没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
网络技术应用网 www.591cto.com
专业和专注企业网络安全应用 www.591cto.con
网络安全集成方案
目 录
第一章 网关安全 .................................................................................. 2
一、 全性........................................................................................... 2
二、 加密........................................................................................... 2
三、 性能........................................................................................... 2
四、 容量........................................................................................... 3
五、 灵活性 ...................................................................................... 3
第二章 NetScreen的优势 ..................................................................... 6
第三章 企业局域网防病毒 .................................................................. 7
一、 计算机病毒发展趋势分析 ...................................................... 7
二、 病毒入侵渠道分析 .................................................................. 8
三、 潜在病毒威胁分析 .................................................................. 9
四、 成熟、完整的防毒解决方案 ................................................ 10
1、防毒墙技术的领导者 ............................................................ 10
2、整体服务器、群件服务器市场排第一 ................................ 10
3.入侵检测系统( Intrusion Detection System) .................... 11
网络技术应用网 www.591cto.com
专业和专注企业网络安全应用 www.591cto.con
第一章 网关安全
网络安全首先是边界安全即网关安全, 在企业网关处加入防火墙。 选择按全方案需要考虑多
方面的因素:安全性、加密、性能、容量、灵活性、稳健性
一、 全性
安全设备装置除了提供状态检验的防火墙及存取监管, 更须拥有多项入侵防护和警报功
能,确保整个网络更加稳固。 有关设备装置不应依赖普遍性的作业系统作为防火墙的软件平
台,因为这类平台的弊病是很容易被侵入破坏, 且需要进行定期修补和更新。 由于很多安全
问题同时涉及多个类别,以下将逐一进行探讨。
二、 加密
在今天的环境下, 企业一般希望他们的 VPN设置完全符合自身的整体安全情况。 这衍生
了一个问题:‘ VPN 通道的终点应该设在哪处地方才最为安全?’答案自然是防火墙,不过
这样对传统防火墙的性能产生了很严重的问题。由于 IPSec 加密需要进行密集的电脑运算,
当在一般用途的电脑平台运作时 (正如大多数传统防火墙) 其性能表现非常差劲, 防火墙的
传输速率亦大受影响。 即使加上专用的 VPN硬件加速卡, 个人电脑的结构只会使 VPN性能出
现轻微改善。
供应商之间为系统设置 VPN互通性能是另一个必须考虑的因素, 尤以现今营运的环境倾
向企业合并、建造企业外联网络,将工作外包给服务供应商及通勤 VPN用户的诞生。
远端分支站点设立的 VPN所面对的安全威胁与中央网络大致相同, 然而这问题经常为人
所忽视。 远端工作人员和分公司一般会使用本地互联网络或企业 VPN接入,但这无形中让企
业受到‘ U型’攻击的机会大增,入侵者可以通过分支站点设立的 VPN进入网络,然后通过
VPN通道进入企业内部网络。 VPN专用设备装置可以进行设置,过滤所有并非前往或来自企
业 VPN网络的流量,但是由于企业网络连接互联网络多了一层阻隔,这会引起
远端节点出现传输延误和可能的网络堵塞情况。 与中央网络的配置一样, 将 VPN通道的重点
