(完整版)典型企业网络边界安全解决方案
边界防护解决方案
边界防护解决方案一、背景介绍边界防护是指在信息系统中,通过设置合适的安全措施,保护系统与外界的边界不受未经授权的访问、攻击和恶意行为的侵害。
针对当前网络安全威胁日益增多和复杂化的情况,边界防护解决方案成为保护企业信息系统安全的重要手段。
二、问题描述企业面临着来自外部网络的各种威胁,如网络攻击、恶意软件、数据泄露等。
为了保护企业的核心数据和业务系统,需要建立一套完善的边界防护解决方案。
三、解决方案1. 防火墙防火墙是边界防护的第一道防线,通过过滤和控制网络流量,限制未经授权的访问。
可以选择硬件防火墙或软件防火墙,根据企业规模和需求进行选择。
2. 入侵检测与防御系统(IDS/IPS)IDS/IPS系统能够监测网络流量中的异常行为,并及时做出响应,阻止潜在的攻击。
可以通过规则、签名、行为分析等方式进行检测和防御。
3. 虚拟专用网络(VPN)VPN技术通过加密和隧道技术,实现远程用户与企业内部网络的安全连接。
通过VPN,可以保证数据在传输过程中的机密性和完整性。
4. 反病毒与恶意软件防护利用反病毒软件和恶意软件防护系统,对企业网络中的文件和流量进行实时监测和扫描,及时发现和清除潜在的威胁。
5. 安全策略与访问控制制定合理的安全策略和访问控制机制,对企业内外的用户进行身份验证和权限控制,确保只有合法用户能够访问敏感数据和系统。
6. 安全培训和意识提升加强员工的安全意识和培训,提高对网络安全威胁的认识和应对能力。
通过定期的安全培训和演练,提高员工对边界防护措施的理解和遵守程度。
四、方案实施1. 需求分析根据企业的实际需求,进行边界防护方案的需求分析,明确目标和功能。
2. 设计方案根据需求分析的结果,制定边界防护的设计方案,包括硬件设备的选型、网络拓扑的规划等。
3. 实施部署根据设计方案,进行边界防护设备的采购和部署,确保设备能够正常运行。
4. 测试验证对边界防护设备进行测试和验证,确保其功能和性能符合设计要求。
大中型企业网络安全整体解决方案
大中型企业网络安全整体解决方案随着信息化时代的不断发展,大中型企业的网络环境也面临着越来越多的安全威胁和风险。
为了保障企业的数据安全,提高网络运行的可靠性和稳定性,大中型企业需要采取一系列的网络安全整体解决方案。
本文将针对大中型企业网络安全问题,提出相关解决方案。
一、网络设备安全网络设备是大中型企业网络安全的基础,因此,保证网络设备的安全性至关重要。
以下是一些网络设备安全的措施:1. 更新设备固件和软件:及时更新设备的固件和软件可以修复已知的漏洞和安全问题,提高设备的安全性。
2. 强化设备访问控制:禁用不必要的服务、关闭默认的账号和密码、限制设备的访问权限,以减少潜在的攻击面。
3. 加强设备的物理安全:保证设备的物理安全,如设置设备密码、限制设备访问的物理位置等。
二、网络流量监测与入侵检测系统(IDS)网络流量监测与入侵检测系统(IDS)是大中型企业网络安全的重要组成部分。
以下是关于IDS的解决方案:1. 实施流量监测:通过监控网络流量,及时发现异常流量和潜在的攻击行为,提前采取相应的措施应对。
2. 配备入侵检测系统:安装入侵检测系统,并及时更新其规则库,以识别并阻止潜在的入侵行为。
3. 日志分析和告警:及时分析IDS所收集到的日志信息,并设置相应的告警机制,以便快速响应和处理潜在的安全事件。
三、网络访问控制和身份认证网络访问控制和身份认证是保障大中型企业网络安全的关键环节。
以下是相关解决方案:1. 强化访问控制:通过合理配置网络设备的访问控制列表(ACL)、虚拟专用网(VPN)等技术手段,限制网络用户的访问权限。
2. 部署身份认证系统:采用多因素身份认证、单一登录等技术手段,确保合法用户的身份被正确识别,降低非法用户的入侵风险。
