Solution解决方案
信息安全防泄密方案 分支互联|应用发布 网络安全准入|应用交付 网络优化运维解决方案 移动安全 终端安全 数据中心安全 Web安全 网络边界安全 工控安全 云安全

深信服整体网络建设方案(出口AF带ssl模块+AC+WAF)

TIME:2018-06-01   click: 114 次

结合深信服网络信息化建设的需求以及现有的IT系统的现状,铭冠科技提供了一套完整、安全、稳定、高效、快速、便捷的深信服网络建设解决方案。

   深信服整体网络建设方案(出口AF带ssl模块+AC+WAF)

  1.1 方案整体概述

  深信服整体网络建设拓朴图

  说明:由于番禺机房会逐渐迁移到从化,且从化和白云研究院的机房按一样的架构来建设,因而只需要分析任意一地的机房建设即可,本方案以其中一地的机房建设为例分析,部署深信服上网行为管理设备1台,下一代防火墙设备1台,应用防火墙设备1台。

  下一代防火墙NGAF:网关部署于互联网出口,针对用户的上网终端提供安全威胁过滤、木马恶意流量检测、对外发布区服务器保护、NAT、路由等安全防护功能;针对对外发布区域和内部服务器区域,提供实时漏洞检测、网页防篡改、敏感信息防泄漏、僵尸网络检测等安全防护功能;下一代防火墙自带的IPSEC VPN模块可实现与其他分支的安全组网,解决了现有分支间数据传输仅靠专线的单一局面,同时NGAF还内置了SSL VPN模块,可用于安全发布内网服务器区的应用系统,保证移动出差人员可以访问总部内网和业务系统。此外,应用防火墙单独部署在内网服务器区域前端,还可针对来自其他区域的流量做二次清洗,尤其是对来自内网办公区域的流量做重点清洗过滤,防止内网办公区域终端感染僵尸木马等病毒后进一步向内网服务器区域的扩散。

  上网行为管理AC:透明部署于互联网出口的下一代防火墙和核心交换机之间,针对有线网络终端和用户提供接入认证、权限控制、合规审计;此外,还针对有线/无线的全部用户、关键应用,提供全局统一的带宽流量控制策略。

  1.2 全面的双向安全防护

  下一代防火墙作为一款一体化的应用层防护设备,基于对应用层的深入研究,从丰富的防护种类和精确地防护精度入手,为深信服的网络提供立体、高效、全面的双向安全防护。

  1.2.1 L2-L7层一站式安全防护

  NGAF的防护类别包括了IPS漏洞防护、服务器防护、病毒防护和Web安全防护,防护种类齐全,防护准确度也在一直不懈的努力。NGAF的灰度威胁关联分析引擎,可以对用户的多个网络行为进行关联,比如一个用户首先对HTTP服务进行了慢速CGI扫描,传统防护设备反馈的结果证明其运行了可能含有漏洞的某个CGI,之后该用户又发送了包含ShellCode的请求。若分别看这两次行为,每个都不能绝对地将其界定为恶意行为;如果将两个行为联系起来,则基本可以确定该行为的高风险等级。通过这种方式,大大提高了应用防护的精度。

  1.2.2 独特的双向安全防护

  NGAF不仅仅能防护外部攻击,并且能实时检查服务器/终端外发流量是否有风险,弥补了传统安全设备只防外不防内的漏洞,可检测服务器外发数据是否有泄密或篡改,也可检测互联网终端电脑是否被黑客控制。为终端+对外发布服务器的统一互联网出口提供更完整的安全保障。

   深信服整体网络建设方案(出口AF带ssl模块+AC+WAF)

  1.2.3 先进的僵尸网络检测技术

  NGAF独有的僵尸网络检测隔离功能,能够实时对外发流量进行检测,协助用户定位内网被黑客控制的服务器或终端。该功能融合了僵尸网络识别库,利用业界前列的僵尸网络识别检测技术对黑客的攻击行为进行有效识别,针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过15万条,并由深信服攻防团队实时更新。

   深信服整体网络建设方案(出口AF带ssl模块+AC+WAF)

  同时,NGAF建立完善安全云平台,在云平台中结合沙箱技术可以捕获流量中的异常流量。通过云联动技术,将同时形成新的恶意软件识别策略下发到全球所有设备的规则库上,共同抵御未知威胁和令人生畏的APT攻击。

