网络安全 频道

新区政府首选下一代防火墙构建安全网络

  【IT168 案例】随着中央提出“建设网络强国”战略,政府机关的网络安全问题成为全社会信息安全防护体系建设的重中之重。据国家互联网应急中心(CNCERT)最近发布的《2013年我国互联网网络安全态势综述》显示,2013全年,优异有组织攻击频发,我国面临大量境外地址攻击威胁,其中地方政府网站及其信息系统成为黑客攻击的“重灾区”。

  坪山新区是深圳市政府为推进以大工业区为中心的东部片区统筹发展,促进全市区域协调发展,全面提升城市化水平,于2009年设立的新的行政区,是深圳市东部主要的工业基地,被誉为“特区中的特区“。

  为切实提升坪山新区政府的网络安全等级,保障政务信息系统的安全和稳定运行,近日,坪山新区政府对其办公网络外联区进行了安全升级,并在网络边界部署了网康科技提供的两台高端下一代防火墙。

  “办公网主要承载区政府1000多台电脑日常访问互联网,网络规模扩大后,资源滥用、病毒泛滥的问题开始凸显“,坪山区政府网络运维负责人介绍到,项目实施前,管理好如此大的一个办公网并非易事,面对问题经常无从下手。

  网络可用始终是第一要务

  据悉,网康下一代防火墙在坪山区政府网络外联区的成功部署,首先解决的是互联网可用性的问题。在先前,用户的两条100M互联网链路是独立的,内网不同用户由不同的链路转发出局,但由于运营商链路的特点以及资源分配的局限性,双链路接入并未产生理想的效果。

  网康下一代防火墙实现了双链路的统一接入,并基于运营商、应用类型、用户属性等将全网流量进行优先级区分,在此基础上实现了最大化的双链路负载均衡,并且做到了双链路互为备份。

新区政府首选下一代防火墙构建安全网络
网康下一代防火墙链路负载均衡解决方案

  “网络可用性是我们日常运维首先要考虑的问题,政府机关的网络承载大量应用,对实时性要求很高,按照等级保护要求,网络中断几分钟或长时间访问迟缓,对于我们而言都算得上是安全事故“,用户负责人说。

  为了进一步提升办公用户的访问质量,用户利用网康下一代防火墙对带宽资源分配做出了进一步优化,网络中的一些特殊用户、重要应用均被分配了保障带宽,网络操作迟缓的问题得到了彻底解决,这样的控制措施得到了所有内网用户的首肯。

  下一代安全强调“人的参与“

  用户负责人坦言,对于网络运维而言,下一代防火墙的可视化能力给工作带来了很大帮助,“先前遇到网络异常情况,我们总是很难确定问题的原因,为了排查一个故障点或攻击源,往往采取最机械的手段,网康设备给我们提供了很多有价值的数据,这种智能化的挖掘代替人工分析,是下一代防火墙的进步“。

  针对大量的境外地址攻击,网康下一代防火墙提供了IP地理属性,可以按照连接数和流量大小统计出源、目的IP所属的国家,这样的特性已经帮助大量管理者快速发现了异常的远程连接。针对隐蔽性更强的僵尸网络,网康下一代防火墙可以基于其常见的行为特征,判断出可能受控的僵尸主机,基于行为的判别方式是对传统安全技术的有益补充。

新区政府首选下一代防火墙构建安全网络
网康下一代防火墙中的异常流量统计和国家排名

  网康科技产品市场经理熊瑛表示,“仅从技术角度看待下一代防火墙的演进并不全面,更广义的’下一代安全’应当是以人的参与为基础的,传统的安全设备只是依靠技术手段做被动防御,在网康下一代防火墙中,通过可视化功能,将全网的状态、异常情况全部挖掘出来提供给管理者,管理者基于这些信息作出及时、准确、有针对性的安全策略配置,再通过可视化验证配置效果,在这样的闭环下安全策略得以持续的调优,是对’技术管理并重、技术支撑管理’的非常好的体现”。

  深度应用识别是安全前提

  根据权威定义,下一代防火墙应聚焦网络应用层,具备深度应用识别能力是其提供有效防护的前提条件。据网康科技负责项目实施的技术经理赖先生介绍,能够准确、深入识别网络应用是当前用户对于安全设备的基本需求,网康下一代防火墙所具备的超强应用识别能力为用户需求的满足提供了有力支撑。

新区政府首选下一代防火墙构建安全网络
网康下一代防火墙内嵌中国最大应用识别库

  “在进行链路负载优化配置时,我们发现用户的一条链路在传输音、视频流量时延时比较大,我们基于应用识别将所有对延时敏感的流量全部负载到了相对优质的链路上,保障了用户音、视频业务质量”,赖先生还介绍到,目前用户制定的所有访问控制策略,均是基于应用而非协议端口来实现的,这样就很好的解决了复杂应用因端口跳变、端口复用而难以控制的问题,降低了流量绕过设备检查的风险。

  对于政府机关而言,敏感文件外传造成信息泄密是当前面临的主要挑战之一,网康下一代防火墙对于流量的内容同样具备精准的识别和过滤能力,基于这样的特性,用户实施了数据泄露防护策略,对进出网络的敏感文件类型、内容关键字进行深度过滤,为数据安全加上了另一道保险。

  “安全设备一旦上升到应用层的高度,给用户的第一感觉是功能立刻变得强大了很多,设备中的每一项配置和日志报表都以应用作为中心,我们可以进行更精细化的控制并实现更准确的可视,安全性正是在这样的基础上得到了提升。另外,每种应用都有对应的命名和分类,对于管理者而言易用性反倒提升了很多”,坪山新区政府信息中心领导如是说。

0
相关文章