设在企业管理的防火墙可以改善安全和营运上的问题, 只需要一个在性能和容量方面都适合
的站点设置。
三、 性能
除了需要支援高性能的 VPN流量外,企业防火墙必须能够应付公司为提高收入而进行的
销售和市场推广活动所产生的额外流量。 这些促销活动的目标,旨在发挥因特网的力量
(E-mail 广告、 banner 广告、通讯刊物的宣传赞助),以此吸引消费者登录公司网站浏览,
从而透过电子商务直接满足客户的需要, 或者获取客户资料作为将来行销之用。 不过, 所有
行销活动都会带来一个副作用,便是引起骇客的注意。
网络技术应用网 www.591cto.com
专业和专注企业网络安全应用 www.591cto.con
这些推销活动会直接或间接地加重企业防火墙的负荷, 并提高出现系统故障或被侵袭的
情况。 局部故障最严重的例子是防火墙成为瓶颈, 令客户流量传输变得缓慢不已。 在现今商
业环境下, 一个运作迟缓的网站是完全不可接受的, 一旦发生这种情况, 公司的声誉和收入
会受到沉重打击。
企业将部分基础设施外包给服务供应商的主要原因之一, 是希望获得更多的频宽、 更完
善的备援机构, 以及在 Web和电子商务方面得到更高水准的专业服务。 因此, 相比选择不外
包的企业,对服务供应商在各方面的原需求为高,包括传输速率、会话( session )或 VPN
通道数目, 以及处理尖峰流量负载的能力。同时, 服务供应商必须根据服务水平协议( SLA)
为客户提供一定的服务水平,以免负上金钱赔偿的责任,故此他们自身的系统
架构,在设计上皆足以应付尖峰流量负载, 而且所有组件设备装置的性能容量皆预留一定的
空间。
四、 容量
VPN中央站点需要一个在传输速率和支援的通道数目方面具备可扩展性的安全方案, 因
为家庭办公人员、 远端工作人员、 分公司和内部网络的伙伴全部将 VPN通道的终点设于中央
站点。此外,中央站点方案也需要支援数以千计的并发 VPN通道,以及可选择支援中转站 (Hub
and Spoke)的配置,让各分公司之间可以互相联系,而不需建立错综复杂的 VPN拓扑网络。
企业防火墙通常利用数据包状态监测追踪每个离开和进入企业网络周边的会话。 一旦防
火墙达到可以处理的最高会话数目的容量时, 所有新的会话将不会获准经过防火墙, 直至完
成处理现有会话为止。对网站而言,这是一个非常严重的问题,因为用户浏览每一版网页,
已经包含众多个并发 HTTP会话。换言之,受欢迎网站的防火墙需要同时处理数以万计的并
发会话。 在达到尖峰流量负载期间, 一道防火墙可以处理新用户的流量是极为重要的, 这容
量一般称为斜率( ramp rate ),即计算每秒可以增加新会话的数目。高斜率不单可以确保
用户的满意程度,而且对预防网站受到阻断服务的攻击( denial of service attacks )同
样重要。 这类攻击利用发出数以千计要求建立会话的讯息, 导致防火墙的容量出现饱和, 因
而拒绝客户访问网站或使用其他服务。
五、 灵活性
由于企业环境目前变化相当迅速, 企业安全管理设备装置变得非常重要, 尤其是在中央
网络方案方面, 以便企业能因这些变化, 适当地作出调整。 这些网络安全设备必须具备以下
特点:
1. 当网络频宽增加, 或是拓扑架构改变时, 必须能增加不同的或是额外的实体界面 (如路由
器,交换机等);
2. 必须能在不同的企业环境中发挥性能,例如中央网点、主机代管设施,或是分公司;
3. 必须让使用者得以自行调整部分功能,而毋需求助于制造商。这些功能例如: VPN授权、
支援额外的 IP 位址部分,以及增加会话数目。
网络技术应用网 www.591cto.com
专业和专注企业网络安全应用 www.591cto.con
从设备扩展性的角度来看, 服务供应商必须能够配合整体市场的增长, 以及现有个别客
户需求的提升。 换言之, 成功的服务供应商必须具备长远产品策划的条件。 他们需要配合客
户数目的递增, 从数十个到数百个, 甚至数千个时,仍然能提供优质的可控安全服务, 无需
对已经建好的安全平台及管理工具进行重大的改动。 更进一步来看, 这些网络安全设备还必
须易于扩展以添置新的服务项目来增加收入, 而不需要更换客户的硬件平台。 例如, 当代管
网站的现有客户需要增添 VPN服务时,供应商无需安装额外的硬件平台便可轻易为客户增加
服务项目。
六、稳健性
对于在企业网络环境中的任何设备而言, 稳健性是相当重要的, 尤其是管理所有网络进
出流量的设备装置。中央站点的设备,必须考虑以下几点:
1. 备援界面、电源供应与风扇;
2. 传输带宽以外提供近端与远端的监管能力;
3. 可组态系统以兼备高可用性及热备援方案。
另外, 网络的设计必须仔细考虑负载能力的问题, 设备装置所能承载的流量, 必须高于
平时需求的百分之五十, 以应付尖峰时段的需求、 远端节点的扩张、 流量的增加及骇客的攻
击。
网络拓扑结构示意图:
剩余16页未读,继续阅读
资源评论
hyh15959933972
- 粉丝: 0
- 资源: 8万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功