《中小企业网络安全解决方案完整版》由会员分享,可在线阅读,更多相关《中小企业网络安全解决方案完整版(20页珍藏版)》请在金锄头文库上搜索。
1、中小企业网络安全解决方案HEN system office room【HEN16H-HENS2AHENS8Q8-HENH1688】瑞华中小企业网络安全 解决方案2009-10-26网络现状分析伴随网络的普及,安全日益成为影响网络效能的重要问题,而 Internet 所 具有的开放 使性信、国息际网性络和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何 系情使之统信息不一网受。尤病络毒和黑客的入侵,已成为所有用户信息化健康发展所要考虑的重要事 其情问题之是,证一券。如尤敏行业、企业单位所涉及的信息可以说都带有机密性,所以,其信息安全 感户问机信题,息构如的信息泄敏露、黑客的侵扰、网络资
2、源的非法使用以及计算机病毒等,都将对用 户机安构全信构息成威胁。为保证网络系统的安全,有必要对其网络进行专门安全防护 设计。企业网络分析企业网络面临的安全问题网络的发展加剧了病毒的快速传播系统漏洞、安全隐患多可利用资源丰富病毒扩散速度快 企业用户对网络依赖性强 网络使用人员安全意识薄弱网络管理漏洞较多内部网络无法管控信息保密性难以保证 基础网络应用成为黑客和病毒制造者的攻击目标 黑客和病毒制造者将攻击重点由以前的广域网转移到企业内网可能带来的损失 网络安全/病毒事故导致信息外泄和数据破坏,导致巨大财产损失 网络安全/病毒事故导致内部网络瘫痪,无法正常工作 网络带宽的不断加大,员工的行为无法约束
3、,使工作效率大大下降。 系统漏洞的不断增加,攻击方式多样化发展,通过漏洞辐射全网快速传播,导致网 络堵塞,业务无法正常运行。病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与境外服务器 连接,将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。网络行为无法进行严格规划和审计,致使网络安全处于不可预知和控制的瑞华中小网络安全解决方案面对以上的问题,瑞华公司根据对典型中小网络的分析,制定整体的网络安全 防护体系,对网络边界和网络内部进行了合理化的方案制定,做到最大限度的保障用户网络安全和内部协议传输的运行。对所有通过的数据进行检测,包括HTTP、FTP、SMTP. POP
4、3 等 协据传输的网络的规范应用进行管控,而且还提供了对外服务器的保护、防止黑客 对这些网 络的攻击等等。下面是部署典型中小网络结构拓扑图:方案设计思路划分安全域控制网络的安全的一种方法就是把网络化分成单独的逻辑网络域,如组织内 部的网络 域,和外部网络域,每一个网络域由所定义的安全边界来保护。这种 边界的实施可通过在相 连的两个网络或多个网络之间安全网关来控制其间访问 和信息流。网关要经过配置,以过滤 两个区域或多个网络之间的通信量和根据 组织的访问控制方针来堵塞未授权访问。边界防护的技术对策u 从外部传入计算机病毒、蠕虫和特洛伊木马等重大威胁 使用防毒墙中的防病毒模块进行病毒、木马的分析和
5、查杀。u 修改传输中的数据 使用防火墙的状态检测来完成发现对传输中数据的 非授权访问,另外也将阻止未授权用户在一个远程会话过程中的插入。u 从外部攻击 web 服务器、导致内部服务器瘫痪,业务终止。 网络中应 用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务 器提供的各种服务本身有可能成为黑客攻击的突破口,因此,在实施方案时要对 服务器的安全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上 提供对外服 务,就会面临着黑客各种方式的攻击,安全级别很低。因此当安 装防火墙后,所有访问服 务器的请求都要经过防火墙安全规则的详细检测。只 有访问服务器的请求符合防火
