随着信息化应用不断深入,人们对于网络的依赖程度与日俱增,而IP架构与生俱来的开放性,在帮助企业不断加快网络融合、提高业务效率的同时,也使网络安全成为无法回避的重要课题。据公安部最新网络安全状况调查显示,在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等信息网络中,发生网络安全事件的比例高达58%.更加令人担忧的是,随着企业信息化程度的不断提高,网络安全事件呈现出多样化、复杂化的发展态势,网络攻击手段也由最初单一的黑客、病毒攻击演变为以红色代码、冲击波、SQL Slammer为典型代表的混合式攻击,这些攻击广泛分布在Internet上和企业网络内部,攻击源可能来自于外部,也可能来自内部,其特征就是各种攻击方式变化多端。面对愈演愈烈的网络安全危机,由防火墙、IDS/IPS等单一安全产品构建的传统被动式安全防御模式已是捉襟见肘。在此情况下,具有整合性和互动性的主动式安全整体解决方案不仅成为业内共识,也是当前企业选择的主流方式。
针对此种趋势,国际著名网络设备和解决方案提供商D-Link推出区域联防机制,并将其应用在新一代的安全产品中,通过在网络安全产品之间建立互动机制,实现对网络安全产品的有效整合,将传统的网络防护由被动变为主动。同时,结合多年来服务行业客户的深厚经验以及对企业应用特点的深入调研,为不断成长的企业网络提供了一套基于新一代安全产品的全面领先、可靠的信息安全网络整体解决方案。
化被动为主动,变单兵作战为区域联防
近年来,伴随电子邮件、即时通讯、在线交易以及P2P下载等网络应用的极大普及,不仅增加了病毒的传播途径与滋生空间,而且也给网络黑客带来了可乘之机,其根源在与由防火墙、网关等单一安全产品打造的防线,由于各自为战,孤立无援,缺少协作,面对花样翻新的病毒或黑客入侵,变得日益脆弱与被动:或被轻松“迷惑”自动放行,或频繁的误报警,或干脆被海量的垃圾信息以及恶意访问消耗殆尽,最后导致被逐一击破。因此,如果要实现对企业网络安全的整体防护和管理,就需要通过建立一套即时、互动和有效的网络安全新架构,有效解决病毒在网络内部扩散、异常电脑即时侦测和切断连接、网络内异常突发性流量的控制等一系列安全问题。为此,D-Link提出了基于区域联防机制的整体安全解决方案。
该方案决不仅仅是在现有网络体系上增加了安全网关、防火墙以及IPS等安全产品那么简单,而是与交换机一并构成了一套完整的区域联防体系,将安全策略部署到网络每个角落。各个网络节点彼此之间互相协作,密切配合,大大增强网络的主动防御能力,牵一发而动全身,从而为用户创建一个内外兼“固”的安全环境。
首先,IPS作为基于内容的深层检测,通过分析网络中的流量继而发现安全隐患,例如:蠕虫及黑客的攻击入侵;产品本身的主动式防御与阻断能力可以形成企业外部坚固的防护墙,尤其是防范DDOS/DOS瘫痪服务的攻击,企业网络能够维持最大化的运行能力;而对于防火墙而言,除了起到内外部流量进出权限的管理外,还可实现NAT及VPN的重要应用,但是鉴于防火墙的安全策略欠缺主动及灵活性,面对未知的病毒或不明流量无法及时防御的缺点,D-Link提出了基于区域联防机制的整体安全解决方案,外部由IPS入侵检测防御设备主动捕捉拦截攻击事件形成坚固的第一道防线,辅以开启防火墙上IM/P2P及 IPS的功能,配合D-Link信息安全网关实施内部人员上网行为的管理,主动将安全策略传递至D-Link局域网交换机,完成对内外部攻击源的及时屏蔽或阻断,从而将内外安全隐患控制到最低限度。
