整体网络安全系统架构 随着针对应用层的攻击越来越多、威胁越来越大,只针对网络层以下的安全解决方案已不足以应付来自各种攻击了。例如,那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。结合中小企业的网络特征,我们建议采用基于三星Ubigate IBG ISM(集成安全模块)的UTM整体安全网络架构方案。
如图1所示,这种多层次的安全体系不仅要求在网络边界设置防火墙&VPN,还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,将应用层的防护放在网络边缘,这种主动防护可将攻击内容完全阻挡在企业内部网之外。对于内网安全,特别是移动办公,client quarantine(客户端隔离)将对有安全问题的机进行隔离,以免其对整个网络造成更大范围的影响。这给整个企业网络提供了安全保障。基于 Samsung Ubigate IBG ISM的UTM可以检测到任何异常操作并立即关闭可疑的途径。
基于Samsung Ubigate IBG 系列整合平台及其集成安全模块 (ISM) 的UTM整体网络安全方案
网络安全平台的设计由以下部分构成:
防火墙& VPN系统:用基于状态检测的防火墙系统实现对内部网和广域网进行隔离保护。 VPN 为远程办公人员及分支机构提供方便的VPN高速接入,保护数据传输过程中的安全,实现用户对服务器系统的受控访问。
IDS/IPS签名检测:ISM采用高速模式匹配实现高速签名筛选,从而保证网络性能卓越化。IPS系统能够对所有数据进行实时检测。对于可疑攻击行为,IPS系统采用灵活的策略进行相应处理,大大降低了IPS系统误报和漏报给内部网络带来的风险。
病毒检测:ISM 中的代理将每个会话的有效负荷组装至文件,然后将该文件发送至系统的防病毒引擎检查该文件,若感染病毒,则修复文件,然后将文件传输至其原始目的地。支持对HTTP、SMTP、POP3、FTP等协议的病毒检测。
通讯异常检测:包括扫描检测,会话限制,TCP/UDP/ICMP洪泛攻击检测和阻止。ISM具有强大的防DOS/DDOS功能,不但可以防御外网的DOS/DDOS,同时对于内网用户发起的DOS攻击,UTM 安全网关也可以进行防御。
客户端隔离:隔离是抑制蠕虫和病毒爆发的最有效方法。为实现此目标,ISM 将安装 Desktop Agent 并与所有内部客户端的Desktop Agent进行通信。 如果检测到异常通讯,ISM 就会发送一个命令,阻止源计算机生成更多的通讯。
Web应用程序防火墙:Web应用程序防火墙提供高效的防御,防止与Web系统相关的攻击。
URL 筛选:ISM可以依照有害站点数据库检查目标URL 来阻止内部用户访问特定的网站,管理员还可以选择预订Websense 数据库,只需加点费用即可。
通讯调整:ISM 可以根据网络管理员设立的策略来控制特定通讯的带宽。
UBigate3026UTM的特性:
整机模块化设计,所有模块支持热拔插功能,用户可量身定制自已的配置,升级、维护极灵活,具备很强的可扩展性。
防火墙(ISM模块)、VPN(VAC卡) 防火墙吞吐量:1.9Gbps
Concurrent Session:最大200,000(1G)
VPN吞吐量:360 Mbps,
VPN最大通道数:最大 2000,
IPS吞吐量:1.5Gbps, IPS签名数:超过2,000
支持防病毒网关、防垃圾邮件、URL过滤、Web应用层防火墙、终端安全性
路由交换:
支持RIP,OSPF,BGP协议,QOS机制,二、三层企业级交换能力,21G的吞吐量,最多支持54个千兆端口,4个光纤端口
VoIP
为模拟和数字电话提供接口,配备了带有IP电话和PoE的以太模块,能够提供灵活多变的企业级语音服务。并通过广泛的QoS使企业语音和数据业务真正整合,支持模拟、数字和IP电话。
Samsung Ubigate iBG 系列整合平台及其集成安全模块 (ISM) 提供了具有以下显著优势的“非常好的方案”防御措施:
在路由器(通向内部网络的网关)处有多个先进的安全功能;
用于阻止来自端点设备的 Desktop Agent;
通过专用 CPU 和内存获取高性能安全性;
自动签名更新和用于传染的紧急推入服务;
使用基于 Web 的图形化设备管理器进行轻松配置、管理、监视和故障排除,可通过https实现远程管理,降低管理成本;
IBG集成交换和路由功能,以及VoIP功能,将大大降低中小企业的整体网络的造价成本;以及企业运作成本;
Samsung Ubigate iBG 系列整合平台及其集成安全模块 (ISM) 的UTM整体网络安全方案完全满足中小企业网络安全方案的安全需求。提供了当今较高级别的安全性。