基础网络安全:
网络的安全隐患不仅仅来自外部,内部的安全也是非常重要的,当我们需要考虑到网络内部的安全控制,防止内部的病毒泛滥,木马的横行。所以我们在各单位的内网与专网之间需要采取安全措施。
实现网络安全一般在不同区域的边界使用网络安全产品来达到不同区域安全互连的目的,对于网络层来说使用最多的是防火墙产品,网络管理人员按照不同的策略设置防火墙从而连接不同安全级别的区域。值得注意的是防火墙只是对网络安全进行控制层次较低的产品并且只能对 OSI 七层协议的网络层( IP )、传输层( TCP )、以及部分高层的协议进行控制,因此我们不能依靠防火墙为网络提供绝对的安全保障,应用系统的安全也需要考虑。
VPN 系统:
为了方便在家办公或出差的用户可以通过公用 Internet 网络(如 Internet )访问企业内部网络,使用企业内部资源。我们引入 VPN 系统。
同时, VPN 系统也可以作为备份链路,来保证应用系统的不间断使用。当分公司专线出现故障的时候,分公司可以通过 Internet 线路,使用 VPN 连接到集团总部,使用应用系统,保证了业务不间断的运行。
VPN (虚拟专用网)技术是指在公共的不受信任的网络中建立可信任的,能保证数据完整性和机密性的数据通道,所有通过此通道传输的数据都会被加解密处理后发送到目的端。
VPN 在保证终端用户可以通过公用 Internet 网络访问企业内部网络资源的同时,保证了终端用户和企业之间通信的安全性。
VPN 优点:
满足移动办公的需要,即实现员工在出差过程中可以访问企业内部网络的资源。这些资源包括邮件系统,文件共享系统,企业内部网和其他企业应用。
保证员工远程访问不会给内网带来安全隐患。
保障员工和企业内网间数据交换的安全性(防止截听和篡改)。
提供媒体分支机构和总部的安全互联。
提供远程合作伙伴接入。
细化的远程合作伙伴的安全访问策略。
病毒防御系统:
主要功能:
集成式技术和响应加强客户端保护
集中式的配置和策略管理使部署轻松自如、客户端更新速度加快
为病毒定义、防火墙规则和入侵防护签名提供了一种集成式响应机制
防病毒系统的主要优势:
有效减少系统停机、供应商间的互操作问题和经济损失风险,同时提高用户的工作效率
针对可以使用多种模式进入网络的混合型威胁提供更有力的防护
最大限度地提高了部署灵活性,有助于消除最终用户无意或恶意引入安全漏洞的风险
安全管理和系统准入控制:
网络准入控制系统就是每当一个计算机设备登陆到网络,准入系统要采集终端设备的以下信息:
判断设备是否运行操作系统的授权版本。
通过检查来查看操作系统是否安装了适当补丁,或完成了最新的热修复。
判断设备是否安装了防病毒软件以及是否带有最新的系列签名文件。
确保已打开并正在运行防病毒技术。
判断是否已安装并正确配置了个人防火墙、入侵防御或其他桌面系统安全软件。
检查设备的企业镜像是否已被修改或篡改。
网络准入系统通过这些采集的信息来判断该设备是否是合法的、值得信任的,如果设备合法、值得信任,则允许接入企业的内部网络; 否则只能被隔离或者限制终端的网络接入范围。当终端进入企业的隔离区网络,可以进行病毒库升级、安装 OS 的补丁等操作,对本机进行修复,使其具有合法性,从而被允许接入企业的安全网络。如下图所示:
由上可见,网络准入系统可以最大限度的保证了企业网络的安全,禁止计算机将病毒等恶意代码在不经意之间带入企业环境。企业能够减少病毒和蠕虫对企业运作的干扰。
网络准入系统的主要优点是:
减轻网络安全的威胁
帮助确保所有的用户网络设备都符合安全策略 , 从而大幅度提高网络的安全性,不受规模和复杂性的影响。通过积极抵御蠕虫、病毒、间谍软件和恶意软件的攻击,机构可将注意力放在主动防御上(而不是被动响应)。
提高了生产率
缩短了部署新的软硬件的时间,同时事产生错误的可能最小化;防止不符合策略和不可管理的终端设备影响网络可用性或用户生产率。
降低总体拥有成本
充分利用了对于网络、准入控制、端点安全和反病毒等方面的投资,是对于运行、效率管理和维护的优化解决方案。
系统网络拓扑图:
根据不同业务和应用的需要,可以通过防火墙将网络化成不同的区域,如下图:
可信任区域是指在该区域传递的数据是可靠的以及安全的;专区是指该区域专网部门,这个区域对其他单位来说是安全的,但对于内部来说,这个区域安全度最低; DMZ 区是指从该区域传递过来的数据基本上是安全的但具有不安全的因素,这个区域包括对系统公开的服务器,如内部 WWW 服务器, FTP 服务器和 EMAIL 服务器等。