企业网络安全NGFWICG方案

1、1 / 12 下载文档自由编辑打印 安全解决方案安全解决方案 北京网康科技有限公司 2 / 12 下载文档自由编辑打印 目录 1 1安全风险分析安全风险分析 .3 3 1.1 来自公网的安全风险分析 .3 1.2 来自内部人员及分部的安全威胁 .3 2 2安全方案设计安全方案设计 .4 4 2.1 方案概述 .4 2.2 总体设计 .4 2.3 详细设计 .5 2.3.1 外部安全防护 .5 2.3.2 内部安全防护 .7 3 3网康方案价值与产品优势网康方案价值与产品优势 .1010 3.1 易用性 .10 3.2 健壮性 .11 3.3 产品优势 .11 3 / 12 下载文档自由编辑打印

2、 1 1安全风险分析安全风险分析 1.11.1 来自公网的安全风险分析来自公网的安全风险分析 由于内部网络中其办公系统及各人主机上都有涉密信息。假如内部网络的一台机器安 全受损（被攻击或者被病毒感染） ，就会同时影响在同一网络上的许多其他系统。透过网络 传播，还会影响到与本系统网络有连接的外单位网络。 如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容 易造到来自外网一些不怀好意的入侵者的攻击。如： 入侵者通过漏洞扫描、Sniffer 嗅探等工具来探测扫描网络及操作系统存在的安全漏 洞，如网络 IP 地址、应用操作系统类型、开放哪些服务端口号、系统保存用户名和口 令等安

3、全信息的关键文件等，并通过相应攻击程序对内网进行攻击； 入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内 部合法身份进行非法登录，窃取内部网重要信息； 恶意攻击:入侵者通过发送大量 PING 包对内部网重要服务器进行攻击，使得服务器超 负荷工作以至拒绝服务甚至系统瘫痪； 发送大量包含恶意代码或病毒程序的邮件。 1.21.2 来自内部人员及分部的安全威胁来自内部人员及分部的安全威胁 据调查在已有的网络安全攻击事件中约 70%是来自内部网络的侵犯。来自机构内部局 域网的威胁包括： 误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏，还是 没有访问关键系统

4、权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷 窃、损坏或删除将给企业带来很大的负面影响。 因不当使用 Internet 接入而降低生产率。不当使用 Internet 资源不但会浪费工人的 时间，还能增加计算机网络的负担，降低了人员与网络的工作效率。 如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大 内耗。 内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令； 4 / 12 下载文档自由编辑打印 内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人 涉密信息传播出去； 内部人员利用公司网络访问黄色网站、反动网站和其他

5、与工作无关的网站； 内部人员访问不良网站时，无意中执行了网页上的恶意代码或病毒程序； 内部人员使用移动存储设备，不小心涉带有关病毒，导致网络瘫痪； 内部人员使用 BT、P2P 下载，严重影响网络使用 2 2安全方案设计安全方案设计 2.12.1 方案概述方案概述 我们为贵单位网络构架了一个整套的安全体系结构，整个体系中最基本单元是每台在 线主机的安全，即安全体系中的每一个点；子网/局域网是体系中的块状组成部分，是安全 体系中的各个面；整个安全体系由各个层次和面组成，形成安全体系的立体框架。我们知 道实现网络安全不是一次可以完成的任务，需要不断根据网络环境和网络管理进行调整， 我们设计的解决方案

6、充分兼容今后的安全管理及优化的需求。 基于以上的分析，我们建议以系统的内部安全优化修复，清除网络安全漏洞为主要手 段，提高网络内每个点的安全系数，清除各点的安全隐患，以网络优化系统、防火墙和防 毒软件等安全产品对网络施以自动监控和防御，在各个面形成有效的防御体系，最后通过 加强人员培训，提高管理水平，制定先进的安全策略，消除全网的各种安全威胁，全面提 高软件、硬件和人员的安全水平，形成一个牢固的，立体的网络安全防御体系。 2.22.2 总体设计总体设计 依据我们的安全系统设计原则，并结合贵单位网络系统的实际情况和需求，采用一系 列产品搭建安全防范体系，通过安全技术和管理手段，使安全产品充分发挥

7、其安全保护的 作用。 首先，从安全区域上，我们将网络划分为：服务器区、办公区，并采用防火墙将上述 各个区域进行隔离，以对各个区域之间的相互访问进行访问控制，构成第一道安全防护体 系。对于接入 Internet 的区域，都将 Internet 的 LAN 接口接在防火墙的接口上，从而实 5 / 12 下载文档自由编辑打印 现对来自 Internet 的入侵的防护。 第二，为了对保护公司本部的重要服务器（如管理服务器、邮件服务器、数据库服务 器） ，特将这些重要的服务器放在同一网段，用防火墙进行访问控制，该网段称为非军事化 区（DMZ 区） 。再使用 SSL VPN 设备将重要服务器进行发布，对外

