边界安全部署白皮书（2022年）

下面是小编为大家整理的边界安全部署白皮书（2022年）,供大家参考。

　边界安全部署白皮书

　 边界安全部署白皮书

　关键词：

　园区边界， 安全部署

　摘

　要：

　H3C 边界安全解决方案从用户的实际需求出发， 运用 H3C 丰富的安全技术积累， 用户可以基于技术、 预算等多方面需求来选择安全产品， 将这些安全结合起来进行边界安全建设， 以达到保护整个网络的安全的目的。

　 1

　技术背景

　随着网络技术的不断发展以及网络建设的复杂化， 网络边界安全成为最重要的安全问题，也是目前网络安全建设中首要考虑的问题， 在边界安全的建设中大多数企业的网络建设者都会提出以下问题：

　 1）

　什么是网络边界？

　 2）

　我们已经有了防火墙， 还会有什么安全问题吗？

　 3）

　当网络问题发生时， 如何快速有效的对网络出口的安全策略进行优化？

　 4）

　如何解决出口流量监控的问题？

　 今日， 新的安全技术和产品层出不穷， 实践证明单个部件是不能很好地对网络安全进行防御的， 各个企业可能已经拥有了网络安全各个方面的专门技术， 如防火墙、 人侵检测系统、VPN、 反病毒等等， 如何使多个部件协同工作， 利用各个部件的长处， 以达到最好的效果并具有冗余。

　 H3C 边界安全解决方案从用户的实际需求出发， 运用 H3C 丰富的安全技术积累， 用户可以基于技术、 预算等多方面需求来选择安全产品， 将这些安全结合起来进行边界安全建设，以达到保护整个网络的安全的目的。

　 2

　边界安全解决方案介绍

　什么是网络边界呢？ 网络边界是我们的网络与其他网络的分界线， 对边界进行安全防护，首先必须明确哪些网络边界需要防护， 这可以通过安全分区设计来确定。

　定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产， 其次对安全资产定义安全策略和安全级别， 对于安全策略和级别相同的安全资产， 就可以认为属于同一安全区域。

　可以划分为：互联网连接区、 广域网连接区、 外联数据区、 对外连接区、

　 数据中心区、

　边界路由器

　边界防火墙

　IPS

　 VPN 设备

　边界防病毒

　边界流量分析监控

　日志管理设备

　 网络边界是一个网络的重要组成部分， 负责控制网络的最初及最后过滤， 对一些公共服务器区进行保护， 负责链路安全的 VPN 技术也是在网络边界设备建立和终结的， 因此边界安全的有效部署对整网安全意义重大， 下面就结合 H3C 的安全产品来向大家推荐一些边界安全的部署方案。

　 2.1

　边界路由器

　路由器在网络中承担路由转发的功能， 它们讲流量引导进入网络、 流出网络或者在网络中传输， 由于边界路由器具有丰富的网络接口， 一般置于 internet 出口或广域网出口， 是流量进入和流出之前我们可以控制的第一道防线。

　 H3C MSR 系列路由器系列产品具有丰富的集成安全特性， 包括 Firewall、 IPSec VPN、

　VPN、 CA、 Secure Shell（SSH）

　协议 2.0、 入侵保护、 DDoS 防御、 攻击防御等。

　在网络安全防御战略中起着重要作用。

　VPN 技术方面， MSR 50 系列产品提供专门的安全数据连接设计技术， 采用边界防火墙

　防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。

　防火墙可以对边界路由器不

　能监控的流量进行更加深人地分析和过滤， 并能够按照管理者所确定的策略来阻塞或者允许流量经过。

　SecPath 系列防火墙是 H3C 为企业以及运营商用户设计的专业网络安全产品，通过将强大安全抵御功能、 专业 VPN 服务和智能网络特性无缝集成在一个硬件平台上， 为用户提供全面的安全防护：

　包括增强型状态安全过滤， 虚拟防火墙技术， 抗攻击防范能力，针对 P2P 应用进行深入 IPS

　随着互联网的不断发展， 黑客攻击技术也出现了许多新的变化， 这也促使网络安全产品不断的更新换代。

　一种新型的安全防护产品——网络入侵防御系统应运而生。

　网络入侵防御系统作为一种在线部署的产品， 其设计目标旨在准确监测网络异常流量， 自动对各类攻击性的流量， 尤其是应用层的威胁进行实时阻断， 而不是在监测到恶意流量的同时或之后才发出告警。

