您的位置: 网界网 > 周报全文 > 正文

[周报全文]智能网络中的安全策略

2005年09月22日 15:40:59 | 作者:陈胜权 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:

标签
 

  据美国CERT/CC数据,2004年收到的安全事件报告已达20多万,是19999000件的20多倍,并且攻击手段已经由单一的黑客攻击或病毒攻击演变为混合型攻击,红色代码、冲击波、SQL Slammer都是混合型攻击的典型代表。这些攻击广泛分布在Internet上和企业网络内部,攻击源可能来自于外部,也可能来自内部,这使得网络安全策略的部署变得更加复杂。

天清汉马捍卫网络出口

  网络出口位置是最关键的,目前网络采用分散的安全网关保障网络安全。分散部署的方式成本高,各个设备间的协调性差,难以实现安全策略的统一部署,管理分散,整体性能较低;关键是在应对混合型攻击方面,单一的安全网关无法全面应对。

  为了解决以上问题,港湾网络推出了天清汉马多功能网关。天清汉马是国内第一款满足用户全方位需求的多功能安全网关产品,基于高性能的NP架构硬件平台,软件上采用模块化设计,集成了FWVPNAVIPS、防DoSNetFlow等六大软件功能模块,能够做到对数据流的“一站式”过滤,真正实现对用户的全方位安全防范。对于内外网之间的数据流,天清汉马经过一次拆包、检测、封包的过程即可,确保性能不受影响。天清汉马“一站式”过滤方式解决了分散部署的性能瓶颈、协调性差、安全性差的问题,同时实现了低成本部署高安全策略,实现了统一管理,能够很好的捍卫网络出口,确保对外网入侵的有效防范。

FW模块保护内网安全

  采用防火墙模块方式解决内网安全已经成为业界共识。通过在核心交换机上部署防火墙模块,可以实现多个VLAN间的安全控制,降低了安全部署难度。

  港湾网络通过在BigHammer6800核心交换机上部署防火墙模块,可以控制任意两个VLAN、任意两个用户间的数据流,有效的解决了内网安全问题。该防火墙模块具有高达2G的吞吐量,并且可以通过负载均衡的方式,达到最多20G的吞吐量,完全可以满足内网高性能的安全要求。该模块将来还可支持AIO的功能,即把AVIPSNetFlow等功能模块在交换机上实现。

设备联动应对网络异常

  对于已经部署安全产品的网络而言,在方案层面进行融合是一个不错的选择。将以太网交换机、IDS、防病毒网关、防火墙这些分属于不同的设备实现联动已经成为一种趋势。港湾网络的μHammer3550系列以太网交换机,通过与IDS系统的配合(+本站微信networkworldweixin),可以准确定位并控制内网攻击。当有主机发起攻击时,μHammer3550系列智能交换机检测到网络流量异常,随即将异常上报IDS,经IDS检测确定为攻击,即通知μHammer3550以太网交换机切断主机,从而确保网络资源的安全。通过μHammer3550以太网交换机和IDS的联动,可以使IDS的检测范围扩展到整网,大大提高可用性。目前,港湾公司的交换机已经与启明星辰等多家IDS配合成功,取得了大规模的应用。

主机安全管理从根本做起

  电脑主机是网络的末端,也是安全问题产生的最终来源,几乎所有的安全事件都是由主机发起的。网络病毒的传播、黑客攻击的发生、存储设备信息泄漏等,都是由主机产生的。港湾网络从用户需求入手,提供港湾主机安全管理系统,协助网络管理人员进行网络资源、设备资源、客户端资源和应用资源方面的管理控制,如网络隔离度检测、入网设备监控、系统软件(补丁)检测和违规事件发现、安全事件源(病毒等)定位分析等。

  对于智能网络的安全,港湾网络认为两者密不可分,离开了网络的安全是无源之水,离开了安全的网络是无本之木。安全策略的部署要充分考虑到安全技术和网络设备的结合,充分发挥两者优势,将安全策略部署在智能网络中的不同层面。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]