• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      企業(yè)網(wǎng)絡(luò)出口安全改造

      2017-11-22 06:03:04
      網(wǎng)絡(luò)安全和信息化 2017年2期
      關(guān)鍵詞:用戶(hù)名防火墻鏈路

      引言: 目前大多數(shù)企業(yè)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界建立了較為完善的由外而內(nèi)的安全防護(hù)措施,能夠有效地防護(hù)來(lái)自互聯(lián)網(wǎng)的攻擊。筆者所在單位有線網(wǎng)絡(luò)用戶(hù)有1500個(gè),無(wú)線網(wǎng)絡(luò)用戶(hù)有500個(gè),面對(duì)龐大的網(wǎng)絡(luò)結(jié)構(gòu)和復(fù)雜的網(wǎng)絡(luò)應(yīng)用,我們通過(guò)基于行為管控的企業(yè)網(wǎng)絡(luò)出口安全改造加強(qiáng)了由內(nèi)而外訪問(wèn)的安全管理。

      目前大多數(shù)企業(yè)在內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界建立了較為完善的由外而內(nèi)的安全防護(hù)措施,能夠有效地防護(hù)來(lái)自互聯(lián)網(wǎng)的攻擊。

      筆者所在單位有線網(wǎng)絡(luò)用戶(hù)有1500個(gè),無(wú)線網(wǎng)絡(luò)用戶(hù)有500個(gè),面對(duì)龐大的網(wǎng)絡(luò)結(jié)構(gòu)和復(fù)雜的網(wǎng)絡(luò)應(yīng)用,如何對(duì)網(wǎng)絡(luò)效能行為進(jìn)行統(tǒng)計(jì)、分析和評(píng)估,如何監(jiān)控、控制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為,如何杜絕用戶(hù)通過(guò)電子郵件、IM等途徑泄漏內(nèi)部機(jī)密資料,如何在日常辦公過(guò)程中采取相應(yīng)的流控機(jī)制,以保障核心業(yè)務(wù)系統(tǒng)的正常訪問(wèn),以及管理員如何在發(fā)生問(wèn)題時(shí)有查證的依據(jù)?這些都成為了網(wǎng)絡(luò)安全管理需要解決的問(wèn)題。為此,我們通過(guò)基于行為管控的企業(yè)網(wǎng)絡(luò)出口安全改造加強(qiáng)了由內(nèi)而外訪問(wèn)的安全管理,解決以上問(wèn)題。

      方案設(shè)計(jì)

      圖1 原網(wǎng)絡(luò)出口拓?fù)鋱D

      原網(wǎng)絡(luò)出口拓?fù)淙鐖D1,公司網(wǎng)絡(luò)出口連接行業(yè)網(wǎng)、互聯(lián)網(wǎng)和DMZ區(qū)對(duì)外服務(wù)器。目前對(duì)網(wǎng)絡(luò)出口的安全防護(hù)采取二層防護(hù)的方式,第一層部署思科PIX525防火墻,通過(guò)NAT內(nèi)外網(wǎng)IP地址轉(zhuǎn)換和訪問(wèn)控制策略進(jìn)行防護(hù);第二層部署UTM安全網(wǎng)關(guān),通過(guò)ISP地址映射、訪問(wèn)控制策略、病毒和入侵防御,及流量控制對(duì)公司內(nèi)網(wǎng)連接行業(yè)網(wǎng)、互聯(lián)網(wǎng)和DMZ區(qū)服務(wù)器進(jìn)行安全防護(hù)。

      改造后網(wǎng)絡(luò)出口拓?fù)淙鐖D2, 改造后,網(wǎng)絡(luò)出口第一層的PIX防火墻更換為負(fù)載均衡防火墻,原PIX防火墻上的NAT地址映射和訪問(wèn)控制策略遷移到負(fù)載均衡防火墻上。兩臺(tái)設(shè)備做主-備模式構(gòu)成冗余,并增加互聯(lián)網(wǎng)鏈路負(fù)載策略,實(shí)現(xiàn)訪問(wèn)電信的流量調(diào)度到電信線路,移動(dòng)的流量調(diào)度到移動(dòng)線路,達(dá)到多線路的自動(dòng)負(fù)載均衡,提高出口的可用性。