8、呈现只有 SSL VPN 一个服 务，并根据具体要求配置 SSL VPN 安全访问策略，保护公司本部的重要服务器。 第三，在网络出口防火墙与核心交换机间部署网康互联网控制网关（ICG）设备，对内 网的所有网络行为进行审计和记录，及时有效地管理办公人员的上网行为，包括网页服务、 即时聊天、论坛言论发布、邮件收发等；除此之外还可进行全网的流量分析，并阻断 P2P 及与办公无关的应用，保证带宽的使用价值，提升网络的可用性，减少投资。并可以分析 网络带宽利用状况，方便排除网络故障。 第四，通过网康防火墙的部署，全面地保护内部各区域网络不受到病毒的入侵和破坏。 利用全方位的企业防毒产品，实施“层层设防，

9、集中控管，以防为主、防治结合”的策略， 使网络没有能成为病毒入侵的薄弱环节。 拓扑图如下： 6 / 12 下载文档自由编辑打印 2.32.3 详细设计详细设计 .1 外部安全防护外部安全防护 网康下一代防火墙 NGFW。通过深入洞察网络流量中的用户、应用和内容，并借助全新 的高性能单路径异构并行处理引擎，NGFW 能够为用户提供有效的应用层一体化安全防护， 帮助帮助用户安全地开展业务并简化用户的网络安全架构。 入侵、病毒、木马防护入侵、病毒、木马防护 网康下一代防火墙 NGFW 提供了对黑客入侵、上传或下载病毒和木马的防护手段。通过 在“策略配置”界面配置“安全策略” ，用户可

10、以非常方便地实现基于用户、应用、服务和 时间的一体化防护。 针对企业的具体情况，建议采用开启对服务器域从外到内的 IPS 和 AV 防护，防范从外 部发起的网络攻击、传病毒、传木马等行为；开启从内到外的 IPS、AV 防护和 URL 过滤， 防范内部用户的攻击、染毒、僵尸主机或访问恶意网站等行为。 策略配置完成后可以在设备首页实时看到当前网络的威胁和告警信息，同时也可以在 监控中心的威胁日志、告警日志和网址过滤日志中看到更多的细节信息。 DoSDoS 防护防护 网康下一代防火墙 NGFW 提供了对 DoS 攻击的防护功能，可以配置策略针对不同的 DoS 攻击类型进行聚合防护和分类防护。 针对企

11、业的具体情况，建议分别对从内到外和从外到内的 DoS 攻击防护进行配置。其 中，服务器域的连接数阈值要相应提高。 ARPARP 防护防护 网康下一代防火墙 NGFW 支持通过绑定静态 ARP 的方式防止 ARP 攻击。 建议企业根据实际网络拓扑情况在各核心设备上开启静态 ARP 功能，进行 IP 和 MAC 的 绑定，防止 ARP 欺骗造成的无法联网或无法访问某些网站的现象产生。 网络攻击防护网络攻击防护 网康下一代防火墙 NGFW 支持通过对常见网络攻击进行防护，如 TearDrop、LAND、WinNuke、Smurf、Fraggle 和 Ping Of Death 等。 建议企业开启网络

12、攻击防护功能，保障网络服务器的安全。 主动发现服务器是否被植入木马主动发现服务器是否被植入木马 7 / 12 下载文档自由编辑打印 网康下一代防火墙 NGFW 提供了深入的应用洞察能力，用户可以通过简单的配置方便地 主动发现服务器是否有异常行为，从而发现服务器中隐藏的木马。 主动发现网络中存在风险的服务器或僵尸主机主动发现网络中存在风险的服务器或僵尸主机 建议采用以下方式主动发现网络中存在风险的服务器或僵尸主机。 1. 定期查看“应用分析”模块，筛选应用名称为“木马” 、 “远程桌面” 、 “ssh” 、 “HTTP PROXY”等高风险应用，查看产生这些应用流量的 IP 地址，根据需要进行防

