分享到:
信息安全
当前位置:首页>主营业务>系统集成>信息安全

园区网信息安全

时间:2015/1/5 | 关闭 | 打印

1 方案介绍

  随着IT基础架构、移动互联网等技术的发展和变化,传统园区网络的安全防护手段和思路面临着诸多挑战。首先,传统园区网往往会为每个业务建设一张独立的物理网络,但是在新一代园区网中业务种类越来越多,传统的建设模式会使得网络运维管理非常复杂,也不利于网络资源的有效利用。然后,传统园区网中的安全设备都是零散分布在区域边界,性能瓶颈、单点故障、信息孤岛等问题也困扰着网络运维人员。最后,新一代园区网络中移动终端种类和数量越来越多,任何一个终端设备都有可能成为入侵整个园区网络的跳板。

  传统园区网的诸多挑战对新的安全解决方案提出了迫切需求。新一代园区网安全解决方案应运而生,为用户带来立体化、智能化的安全解决方案。

2 方案优势

2.1 虚拟化园区网络架构

  通过虚拟化技术将园区网络的接入层,汇聚层与核心层设备各自进行横向虚拟化,将多台冗余设备虚拟化为单台逻辑设备,形成一个网络管理与转发节点。横向虚拟化完成以后通过链路捆绑技术完成上下行链路的连接,无需再运行复杂的生成树协议。所以新一代园区网络的网络结构是简单的、路由表是简单的、管理是简单的。

2.2 终端安全准入和管控

  针对新一代园区网络中终端设备呈现出的类型多样化和接入无界化的发展趋势,提出了“BYOD终端移动化解决方案”。该方案支持802.1X、Web Portal、MAC和VPN等多种认证方式;支持完善的身份生命周期管理能力、独特的访客接入模式和基于角色的资源访问控制能力;支持对终端设备进行外设控制、黑白软件管理、防病毒管理、客户端ACL等安全控制策略;支持细致的网络访问行为审计能力,通过详细的报表可以轻松掌握智用户网络访问轨迹。

2.3 关键路径的纵深防御

  新一代园区网络要以“流量路径”为核心构筑层层递进的纵深安全防御体系。首先通过合理划分安全区域确定安全防御边界,包括互联网接入区、广域网接入区、用户接入区、服务器接入区等安全区域,然后根据流量路径上的每一道区域边界进行安全防护部署。依据“纵深防御“原则,流量路径的边界防护应具备网络层、应用层等多层次的防御能力,在流量路径上通过防火墙、入侵防御、Web应用防火墙等产品的策略组合形成有力的防御体系。

  在园区网中,互联网接入区作为连接园区内网和外部互联网的桥梁,一方面为园区网用户提供了访问互联网资源的能力,另一方面互联网带来的蠕虫、木马、钓鱼网站等各种攻击方式对园区网络的安全产生了严重威胁。因此互联网接入区是整个园区网络中最为重要的安全防护部分。在互联网接入区,不仅要部署防火墙、入侵防御、Web应用防火墙等安全防护设备,同时也需要部署应用控制网关提供互联网应用访问分析和流量分析,部署负载均衡设备提供多出口链路的高可靠性。

2.4 安全态势监测与分析

  在传统园区网络中,由于安全业务设备的种类不同、厂商不同和地理位置分散等问题导致安全业务运维非常复杂。另外由于各类安全业务设备的日志信息难以做到集中统一关联和分析,导致了园区网络“安全孤岛”的产生,很难从杂乱无章的安全日志中分析安全态势和追溯安全事件。该方案将网络中的终端、网络安全设备、应用服务器等IT资源全部纳入安全监测范畴内,在统一的平台上进行日志信息、安全事件的统一收集、归类处理、智能关联和分析,可以实时动态分析园区网安全态势、回溯安全事件和安全预警,便于安全运维人员掌握安全状态。

4 典型组网