构建业务驱动型智能网络系列文章(5) 安全策略在智能网络中的部署

发表于:2007-06-23来源:作者:点击数: 标签:
据美国CERT/ CC 数据,2004年收到的安全事件报告已达20多万,是1999年9000件的20多倍,并且攻击手段已经由单一的黑客攻击或病毒攻击演变为混合型攻击,红色代码、冲击波、 SQL Slammer都是混合型攻击的典型代表。 这些攻击广泛分布在Internet上和企业网络内

   


  据美国CERT/CC数据,2004年收到的安全事件报告已达20多万,是1999年9000件的20多倍,并且攻击手段已经由单一的黑客攻击或病毒攻击演变为混合型攻击,红色代码、冲击波、SQL Slammer都是混合型攻击的典型代表。

这些攻击广泛分布在Internet上和企业网络内部,攻击源可能来自于外部,也可能来自内部,这使得网络安全策略的部署变得更加复杂。业务应用的不断发展已经成为智能网络的源动力,智能安全也已经成为智能网络的一部分。港湾提供智能安全策略部署,能够在最大限度上解决智能网络面临的安全挑战。
1、天清汉马捍卫网络出口
  网络出口位置是最关键的,目前网络采用分散的安全网关保障网络安全。分散部署的方式成本高,各个设备间的协调性差,难以实现安全策略的统一部署,管理分散,整体性能较低;关键是在应对混合型攻击方面,单一的安全网关无法全面应对。
  为了解决以上问题,港湾网络推出了天清汉马多功能网关。天清汉马是国内第一款满足用户全方面需求的多功能安全网关产品,基于高性能的NP架构硬件平台,软件上采用模块化设计,集成了FW、VPN、AV、IPS、防DOS、NetFlow等六大软件功能模块,能够做到对数据流的“一站式”过滤,真正实现对用户的全方位安全防范。对于内外网之间的数据流,天清汉马经过一次拆包、检测、封包的过程即可,确保性能不受影响。天清汉马“一站式”过滤方式解决了分散部署的性能瓶颈、协调性差、安全性差的问题,同时实现了低成本部署高安全策略,实现了统一管理,能够很好的捍卫网络出口,确保对外网入侵的有效防范。
2、FW模块保护内网安全
  在局域网、园区网等内部网络中,越来越多的安全事件的根源产生于内部,内网安全事件比例已经超过70%。采用防火墙模块方式解决内网安全已经成为业界共识。通过在核心交换机上部署防火墙模块,可以实现多个VLAN间的安全控制,降低了安全部署的难度。
  港湾网络通过在BigHammer6800核心交换机上部署防火墙模块,可以控制任意两个VLAN、任意两个用户间的数据流,有效的解决了内网安全问题。该防火墙模块具有高达2G的吞吐量,并且可以通过负载均衡的方式,达到最多20G的吞吐量,完全可以满足内网高性能的安全要求。该模块将来还可支持AIO的功能,即把AV、IPS、NetFlow等功能模块在交换机上实现。
3、设备联动应对网络异常
  对于已经部署安全产品网络而言,在方案层面进行融合是一个不错的选择。将以太网交换机、IDS、防病毒网关、防火墙这些分属于不同的设备实现联动已经成为一种趋势。港湾网络的μHammer3550系列以太网交换机,通过与IDS系统的配合,可以准确定位并控制内网攻击。当有主机发起攻击时,μHammer3550系列智能交换机检测到网络流量异常,随即将异常上报IDS,经IDS检测确定为攻击,即通知μHammer3550以太网交换机切断主机,从而确保网络资源的安全。通过μHammer3550以太网交换机和IDS的联动,可以使IDS的检测范围扩展到整网,大大提高可用性。目前,港湾公司的交换机已经与启明星辰等多家IDS配合成功,取得了大规模的应用。
4、主机安全管理从根本做起
  电脑主机是网络的末端,也是安全问题产生的最终来源,几乎所有的安全事件都是由主机发起的。网络病毒的传播、黑客攻击的发生、存储设备信息泄漏等,都是由主机产生的。港湾网络从用户需求入手,提供港湾主机安全管理系统,协助网络管理人员进行网络资源、设备资源、客户端资源和应用资源方面的管理控制,如网络隔离度检测、入网设备监控、系统软件(补丁)检测和违规事件发现、安全事件源(病毒等)定位分析等。

  对于智能网络的安全,港湾网络认为两者密不可分,离开了网络的安全是无源之水,离开了安全的网络是无本之木。安全策略的部署要充分考虑到安全技术和网络设备的结合,充分发挥两者优势,将安全策略部署在智能网络中的不同层面。(陈胜权)

原文转自:http://www.ltesting.net