解决方案

首页 > 解决方案

物理网络建设

作者:管理员  发布时间:2015-7-15  浏览量:7882

交换机

交换机主要承担各主要应用系统的数据传输工作。根据需要分发到不同的目的地址。并且根据业务划分不同VLAN,配置各VLAN间访问策略,保证不同应用系统的数据传输不互相影响。各层交换机做IPMAC地址绑定,实现私自接入网内设备的定位和阻断。

 

负载均衡

采用智能路由技术、DNS透明代理技术以及链路繁忙控制技术可以实现基于链路的负荷情况、时间段、用户群体、访问对象等因素来分配链路的分配机制,进一步提升链路优化使用率。

DNS透明代理,避免由于内网用户填写同一运营商DNS服务器地址而造成链路拥塞和访问速度变慢的情况;同时支持为用户访问的特定域名指定访问链路,提升各条链路利用率,避免链路拥塞。

链路繁忙控制,为每条链路设定阀值,避免过多用户被分配到同一链路之上,造成用户访问速度降低。

智能路由,方便用户配置管理设备,提供基于时间段的链路负载机制,在不同时间段使用不同的负载均衡算法,满足网络个性管理需求。

智能告警,一旦链路、应用系统、设备本身出现故障,就会通过邮件或者短信的形式通知管理人员进行相应的处理。

准入控制器

网络准入控制是安全接入控制系统的一个管理组件。借助网络准入控制技术,可以对接入网络的客户机设备进行控制,只有合法身份和满足安全要求的客户机才允许接入网络。

网络准入控制可以帮助用户很好地解决如下问题:

n  防止非法的外来电脑接入网络,影响内部网络的安全;

n  对终端接入网络进行审计和策略控制,终端设备接入网络时,需要进行权限的批准和回溯审计,且必须保证账户不能多次、重复登录,账户关联到个人;

n  IP地址、MAC地址进行对应绑定,保证地址的唯一性;

n  防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络,影响网络的正常运行;

n  确保接入网络的客户机符合安全管理要求。

n  帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。

 

网络准入控制杜绝非法外来电脑接入内部网络;同时将有问题的客户机隔离或限制其访问,直到这些有问题的客户机修复为止,这样,一方面可以防止这些客户机成为蠕虫和病毒攻击的目标,还可以防止这些主机成为传播病毒的源头。

防火墙

在运维区、应用区、外联区及合作单位接入边界均部署防火墙。配置访问控制策略、做流量控制、DDOS防御、内容过滤。

实现:

a)   在网络边界部署访问控制设备,启用访问控制功能;

b)   能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;

e)   限制网络最大流量数及网络连接数;

g)   按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;

防毒墙

针对办公区的数据特点,在其边界部署防毒墙。过滤病毒、木马、恶意代码;阻止非法网站、带毒邮件。

WAF

将所有需要与公网进行数据交换的服务器独立划分为DMZ区,在DMZ区边界部署WAF设备。实现web服务器防篡改、防SQL注入,同时避免影响其他服务器的正常工作。透明模式部署,宕机时直接bypass

堡垒机

目标是帮助企业转变传统IT 安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益。

a)   对登录网络设备的用户进行身份鉴别;

b)   对网络设备的管理员登录地址进行限制;

c)   网络设备用户的标识唯一;

d)   主要网络设备对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别;

e)   身份鉴别信息具有不易被冒用的特点,口令应有复杂度要求并定期更换;

f)   具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;

g)   当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听;

h)   实现设备特权用户的权限分离。

IPS设备

入侵防御系统Intrusion Prevention System是对防火墙有益的补充,入侵检测系统被认为是防火墙之后的第二道安全闸门,对网络进行检测,提供对内部攻击、外部攻击和误操作的实时监控。此设备串联部署在应用区边界,检测、拦截攻击。

实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。

a)   在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;

b)   当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。

c)   对进出网络的信息内容进行过滤,实现对应用层HTTPFTPTELNETSMTPPOP3等协议命令级的控制;

d)   重要网段采取技术手段防止地址欺骗;

漏洞扫描

监管部门现场检查

目前,信息风险管理是大型组织、机构所关注的重要问题,因此各行业监管部门都会对管理的网络系统定期开展安全大检查工作。需要采用一套测评工具就能够自动化的对重要信息系统进行漏洞、配置、重要信息等多方面、全方位的安全测评,为安全检查工作提供了方便高效的工具支持,提供了标准量化的数据支撑。

日常安全运维检查

自动根据任务结果生成评估和分析报告,自动发送报告。系统能够自动维护自身升级,保持对最新安全漏洞的检查能力。

对漏洞扫描结果、配置检查结果、系统运行信息的分析结果进行量化。能够提供全方位,多层次的智能分析报告,为改进系统安全提供有力的决策支撑,能够提供纵向安全状态变化的趋势分析,为安全改进措施效果提供直观依据。