6、墙安全规 则后,才能通过防火墙到达内部服务 器。防火墙本身抵御了绝大部分对服务器的攻击,外界 只能接触到防火墙上的 特定服务,从而防止了绝大部分外界攻击。u 非法用户侵入网络和 ARP 攻击等重大威胁使用防火墙的 IP 和 MAC 地址绑定可以有效的避免 arp 攻击导致网络瘫痪的 发生。从而 避免了外部用户非法接入现象的发生。局域网病毒防护u 单一的防毒策略,导致局域网病毒无限制蔓延 使用瑞星网络级防病毒体 系可以部署多层次病毒防线,截断病毒可能传播的各种渠道,如服务器、客户端等,保证斩断病毒可以传播、寄生的每一个节点,实现病毒 的全面防范u 局域网用户无法在线升级,无法统一管理,导致整个网
7、路没有规范性。 没有集中管理的防病毒系统是不完整的防毒系统。只有构建了统一的防病毒 集中管理系统,才能保证了整个防毒产品可以从病毒监控管理中心及时得到更新,同时又使 系统管理人 员可以在任何时间通过管理控制台对整个防毒系统进行集中管理, 使整个系统中任何一个节 点都可以被管理人员随时管理,保证整个防毒系统有 效、及时地拦截病毒。u 局域网用户系统漏洞日益增加,蠕虫病毒的不断泛滥等重大威胁 使用瑞星网络版杀毒软件可以统一修复局域网用户的系统漏洞及其不 安全设置。u 无法确定内部机器中毒范围,定义机器进行处理 通过管理控制台全面 直观地展现整个网络中的安全情况:网络内存在哪些病毒,哪些客 户端存在
8、病毒,客户端的升级情况和比例,防病毒系统系统的运行情况(系统中心 升级情况, 日志记录是否超大,授权数是否超出)。并针对这些分析给出指导性 的操作建议。让网络管 理员能够轻松地掌握网络中的总体安全情况并及时调整 防毒策略。内部网络管理互联网控制网关是面向企业用户的软硬件一体化的控制管理网关,它提供强 大的网页过 滤功能,屏蔽员工对非法网站的访问;提供了基于时间、用户、应 用的精细管理控制策略, 控制员工在上班时间干与工作无关的事情。如:网络 游戏、炒股、观看在线视频,以及无节 制的网络聊天等等,从而保障工作效率 提供了对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免了企业机
9、密信息泄露;此外网康ICG还提供应用层的带宽 管理,有效阻止、限制 P2P 等严重消耗带宽的应用,确保企业的核 心业务带宽得以保障。企业管理最头疼的事防火墙:联想网御防火墙拥有创新的 VSP、USE、MRP 等安全关键技术,采用了独创的较为先进技术- 深度核过滤技术,即基于 OS 内核的深度内容过滤技术。其产品在众多领域已经部署了 4 万台以上,市 场 占有率名列前茅。今年6月,联想网御发布了万兆级安全网关产品一一金刚安全网关KingGuard。该款 产 品成为迄今为止业界处理性能最高的万兆安全网关产品,它首创在信息安全产品中应用矩阵式并行计 算系统Windrunner。网络防病毒软件:瑞星中
10、小企业版杀毒软件具备优秀的病毒查杀引擎,实现 全方位、多 层防护,针对服务器、工作站等部署病毒防护系统,保证斩断病毒 可以传播、寄生的每一个 节点,实现病毒的全面防范。上网行为管理系统:网康ICG集上网行为管理和网络安全防御于一体,全面 解决中小企 业在网页过滤。内容审计。应用管理、流量控制、用户管理和安全 防御等多方面的网络管理 问题。产品具有部署方便、灵活,易于操作等特点。 方案实施后达到的效果瑞星网络版防病毒实施后达到的效果通过对网络建立统一的整体网络病毒防范体系,在网络内部建立统一的病毒防范策略, 从而达到对整个网络达到以下病毒防范效果:u 建立防病毒中央控管系统 可以实时记录防护体系
11、内每台计算机上的查 杀病毒情况、主动防御信息、漏洞情况、安全状况等,为超级管理员分析整个网络中的安全情况提供了大量的依据。通过管 理控制台发 布查杀病毒、升级等各项命令,统一设置网络安全的各种策略,实现对整个防护 系统的自动 控制,保障整个网络安全。u 实时监控客户端防毒状况 网络管理员在管理控制台上能实时地查看到每个客户端的下列信息:l 扫描状态l 实时监控的状态l 主动防御的状态l 版本信息l 感染了哪些病毒 根据上述信息,管理员可实时跟踪到每一个客户端的防毒状况,以便做出应对措施。u 支持集中的病毒报警和报告 在管理服务器上能够方便地查看全部范围(或组范围)的病毒报警和报告,包括感染节点