方案中采用DFL-210/800/1600/2500防火墙部署在局域网与互联网的连接通道上。该系列防火墙将业界领先的众多功能整合在一起,为企业网络传输带来了全方位的安全保障。该产品提供了方便企业传输的VPN专用通道,支持DoS防护,并提供了丰富的过滤功能,能够有效阻挡经由IM/SPIM途径传播的病毒,对当前企业网络安全的各种潜在威胁予以有力防护。同时,针对日益突出的下载和邮件途径传播的病毒,D-Link防火墙可以对URL网络链接和E-Mail进行过滤,既能禁止非法URL的链接又能阻挡感染病毒的电子邮件的接收,有效确保了企业本地电脑的安全。
与其他防火墙相比,DFL-210/800/1600/2500易于管理、高效稳定,能够轻松实现与企业现有网络的无缝融合。该产品具备先进的带宽管理功能,可以有效提升网络使用率;支持多线路负载均衡功能,既能保证网络的稳定运行,又提高了网络的速度;同时,防火墙还具有超强的容错性能,支持多路对外线路故障自动备份及复原,最大程度缩减由外部线路故障而导致的断网时间,并可以在容错模式下,灵活调整与网络其他设备的连接,提升整个网络的利用率,为构筑全方位安全和高效的网络提供了卓越的基础设备。
IM即时通讯工具、P2P网络下载等均是目前十分流行的网络应用,由于其广泛的普及性以及庞大的用户群体,经常被一些别有用心的不法分子利用,作为特洛伊木马、非法间谍软件和网络蠕虫等病毒传播的载体,扰乱网络安全秩序。有鉴于此,方案在防火墙与交换机之间增设了一台信息安全网关DFL-M510,为用户管理IM/P2P等网络应用提供了更具有针对性的安全策略。它不仅能够有效阻挡经由IM/SPIM途径散播的病毒,而且能够根据企业需求制定相应的安全策略,并配合IP、主机名称、群组进行安全策略绑定,避免IM/P2P滥用所导致的资源浪费和效率低下等现象发生。更重要的是,该产品实现了第七层应用管理,对以HTTP形式传输的文件和流媒体文件、电子邮件以及用户自定义的网络应用,能够进行有效的安全监控和管理。如图所示,用户可以选择在开放通讯功能的同时,切断文件收发通道;对于特殊部门甚至仅允许文件下载,而禁止使用IM、MAIL,此举避免了企业敏感数据通过未授权、未管理的即时通讯或邮件途径外流泄漏。
越来越多的人认识到:在现实中,威胁不光来自外网,内网安全同样不容忽视,而D-Link区域联防机制在保卫内网安全方面也发挥了重要作用。防火墙、信息安全网关与D-Link交换机紧密配合,在发现异常电脑后将会立即进行有效隔离。当用户的电脑出现不正常的网络行为时,会被及时切断网络连接和服务,从而有效避免病毒在网络内部扩散,防止由黑客攻击导致的企业内部关键应用服务瘫痪的现象发生。区域联防机制会在网络出现不正常的突发性流量时被激活,D-Link防火墙将立即侦测异常状态并自动联通D-Link交换机下达安全指令,进一步隔离出现问题的电脑。该机制大幅度简化了管理的复杂性,降低了网管人员的工作负荷,体现出新一代网络安全解决方案的领先价值。
成就高品质的网络安全解决方案
整体来看,D-Link信息安全网络整体解决方案,基于业内领先的区域联防机制,实现了安全与网络的深度融合,IPS、防火墙、安全网关等安全产品与各网络节点之间相互联动,相得益彰,不仅攘外还能安内:对外建立起有效阻隔病毒侵入以及黑客攻击的坚固屏障,对内则能及时切断问题终端,避免病毒扩散或交叉感染,帮助用户创建一个内外兼固的安全环境,从而有力的保证了各种业务及应用在日益复杂环境中的得以顺利开展。与此同时,新方案的引入增强了网络的主动防御以及持续服务能力,大大缓解了网管人员的压力,而且部署简易,无须改变现有网络结构,体现出较好的投资回报率,是用户构建领先、可靠和高性价比的网络安全环境的理想之选。
转载地址:http://www.netsp.com.cn/Article/netsafe/sqfa/200609/20060904232238.html