网络安全解决方案
一、网络安全威胁和问题
今天的信息网络越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上,一个安全、可靠的信息网络是业务成功的关键。
但是随着网络应用的不断深入和广泛,网络自身安全的威胁和问题也愈发严重和复杂。
1. 蠕虫/病毒/垃圾邮件在网上泛滥;
2. 黑客恶意攻击,DDoS拒绝服务攻击;
3. 管理人员对网络设备的简单配置和随意部署;
4. 内部用户任意下载/拷贝;
5. 内部人员无意或有意尝试闯入敏感区域 等等。
这些问题,都对网络自身的稳定运行带来了极大的安全隐患,问题一旦发作,会导致网络设备资源耗尽,网络带宽被塞满,网络系统无法正常工作,使得整个业务系统不能有效进行,应用系统被侵入或篡改,造成的损失非常巨大,后果极为严重。
二、普通技术解决方案和不足
如何应对现在新的网络安全环境呢?如何在我们的网络上确保安全,及时地发现问题、跟踪定位和阻止泛滥,是每个网络管理人员所思考的问题
为了应对网络平台日益泛滥的安全问题,普通的技术解决方案是针对问题的出现区域增加专门的安全设备,包括:
1. 服务器和桌面系统安装防病毒/蠕虫软件;
2. 经常性升级代码库和操作系统的补丁;
3. 网络出口安装防火墙;
4. 网络中心或关键区域安装IDS入侵监测;
5. 网络接入增加加密设备等等。
由于在网络设计的初期,缺少对网络安全的整体考虑,特别是没有网络自身层面去规划安全的要素,导致“头痛医头,脚痛医脚”,完全是“救火式”网络安全保护,结果自然是:
1. 网络安全各个部分相互独立,各行其事;
2. 网络设备没有安全保护,只是区域的边界安全;
3. 安全防范效果不明显,原有安全问题依然存在;
4. 对于新出现的攻击、病毒和蠕虫不能适应,难以承受,被动响应;即使发现问题,也缺乏跟踪定位,有效隔离,快速消除的能力。
因此,我们需要从网络自身基础架构的层面上,考虑安全,规划安全,部署安全和实施安全。
安全已经不是网络中的一个选项,安全是网络中必不可少的重要组成部分,通过智能集成,分工协作,全局部署,做到真正融于网络内部,真正成为网络规划的核心,真正确保整体网络的稳定、可靠、高效运营。
三、网络安全解决方案
网络安全解决方案,通过设备、网络及应用几个层面的安全保护,各自分工,系统协作,全面部署,从核心层到分布层、接入层,从物理层到应用层,我们要采取全面的安全策略来保护整个网络基础构架和其所连接的系统,即使当攻击,蠕虫和病毒发生时,我们的网络基础设施要具备相当的抵抗和承受能力,在自动适应“变化”的基础上,充分利用网络基础平台的优势,协助专门的安全系统,定位问题,提供数据,有效隔离,快速清除,确保整体网络的稳定运行。
建议对整体网络的自身安全部署要充分考虑,特别重视,详细规划,贯彻实施:
诸如以上的图示,在网络自身安全的部署过程中要从以下方面进行。
1、网络设备级别保护
包括路由器,交换机,接入设备,无线设备等等。
针对每个网络设备,从三个方面立体部署实施。
Ø 设备控制平面保护
主要是对设备控制平台,如CPU,内存等资源访问控制和策略保护,以及设备本身路由处理交换的实现机制,如快速转发方式。
Ø 设备管理平面保护
对设备管理访问和信息收集的安全保护,诸如SNMP,SSH,CLI,WEB等等。
另外,对于支持USB安全令牌的设备,也建议考虑配备,从物理的角度更为深入的实现了设备的安全管理。
Ø 设备数据平面保护
设备的数据平面是网络设备安全功能丰富且全面的领域,针对交换设备和路由设备,各厂商产品各有多种多样的安全保护措施,建议在整体网络的设计、结构、规划和实施中,充分结合相关设备的安全功能,做到“所有设备安全”。
2、网络级别保护
1. 网络级别的保护是指设备之间的安全保护,包括
2. 路由控制协议验证加密;
3. 网络应用识别NBAR;
4. 网络流量统计分析Netflow;
5. 针对客户提供ACL的服务质量;
6. 网络访问中的网络准入控制(NAC)。