      圖2 改造后網(wǎng)絡(luò)出口拓?fù)鋱D

      在UTM和內(nèi)網(wǎng)之間增加上網(wǎng)行為管理設(shè)備,兩臺(tái)設(shè)備做主-備或主-主模式形成冗余。通過(guò)策略實(shí)現(xiàn)基于用戶(hù)角色的接入認(rèn)證、權(quán)限控制、合規(guī)審計(jì)和帶寬分配等安全管理,并根據(jù)不同用戶(hù)、終端類(lèi)別、應(yīng)用類(lèi)別、時(shí)間等更多的元素,制定更精細(xì)的網(wǎng)絡(luò)管理策略。

      改造實(shí)施

      1.安全配置修改

      因上網(wǎng)行為管理設(shè)備采取透明模式部署,UTM安全網(wǎng)關(guān)上網(wǎng)絡(luò)IP、路由和接口配置不變,訪問(wèn)行業(yè)網(wǎng)和DMZ區(qū)服務(wù)器的內(nèi)外NAT映射和安全策略不變。涉及互聯(lián)網(wǎng)訪問(wèn)的NAT映射和安全策略需要改動(dòng),包括由內(nèi)而外和由外而內(nèi)的雙向訪問(wèn)。主要改動(dòng)在于原來(lái)訪問(wèn)互聯(lián)網(wǎng)的雙鏈路選擇由UTM轉(zhuǎn)到負(fù)載均衡防火墻上,原來(lái)在UTM上配置的電信、移動(dòng)的雙NAT地址映射改為單NAT地址映射,安全策略也需要根據(jù)NAT映射的不同進(jìn)行相應(yīng)的改動(dòng)。

      2、用戶(hù)認(rèn)證

      內(nèi)網(wǎng)訪問(wèn)行業(yè)網(wǎng)和DMZ區(qū)不做用戶(hù)認(rèn)證,在上網(wǎng)行為管理設(shè)備可以根據(jù)訪問(wèn)目的IP地址進(jìn)行例外。

      互聯(lián)網(wǎng)訪問(wèn):

      (1)公司員工:有線和無(wú)線用戶(hù)均采用域用戶(hù)認(rèn)證。有線用戶(hù)結(jié)合公司AD域進(jìn)行單點(diǎn)登陸認(rèn)證,用域用戶(hù)登陸操作系統(tǒng)后自動(dòng)進(jìn)行認(rèn)證,上網(wǎng)時(shí)不需再次輸入用戶(hù)名和密碼。無(wú)線用戶(hù)結(jié)合公司AD域做外部認(rèn)證,通過(guò)連接WiFi,上網(wǎng)時(shí)彈出portal頁(yè)面,鍵入用戶(hù)的AD域帳號(hào)信息與密碼,實(shí)現(xiàn)外部認(rèn)證單點(diǎn)登錄。

      (2)外部用戶(hù):目前的認(rèn)證方式有短信、用戶(hù)名/密碼、微信和二維碼。

      短信認(rèn)證:用戶(hù)只需要輸入手機(jī)號(hào)碼,獲得并輸入短信驗(yàn)證碼后,就可以獲得上網(wǎng)權(quán)限。

      用戶(hù)名/密碼認(rèn)證:網(wǎng)絡(luò)管理員給上網(wǎng)人員統(tǒng)一下發(fā)用戶(hù)名/密碼,上網(wǎng)人員通過(guò)帳號(hào)接入,實(shí)現(xiàn)上網(wǎng)人員的身份認(rèn)證和行為管控。

      微信認(rèn)證:用戶(hù)認(rèn)證頁(yè)面會(huì)自動(dòng)提醒用戶(hù)需要關(guān)注組織的“官方微信公眾賬號(hào)”,并發(fā)送上網(wǎng)請(qǐng)求,才能獲得上網(wǎng)權(quán)限。這可以幫助企業(yè)推廣社交媒體的粉絲數(shù)量,更好的幫助企業(yè)推廣品牌宣傳。

      二維碼認(rèn)證:用戶(hù)認(rèn)證頁(yè)面會(huì)自動(dòng)彈出一個(gè)二維碼,只有內(nèi)部人員用自己的移動(dòng)終端掃描二維碼,確認(rèn)同意后,用戶(hù)才能獲得上網(wǎng)權(quán)限。而且,為了滿(mǎn)足合規(guī)要求,接待人員,可以在頁(yè)面上備注用戶(hù)身份信息,便于后續(xù)查找。認(rèn)證方式優(yōu)缺點(diǎn)分析如表1。根據(jù)管理要求,對(duì)長(zhǎng)時(shí)間駐留公司的外來(lái)人員,如維護(hù)人員、開(kāi)發(fā)人員等采用用戶(hù)名/密碼的認(rèn)證方式,對(duì)臨時(shí)來(lái)訪人員采用二維碼認(rèn)證方式。

