【IT168评测中心】说到内网安全,这的确是一个让人比较头疼的问题。包括我们熟悉的网络防火墙、上网行为管理等硬件设备都是部署于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。如何解决内网的种种安全问题呢?知名网络厂商欣全向提供了一套完整的免疫网络解决方案,相信可以解决大部分问题。
在对欣全向免疫网络解决方案进行全面介绍之前,我们先来看看当前网络应用中普遍存在的问题。现在用户使用的网络没有安全和管理解决方案,或者部署了一些零散的、有效性差的措施,比如:划分VLAN、防ARP的双绑措施、PPPOE,还有一些用上网行为管理、封堵QQ,P2P等进行内网的安全与管理。这跟真正的内网安全管理不是一回事。在这种网络中,VOIP无法做到语音清晰连贯、OA系统时常短暂失效、视频难以建立连接、重要信息轻易泄漏。。。严重时整网掉线,网络系统彻底停止服务。造成此问题的原因在于以太网本身的先天缺陷——协议漏洞和不擅长管理,但是用以太网上网已经普及了,而且用户还在上面增加各种各样的应用,就像一栋大楼越盖越高,可是大楼地基的脆弱越来越明显。
整体来讲,目前市面上的网络安全产品大体可以分为六类:
1、边界安全:用以保护内部网络不受外部攻击和入侵的各种软/硬件产品,例如:防火墙、IPS/IDS、UTM产品等。
2、传输安全:对传输内容和过程进行加密的应用,以SSLVPN、IPSec、PPTP、L2TP等VPN为代表的软/硬件产品及各种加密、算法和产品。
3、系统安全:对PC终端的具有防杀病毒、系统漏洞检测/修补等功能,用以保护内网终端系统安全的软/硬件产品,如:防毒墙、防/杀毒软件、360卫士、身份准入等。
4、行为管理、审计:对网络应用行为和应用内容、数据库网络访问进行实时监测、报警、记录和审计。如上网行为管理软硬件、监控软件、行为记录软件等。
5、风险管理(应用安全):管理内部安全,例如数据存储安全、安防监控产品等。
6、内网安全和管理:主要针对以太网底层协议漏洞、身份管理、带宽控制等进行策略性的管理保证网络不断线、不卡滞、不被篡改、信息不泄露,对内网进行彻底加固。如免疫墙等(免疫墙是目前最完整、非常先进、针对性最强、应用最广泛的标志性产品)。
既然网络,特别是内网存在着如此众多的问题,各种安全设备又往往是针对外网安全设置的,那么内网安全需要怎样的把控呢?下面我们就来介绍一下欣向的免疫网络解决方案。
首先说企业当前普遍应用的普通网络——普通网络无法保证现代企业的信息化进程,影响企业的发展,甚至为企业造成不可估量的损失。目前,一些信息化程度较高的企业已经遇到了这个问题,并且苦寻无方,现实中有很多活生生的案例。随着中国企业信息化的发展,这些问题将会越来越普遍,越来越突出,所以,这并不是危言耸听。
在普通网络组网基本结构基础上,加载免疫网络解决方案,全面支撑网络上的信息化应用,保障企业网络的正常运行,构成可靠的免疫网络。
欣全向网络安全产品主要以自主研发的"巡路"免疫安全运营中心(ImmunitySecurityOperationCenter,ISOC)为主体的一套内网安全管理解决方案。提供网络基础架构整体的免疫安全管理和服务;通过内网通讯协议(欣全向专利)+免疫安全运营中心+终端免疫驱动,将内网网关、终端全部实现统一策略、统一管理,通过软/硬结合搭建一个稳定、可靠的内网基础网络平台。
免疫网络方案是以免疫墙技术为核心通过免疫网关、免疫服务器、监控中心、终端上网驱动及内网安全协议搭建解决方案的平台,在这个平台上制定各种应用策略体现出安全与管理的应用效果。
免疫网络方案的各部分组件:
免疫墙路由器:支持免疫墙技术的宽带接入路由器,在完成宽带接入功能的同时,根据已经制定的免疫策略的要求起控制作用。从单WAN到多WAN、从千兆到百兆,有各种型号的产品提供。
