專線廣域網(wǎng)安全解決方案

在眾多的安全手段當(dāng)中，物理隔離是最簡(jiǎn)單有效的手段之一，因此很多企事業(yè)單位都會(huì)通過租用專線的形式搭建與Internet物理隔離的專線廣域網(wǎng)，以保障自身的信息安全。此時(shí)，已經(jīng)解決了來自互聯(lián)網(wǎng)的安全威脅以后，信息安全關(guān)注的重點(diǎn)變?yōu)槿绾伪Ｕ蠈＞�廣域網(wǎng)的信息安全上來。

專線廣域網(wǎng)信息安全的特點(diǎn)

分析專線廣域網(wǎng)的應(yīng)用環(huán)境，會(huì)發(fā)現(xiàn)整網(wǎng)的多管理員的管理模式，是其最大的特點(diǎn)。專線廣域網(wǎng)連接的是各個(gè)分支機(jī)構(gòu)的局域網(wǎng)，而一半情況下，每個(gè)局域網(wǎng)都會(huì)有自己的管理員。對(duì)于比較大型的專線廣域網(wǎng)，也會(huì)實(shí)行分級(jí)網(wǎng)管策略，比如國家到各省的專線廣域網(wǎng)為一個(gè)管理機(jī)構(gòu)，各省內(nèi)、市內(nèi)的專線廣域網(wǎng)又是各自獨(dú)立的網(wǎng)管機(jī)構(gòu)，從而形成多級(jí)網(wǎng)管的狀態(tài)。專線廣域網(wǎng)的這種多管理員特點(diǎn)，使得專線廣域網(wǎng)在信息安全建設(shè)中需要考慮如下幾個(gè)問題：

如何快速有效的抑制蠕蟲病毒在網(wǎng)內(nèi)的傳播。

由于專線廣域網(wǎng)將所有的局域網(wǎng)進(jìn)行了連接，一旦某一局域網(wǎng)內(nèi)出現(xiàn)了蠕蟲病毒，則病毒會(huì)通過專線廣域網(wǎng)快速傳播。而多管理員結(jié)構(gòu)又造成這樣一種情況，當(dāng)某一管理員發(fā)現(xiàn)蠕蟲病毒時(shí)，需要通過其它管理員來進(jìn)行相應(yīng)動(dòng)作，從而使得對(duì)蠕蟲病毒的響應(yīng)速度變慢，甚至得不到控制。

如何解決源自內(nèi)網(wǎng)攻擊行為和對(duì)攻擊來源的定位問題。

解決了源自Internet的安全威脅，并不意味著攻擊不會(huì)發(fā)生。個(gè)別不滿員工的報(bào)復(fù)行為，由于缺少安全意識(shí)造成的無意識(shí)的破壞行為，由于非法連接外網(wǎng)從而造成成為第三方想內(nèi)網(wǎng)發(fā)起攻擊的跳板等等問題，都使得需要對(duì)源自內(nèi)網(wǎng)攻擊行為進(jìn)行識(shí)別控制，并且需要定位攻擊源。但是同樣由于多管理員的問題，造成了定位困難。尤其在某些內(nèi)部局域網(wǎng)還采用了NAT技術(shù)的情況下，問題更為突出。

廣域網(wǎng)帶寬的有效保護(hù)問題。

廣域網(wǎng)帶寬是非常緊缺和昂貴的，而在其上往往又經(jīng)常承載視頻會(huì)議等對(duì)帶寬和時(shí)延非常敏感的應(yīng)用，因此合理使用廣域網(wǎng)帶寬就顯得非常重要。對(duì)于比較大型的廣域網(wǎng)，內(nèi)部資源非常豐富，自建FTP甚至P2P下載的情況經(jīng)常出現(xiàn)，這往往對(duì)有限的廣域網(wǎng)帶寬帶來很大的壓力。而在多管理員環(huán)境下，很難保證全網(wǎng)同一的QoS策略的有效實(shí)施。