12、的主机名、IP地址、病毒名称、清除情况、被感染文件的路径等。u 快速响应 建立及时、快速的病毒响应、处理机制,能够迅速抑制病毒在网络中的传播。从发现病 毒及病毒行为到上报控制台报警信息更迅速,能够快速的定位病毒来源,病毒名 称,以便网络管理员能够迅速觉察并进行处理。u 统一的自动升级 为了满足不同用户的升级需求,瑞星制定了多种升级方 式,网络智能升级、手动升级、代理升级。u 客户端病毒防护效果 对客户端进行全面的升级防护,统一升级、统一 管理。实施保持客户端病毒库处于最新状态,全面监控客户端的运行状况。包括:病毒日志、不安全设置、系统漏洞 等等。u 主动防御更可靠 系统加固:针对系统的薄弱环节
13、进行加固,防止系统被 病毒破坏。木马入侵拦截:最大程度保护用户访问网页时的安全,阻止绝大部分挂马网页对用户的侵害。木马行 为防御:基于病毒行为的防护,可以阻止未知病毒的破坏。u 漏洞扫描与补丁分发管理瑞星漏洞信息管理工具给网络管理员提供了一个便捷的途径,使网络管理员 在短时间内 做好整个网络系统的安全防范工作。是网络更加彻底的清除各种漏 洞、加固了系统。许多病 毒行为是借助系统的漏洞及缺陷等,不修补漏洞而单纯 反复的借助防病毒系统来清除借助此 漏洞进行传播及破坏的病毒程序将是徒劳 的。漏洞扫描配合补丁分发功能对每台客户端的漏 洞扫描结果有针对性的分发 补丁程序、修补漏洞,才能真正解决系统的安全
14、性,防止重复性 的入侵及病毒 感染。特别能够有效的防止威金系列病毒在网络中的传播。防火墙实施后达到的效果u 防火墙是网络安全的屏障: 防火墙系统可以说是网络的第一道防线。一个防火墙(作为阻塞点、控制点)能极大地 提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经 过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如 众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利 用这些脆弱的协议来攻击 内部网络。防火墙同时可以保护网络免受基于路由的 攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可 以拒绝所有以上
15、类型攻击的报文并通知防火墙管理 员。u 防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置, 能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的 集中安全管 理更经济。例如在网络访问时,一次一密口令系统和其它的身份认 证系统完全可以不必分散 在各个主机上,而集中在防火墙一身上。u 对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那 么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当 的报警,并 提供网络是否受到监测和攻击的详细信息。另外,收集一个
16、网络的 使用和误用情况也是非常 重要的。首先的理由是可以清楚防火墙是否能够抵挡 攻击者的探测和攻击,并且清楚防火墙 的控制是否充足。而网络使用统计对网 络需求分析和威胁分析等而言也是非常重要的。u 防止内部信息的外泄: 通过利用防火墙对内部网络的划分,可实现内 部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关 心的问题, 一个内部网络中不引人注意的细节可能包含了有关安全的线索而引 起外部攻击者的兴趣,甚 至因此而暴漏了内部网络的某些安全漏洞。使用防火墙 就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所 有用户的
