东软集成安全网关虚拟化解决方案
某行业网站网络应用系统规模虽然不大,但应用比较复杂。在组网过程中,该网站对防火墙功能的应用已经非常全面,现有网络中的防火墙不仅要进行路由、网络地址转换、服务器集群的负载均衡、访问控制,还要实现VPN互联。但是,面对日趋严峻的安全挑战,现有设备已无法对网络进行全方位安全防护。该用户希望能够安全升级设备,然而受到采购成本的制约,用户网络又面临主要安全问题,急需一套切实可行并兼具性价比优势的解决方案。
用户的主要安全问题和挑战
由于部分员工使用办公主机访问网络时感染病毒、木马,导致病毒在内网横行,造成大量主机感染,一些重要数据丢失,严重影响了正常工作。虽然用户主机上安装了网络版的杀毒软件,但是仍然无法阻止病毒从互联网进入局域网。
用户的Web服务器经常遭到黑客的恶意攻击。一些攻击者在针对Web服务器发动攻击之前,常常会实施诸如Header信息探测、Web错误信息检查和服务器目录检测等探测行为。攻击者采用命令注入、SQL注入、跨站脚本攻击和构造异常应用数据包来实施攻击。现有网络防火墙设备已无法有效检测并阻断这些针对Web应用的探测和攻击行为。
在上班时间,员工经常会进行网上聊天、炒股、网上购物和P2P下载等行为,不但影响工作效率,还会大量占用宝贵的带宽资源。由于即时通信和P2P下载等应用软件的技术升级,传统防火墙设备在网络层上针对端口的限制早已无法控制应用软件的访问和约束内网用户的上网行为。
由于原有网络中未部署入侵检测和入侵防御设备,管理员无法在第一时间了解入侵行为并采取有效措施进行防护。考虑到安全漏洞越来越多、补丁开发的滞后性,恶意代码的威胁和传播速度、范围等因素,用户急需一款入侵检测设备来弥补现有网络的安全漏洞,降低网络的安全风险。
东软NISG虚拟化解决方案
考虑到用户网络现有的结构和安全加固成本等因素,本方案采用了业界领先的虚拟化技术,将NISG从逻辑上划分为两个虚拟NISG系统,每个虚拟系统中都集成了防病毒、入侵防御、反垃圾邮件、上网行为管理等功能,不但可以最小化对用户网络结构调整的影响,还能够为用户大大节约升级成本。在虚拟NISG系统间,它采用东软自主研发的虚拟接口和虚拟网络技术,有效解决了虚拟系统间的通信难题,为用户提供更为灵活的组网方案。与此同时,用户还可以对不同虚拟系统间的数据通信进行控制,如防病毒、入侵防御、应用层防护等,不仅能够阻断病毒、木马在局域网内的肆意传播,还可以防止内部员工的非法访问及网络滥用行为。
VPN网关虚拟化
由于用户原有网络中有VPN互联的需求,一般的虚拟设备无法支持VPN功能,所以VPN功能的移植一直是一个技术瓶颈。东软NISG可以实现VPN网关的虚拟化,各个虚拟VPN的管理维护、认证方式、认证数据库、VPN隧道都是完全独立的,为用户提供了高适应性、高灵活性和高扩展性的虚拟专用网解决方案。
防病毒与入侵防御
在虚拟系统中开启防病毒和入侵防御功能,可以将互联网病毒与局域网隔离,保证局域网不受网络病毒的侵害。东软NISG采用“云检测”技术,将病毒检测的工作送到云中执行,极大程度地降低了设备负载,提高了设备性能和工作效率。入侵防御功能基于东软的NEL专利技术,快速准确地检测来自互联网的入侵行为并执行阻断动作,最大程度地保障了内网安全。针对用户网络中的Web服务器集群,东软NISG不但具有负载均衡功能,还能够防御跨站脚本攻击、LDAP注入、SQL注入和命令注入等攻击行为,并可检测协议异常数据包,做出相应的协议限制,为Web服务器集群提供七层的安全保障。
上网行为管理
针对网络中用户无限制的上网行为,利用东软NISG可提供上网行为控制机制,针对即时通信软件和P2P软件进行基于特征的检测和阻断,同时实现细粒度带宽控制。采用东软NISG强大的URL分类功能,可有效检测内网用户访问网站的类型并做出相应处理。通过上述方法就可以有效控制内网用户的上网行为,保证员工的工作效率,更合理、有效地利用网络资源。
用简单的堆叠手段将各类安全产品一并部署到网络中,不仅会增加投资成本和管理部署的复杂度,无形中还会降低网络的可用性和可扩展性。东软NISG有效解决了传统安全产品堆叠所带来的问题,面对新的网络威胁,在确保网络稳定的前提下,全面提升了网络的综合安全防护能力,同时降低安全投资的门槛,花一套设备的投资去享受更多、更全面的信息安全防护。