VPN、防火墙集中安全管理平台

发表于:2007-06-23来源:作者:点击数: 标签:
VPN、防火墙集中安全管理平台 随着 网络安全 意识的增强和安全技术的蓬勃发展,越来越多的政府和企业开始部署各种各样的安全系统,例如防火墙、 入侵检测 、VPN和 漏洞 扫描系统等。 安全产品各自为阵,甚至同一厂商的设备也无法实现集中统一的管理,造成了

   
  VPN、防火墙集中安全管理平台
   随着网络安全意识的增强和安全技术的蓬勃发展,越来越多的政府和企业开始部署各种各样的安全系统,例如防火墙、入侵检测、VPN和 漏洞 扫描系统等。

安全产品各自为阵,甚至同一厂商的设备也无法实现集中统一的管理,造成了很多网络管理手段不足而带来的安全隐患。用户越来越需要一个综合的管理系统将多个安全产品进行统一管理,形成全方位的网络安全系统,集中部署、统一监控。因此,安全管理平台应运而生。

   VPN产品与其他网络产品相比、有一个非常显著的特点,就是VPN产品在应用中的部署一定是跨地域的、分布式的,如何将这个跨地域的网络集中、统一的管理起来,并有效的进行部署和升级,保障整网的安全和可持续发展?Sinfor VPN集中安全管理中心(Secure Center)能够很好的解决这些问题。

   对于有众多分布式办公地点的企业,在部署和维护VPN/防火墙设备时都面临着以下问题:

   由于VPN或防火墙等安全设备部署在不同地点,往往简单的远程维护不能满足同时部署、监控和维护大量远程设备的要求。如果增加网络维护人员又增加了IT运营成本。

   大量设备需要独立部署安全规则,因此很难保证所有场所的安全策略都是一致和安全的。在一个大的VPN网络内可能存在多个点有较多安全漏洞,但却无法发现。

   当网络规模或结构发生变化的时候,往往需要重新调整和配置众多节点的设备。比如当一个网络发生变化时,需要同时修改和该网络相连的所有VPN设备的参数。

   如果有大量的 移动 办公用户,帮助这些用户配置和维护VPN客户端将花费管理员大量的时间和精力。

   随着新的安全漏洞的发现或攻击方式的产生,所有VPN/防火墙设备必须不断升级,大量设备的升级难以同时完成,另外异地众多设备的升级还需要耗去的大量人力物力。

   通过Sinfor SC平台,一个管理员就可以同时监控和部署成百上千个VPN网络和VPN/防火墙设备。极大的降低管理大型网络的成本,并消除因不同防火墙和 VPN 策略造成的安全漏洞。

   1、 系统概述

   Sinfor DLAN SC是软 硬件 一体化的大型VPN网络解决方案。SC平台包括中心安全策略 服务器 、GUI管理器、 数据库 服务器、日志报表服务器、集中监控服务器、升级部署服务器、VPN网关设备(3.0以上)、VPN网关 软件 等十几个组件。通过这些组件管理员可以在全球任何地方完成对上万个VPN网络的监控、维护和升级。

   SC主要用于:

   大型集团、大型企事业单位/政府机构管理数量众多的远程VPN网络和IPSEC VPN远程接入用户。

运营商 /服务提供商为数量众多的中小企业客户提供VPN网络和维护服务。

   其他网络节点众多,需要实现对VPN网络集中管理和部署的机构。

   2、 集中管理,集中维护

   管理员可以从任何地方通过SC GUI界面配置SINFOR DLAN SC平台。在同一个GUI管理器中,可以配置所有纳入到SC平台的整网VPN产品,包括DLAN VPN网关软件、DLAN网关硬件、DLAN 移动客户端以及DLAN软硬件防火墙。管理员还可以配置任何网关间的安全策略数据库和每个移动用户的安全策略,可以自由组合成星型、网状或混合网络。通过可视化的策略编辑器,一个管理员就可以同时部署和维护上百个网络节点,节省了大量人力成本。 所有配置都可以通过远程经SSL协议加密传输,并且支持对网关和客户端的离线配置,因此节省了绝大多数现场支持开销,为企业管理大中型网络节约了成本。网络规模越大,使用SC所带来的管理成本的降低就越明显。

VPN、防火墙集中安全管理平台(图一)


   3、 实时、可视化的集中监控

   管理员可以从任何地方通过SC 监控器实时查看和维护所有SC平台下的VPN网关和移动用户客户端,以及它们的运行状况和VPN链路状态。通过SC平台,管理员还可以查看任何一台设备的实时日志和历史日志,从而找出设备故障原因,并通过SC平台远程维护。如果需要监控的网关数量众多,还能够将需要监控的网关分组存放,平时只监控重要节点运行状况。采用智能触发技术,保证只有处于实时监控状态的VPN设备才上报状态,就节省了SC平台的带宽占用。支持精简模式和网络拓扑模式两种监控视图,并支持存盘和打印网络拓扑和监控报表。

VPN、防火墙集中安全管理平台(图二)


   4、 整网智能升级

   当VPN产品有新特性或新版本发布时,管理员在中心策略服务器导入升级包。SC所辖的所有设备和软件客户端会自动根据自己的当前版本 下载 对应的升级包进行升级。升级包的下载支持分片传送,断点续传。管理员可以为每个设备或每个区域的设备制定单独的升级计划,这样可以避免同时升级导致的带宽拥塞问题。升级结束,可以通过报表查看每个设备和软件客户端的升级情况,从而修改和调整升级计划保证及时准确的完成整网升级。SC的自动升级是一个自动、可控、有序、稳定的智能升级过程。

   5、 适合大规模网络部署

   配置分发,能保证在几个小时内部署上百个客户端在部署大型VPN网络时,所有管理员都面临着在上百个客户端上配置复杂的安全策略的难题。SINFOR DLAN SC平台除了使用DKEY来分发安全配置,还可以使用加密的离线配置文件来分发客户端配置,使用这些配置分发技术,可以在数小时内部署上百个客户端。同时,SC还支持安全策略的复制拷贝,这将更加缩短部署大型网络的时间。

   系统容量大,适合同时管理大规模网络

   SINFOR DLAN SC支持20000个设备或客户端的集中管理,提供无限空间的日志,支持多达60名网络管理员在线管理,提供对500,000条隧道的安全策略管理和监控。由于采用了压缩和智能触发技术,仅仅需要1M的带宽,就可以支持对1000个节点的管理。

   分区分级管理,适合大型组织构架

   大型网络往往是被划分为多级别,多区域的。因此,SC根据大型网络的特点,可以把VPN网点分区分级管理。对应于VPN网络的结构,管理员的权限也可以细化到各个区域,符合大型组织机构分级管理的要求。

   Sinfor VPN Secure Center还有众多的高端特性,例如能有效和第三方的LDAP服务器,域认证服务器和Radius服务器无缝集成,方便用户的安全认证系统能够统一管理;业务和控制分离、SC控制中心发生故障时并不影响整网VPN业务的运行;集中报表并能提供网络分析数据等等。

原文转自:http://www.ltesting.net