3. 加强密码管理:制定密码策略,要求网络用户定期更换密码,并要求密码的复杂性,以增加密码被破解的难度。
四、数据备份与恢复对于大中型企业来说,数据备份与恢复是保障业务连续性和防止数据丢失的重要手段。
企业网络安全方案15篇
企业网络安全方案15篇企业网络安全方案(篇1)1、网络管理员应在接到突发的计算机网络故障报告的第一时间,赶到现计算机或网络故障的第一现场,察看、询问网络故障现象和情况。
2、分析设备或系统的故障;判断故障属于物理性破坏、人为失误造成的安全事件、电脑病毒等恶意代码危害、检测软件引起的系统性瘫痪还是人为的恶意攻击等。
3、发生计算机硬件(系统)故障、通信线路中断、路由故障、流量异常等,网络管理员经初步判断后应立即上报应急领导小组组长,由应急领导小组组长通知做好各部门做好检测车辆的场内秩序维护工作;(1)、属于计算机硬件(系统)故障;就立即组织电脑公司技术人员进行抢修,属于计算机系统问题的应第一时间利用备份系统进行系统还原操作;还原操作无效的,如无大面积计算机停机现象,应排除隐患,除待处理的检测线外,立即逐步恢复能正常工作的检测线工位机、计算机,尽快恢复车辆检测工作;(2)、属于计算机网络连接问题的,能通过拉接临时线解决的,应立即拉接临时线缆,再逐步查找连接故障;由于连接交换机故障的,应立即更换上备用交换站;站内各部门有义务配合网络管理员做好排故工作;(3)、属于服务器瘫痪引起的;应立即还原服务器操作系统,并还原最近备份的服务器各数据库。
如还原操作无效的,应第一时间安排电脑公司技术人员进行抢修,立即联系相关厂商和上级单位,请求技术支援,作好技术处理并通知服务器服务商。
(4)、由网络攻击或病毒、木马等引起的网络堵塞等现象,应立即拨掉网线,将故障计算机(服务器)脱离网络,并关闭计算机后重新开机,下载安装最新的杀毒软件对故障计算机逐一进行杀毒处理;对连接交换进行断电处理;(5)、当发现网络或服务器被非法入侵,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,各部门工作岗位工作人员应断开网络,网络管理员应向应急领导小组组长报告。
网络管理员接报告应核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆帐号,阻断可疑用户进入网络的通道。
典型企业网络边界安全解决方案
典型企业网络边界安全解决方案随着信息化时代的到来,企业网络安全问题日益突出。
企业网络边界安全解决方案成为了企业保护网络安全的重要手段。
本文将为大家介绍典型的企业网络边界安全解决方案。
一、防火墙防火墙是企业网络边界安全的第一道防线。
它可以对网络流量进行监控和过滤,阻止未经授权的访问和恶意攻击。
企业可以根据自身需求选择传统防火墙、应用层防火墙或下一代防火墙等不同类型的防火墙设备,以实现对网络流量的精细化控制和保护。
二、入侵检测系统(IDS)和入侵防御系统(IPS)入侵检测系统和入侵防御系统可以监控和检测企业网络中的异常流量和攻击行为,并采取相应的防御措施。
通过部署IDS和IPS 设备,企业可以及时发现和应对网络入侵事件,提高网络边界的安全性。
三、虚拟专用网络(VPN)虚拟专用网络是一种通过公共网络进行加密通讯的技术,可以为企业提供安全的远程访问和通信环境。
企业可以通过部署VPN设备,实现对外部网络的安全连接和通信,保护企业内部网络不受未经授权的访问和攻击。
四、安全网关安全网关是企业网络边界安全的重要组成部分,它可以对企业网络流量进行深度检测和过滤,阻止恶意攻击和威胁传播。
安全网关可以集成防火墙、IDS/IPS、反病毒、反垃圾邮件等多种安全功能,为企业提供全面的网络边界安全保护。
五、安全策略和管理企业网络边界安全解决方案的有效性不仅取决于安全设备的部署,更取决于企业的安全策略和管理。
企业需要建立完善的安全管理制度,包括安全策略制定、安全培训和意识教育、安全事件响应等方面,以确保企业网络边界安全的持续有效性。