  1.2.4 用户/业务安全状况可视

  NGAF提供的实时漏洞分析功能,可以根据经过设备的web业务流量主动分析其中存在的风险并实时展示出来,实时监控界面上可以根据服务器真实存在的漏洞多少进行排名,同时会给出各个业务系统风险情况的评估,并给出建议解决方案。

  NGAF还提供强大的综合风险报表功能,从业务和用户两个维度对网络中的安全状况进行整体分析,按照受攻击类型、漏洞类型和威胁类型进行统计分析,并根据每个业务对应的服务器IP进行针对性的安全分析,提供相应的服务安全说明,使得报表的可读性更高,方便用户从报告中分析出下一步的安全加固策略。

  1.3 安全高效的组网和远程接入

  1.3.1 安全快速的VPN组网

  目前深信服分支出口主要采用光纤与其他分支互通数据,改造后的网络架构可允许深信服使用IPSEC VPN通道来实现分支间的互访和数据交互,IPSEC协议对于传输的数据进行了安全加密,保证业务数据信息的安全。这样,深信服分支间的数据访问通道实现了线路备份,专线或VPN通道任何一条线路出现问题都可切换至另一线路来实现数据的安全传输。

  1.3.2 搭建统一的应用平台

  NGAF自带的SSL VPN模块可将现有的应用系统以SSL VPN资源的方式进行发布出去,从而搭建起一套统一的应用平台。深信服中根据不同部门、不同应用进行对应权限的开放或关闭,但分支用户登录SSL VPN之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。同时,可针对这些应用系统可进行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。

  1.3.3 应用平台移动办公

  采用SSL VPN对应用进行安全发布后,可避免之前需要将服务器直接挂在公网上造成的风险。出差在外的用户需要接入内网时,可直接通过浏览器打开网页完成SSL VPN登录及安全隧道的建立,如同登录网银、邮箱一般符合日常的网络使用习惯,容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一,现今网上银行基本都采用SSL协议进行数据传输保护,对于数据传输采用标准的AES、RSA、RC4等加密算法对传输数据进行加密,安全性有保障。

  1.4 上网行为全面可视可控

  部署深信服上网行为管理AC设备,可以为深信服提供一整套可视可控的、统一的有线无线上网行为管理解决方案。这即满足了安全合规管理的要求,又提升了IT运维效率,还提升了用户上网的操作体验。

   深信服整体网络建设方案(出口AF带ssl模块+AC+WAF)

  1.4.1 安全便捷的用户认证

  为了针对不用角色身份的用户,避免身份冒充、权限滥用等出现,提供即安全又便捷的认证方式,AC针对内部员工和外来访客提供多种身份认证。

  对于内部员工,AC支持本地认证功能,包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。AC还支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后,AC能够获取用户认证信息,用户不用在AC上进行第二次身份认证,形成单点登录,避免重复认证所带来的麻烦。通过身份认证功能,AC能够准确识别上网用户,从而对该用户进行上网行为管理,而对于未通过认证的用户则限制其网络访问权限。

  对于无线区域的外来访客,为了省去复杂的临时账号申请机制,让外来访客便捷的接入网络,但又满足合规要求,AC提供了短信认证、微信认证、二维码认证等多种方式,当来宾接入网络后,系统会自动推送出专门针对来宾访客认证界面。

  1.4.2 灵活细致的权限控制

  深信服上网行为管理系统具有千万级URL库和国内更大的应用识别规则库,包含1100多种应用、2400多种规则,可识别目前网络中各种主流应用,如IM聊天软件、金融软件、微博、社区论坛、网盘、在线视频等。

  AC能够识别SSL加密应用,如加密邮箱、加密网页等。通过全面的应用识别,管理员能够根据不同应用制定不同的管理策略,限制与工作无关的行为,提高工作效率。

  为了满足移动终端的管理需要,AC可以针对数百种移动终端的APP、云应用,防止员工通过移动终端来进行和工作无关的应用,避免工作效率的下降。

  同时,AC还可以精准的识别出,当前网络中员工私自架设的无线AP、代理应用,从而防止带宽资源的滥用,防止黑客通过非法AP接入企业网络入侵。

  1.4.3 合理有效的流量控制

  在P2P应用流量控制方面,AC具备P2P智能流控技术,能够有效的抑制P2P流量,使得核心业务应用有足够的带宽资源。同时,AC能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。