　这类产品弥补了防火墙、 入侵检测等产品的不足， 提供动态的、 深度的、 主动的安全防御， 为企业提供了一个全新的入侵保护解决方案。

　 H3C 系列 IPS 产品， 具备对 2 层到 7 层流量的深度分析与检测能力， 同时配合以精心研究的攻击特征知识库和用户规则， 即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为， 也可以对分布在网络中的各种流量进行有效管理， 从而达到对网络上应用的保护、 网络基础设施的保护和网络性能的保护。

　 2.4

　VPN

　VPN 技术是通过公众 IP 网络建立私有数据传输通道， 将远程的分支办公室、 商业伙伴、移动办公人员等连接起来， 减轻企业的远程访问费用负担， 节省电话费用开支， 并且提供安全的端到端数据通讯。

　 H3C 提供专业的 SecPath V 系列 VPN 网关设备， 考虑到不同用户的组网及投资需求， H3C路由器和防火墙设备上也集成 VPN 功能， 可支持多种 VPN 业务， 如 SSL VPN、 L2TP VPN、GRE VPN 、 IPSec VPN、 MPLS VPN 和动态 VPN 等， 可以构建多种形式的 VPN， 可以很好的满足不同组网要求。

　 2.5

　边界防病毒

　近年来计算机病毒乘着网络信息化的热潮， 不断骚扰和破坏人们正常的工作秩序。

　病毒已逐渐成为网络安全的祸首， 严重的病毒爆发将直接导致网络的瘫痪， 在边界安全防护中也同样要考虑对病毒的防护。

　 H3C ASM（Anti-Virus Security Module）

　防病毒模块系列产品是 H3C 公司面向企业用户开发的新一代专业安全产品， 可以快速有效的阻断蠕虫王、 冲击波、 麦托、 尼姆达、 震荡波和高波等网络蠕虫病毒的渗透， 防御外部网络的蠕虫病毒、 后门木马和垃圾邮件侵袭， 与传统防病毒软件相比， H3C ASM 防毒卡产品与 H3C SecPath 系列防火墙可以实现无缝融合，在网络层次上实现病毒查杀， 在网络边界处即可降低病毒风险， 为整网提供更全面的安全服务。

　 2.6

　出口流量监控

　网络用户有众多的数据业务流量； 终端用户也可能会访问各种各样的 Internet 资源， 包括访问各种 WEB 网站、 下载各种软件、 玩各种网络游戏等， 那么如何来监控网络中的应用情

　况？ 对于宝贵的出口带宽资源如何进行有效规划？ 以上问题都需要管理员能及时对网络流量进行监控， 因此今年来流量监控技术也是网络用户的一个关注重点。

　 由于防火墙、 路由器在网络中得天独厚的位置， 使任何 Internet 通讯的流量都会经过防火墙设备， 因此 H3C 设计制作了 NSM（用于防火墙）

　/NAM（用于路由器）

　流量监控 板卡，NSM 产品采用 B/S 结构， 管理员只需使用安装了 IE 的 PC， 即可登录 NSM 配置平台， 进行流量查看和监控。

　NSM/NAM 做为板卡放置在出口防火墙和路由器设备上， 既可以方便的监控出口流量， 又节省空间， 方便管理维护。

　 2.7

　日志审计系统

　以上已经介绍了边界安全部署的几个关键部件， 还有一个关键部件是边界安全中最富挑战性但是值得去做的一项工作， 是各关键部件协同工作的一个重要环节――日志分析， 日志文件包含了重要的安全信息， 但由于各网络设备和主机的日志都是信息孤岛， 且信息量巨大，不仅给管理员带来很大的工作量， 并且无法快速有效的定位问题。

　 SecCenter 是 H3C 公司推出的安全管理解决方案中的重要组成部分， 是一款基于硬件的智能、 高效的安全信息及事件管理（SIEM）

　系统。

　能够提供对全网海量安全事件和日志的集中收集与统一分析， 兼容异构网络中多厂商的各种设备， 对收集到的信息高度聚合及归一化处理， 实时监控全网安全状况。

　另外， SecCenter

　还能根据不同用户需求， 提供丰富的网络安全状况与政策符合性审计报告。

　系统自动执行网络事件监控、 收集、 分析、 告警、 报告、归档等所有任务， 使 IT 及安全管理员脱离繁琐的管理工作， 极大提高工作效率， 能够集中精力关注企业业务。

　 2.8

　小结

　一个完整的边界安全部署包括哪些方面呢？ 简单地说， 应该包括以上安全组件及其之间的协同工作， 各部

　件产品的安全日志关联分析汇总， 在组网上要充分考虑冗余备份和负载分担等各项要素，其中每一个要素又包含许多的部件， 这些部件仅仅依靠各自自身的力量是无法提供完整的网络安全的。

