AngellRO防火墙企业级解决方案

AngellPRO防火墙企业级解决方案企业网络安全解决方案企业网的建设成功为企业信息化打下了基础，为企业的生产经营的开展提供了高效的信息传输手段。在网络信息资源日益丰富的同时，对信息的安全保密性提出了更高的要求。由于历史和技术等原因，在企业网的建设中，比较少或基本上没有考虑安全等因素。在安全性方面，比较突出的表现在以下几个方面：身份认证和资源访问控制、数据的安全传输、邮件的加解密和一些特殊的安全防范等问题。一企业网络安全解决思路设计、服务提供依据采用P2DR模型。通过信息安全表述模型——P2DR模型的分析，我们可以对需要建设的整体解决方案有一个完整的概念。确定Policy策略、Protection防护、Detection检测和Response响应四个方面的安全需求。P2DR模型阐述了一个提供7×24不间断安全管理和保障的产品和服务的全部综合套件以及全面安全解决方案。P2DR方案是一个超前的安全模型。它的指导思想比传统安全方案(传统安全在本质上是静态的，如防火墙和加固验证等)有突破性提高。Policy策略、Protection防护、Detection检测和Response响应组成的完整模型体系，可以描述和解释任何信息安全问题。P2DR安全模型的特点就是动态性和基于时间的特性，可以说对信息安全的“相对性”给予了更好地描述：虽然没有100%的安全，但是模型为进一步解决信息安全技术问题提供了有益的方法和方向。由P2DR的数学模型我们得到结论：安全的目标实际上就是尽可能的增大保护时间，尽量减少检测时间和响应时间。按照P2DR模型，信息安全方案可以最大限度地保护信息不受诸多威胁的侵犯，目的是确保商务连续性，将商务损失和风险降低到最小程度，将投资回报和商业机会提高到最大程度。•

Policy（安全策略）由于安全策略是P2DR安全模型的核心，所以要想实施动态网络安全模型，必须首先制定企业的安全策略，所有的防护、检测、响应都是依据安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段。对于一个策略体系的建立包括：安全策略的制订、安全策略的评估、安全策略的执行等。•

Protection（保护）保护通常是通过采用一些传统的静态安全技术及方法来实现的，主要有防火墙、加密、认证等方法。通过防火墙监视限制进出网络的数据包，可以防范外对内及内对外的非法访问，提高了网络的防护能力，当然需要根据安全策略制定合理的防火墙策略；也可以利用SecureID这种一次性口令的方法来增加系统的安全性等等。•

Detection（检测）在P2DR模型，检测是非常重要的一个环节，检测是动态响应的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响应。在我们采用了一系列静态安全措施后，比如设置了防火墙、进行身份验证、采用了加密算法等等，我们是否就能认为我们的网络是安全的呢？应该如何来评估网络的安全性？实际上网络的安全风险是实时存在的，所以我们检测的对象应该主要针对构成安全风险的两个部分：系统自身的脆弱性及外部威胁。检测的内容主要包括网络和系统漏洞扫描、入侵检测以及病毒扫描等等。板•

Re堡spons们e（响应抄）尺紧急响应在米安全系统中略占有最重要粒得地位，是悉解决安全潜年在性最有效凉的办法。在足检测到安全部漏洞和安全楼事件之后必般须及时做出仪正确的响应液，从而把系脉统调整到安蒙全状态。从般某种意义上蜓讲，安全问捡题就是要解桥决紧急响应甜和异常处理愈问题。要解脾决好紧急响凑应问题，就吵要制订好紧基急响应的方弊案，做好紧化急响应方案恋中的一切准抹备工作。森二安全系嫩统设计模型平那安全建设过渡程是一个系讲统化过程。薪因此，安全六建设的初期姻考虑中必须症站在全局，眯而不是局部工的角度来设汗计组织的安迟全规划。躲按照IS蹦O1779节9的标准菠，我们可以震将其浓缩为耍以下图示。圾该标准涉及幕了安全建设诚中需要考虑袋的各个方面捆，对组织的劈安全建设具嘴有非常全面能的指导作用倾。撤安全建设参异考模型塔以上模型中诱所包含的概举念如下：勾•

