4万台以上,市场占有率名列前茅。今年6月,联想网御发布了万兆级安全网关产品——金刚安全网关KingGuard。该款产品成为迄今为止业界处理性能最高的万兆安全网关产品,它首创在信息安全产品中应用矩阵式并行计算系统——Windrunner。网络防病毒软件:瑞星中小企业版杀毒软件具备优秀的病毒查杀引擎,实现全方位、多层防护,针对服务器、工作站等部署病毒防护系统,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范。上网行为管理系统:网康ICG集上网行为管理和网络安全防御于一体,全面解决中小企业在网页过滤。内容审计。应用管理、流量控制、用户管理和安全防御等多方面的网络管理问题。产品具有部署方便、灵活,易于操作等特点。方案实施后达到的效果e路有我网络更安全7瑞星网络版防病毒实施后达到的效果通过对网络建立统一的整体网络病毒防范体系,在网络内部建立统一的病毒防范策略,从而达到对整个网络达到以下病毒防范效果:建立防病毒中央控管系统可以实时记录防护体系内每台计算机上的查杀病毒情况、主动防御信息、漏洞情况、安全状况等,为超级管理员分析整个网络中的安全情况提供了大量的依据。通过管理控制台发布查杀病毒、升级等各项命令,统一设置网络安全的各种策略,实现对整个防护系统的自动控制,保障整个网络安全。实时监控客户端防毒状况网络管理员在管理控制台上能实时地查看到每个客户端的下列信息:扫描状态实时监控的状态主动防御的状态版本信息感染了哪些病毒根据上述信息,管理员可实时跟踪到每一个客户端的防毒状况,以便做出应对措施。支持集中的病毒报警和报告在管理服务器上能够方便地查看全部范围(或组范围)的病毒报警和报告,包括感染节点的主机名、IP地址、病毒名称、清除情况、被感染文件的路径等。快速响应建立及时、快速的病毒响应、处理机制,能够迅速抑制病毒在网络中的传播。从发现病毒及病毒行为到上报控制台报警信息更迅速,能够快速的定位病毒来源,病毒名称,以便网e路有我网络更安全8络管理员能够迅速觉察并进行处理。统一的自动升级为了满足不同用户的升级需求,瑞星制定了多种升级方式,网络智能升级、手动升级、代理升级。客户端病毒防护效果对客户端进行全面的升级防护,统一升级、统一管理。实施保持客户端病毒库处于最新状态,全面监控客户端的运行状况。包括:病毒日志、不安全设置、系统漏洞等等。主动防御更可靠系统加固:针对系统的薄弱环节进行加固,防止系统被病毒破坏。木马入侵拦截:最大程度保护用户访问网页时的安全,阻止绝大部分挂马网页对用户的侵害。木马行为防御:基于病毒行为的防护,可以阻止未知病毒的破坏。e路有我网络更安全9漏洞扫描与补丁分发管理瑞星漏洞信息管理工具给网络管理员提供了一个便捷的途径,使网络管理员在短时间内做好整个网络系统的安全防范工作。是网络更加彻底的清除各种漏洞、加固了系统。许多病毒行为是借助系统的漏洞及缺陷等,不修补漏洞而单纯反复的借助防病毒系统来清除借助此漏洞进行传播及破坏的病毒程序将是徒劳的。漏洞扫描配合补丁分发功能对每台客户端的漏洞扫描结果有针对性的分发补丁程序、修补漏洞,才能真正解决系统的安全性,防止重复性的入侵及病毒感染。特别能够有效的防止威金系列病毒在网络中的传播。防火墙实施后达到的效果防火墙是网络安全的屏障:防火墙系统可以说是网络的第一道防线。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择e路有我网络更安全10的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄:通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。上网行为管理系统实施达到的效果屏蔽高风险网站e路有我网络更安全11随着互联网上的活动愈演愈烈、实时掌握企业员工互联网使用状况可以避免很多隐藏的风险。通过网康互联网控制网关,您可以制定精细化的互联网活动审计策略,实时掌握互联网使用状况,防患与未然,还可以根据业务需要制定精细化Web访问策略,将非业务信息挡在门外。减少风险的发生。外发信息监控通过互联网传递信息已经成为企业的关键应用