COPYRIGHT © 2002-2008 SANDIY ALL RIGHT RESERVED. HTTP://WWW.SANDIY.COM - 1 -
构建企业网络整体安全解决方案
整体的安全方案分成技术方案、服务方案以及支持
方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全
设备,能够使得网络的结构更加清晰,安全性得到显著增强;
同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的
作用。
1. 防火墙
安装位置:局域网与路由器之间;WWW 服务器与托管机房
局域网之间;
局域网防火墙作用:
a 实现单向访问,允许局域网用户访问INTERNET 资源,
但是严格限制INTERNET 用户对局域网资源的访问;
b 通过防火墙,将整个局域网划分INTERNET,DMZ 区,
内网访问区这三个逻辑上分开的区域,有利于对整个
网络进行管理;
c 局域网所有工作站和服务器处于防火墙地整体防护
之下,只要通过防火墙设置的修改,就能有限绝大部
分防止来自INTERNET 上的攻击,网络管理员只需要
关注DMZ 区对外提供服务的相关应用的安全漏洞;
d 通过防火墙的过滤规则,实现端口级控制,限制局域
网用户对INTERNET 的访问;
e 进行流量控制,确保重要业务对流量的要求;
f 通过过滤规则,以时间为控制要素,限制大流量网络
应用在上班时间的使用。
托管机房防火墙的作用:
g 通过防火墙的过滤规则,限制INTERNET 用户对WWW
服务器的访问,将访问权限控制在最小的限度,在这
种情况下,网络管理员可以忽略服务器系统的安全漏
洞,只需要关注WWW 应用服务软件的安全漏洞;
h 通过过滤规则,对远程更新的时间、来源(通过IP
地址)进行限制。
2. 入侵检测
安装位置:局域网DMZ 区以及托管机房服务器
区;
IDS 的作用:
a 作为旁路设备,监控网络中的信息,统计
并记录网络中的异常主机以及异常连接;
b 中断异常连接;
c 通过联动机制,向防火墙发送指令,在限
评论1