目前网络安全的威胁越来越多的来自于内网。这些威胁的来源有可能是某些内部员工在发泄自己的不满,但是更大的可能是,来自外部的攻击者在利用内部某些存在安全缺陷的计算机作为跳板,从而在网络内部发起的攻击。而内部用户由于缺乏安全意识、没有正确执行安全规范或者其他原因,很容易在无意识中的成为外部攻击者的跳板。因此,如何加强内部安全控制已经成为IT部门必须面对的问题。
对内网进行安全控制最简单的方法就是利用终端安全软件对每台网络终端进行控制,但是这种模式会带来终端系统的种种兼容性或者使用性问题,并由于个人隐私等方面的考虑可能受到系统终端用户的抵制。因此,我们需要寻找一种非终端模式的内网控制解决方案,它可以帮助IT部门对内部网络具有以下控制能力:
□ 基本的内网访问控制能力,在网络层面实现对内部用户的访问权限的控制。
□ 当内网病毒爆发时,对病毒源的快速定位,并在IP层对病毒传播进行抑制。
□ 发现来自于内网的攻击行为,快速定位攻击来源,并在IP层实现阻断。
□ 发现并阻止非法接入行为,防止针对内网的物理攻击。
□ 对内网用户行为进行记录和审计,提供合规性报告,满足法规遵从的要求。
□ 提供性能平滑升级能力,在满足目前的性能需求的同时,考虑到日后性能升级时的投资保护问题。
□ 统一的安全策略部署能力,简化内网安全策略的部署和配置管理难度。
典型组网
DPTech内网控制解决方案是在充分考虑到了内网控制所有的L2~7层安全威胁的基础上,以杭州迪普科技有限公司的应用防火墙、UAG产品和IPS产品为核心进行设计的。通过UAG的用户认证功能提供了基于用户的内网访问控制能力,并有效防止非法接入。通过IPS实现了对攻击和病毒的定位和阻断能力,同时配合第三方的网管IPS Manager可以通过发送SNMP trap使得支持此功能的交换机对问题用户进行下线处理。并通过DPTech防火墙和IPS产品的虚拟化功能,实现不同安全区域的不同的安全策略。同时通过IPS Manager对内网行为进行识别和记录,并辅助生成合规性报告。
在部署方面,采用旁路部署DPTech防火墙和IPS阵列,以实现平滑的性能扩展能力。通过防火墙进行流量的牵引,使得在逻辑上,所有安全产品都是串接部署。通过统一策略下发实现数据中心统一安全策略部署。
特点与优势
■ 网络级的性能
迪普相关产品基于APP-X硬件平台,可以在吞吐量、并发、新建连接、延时等方面提供网络级的性能。不会因为增加了新的设备而使得应用的性能出现下降。
■ 网络适应性
迪普相关产品基于Conplat软件平台,提供了丰富的网络适应性,可以在IPv6、MPLS等复杂网络环境下良好的工作。设备部署的时候,可不受网络环境的限制,也不需要大面积调整网络结构。
■ 完善的L2~7安全保护
整个方案以DPtech防火墙和IPS产批为核心,提供了完善的L2~7层安全保护。
■ 非客户端模式
方案采用非客户端模式,不在网络终端上部署任何软件,降低了部署的难度和工作量。
■ 虚拟化安全部署,满足数据中心虚拟化需求
通过DPtech防火墙和IPS的虚拟化功能,提供虚拟安全部署能力,实现分区域安全策略部署。
■ 旁路阵列式部署,性能平滑升级
方案所采用的旁路阵列部署方式,可以通过增加阵列中的设备数量来实现性能的平滑升级,满足性能提升需求的同时,保护客户投资。
■ 统一安全策略部署
DPtech产品的统一管理和策略部署能力,提供了简便的统一安全策略部署方案。
■ 完善的高可靠性保障
DPtech防火墙和IPS都具有双机热备能力,提供完善的高可靠性保障。