13、护和整 改。 2. 定期查看“应用分析”模块，筛选网址类别为“木马病毒” 、 “钓鱼网站”等高风险 网址，查看排名前几名的 IP，主动对这些 IP 进行杀毒。 3. 定期查看“监控中心”的应用对比统计功能，查看网络中同一时段的应用连接数和 流量变化，当高风险应用连接数和流量较大时，可在“应用分析”和“流量日志”中找到 相应时段的流量细节。 主动检测网站是否被挂黑链或挂马主动检测网站是否被挂黑链或挂马 建议采用以下方式主动网站是否被挂黑链或挂马。 1. 在网站服务器或其他无人使用的服务器上设定计划任务，定时访问 xxx 政府机关官 方网站首页。 2. 定期查看“应用分析”模块，筛选源地址为服务器

14、 IP，筛选普通 HTTP 应用，查看 目的 IP 地址是否正常，若出现异常 IP 地址即为被挂黑链，若筛选的 IP 地址出现较大 HTTP 下载流量即为被挂马。 .2 内部安全防护内部安全防护 网康互联网控制网关（ICG） ，为用户提供专业的用户管理、应用控制、网页过滤、内 容审计、流量管理和行为分析等功能。可以帮助客户达成上网行为可视、减少安全风险， 减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源。 1、内容审计 外发信息审计外发信息审计 通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性 等问题也随之而来。本方案提供全方位的审计功能，可实现

15、针对 IM、邮件、FTP、论坛发 帖等应用的内容审计。 8 / 12 下载文档自由编辑打印 审计功能在默认配置下关闭，需要管理员手动打开审计功能，方可实现全方位的审计。 同时，可通过分级分权功能，收回设备管理员审计功能的权限，以彻底关闭审计功能，在 这种情况，打开审计功能的权限仅超级管理员拥有。 邮件收发审计和过滤邮件收发审计和过滤 网康 ICG 不但可以审计通过任意端口的 POP3 和 SMTP 协议收发邮件内容，同时还可以 审计通过 WEB-MAIL 发送邮件的内容，实现对用户邮件收发内容的全面审计。 2、行为管理 网页过滤网页过滤 Web 是互联网上内容最丰富、访问量最大的应用，然而网页

16、内容良莠不齐，充斥许多 反动、暴力、色情以及其它不健康的信息；此外，大量网络应用，如 P2P，IM，网络电视、 游戏等等，也借助 HTTP 协议或者 80 端口，一方面躲避防火墙的封堵，一方面携带病毒、 恶意软件，为内网用户带来安全风险，挤占网络带宽。网康 ICG 通过预分类过滤技术、URL 自动分类引擎以及灵活的策略设置，对违反国家法律、危害企业安全的内容进行过滤，避 免用户有意无意访问包含非法内容的网页，净化网络，减少病毒进入局域网的几率，降低 企业法律风险，创造文明健康的上网环境。 最领先的中文 URL 分类数据库 网页内容浩如烟海，URL 数目数以千万计。传统的网页过滤通过预设的关键字

17、，对网 页内容进行匹配，效率很低，而且误封率居高不下，已经退出应用的主流。另外一种方法 是预先设置需要封堵的 URL 列表，对 URL 进行实时的匹配过滤，这也存在很大的缺陷，由 于 URL 数量巨大，依靠手工添加方式不可能实现完整的过滤，而且对 URL 列表的更新管理 几乎不可能。目前国际上最先进的方式是将 URL 按照一定的标准进行预分类，然后由网关 设备对类别进行过滤，既解决了过滤效率的问题，又保证了过滤的完整性与实效性。 应用控制应用控制 随着技术的迅猛发展，各种互联网应用层出不穷，如即时通讯（IM） 、网络游戏、在线 炒股以及在线音乐视频等等。未加管理的使用，不可避免地影响员工的工作

18、效率。在一项 调查中，超过 80%的员工在上班时间做过与工作无关的工作，其中，有 60%的被调查员工承 认其主要是在玩网络游戏、用 QQ / MSN 等即时通讯软件聊天，以及炒股等等。这些不当网 络活动大大降低了员工的工作效率，造成了企业人力资源的严重浪费。同时，与工作无关 的应用，如 P2P 下载、在线视频等对带宽资源的挤占，使得关键业务的使用质量无法保障， 大大降低了出口链路的利用率，造成了企业带宽资源的严重浪费。 9 / 12 下载文档自由编辑打印 基于特征识别的覆盖全面的应用协议数据库 欲控制各种网络应用，必先准确识别。传统安全产品通过 IP 或者端口封堵各种协议， 只能局限于标准的协

