安全需求分析
办公网目前的安全需求主要来自于以下几方面:
网络出口安全设计?
DMZ区和数据中心大量服务器资源的安全保护?
内网终端接入的认证,对不同部门的服务器资源的访问权限的设置
移动终端VPN接入后,如何进行安全认证、访问权限设置?
如何及时对所有终端(移动和非移动)的系统补丁及病毒库进行更新?
如何保障网络出口带宽的有效利用,保证电视台数字电视、WEBTV(网络电视直播)的有效开展?
因此,针对以上需求,我们提供IPS入侵防御系统和EAD端点准入防御系统可以很好帮助电视解决这些安全问题。
IPS深度安全防御和带宽管理
电视台的出口安全设计,建议在出口处配置防火墙的同时,配置IPS入侵防御系统,因为单一的防火墙方案已经不能满足电视台对安全的要求,主要原因包括:
越来越多的安全威胁来自电视台内部,记者便携机的普及使得移动办公得到大量的普及,计算机终端不断的在电视台内网和外网两个环境间进行漫游,很容易造成网络威胁从外网进入内网,从而在内网进行传播。另外由于VPN技术的普及,使得电视台内网无限扩展,更加大了威胁进入内网的机会。由于防火墙以抵御外部攻击为主要目标,对于内部网络产生的安全问题,防范不足;
对于应用层攻击、复合攻击,防火墙力不从心。目前由各种蠕虫、病毒、应用层攻击技术和EMAIL、移动代码结合形成了复合攻击手段,以直接攻击报社核心采编服务器和应用为主,会给报社带来了重大损失;同时随着报社P2P应用和MSN、QQ等即时通信软件的普及,电视宝贵带宽资源被无关业务流量浪费,形成巨大的性能威胁。这些威胁大部分都能够穿透防火墙,防火墙基于TCP/IP 3层和4层的访问控制对于基于应用的攻击威胁无法识别。
对紧急发生的安全问题无法及时响应。越来越多的病毒和蠕虫基于网络来传播,有了网络这个介质,可以威胁传播速度很快,以SQL Slammer为例,10分钟内,SQL Slammer感染了全球90%的有漏洞的计算机。如果网络对于这些威胁不能识别,不能在其传播扩散的通路上进行阻截,纯粹依靠人工手动的打补丁、升级防病毒软件、在防火墙上设置ACL,根本无法抑制这些蠕虫病毒的大规模泛滥。
针对防火墙的以上不足,需要有新的安全设备与之配合,这就是IPS――入侵防御系统,IPS可以完成防火墙所不能提供的深度内容分析和攻击检测和防范的能力。
H3C的SecPath IPS产品自2002年发布以来,已迅速成为提供基于网络的入侵防御系统的领先厂商。SecPath的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测,SecPath的入侵防御系统能够在发生损失之前阻断恶意流量。利用SecPath提供的数字疫苗服务,入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。
电视台的DMZ区和数据中心都有大量的服务器资源需要保护,所以我们建议在DMZ区域和数据中心区域的出口处,都配置一台SecPath IPS防御系统,以保护我们重要的服务器资源。
同时,电视台的数字电视、网络电视(WEBTV)等业务的开展需要对电视宝贵的出口带宽进行有效的管理,为防止大量的P2P、IM流量侵占带宽,H3C的SecPath IPS产品支持对100多种点到点应用的限速功能,保证关键应用所需的带宽。