1 边界安全和远程接入安全
在边界处放置安全网关,通过其强大的VPN和防火墙功能,保证企业与分支机构之间能在互联网上进行安全可靠的数据传输,运用动态VPN技术实现企业与分支机构间的动态通信,减少网关设备的负载,防止流量瓶颈问题,通过冗余备份,避免单点故障并实现负载均衡与链路的冗余备份。利用人侵防御系统强大的攻击防御特性有效防止边界区域受到的外部攻击,在发生损失之前阻断恶意流量,保护内部资源。建议将入侵防御系统通过桥模式接入网络,以阻止蠕虫、木马、拒绝服务攻击、间谍软件、网络攻击以及点到点应用被滥用。
2 内部网的安全
内部网因为与互联网完全物理隔离,所以来自互联网的攻击破坏基本上可以杜绝,其安全威胁主要来自内部员工的主动或被动的非法访问。事实证明内部网的不安全因素远比外部危害更可怕,对于内部网的安全建议采用下面三种方法:
(1)内部网访问控制
在内部网的核心交换机上安装防火墙模块,通过防火墙模块的安全策略实现内网的隔离保护,将不同部门或服务器之间划分为各自独立的区域。部署字符堡垒主机对字符应用的访问做到命令访问控制及会话内容的审计。部署图形堡垒主机实现应用边界的访问控制并且进行访问全程录像。
(2)利用端点准入防御技术解决终端安全问题
内网用户由于直接位于企业内网中并具有对内网资源的直接访问权限,一旦主机身份被冒用,其对内网安全造成的威胁将十分巨大,产生的破坏后果也相当严重。因此,对内网主机身份的管理是保证内网安全的关键因素之一。通过采取必要的身份认证技术,保证只有授权的、可信的主机才能进入内网,可最大限度地避免因非法设备的接入对内网资源的破坏、盗取和滥用。在终端防护上采用端点准人技术通过801X认证协议将终端用户的身份信息提供到Radius认证服务器进行身份认证,待Radius认证服务器认证通过后,再接入网络进行网络通信,否则终端将被隔离至特定安全区域,不能使用任何网络资源。
(3)系统补丁分发及终端病毒防护
在企业网中建立统一的、实时升级的补丁分发管理及病毒防护平台,通过端点准人控制客户端的联动以实现对单个终端的病毒防护,同时实现全网终端系统漏洞补丁的更新。
3 数据中心的安全
数据中心是整个企业网的核心,数据中心的安全决定着整个企业核心数据的安全。必须将安全设计的理念渗透到整个数据中心的设计、部署、运维中,为数据中心搭建起一个无缝的安全平台,实现安全管理贯穿数据链路层到网络应用层的目标,使安全保护无处不在。
(1)数据中心实施安全区域划分
将数据中心各服务器群按功能业务不同划分成:Extranet区域(外部网)、Intranet区域(内部网)、Internet区域(互联网)等。在不同的区域采用不同的网络接人方式,做到物理与逻辑上的划分,这样既有利于不同区域业务流的分离,又能为各个区域部署不同的安全保护策略。对数据中心的访问用户身份与访问服务器资源的角色进行绑定,通过不同角色来控制用户访问服务器资源的范围。
(2)入侵检测防御
以桥模式接人数据中心的入侵防御系统能够高速进行在线检测并阻断DDoS攻击、非法P2P流量和病毒攻击,保护数据中心免遭来自外部的威胁,同时也可以着重保护数据中心内部的关键区域。
(3)用户访问控制
部署专用的数据中心防火墙,并利用防火墙对数据中心进行精细的区域划分,通过分区域的安全防护,可以保证各个区域的设备安全可靠运行,并能够为数据中心提供全线速网络的边界安全及全局安全。
本文来源:CIO时代 作者:佚名