六、综合安全解决方案随着网络安全威胁的不断演变和复杂化,企业网络边界安全解决方案也在不断发展和完善。
目前,一些厂商提供了综合的安全解决方案,集成了防火墙、IDS/IPS、VPN、安全网关等多种安全功能,为企业提供了更全面、更高效的网络边界安全保护。
总之,企业网络边界安全解决方案是保护企业网络安全的重要手段,通过合理部署和使用安全设备,建立完善的安全策略和管理制度,可以有效提高企业网络边界的安全性,保护企业的核心业务和敏感数据不受未经授权的访问和攻击。
公司网络安全方案
公司网络安全方案公司网络安全方案随着信息技术的快速发展和社会网络的普及,网络安全问题日益凸显,已成为企业运营管理中不可忽视的关键要素之一。
为了保护公司的信息资产安全,防范网络攻击和数据泄露风险,我们制定了以下公司网络安全方案。
一、基础设施安全1. 运用防火墙技术:通过建立有效的防火墙系统,对公司内部局域网和外部网络之间的流量进行过滤和监测,实现网络入侵的实时检测和恶意攻击的拦截,确保公司内部网络的数据安全。
2. 强化网络设备的安全性:规范网络设备的管理,对路由器、交换机、防火墙等网络设备进行定期维护和升级,及时修补漏洞,确保网络设备及时响应安全事件和威胁。
3. 建立网络隔离机制:将公司内部网络按照安全等级划分为不同的区域,并设置隔离设备,确保不同安全级别的网络之间相互隔离,防止横向渗透。
二、身份认证和访问控制1. 强化账户和密码管理:要求员工使用强密码,定期更换密码,并建立密码复杂度和有效期限制的策略,防止密码被猜测和盗用。
2. 实施多因素身份认证:除了用户名和密码,引入生物识别、动态令牌等多因素身份认证方式,增加身份认证的安全性,阻止非法用户进入系统。
3. 制定访问权限控制策略:根据员工职责和需求,建立权限分级制度,将不同的权限分配给不同级别的员工,避免敏感信息被未经授权的人员访问。
三、网络流量监测和防御1. 实施网络入侵检测系统(IDS)和入侵防御系统(IPS):通过实时监测和分析网络流量,检测并阻止入侵行为,及时发现和响应安全事件,保护公司网络系统的完整性。
2. 加密公司敏感数据:对重要数据进行加密处理,只有具备相应权限的人员才能解密和获取数据,确保数据在传输和存储过程中不被窃取或篡改。
3. 建立网络安全事件响应机制:制定网络安全事件应急预案,对网络威胁进行分类和评估,及时采取应对措施,减少安全事件对公司网络的影响。
四、员工安全意识培训开展网络安全意识培训,提升员工对网络安全风险的认知和防范意识,教育员工掌握基本的网络安全知识和技能,如防范钓鱼网站、恶意软件和社交工程等网络攻击手段。
边界防护解决方案
边界防护解决方案一、背景介绍在当今信息时代,网络安全问题日益突出,各类黑客攻击、病毒传播、数据泄露等安全事件频频发生,给企业和个人的信息资产造成为了巨大的威胁。
为了保护网络系统的安全和稳定运行,边界防护解决方案应运而生。
二、边界防护解决方案的定义边界防护解决方案是指通过建立一系列安全策略和技术手段,以保护企业内部网络系统免受外部攻击和恶意行为的影响,确保网络系统的安全性、可靠性和可用性。
三、边界防护解决方案的核心要素1. 防火墙(Firewall):防火墙是边界防护解决方案的核心组成部份,通过设置访问控制策略、检测和过滤网络流量,以阻挠未经授权的访问和恶意攻击。
2. 入侵检测和谨防系统(IDS/IPS):入侵检测和谨防系统通过实时监测网络流量,检测和阻挠潜在的入侵行为,提高网络系统的安全性。
3. 虚拟专用网络(VPN):通过建立加密隧道,为远程用户提供安全的访问企业内部网络的方式,保护敏感数据的传输安全。
4. 安全网关(Security Gateway):安全网关是一种集成为了多种安全功能的设备,如反病毒、反垃圾邮件、Web应用防火墙等,能够全面保护企业的网络系统免受各类威胁。