免疫服务器:在一台专用的服务器上安装免疫运营中心,WebServer、策略库等免疫服务组件,提供对整个免疫网络的安全管理控制、策略分发、应用服务等功能。
免疫网关:包括一个免疫接入模块(类似于免疫墙路由器的功能)和免疫服务器。是免疫墙路由器和免疫服务器的整合,使用免疫网关就不需要分立的免疫墙路由器和免疫服务器了。
监控中心:策略配置和运行监控。提供病毒协议攻击的信息告警、策略的调整、带宽的分布图、终端身份的识别和控制等功能。它能及时完整的观察到整个网络的运行过程,从本地和远程都可以运行。
终端上网驱动:安装在内网每一台PC的驱动程序,它接收安全管理的控制策略在本机执行,它既可以控制本机向网络发起协议攻击,也可以保护本机受其他攻击的影响,它被要求强制安装。不安装被控制上网。安装过程非常简便,用户自己一键自动完成。而且,只需一次安装永久使用。
内网安全协议:通过这个协议把免疫网关、免疫服务器、终端驱动、监控中心等各种软硬件结合在一起,通过信息共享和联动控制使各部分发生作用。
欣全向通过免疫墙技术实现了面向内网安全和管理的免疫网络解决方案,表现四大突出特点:拓展到网络的最末端,深入到协议的最底层,盘查到外网的出入口,总揽到内网的最全貌,是软硬兼施、内外兼顾的系统化解决方案。
如今,经过多年的推广,欣全向产品已经深入到了教育、医疗、科研、石油等各个领域。IT168评测中心本次评测的正是通过巡路免疫墙网关进行免疫网络部署后的实际用户环境。本次测试,我们选择的地点是车道沟小学,这家学校已经应用了欣全向的免疫网关。
车道沟小学的机房环境
欣全向免疫网关
系统登录界面,必须安装控件才可登录
当前分组管理
ARP攻击拦截测试
拦截的数据包
正如刚刚大家看到的内容一样,我们本次对欣全向免疫网关的测试主要基于以下三种类型:ARP攻击防御、MAC地址克隆、数据包嗅探以及带宽管理等功能。为了更好的表现出欣全向产品的内网防御特征,特别是能够让大家清楚的了解这部分内容,我们制作了以下3个视频:
ARP攻击防御
嗅探防御
阻止MAC地址克隆
欣全向通过免疫墙技术实现了面向内网安全和管理的免疫网络解决方案,表现四大突出特点:拓展到网络的最末端,深入到协议的最底层,盘查到外网的出入口,总揽到内网的最全貌,是软硬兼施、内外兼顾的系统化解决方案。
自从2008年开始,中国的网络设备市场已经进入饱和期,单纯地销售网络设备没有高速成长的环境和条件。网络设备行业的未来发展存在2个主要方向,一是网络应用,二是网络安全管理。在这2个方向,都具有高速成长的市场空间,是行业内公司异军突起、发展壮大的较好机遇。本次,我们介绍的欣全向就是针对这一特定领域研发的重要产品,也是目前内网安全防护的主力厂商。
本次我们测试的欣全向产品,给我们带来了一整套内网安全解决方案,形成了一个完善的平台。未来在这个安全、稳定、可管理的网络基础平台之上,可以实现产品应用多元化的扩展,最终呈现出:VPN、认证计费、负载均衡、行为管理、应用审计、安全准入、应用流控、资产管理、风险评估等多方种特性产品。
免疫墙安全管理平台扩展方向免疫墙在内部网络中,对链路层和网络层传输过程和网络行为进行管理和控制,免疫安全运营中心(ImmunitySecurityOperationCenter,ISOC)提供对全网信息监控、审计,发布管理策略,由终端免疫驱动和路由器接收并执行策略,实现了网关、终端统一管理。为加载在网络上的各种信息化应用提供稳定可靠的基础网络,保障了网络内部安全、稳定、可管理,构成了一套基础安全平台,以这种平台为基础,配合上层传输安全、边界安全、系统安全、行为安全、应用安全等多层次的安全体系,最终实现网络及应用整体安全,打造一套现在信息企业所必需的能够以命相托的网络。