      表1 認(rèn)證方式優(yōu)缺點(diǎn)分析

      3.行為管控和帶寬分配

      通過(guò)設(shè)備內(nèi)置的URL庫(kù)和應(yīng)用識(shí)別規(guī)則庫(kù),識(shí)別目前網(wǎng)絡(luò)中各種主流應(yīng)用,如IM聊天軟件、金融軟件、微博、社區(qū)論壇、網(wǎng)盤(pán)、在線視頻等。根據(jù)不同應(yīng)用制定不同的管理策略,限制與工作無(wú)關(guān)的行為。

      通過(guò)多級(jí)父子通道技術(shù),完全匹配企業(yè)組織人員架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過(guò)用戶(hù)和應(yīng)用的通道化后,給不同通道分配不同帶寬。同時(shí),帶寬的分配并不是一成不變的。通過(guò)配置線路空閑閥值,以及定義線路的空閑和繁忙狀態(tài),實(shí)現(xiàn)針對(duì)性制定流控策略。當(dāng)線路空閑時(shí)可以放寬通道帶寬限制,應(yīng)用流量可突破原來(lái)設(shè)定的最大帶寬限制;當(dāng)線路繁忙時(shí)可以下壓通道帶寬,使帶寬恢復(fù)到被限制狀態(tài),執(zhí)行原有的流控策略。

      4.多鏈路負(fù)載均衡

      (1)出站負(fù)載均衡

      內(nèi)網(wǎng)的用戶(hù)訪問(wèn)互聯(lián)網(wǎng)資源時(shí),負(fù)載均衡防火墻根據(jù)預(yù)先設(shè)定負(fù)載策略和IP地址表將訪問(wèn)電信的資源的出站流量分配到電信的鏈路之上,并做源地址的NAT,保證數(shù)據(jù)包返回時(shí)能夠正確接收;同理,訪問(wèn)移動(dòng)資源的流量會(huì)通過(guò)相應(yīng)策略和IP地址表被分配到移動(dòng)的鏈路之上。

      (2)入站負(fù)責(zé)均衡

      當(dāng)外部用戶(hù)訪問(wèn)內(nèi)部資源時(shí),通過(guò)智能DNS解析技術(shù)將一個(gè)域名綁定多個(gè)運(yùn)營(yíng)商的公網(wǎng)地址,負(fù)責(zé)解析來(lái)自不同運(yùn)營(yíng)商用戶(hù)的域名解析請(qǐng)求;根據(jù)不同負(fù)載均衡策略為不同運(yùn)營(yíng)商的用戶(hù)返回最佳的訪問(wèn)地址,實(shí)現(xiàn)用戶(hù)入站流量的負(fù)載均衡。

      應(yīng)用效果

      通過(guò)安全改造,企業(yè)加強(qiáng)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的安全防護(hù)和管理,達(dá)到網(wǎng)絡(luò)用戶(hù)、行為和流量可視可控的目的,實(shí)現(xiàn)了網(wǎng)絡(luò)安全管理的精細(xì)化,滿(mǎn)足了企業(yè)安全管理和合規(guī)審計(jì)的要求,并通過(guò)鏈路負(fù)載均衡策略提高網(wǎng)絡(luò)出口的可靠性和訪問(wèn)速度。

      猜你喜歡
      用戶(hù)名防火墻鏈路
      家紡“全鏈路”升級(jí)
      《護(hù)士進(jìn)修雜志》投稿程序
      天空地一體化網(wǎng)絡(luò)多中繼鏈路自適應(yīng)調(diào)度技術(shù)
      構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
      機(jī)智的快遞員
      基于3G的VPDN技術(shù)在高速公路備份鏈路中的應(yīng)用
      下一代防火墻要做的十件事
      高速光纖鏈路通信HSSL的設(shè)計(jì)與實(shí)現(xiàn)
      筑起網(wǎng)吧“防火墻”
      真正強(qiáng)力四大防火墻
      建始县| 方正县| 定州市| 鄯善县| 锡林郭勒盟| 大田县| 沙田区| 贺州市| 繁峙县| 霞浦县| 赣榆县| 剑阁县| 台前县| 额济纳旗| 东乌| 舒城县| 钟祥市| 台南市| 外汇| 闽清县| 余干县| 苍山县| 鄱阳县| 武宁县| 碌曲县| 镇江市| 岢岚县| 温宿县| 湖北省| 沂水县| 五大连池市| 连平县| 渭源县| 南川市| 响水县| 神池县| 呼图壁县| 陇南市| 威海市| 屏南县| 会同县|