5. 安全策略与管理:制定合理的安全策略,建立完善的安全管理体系,包括安全审计、日志管理、漏洞管理等,确保边界防护解决方案的有效运行。
四、边界防护解决方案的实施步骤1. 网络风险评估:对企业网络系统进行全面的风险评估,确定安全需求和威胁情况,为后续的解决方案设计提供依据。
2. 解决方案设计:根据风险评估结果和实际需求,设计符合企业要求的边界防护解决方案,包括硬件设备选型、安全策略制定等。
3. 设备部署与配置:根据设计方案,选择合适的设备,并进行部署和配置,确保设备能够正常运行并满足安全要求。
4. 系统测试与优化:对已部署的设备进行测试,验证其功能和性能,进行必要的优化和调整,以确保边界防护解决方案的有效性。
5. 运维与管理:建立边界防护解决方案的运维和管理体系,包括设备监控、日志审计、漏洞管理等,及时发现和解决安全问题。
边界安全解决方案
边界安全解决方案
网络管理区
对外连接区
ቤተ መጻሕፍቲ ባይዱ
合作伙伴
内网办公区
外联数据区
数据中心区
互联网 连接区
企业内部网络 分支机构
分支机构
广域网 连接区
分支机构
分支机构
分支机构
合作伙伴
合作伙伴 远程办公
远程办公 分支机构
通过以上的分区设计和网络现状,华为 3Com 提出了以防火墙、VPN 和应用层防御系 统为支撑的深度边界安全解决方案:
4
边界安全解决方案
边界安全解决方案
前言 随着网络技术的不断发展以及网络建设的复杂化,网络边界安全成为最重要的安全问
题,需要对其进行有效的管理和控制,主要体现在以下几个方面: 网络隔离需求: 主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的
源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制, 把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
3
典型组网应用
边界安全解决方案
网络管理中心
VPN Client
移动办公 VPN
防火墙/VPN
企业内部网 IPS
防火墙/VPN
2M E1
IPS
分支机构1
VPN
分支机构2
分支机构3
VPN
数据中心 VPN隧道
在企业互联网出口部署防火墙和VPN设备,分支机构及移动办公用户分别通过VPN网关 和VPN客户端安全连入企业内部网络;同时通过防火墙和IPS将企业内部网、DMZ、数据中 心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同 层次的安全防护。
企业网络安全解决方案
企业网络安全解决方案随着企业网络的快速发展和依赖程度的上升,网络安全问题变得日益突出。
为了应对这些问题,企业需要采取一系列的网络安全解决方案来保护其重要数据和网络系统。
以下是一些常见的企业网络安全解决方案:1. 防火墙:部署防火墙可以帮助企业阻止非法入侵和恶意攻击。
防火墙可以监控网络流量,并根据预先设定的规则来过滤和控制流量。
2. 入侵检测系统(IDS)和入侵防御系统(IPS): IDS可以检测并报告网络中的潜在攻击和入侵行为,而IPS可以主动阻止这些攻击。
3. 虚拟专用网络(VPN): VPN可以为远程工作人员提供安全的远程访问企业网络的通道。
通过建立加密的连接,VPN可以确保远程访问的安全性和机密性。
4. 数据加密:通过将敏感数据进行加密,即使在被拦截或泄露的情况下,攻击者也无法解读其内容。
加密可以在数据传输过程中或数据存储时进行。
5. 强密码策略:制定和实施强密码策略可以防止未经授权的访问企业系统。
强密码应该具有足够的复杂性和长度,并定期更换。
6. 定期备份:定期备份数据可以帮助企业保护其重要数据免受意外删除、硬件故障或网络攻击的影响。
7. 员工培训:加强员工的网络安全意识培训可以帮助他们识别和避免网络攻击,例如钓鱼邮件、恶意软件下载等。