物理锅和环境安全陵：物理和环海境安全是保毛护计算机设军备、设施以鉴及其它媒体伟免遭地震、躬水灾、火灾透等环境事故岛以及人为破喘坏所造成损揪失的过程和答规范。敲•

链路适和操作安全顷：链路安全抹主要解决网傍络系统中，抄链路级点对效点公用信道残上的安全。匠操作安全主喜要解决人为惕操作失误所胃造成的损失元。袭•

网络盟安全：网络隔安全只要面爬对信息传输世过程中由于旁传输协议、细网络设备配宁置、传输加固密等引起的惜安全问题。铜简•

设备冷安全：设备税安全主要解叫决由于自然谁磨损、疲劳神失效等引起骆的设备老化蕉、介质损坏昆等问题。老•

应用管安全：应用炭安全主要解飘决应用系统晓的安全问题共，这些问题申主要是应用浅系统本身的庆程序设计问指题造成或者泽由于应用系懂统引发的其飞他问题。壮•

数据弱安全：数据族是企业存在匹和发展的基抖础。数据安腐全主要解决港数据在存储托和传输过程拴中的安全问菌题。瓜•

系统塞安全：系统灯安全主要解怪决操作系统匀的安全问题哨。支•

人员管安全：人员摔安全主要解松决由于内部添人员的离职聚、无意泄漏贼、警惕性降扒低、水平不须足或者故意麻报复等造成误的损失。辱•

安全肉策略和管理游：安全策略屈和管理是组丝织根据自身估的业务和安极全需求制定裁的用于为信昏息安全提供韵管理方向和葱支持手段的嫩指导性规范骆。均•

安全六服务：安全止服务是组织冰的IT投部门或者专绸业的安全服京务提供者提毯供给组织的赏安全培训、奋响应、指导吸、分析等工吹作。导•

标准小：标准是组酷织实现任何棚IT建雪设、安全保葬障等必须遵奖循的国家级蓬或国际化的凝规范。查尽管我们在牌具体实现的慕时候，会针晋对不同情况崭对以上的方冤面有所侧重惠。但是，安箩全建设参考决模型的建立况将帮助组织扰更加全面地辛考虑自己所酱需要面对的量安全问题。皆前三企业网蕉安全实现目栽标伪技术先进性疮和成熟性榨设计立足先疼进技术，相诚对成熟可靠咽，符合网络敏发展的方向境，以适应大泥量数据传输通以及多媒体领信息的传输静。以适应未肤来网络技术锁的发展。享系统可靠性虫和稳定性枣网络大量传凯输的是重要兔的数据，企灾业网的安全真建设结果应台严格注意如桌何保证网络狠系统的可靠茧性和运行的肾稳定性，其植中包括：仅网络结构的末可靠性和稳症定性。裕在网络拓扑放结构的设计估上，力求简惊洁，符合网戒络发展的方丑向。田设备的高可胁靠砌选用的网络购设备应具有喘很好的容错圆特性及热备舟份能力等。简掌网络系统与车应用系统接物口的可靠性挣。纠选用的网络汉系统的接口日与应用系统疤接口兼容并春可靠。恶选用的网络炒设备必须符膀合国际标准毒。蹲系统的开放急和互联灶在网络设计轻过程考虑到袭与其它系统万或网络的互际联，因此，度网络系统应所支持多协议袖、兼容各种犹拓扑结构、悔互连性好，雹只有这样才欧能够实现与手现有的和未念来的网络系扁统互联。易于管理铺在整个网络竿中，连入网枯络的网络设匪备和终端设植备多、分布事广、网络运失行情况复杂跨，网络设备伶应该具有很壤好的可管理拨性，