除上述問題外，對(duì)于比較大型的專線廣域網(wǎng)往往會(huì)采用MPLS VPN技術(shù)進(jìn)行多業(yè)務(wù)承載，這又對(duì)安全設(shè)備提出了組網(wǎng)適應(yīng)性的要求，要求所選用的安全設(shè)備能夠支持MPLS報(bào)文識(shí)別、OSPF路由協(xié)議等網(wǎng)絡(luò)特性。

典型組網(wǎng)

DPtech內(nèi)網(wǎng)控制解決方案是在充分考慮到了專線廣域網(wǎng)所面對(duì)的全部L2~7層安全威脅的基礎(chǔ)上，綜合運(yùn)用杭州迪普科技有限公司的防火墻、UTM、IPS、UAG等產(chǎn)品進(jìn)行設(shè)計(jì)的。在近似的防護(hù)能力下，對(duì)于不同的網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)節(jié)點(diǎn)提供了不同的產(chǎn)品選擇。

專線廣域網(wǎng)典型組網(wǎng)

對(duì)于網(wǎng)絡(luò)的核心節(jié)點(diǎn)和大型分支節(jié)點(diǎn)，采用獨(dú)立的高性能的防火墻、IPS、UAG產(chǎn)品進(jìn)行防護(hù)。首先通過DPtech防火墻實(shí)現(xiàn)L2~4層訪問控制功能。而DPtech IPS實(shí)現(xiàn)了病毒庫、攻擊特征庫和協(xié)議庫的三庫合一，因此通過DPtech IPS對(duì)包括蠕蟲病毒在內(nèi)的所有L4～7層安全威脅進(jìn)行防護(hù)。DPtech UAG產(chǎn)品則可以對(duì)各種應(yīng)用層協(xié)議進(jìn)行分析，對(duì)不同的應(yīng)用提供靈活的帶寬控制和保障。

對(duì)于小型的網(wǎng)絡(luò)分支節(jié)點(diǎn)，由于其對(duì)性能的要求相對(duì)較低，則可以通過DPtech UTM統(tǒng)一實(shí)現(xiàn)L2～7層安全威脅防護(hù)和廣域網(wǎng)帶寬控制和保障。

如專線廣域網(wǎng)連接的各局域網(wǎng)沒有終端準(zhǔn)入的機(jī)制，則在專線廣域網(wǎng)建設(shè)中還應(yīng)該額外考慮廣域網(wǎng)的終端準(zhǔn)入問題，以解決對(duì)攻擊源的定位問題。對(duì)于此需求，可以通過DPtech UAG上的web認(rèn)證功能實(shí)現(xiàn)無客戶端的廣域網(wǎng)端點(diǎn)準(zhǔn)入。

特點(diǎn)與優(yōu)勢(shì)

網(wǎng)絡(luò)級(jí)的性能：迪普相關(guān)產(chǎn)品基于APP-X硬件平臺(tái)，可以在吞吐量、并發(fā)、新建連接、延時(shí)等方面提供網(wǎng)絡(luò)級(jí)的性能。不會(huì)因?yàn)樵黾恿诵碌脑O(shè)備而使得應(yīng)用的性能出現(xiàn)下降。

網(wǎng)絡(luò)適應(yīng)性：

迪普相關(guān)產(chǎn)品基于Conplat軟件平臺(tái)，提供了豐富的網(wǎng)絡(luò)適應(yīng)性，可以在IPv6、MPLS等復(fù)雜網(wǎng)絡(luò)環(huán)境下良好的工作。設(shè)備部署的時(shí)候，可不受網(wǎng)絡(luò)環(huán)境的限制，也不需要大面積調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。

完善的L2～7安全保護(hù)：

通過DPtech的防火墻、IPS、UAG提供了完善的L2～7層安全保護(hù)。

統(tǒng)一安全策略部署：

DPtech產(chǎn)品的統(tǒng)一管理和策略部署能力，提供了簡(jiǎn)便的統(tǒng)一安全策略部署方案。

完善的高可靠性保障：

DPtech防火墻和IPS都具有雙機(jī)熱備能力，提供完善的高可靠性保障。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]