深圳白云航空服务有限公司系中国南方航空(集团)公司全资子公司、驻深企业。信息反馈的快慢及准确性,直接影响到企业的决策。对信息化有着高要求的白云航空服务有限公司来讲,在企业经营决策过程中,信息传达速度和效率至关重要。由于以太网的先天缺陷和不擅长管理,局域网络问题困扰着无数多的企业。和很多公司一样在传统的网络架构下,白云航空的网络隐患终于暴露出来,航空售票系统无法正常工作,影响订单顺利完成。
开始负责人刘工以为带宽不足,审请了两条电信宽带,但是问题依然存在,然后便开始定位问题所在电脑中了木马、病毒,杀毒软件每个终端上都有安装,电脑会有ARP攻击的提示,但网络问题没有解决;于是又使用上网行为管理,进行不必要的网络应用封锁,稍有改善,还是无法达到解决问题的目的。
在这种情况下,负责人刘工联系了深圳赛格的IT网络设备商王经理进行相关问题的咨询:“网络掉线卡,到底是什么问题?真的没有办法解决了吗?别的企业网络就没问题?人家用的什么?……”。王经理遇到这样的问题已经很多了,也是经历了无从下手到什么都用再到找到了真正的解决方法。而当前网络掉线、卡滞的唯一办法就是升级原有的普通网络为免疫网络。
介于白云航空网络的重要性,王经理和欣向深圳办事处的陈工亲自上门进行免疫网络的升级体验。并为白云航空的刘工分析了白云航空网络几个常见的内网安全隐患:
1、 虽然网络采用了固定IP的方式,但是内网IP冲突、ARP攻击、内网大流量DDoS攻击等仍存在,桌面防火墙无法解决网络攻击问题,实质是缺少安全管理手段。
2、 内网虚假MAC的数据出现较多,一是可能个别人通过系统工具修改网卡MAC,以冒用其它人身份,二是内网存在虚假MAC的攻击,伺机截获他人数据。这些的存在导致了网络不稳定因素骤增。
3、 票务系统订单提交不了,找不到具体问题所在,但内网攻击导致的不稳定因素是主要原因。
根据以上网络问题的现状分析,使用的欣向免疫墙NuR8266M进行免疫网络的部署就可以解决白云航空的网络问题。于是欣向工程师开始了免疫网络方案的部署实施,在服务器上安装运营中心,启动免疫墙模式,每个终端装上智能安装免疫上网驱动,并定制免疫安全策略和精细岛内网上传/下载、公网上传/下载的精细带宽管理。
伴随着免疫网络的实施过程,从系统的监控中心中可以清楚的看到有主机发送大量的Ping包被拦截、大量的ARP请求被拦截。监控中心报警栏提示存在电脑有自定义的MAC地址,免疫驱动自动对其进行封锁。看来,内网电脑的MAC伪造上网现象得到了确认,并找到了冒用他人身份的主机。监控中心报警均可以用网络使用者人名标记,网络管理到人。
注:以下为白云航空免疫网络运行的实际截图,为保证企业隐私,故将实际管理截图中的人名进行了部分处理。
白云航空免疫网络系统监控
白云航空网络运行日志记录
经过免疫网络的实施,使白云航空网络完成了从一个看不见的网络到一个可见的网络的转变,而免疫墙路由器之所以解决了杀毒软件、防火墙和传统普通路由器不能解决的网络安全稳定问题关键在于采用了免疫墙技术手段实现免疫网络的基本要求。比如:
1、通过在接入网关设备中加入安全功能,如ARP先天免疫、内网防火墙、滤窗技术等,实现了网络设备中融合安全功能的要求;
2、通过强制安装终端免疫驱动,在网络的末端节点进行部署。更重要的是在网卡一级对底层协议也进行管控,实现了深度防御和控制。
3、通过对全网安全策略组合的综合设置、预定和学习,实现了主动防御,对已知和未知的攻击行为起到抑制、干预,阻止其发作的作用。
4、通过运行在服务器上的运营中心,对来自网关和终端驱动的报警信息、异常流量、身份核查等进行处理,对网络的运行状况进行审计评估,还负责安全策略的升级和下发等工作。
5、内网安全和管理协议将接入网关、服务器、终端驱动等各部分网络设备和安全功能,构成一个完整的体系,实现了全网设备联动。
6、基于可信终端的日志报警和存储,监控中心显示的报警和日志都以基于终端真实身份的,信息及时,定位准确,网络问题变的可见、可追溯。
从实施欣向免疫网络解决方案到现在,已有半个月时间,航空票务系统正常服务于广大旅行者,白云航空也正翱翔于蓝天白云间。无论是航空企业、教育行业还是政府机构欣全向免疫网络解决方案都在大范围实施部署,如果说以防火墙、入侵监测和病毒防范的“老三样”是安全技术领域的第一波浪潮;上网行为管理、终端准入推起了第二波浪潮;而免疫网络代表了未来网络安全行业的方展方向,势必掀起安全行业第三波浪潮。