  此外,AC提供了动态流控功能。用户可通过配置线路空闲阀值,定义线路的空闲和繁忙状态,实现针对性制定流控策略。当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的更大带宽限制;当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。通过灵活的带宽管理,更大满足业务对带宽的需求,使带宽价值更大化。

  1.4.4 全面精准的行为审计

  AC不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,如IM聊天内容、微博、社交论坛发帖内容、邮件发送内容、邮件附件内容和上传文件内容等。同时,还支持SSL加密网页和应用的内容审计,避免错审漏审,帮助企业深入的了解员工上网行为。AC实时监控和完善的应用审计功能,帮助网络管理员了解内网用户的上网行为,同时也作为追查依据。

  AC还支持独立数据中心实现日志的海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能。通过统计报表功能,用户可直观的获得关于流量、邮件收发、上网时间、网络行为等方面的详细的报表和图形化统计结果,并且支持导出PDF等文档、Email投递等功能,方便IT部门将统计结果向高层汇报。

  此外,AC还支持免审计Key功能。企业可为总裁、高管、财务部相关人员生成免审计Key。当使用该免审计Key认证后,AC从底层免除对该人员的一切记录。一旦免审计功能被恶意取消后,当再插入该免审计Key后会自动弹出警告,且禁止该人员访问网络,彻底保障信息安全。

  第2章 方案价值

  2.1 全面完整

  完整的L2-L7威胁防护:下一代防火墙提供了病毒、木马、终端漏洞、APT、Web入侵等各种L2-L7威胁的检测、防护,只需要一台设备就可以实现互联网出口的安全风险防范。同时,在内部服务器前端部署应用防火墙,对外部攻击和流量做二次清洗,并重点防范了常见的来自内网办公区域的风险感染和扩散,以及内部服务器的数据信息泄密。

  无线有线统一管控:除了传统的封堵、流控、审计等功能外,AC针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险,提供了统一全面的管理功能:员工、来宾的统一接入管理,BYOD的权限控制、移动APP/云应用管控和审计,从而简化了IT运维操作,降低了管理难度。

  安全高效的组网和远程接入:通过NGAF自带的IPSEC VPN和SSL VPN模块,既实现了各分支间的互联网安全组网和数据传输的安全,又为移动出差的人员提供了远程接入 办公方式,节省了成本又易于管理。

  2.2 细致精准

  管理策略更细致:AC不是简单的对应用进行封堵,而是根据不同的管理需求来对应用进行限制。AC理能够对网络应用进行细分控制,如分别识别出网盘应用中的登陆、浏览、上传和下载等动作,根据企业中防泄密需求,实现允许浏览下载,同时禁止上传。通过细分控制,能够更细致的对员工的上网行为进行管理。在审计方面,AC不仅记录内网用户访问了哪些网站,使用了哪些应用,还能对用户的上网行为内容进行深入审计,帮助企业深入的了解员工上网行为,对网络违法事件溯源,为企业规避法律风险。

  防护检测更精准:深信服下一代防火墙NGAF和上网行为管理AC设备,通过技术创新,提供了特征检测、双向内容检测、危险行为检测、P2P智能检测、代理检测等精准的威胁、应用识别检测功能,和传统安全设备相比,具备更加精准的防护检测效果。

  2.3 智能便捷

  智能联动:互联网出口的AF和AC之间可以通过用户认证信息的联动、单点登录等功能,将上网终端和用户身份信息进行同步关联,让用户只需要认证一次就可以让AF、AC同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等,也极大的减少IT管理员配置、运维工作量。此外,AF的各个功能模块之间也是智能联动的,提升了威胁的检测精度,增加了黑客的攻击入侵成本,更有效的防护威胁入侵。

  便捷简单:AC的外来访客的二维码认证功能,不但省去了复杂的临时账号申请流程,提升了工作效率,还能提升来宾体验,增强对企业形象认可。同时,NGAF和AC的可视化报表功能,可以IT管理员更加直观的看到当前网络的带宽状态、应用风险级别、用户风险级别、合规风险等内容,提升管理效率。