企业网安全防御的解决方案
1 边界安全和远程接入安全
在边界处放置安全网关,通过其强大的VPN和防火墙功能,保证企业与分支机构之间能在互联网上进行安全可靠的数据传输,运用动态VPN技术实现企业与分支机构间的动态通信,减少网关设备的负载,防止流量瓶颈问题,通过冗余备份,避免单点故障并实现负载均衡与链路的冗余备份。利用人侵防御系统强大的攻击防御特性有效防止边界区域受到的外部攻击,在发生损失之前阻断恶意流量,保护内部资源。建议将入侵防御系统通过桥模式接入网络,以阻止蠕虫、木马、拒绝服务攻击、间谍软件、网络攻击以及点到点应用被滥用。
2内部网的安全
内部网因为与互联网完全物理隔离,所以来自互联网的攻击破坏基本上可以杜绝,其安全威胁主要来自内部员工的主动或被动的非法访问。事实证明内部网的不安全因素远比外部危害更可怕,对于内部网的安全建议采用下面三种方法:
(1)内部网访问控制
在内部网的核心交换机上安装防火墙模块,通过防火墙模块的安全策略实现内网的隔离保护,将不同部门或服务器之间划分为各自独立的区域。部署字符堡垒主机对字符应用的访问做到命令访问控制及会话内容的审计。部署图形堡垒主机实现应用边界的访问控制并且进行访问全程录像。
(2)利用端点准入防御技术解决终端安全问题
内网用户由于直接位于企业内网中并具有对内网资源的直接访问权限,一旦主机身份被冒用,其对内网安全造成的威胁将十分巨大,产生的破坏后果也相当严重。因此,对内网主机身份的管理是保证内网安全的关键因素之一。通过采取必要的身份认证技术,保证只有授权的、可信的主机才能进入内网,可最大限度地避免因非法设备的接入对内网资源的破坏、盗取和滥用。在终端防护上采用端点准人技术通过801X认证协议将终端用户的身份信息提供到Radius认证服务器进行身份认证,待Radius认证服务器认证通过后,再接入网络进行网络通信,否则终端将被隔离至特定安全区域,不能使用任何网络资源。
(3)系统补丁分发及终端病毒防护
在企业网中建立统一的、实时升级的补丁分发管理及病毒防护平台,通过端点准人控制客户端的联动以实现对单个终端的病毒防护,同时实现全网终端系统漏洞补丁的更新。