绿盟网络入侵防护系统广域网防护解决方案

企业广域网通常是企业内部分支机构与总部互联或合作伙伴之间数据交换的通道，其安全可控度不高，将恶意攻击、蠕虫病毒等安全威胁限定在可控范围内是该区域防护的主要目标。

威胁分析

企业广域网的安全威胁主要来自以下几个方面：

1. 非法扫描和渗透攻击

来自分支机构或合作伙伴网络中的恶意入侵者可能因为好奇、报复或经济利益等目的对企业网络发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入企业网络，获取、篡改甚至破坏敏感的数据，乃至破坏企业的正常业务和生产运行。

2. 病毒或蠕虫侵袭

网络蠕虫病毒传播速度快，一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感数据造成严重的威胁，甚至造成网络拥塞，导致业务和生产的中断。

3. DDoS/DoS攻击

DDoS攻击出现在10年前，是一种技术含量不高，单攻击效果显著的攻击。由于近些年僵尸网络的发展，DDoS攻击重新成为恶意入侵者的新宠，特别是针对应用层的CC攻击，直接威胁业务系统的可用性。

风险分析

我们主要从以下几个方面关注企业广域网面临的安全风险：

4. 非法扫描和恶意攻击的安全风险

分支机构及合作伙伴相对不可控，来自其网络中的非法扫描、渗透入侵、DDoS/DoS等恶意攻击直接威胁企业网络的机密性和可用性。

5. 网络蠕虫病毒快速传播的安全风险

目前利用漏洞传播的网络蠕虫病毒传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，一旦蠕虫爆发会造成企业网络瘫痪。入侵检测系统IDS虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。

需求分析

根据对企业广域网的威胁和风险分析，信息安全需求主要包括以下方面：

· 实时发现和阻断来自分支机构与合作伙伴网络中的非法扫描和各恶意攻击，避免机密信息泄露，并保障网络的可用性;

· 阻止蠕虫、网络病毒爆发对企业网络的破坏，保障企业网络的正常运行。

解决方案

通过详细分析企业广域网所面临的安全风险和信息安全需求，我们建议在广域网出入口处部署新一代安全产品——绿盟网络入侵防护系统(NSFOCUS NIPS)，保证网络系统的安全稳定运行。

产品部署

图 一.1 广域网出口NIPS部署示意图

根据广域网的网络结构特点，充分发挥NSFOCUS NIPS产品支持网络结构多样化的特点，采取了如图 2.4 所示的路由部署方式。具体部署方式如下：

· 在企业广域网出入口处在线部署1台NSFOCUS NIPS，网络引擎选择路由工作模式，用户无需单独购买路由器，节省了投资;

· 网络引擎开启入侵防护、防病毒、防火墙功能模块，实时分析检测攻击行为并响应，自动阻断黑客攻击，切实有效的保护企业网络的安全;

· 在企业内部网络部署1台PC机作为NSFOCUS NIPS的控制台，NSFOCUS NIPS支持B/S管理模式，可以灵活方便的管理部署在网络中的网络入侵防护系统。

功能与效益

部署绿盟网络入侵防护系统会给企业网络带来以下安全功能的提高：

· 实时发现和阻断来自分支机构或合作伙伴网络的扫描、渗透、DDoS/DoS等攻击和入侵，防止黑客带来的安全损失;

· 实时发现和阻断网络蠕虫病毒的大规模爆发，缩小其扩散范围;

· 可以实现防火墙的访问控制、地址转换及策略路由等功能，增强了网络安全性，减少企业投资;

· 智能、自动化的安全防御，降低企业整体的安全费用以及对于网络安全领域人才的需求。

日常使用建议

由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的。在这种情况下，有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，所以，绿盟科技建议如下：

6. 保障规则升级

a. 网络入侵防护系统控制台每周定时检查厂商规则升级模块

b. 离线下载或使用厂商提供的定期升级包

c. 控制台自动推送升级到网络引擎

7. 日志自动备份策略

设置报警日志定期备份策略，防止出现日志溢出或意外丢失的情况

定期分析与报告策略

设置综合报告每周发送策略，分别发给其他管理员

每月对报告进行综合分析，对疑难问题，寻求安全厂商的支持