19、议，如 HTTP，SMTP，且主要是在网络层以及传输层进行，对应用层的 内容无能为力，而且，如果 IP 与端口经过动态协商建立，比如 QQ，P2P 下载等，则完全不 能胜任。网康 ICG 对应用的识别是通过应用特征与行为特征实现的。所谓应用特征，是指 在成序列的数据包的应用层信息中，存在有规律的字节特征，它可以唯一地标识某种应用 协议，就如同一个人无论穿什么颜色的衣服，其指纹特征不会改变，而且是唯一的。类似 地，ICG 可以通过特征值准确地识别网络应用；而行为特征，是指连续多个包或者多个并 发的网络连接表现出来的某种行为模式具有一定规律性，通过这些行为模式可以识别特征 值不明显的应用类型。 网

20、康 ICG 拥有国内最全面的网络应用协议数据库，分为 20 余种大类，共 2000 多种协 议。 3、带宽管理 网络感知网络感知 网康行为管理设备提供丰富的监控界面，可以实时显示网络运行情况，以图标形式显 示设备实时流速、用户实时流速、应用实时流速、实时审计日志等，如下图： 支持灵活的流量限额手段支持灵活的流量限额手段 流量限速 流量限速功能可以基于时间、VLAN、对从源用户（组）去往目的用户（组）的网络应 10 / 12 下载文档自由编辑打印 用上传、下载流速进行限制。 每用户带宽上限 每用户带宽上限功能可以对每个用户的带宽进行管理，具体分为每用户的带宽上限控 制和通道内每用户的带宽上限控制

21、。 流量限额 网康 ITM 还可以从流量的角度对网络应用进行管理，通过每用户的流量限额和通道整 体的流量限额功能，为某种网络应用设定流量限额阀值，在预定的周期性时间段范围内， 限制此应用的流量总额连接控制 支持丰富的流量保障手段支持丰富的流量保障手段 带宽保证 带宽保证功能可以在带宽资源有限而多种网络应用并存的情况下，通过为关键业务建 立并指定带宽通道的方式，从而避免了关键业务应用与非关键业务应用共同争用带宽，有 效保障了关键业务应用的正常使用。 带宽预留 在保障关键业务应用时，既可以通过通道的带宽保证来实现，也可以通过带宽预留来 实现。带宽预留可以对对进入特定通道的某（些）关键业务的应用架设

22、“带宽专线” ， 通 过划分专门的带宽，使关键业务在任何时候都可以独享该通道全部的带宽资源，彻底避免 非关键业务无序抢占此专线带宽资源，从而使关键业务应用的带宽需求能获得可靠保障。 带宽平均 根据通道里用户数量的动态变化实时调整各用户的带宽分配，保证流经通道里的所有 用户动态平均享用该通道的全部带宽资源，实现带宽资源得到高效与公平地利用。 3 3网康方案价值与产品优势网康方案价值与产品优势 3.13.1 易用性易用性 该方案可以支持透明桥接、网关、旁路镜像、代理模式等多种部署方式， 可以最大程度兼容各种网络环境下的部署需求，同时最大程度地减少对现有网 络结构的改造需求，设备上线十分简单，操作量

23、小，实施快速。 修改任何设备配置无需重启，满足不间断运营的要求；采用图形化报警方 11 / 12 下载文档自由编辑打印 式，使得风险可快速被管理员获得；管理采用 HTTPS 方式，对浏览器无插件依 赖；系统健康参数一目了然，CPU，内存，硬盘使用率，持续运行时间一目了然； 排错简单，一键 bypass 功能按下后，可直接定位问题是否由设备造成；各分支 设备可集中管理，实现设备状况统一监控，策略集中下发，集中回收；通过图 形化的操作方式，以及标准的配置过程模式，利用鼠标的勾勾选选即可实现策 略的完整配置，满足非专业人员的快速使用。 设备版本一键升级，用户只需点击升级按钮即可实现全版本的更新，原有

24、 配置与日志数据可完全保留；整个升级过程不依赖客户端，没有任何需要判 断的分支步骤 ；URL 数据库与应用协议库保持以天为单位的快速更新。 3.23.2 健壮性健壮性 网康设备提供硬件 bypass 与软件 bypass 双重保护，确保发生异常时网络 依然畅通。通过带电模式下的智能 bypass 功能，当系统出现宕机等严重异常时， 工作接口可以自动的物理导通，同时管理接口还可以继续排查设备的问题。在 不影响用户正常使用的同时，还能定位问题的来源。 网康科技的产品拥有多项高性能优化专利，在同等级的硬件平台上可以提 供更强的处理转发性能，从而有效的避免新添加的设备带来的网络延时，在提 供上网行为管理功能的同时，不会影响原有线路的质量。 网康科技采用了自主研发的 NSOS 操作系统，并进行了专门安全加固，可有 效的防护对设备的攻击和入侵，全面保障设备自身的安全。 网康科技采用了独有的用户交互隐身技术，无论是对用户弹出