办公网目前的安全需求主要来自于以下几方面:
网络出口安全设计?
DMZ区和数据中心大量服务器资源的安全保护?
内网终端接入的认证,对不同部门的服务器资源的访问权限的设置
移动终端VPN接入后,如何进行安全认证、访问权限设置?
如何及时对所有终端(移动和非移动)的系统补丁及病毒库进行更新?
如何保障网络出口带宽的有效利用,保证电视台数字电视、WEBTV(网络电视直播)的有效开展?
因此,针对以上需求,我们提供IPS入侵防御系统和EAD端点准入防御系统可以很好帮助电视解决这些安全问题。
IPS深度安全防御和带宽管理
电视台的出口安全设计,建议在出口处配置防火墙的同时,配置IPS入侵防御系统,因为单一的防火墙方案已经不能满足电视台对安全的要求,主要原因包括:
越来越多的安全威胁来自电视台内部,记者便携机的普及使得移动办公得到大量的普及,计算机终端不断的在电视台内网和外网两个环境间进行漫游,很容易造成网络威胁从外网进入内网,从而在内网进行传播。另外由于VPN技术的普及,使得电视台内网无限扩展,更加大了威胁进入内网的机会。由于防火墙以抵御外部攻击为主要目标,对于内部网络产生的安全问题,防范不足;
对于应用层攻击、复合攻击,防火墙力不从心。目前由各种蠕虫、病毒、应用层攻击技术和EMAIL、移动代码结合形成了复合攻击手段,以直接攻击报社核心采编服务器和应用为主,会给报社带来了重大损失;同时随着报社P2P应用和MSN、QQ等即时通信软件的普及,电视宝贵带宽资源被无关业务流量浪费,形成巨大的性能威胁。这些威胁大部分都能够穿透防火墙,防火墙基于TCP/IP 3层和4层的访问控制对于基于应用的攻击威胁无法识别。
对紧急发生的安全问题无法及时响应。越来越多的病毒和蠕虫基于网络来传播,有了网络这个介质,可以威胁传播速度很快,以SQL Slammer为例,10分钟内,SQL Slammer感染了全球90%的有漏洞的计算机。如果网络对于这些威胁不能识别,不能在其传播扩散的通路上进行阻截,纯粹依靠人工手动的打补丁、升级防病毒软件、在防火墙上设置ACL,根本无法抑制这些蠕虫病毒的大规模泛滥。
针对防火墙的以上不足,需要有新的安全设备与之配合,这就是IPS――入侵防御系统,IPS可以完成防火墙所不能提供的深度内容分析和攻击检测和防范的能力。
H3C的SecPath IPS产品自2002年发布以来,已迅速成为提供基于网络的入侵防御系统的领先厂商。SecPath的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测,SecPath的入侵防御系统能够在发生损失之前阻断恶意流量。利用SecPath提供的数字疫苗服务,入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。
电视台的DMZ区和数据中心都有大量的服务器资源需要保护,所以我们建议在DMZ区域和数据中心区域的出口处,都配置一台SecPath IPS防御系统,以保护我们重要的服务器资源。
同时,电视台的数字电视、网络电视(WEBTV)等业务的开展需要对电视宝贵的出口带宽进行有效的管理,为防止大量的P2P、IM流量侵占带宽,H3C的SecPath IPS产品支持对100多种点到点应用的限速功能,保证关键应用所需的带宽。
整个办公网的IPS安全解决方案如下图:
EAD端点准入防御系统设计
H3C EAD方案包括下面4个组件:H3C安全客户端,安全联动设备,H3C CAMS安全策略服务器,第三方病毒服务器和补丁服务器。
通过上面四个组件的联动,可以实现下面五个功能:
1、检查:对接入网络的用户端点计算机进行安全检查,可以根据安全策略检查端点用户计算机的操作系统版本、补丁和防病毒软件的版本。
2、隔离:对于不符合公司安全策略的计算机将强制隔离到一个安全免疫区里。
3、修复:在安全免疫区,端点计算机可以升级防病毒软件、打操作系统补丁,只有修复后满足公司安全策略的计算机才可以最终接入网络
4、监控:EAD安全客户端还可以在用户使用网络的过程中对用户的行为进行监控,一旦发现行为异常,将立即对端点进行隔离。
5、而上面过程可以在H3C安全策略服务器统一部署下自动化完成,极大的提高了网络的主动防御能力。
通过 部署EAD端点防御系统,可以很好地帮助电视台的办公网解决以下几方面的安全问题:
对内网终端用户:进行身份认证和安全检查,以警告或者强制方式进行系统补丁和病毒库的升级
对VPN接入终端:电视台的记者出差或者移动办公时,当通过VPN接入后,也需要进行身份认证和安全检查。
安全权限下发(ACL策略和VLAN分配):无论对内网终端用户还是VPN接入的终端用户,在通过身份认证和安全检查后,都可以根据自己的账号得到相应的安全访问权限和VLAN分配,从而只能访问相应的网络资源。
建立良好的系统补丁及病毒升级库更新流程,每个终端都能够及时地更新病毒库和升级系统补丁,很大程度上保护生产网受到来自病毒的威胁。
电视台办公网整网的EAD解决方案如下图所示:
存储系统设计
在办公网,电视台的企业门户网站和开展网络电视(WEBTV)、开始数字电视应用都需要存储的大量音视频资料。H3C的Neocean IX1000和IX3000存储系统充分利用办公网以太网平台,采用IP-SAN存储架构,具备良好的可扩展性、兼容性和性能价格比。非常适合电视台办公网的存储系统。
办公网的存储系统设计如下图:
智能管理中心设计
对于电视台,不论在生产网还是办公网,由于涉及到设备类型较多,有网络设备、安全设备、存储设备和大量服务器,因此对整网设备统一管理的需求很明显,除了对基础网络的管理,同时随着电视台不断发展,电视台也面临对网络资源的管理和对基础接入管理的管理需求和难题。
针对电视台的管理需求和难题,我们推荐采用H3C智能管理中心(H3C Intelligent Management Center,以下简称:H3C iMC)。H3C iMC是H3C凭借多年网络管理产品的研发经验和对网络管理的深刻理解,推出了新一代的网络管理产品,H3C iMC以业务管理和业务流程模型为核心,采用面向服务(SOA)的设计思想,按需装配的组件化结构,为客户提供网络业务、资源和用户的融合管理解决方案,帮助客户实现网络业务的端到端管理。H3C iMC 解决方案架构图:
H3C iMC可以帮助电视台实现如下三方面管理:
基础网络管理:
管理界面简单易操作,提高维护的效率
开放网络平台,支持多类型多厂家设备(交换机、路由器、安全设备、存储系统、服务器)的统一管理
了解全网的拓扑结构
设备故障报警和流量异常告警
网络流量和性能监控和瓶颈分析
监控服务器资源和进程监控
VPN管理,实现对IPSec+L2TP VPN、SSL VPN的统一管理,融合端点安全、用户接入和应用分析。
网络资源管理:
全网实施ACL管理、VLAN管理、QoS管理,以帮助电视台真正实现区域管理、安全控制管理。
基础接入管理:
通过部署EAD端点防御系统,实施接入用户管理,如身份认证、访问权限控制等等,全面实现全网接入管理。
通过部署H3C iMC ,能够直接面向电视台管理需求,从根本上解决电视台多业务融合管理的问题,不但能确保电视台业务的正常开展,更能不断满足电视台未来的发展。