　只有这些部件协同工作、 功能互补才能形成—个完整的防御结构。

　 3

　边界安全解决方案的典型组网及应用

　根据不同的网络规模和用户需求， 边界安全的部署也有较大的区别， 如何考虑防火墙、 IPS、路由器的部署位置， 如何考虑 VPN 集成， 流量分析模块建议放置何处？ 下面推荐几种常用的园区边界安全部署典型组网， 供大家参考。

　 3.1

　单设备园区出口边界安全

　 图表 1

　单设备园区出口边界安全

　适用:

　 对于一些小型网络可选择此种典型的单设备园区网出口组网， 由出口设备集成安全、 路由、 VPN 等功能， 节省投资， 方便管理。

　 组网特点和建议：

　仅有 Internet 一个边界出口与外部网络互连。

　 一个公共服务器区对外部提供 WWW/E-MAIL 等服务， 在公共服务器区需要

　部署在 DMZ 区

　 远程用户（包括移动接入用户和小型分支节点）

　通过 Internet 建立VPN 隧道接入到园区网络

　 边界安全设计要求设备成本低， 通常将出口路由器和 VPN安全网关/防火墙集成在一台出口设备上。

　 通过在路由器或防火墙上配置 NAM板/NSM 板来实现出口流量监控。

　3.2

　专业安全设备园区出口边界安全

　 图表 2

　专业安全设备园区出口边界安全

　适用:

　对中型网络边界安全的建设初期， 可选择专业的防火墙设备、 VPN 设备及路由器设备来组建边界安全网络， 网络结构清晰， 尤其是对 VPN 有较高要求的企业， 专业的 VPN网关较能保障 VPN 业务的性能。

　 组网特点和建议：

　 园区网与外界网络互连出口包括 Internet/WAN 等几部分， 根据业务情况， 在各出口均需要考虑部署防火墙和路由器设备。

　 公共服务器对外部提供 WWW/E-MAIL 等服务， 通过防火墙的策略及 IPS 深入检测来保护公共服务器的安全。

　 远程用户（包括移动接入用户和小型分支节点）

　通过 Internet 建立 VPN 隧道接入到园区网络

　 考虑到大中型网络对性能的要求， 边界安全设计时可选择专业的防火墙设备、 VPN 设备及路由器设备。

　 可以在边界路由器或防火墙上配置 NAM 板/NSM 板来实现出口流量监控。

　 在边界路由器或防火墙上配置 ASM 防病毒卡来进行病毒防护。

　 在网络管理区部署 seccenter 日志审计系统来对搜集防火墙、 路由器、 IPS、 交换机等设备的日志信息， 并进行关联分析。

　 3.3

　园区多出口网关集成边界安全部署

　 图表 3

　园区出口边界冗余备份安全部署

　适用:

　大中型网络一般使用人数较多， 业务较丰富， 对安全性和可靠性要求也更高， 因此对大中型网络边界安全推荐冗余备份和负载分担组网。。

　 组网特点和建议：

　 园区网与外界网络互连出口包括 Internet/WAN 等几部分， 根据业务情况， 在各出口均需要考虑部署防火墙和路由器设备。

　 公共服务器对外部提供 WWW/E-MAIL 等服务， 通过防火墙的策略及 IPS 深

　入检测来保护公共服务器的安全。

　 远程用户（包括移动接入用户和小型分支节点）

　通过 Internet 建立 VPN 隧道接入到园区网络

　 H3C 的防火墙设备能提供集成的 VPN 的功能和 NAT 功能， 因此在边界安全设计时可选择采用防火墙设备同时提供 VPN、 NAT、 安全策略控制等功能， 减少投资成本。

　 在边界出口部署双路由器＋双防火墙＋双 IPS 实现负载分担和冗余备份。

　 在防火墙设备上配置 NAM 板/NSM 板来实现出口流量监控。

　 在边界路由器或防火墙上配置 ASM 防病毒卡来进行病毒防护。

　 在网络管理区部署 seccenter 日志审计系统来对搜集防火墙、 路由器、 IPS、 交换机等设备的日志信息， 并进行关联分析。

　 4

　方案总结

　H3C 边界安全解决方案可向广大用户提供全面的边界安全防护， 通过对安全区域的设计、配合病毒防护和流量监控功能， 在网络边界部署防火墙、 VPN、 IPS 等安全设备， 不仅能够保证 2 至 7 层的安全， 同时也保证了数据传输的安全性， 形成动态、 立体、 深层次的全面安全防护。

推荐访问:边界安全部署白皮书 白皮书 边界 部署