8. 漏洞管理:对企业网络进行定期的漏洞扫描和修补是确保网络安全的重要措施。
及时修补发现的漏洞可以减少攻击者利用这些漏洞的可能性。
9. 多因素身份验证:采用多因素身份验证可以提高账户的安全性。
除了使用用户名和密码,还可以使用指纹识别、短信验证码等验证方法。
10. 实时监控和响应:通过实时监控网络和系统,企业可以及时发现异常活动并采取相应的响应措施,从而减轻潜在的安全风险。
综上所述,企业网络安全解决方案应该是综合性、全面性和多层次的。
通过采取合适的解决方案,并与定期的安全审查和更新相结合,企业可以更好地保护其网络系统和重要数据不受威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
典型中小企业网络边界安全解决方案意见征询稿Hillstone Networks Inc.2010年9月29日目录1 前言 (4)1.1 方案目的 (4)1.2 方案概述 (4)2 安全需求分析 (6)2.1 典型中小企业网络现状分析 (6)2.2 典型中小企业网络安全威胁 (8)2.3 典型中小企业网络安全需求 (10)2.3.1 需要进行有效的访问控制 (10)2.3.2 深度应用识别的需求 (11)2.3.3 需要有效防范病毒 (11)2.3.4 需要实现实名制管理 (11)2.3.5 需要实现全面URL过滤 (12)2.3.6 需要实现IPSEC VPN (12)2.3.7 需要实现集中化的管理 (12)3 安全技术选择 (13)3.1 技术选型的思路和要点 (13)3.1.1 首要保障可管理性 (13)3.1.2 其次提供可认证性 (13)3.1.3 再次保障链路畅通性 (14)3.1.4 最后是稳定性 (14)3.2 选择山石安全网关的原因 (14)3.2.1 安全可靠的集中化管理 (15)3.2.2 基于角色的安全控制与审计 (16)3.2.3 基于深度应用识别的访问控制 (17)3.2.4 深度内容安全(UTMPlus®) (17)3.2.5 高性能病毒过滤 (18)3.2.6 灵活高效的带宽管理功能 (19)3.2.7 强大的URL地址过滤库 (21)3.2.8 高性能的应用层管控能力 (21)3.2.9 高效IPSEC VPN (22)3.2.10 高可靠的冗余备份能力 (22)4 系统部署说明 (23)4.1 安全网关部署设计 (24)4.2 安全网关部署说明 (25)4.2.1 部署集中安全管理中心 (25)4.2.2 基于角色的管理配置 (29)4.2.3 配置访问控制策略 (30)4.2.4 配置带宽控制策略 (31)4.2.5 上网行为日志管理 (33)4.2.6 实现URL过滤 (35)4.2.7 实现网络病毒过滤 (36)4.2.8 部署IPSEC VPN (37)4.2.9 实现安全移动办公 (38)5 方案建设效果 (38)1前言1.1方案目的本方案的设计对象为国内中小企业,方案中定义的中小型企业为:人员规模在2千人左右,在全国各地有分支机构,有一定的信息化建设基础,信息网络覆盖了总部和各个分支机构,业务系统有支撑企业运营的ERP系统,支撑企业员工处理日常事务的OA系统,和对外进行宣传的企业网站;业务集中在总部,各个分支机构可远程访问业务系统完成相关的业务操作。
根据当前国内企业的发展趋势,中小企业呈现出快速增长的势头,计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件,为企业经营决策提供了有力支撑,为企业的对外宣传发挥了重要的作用,因此企业对信息化建设的依赖也越来越强,但同时由于计算机网络所普遍面临的安全威胁,又给企业的信息化带来严重的制约,互联网上的黑客攻击、蠕虫病毒传播、非法渗透等,严重威胁着企业信息系统的正常运行;内网的非法破坏、非法授权访问、员工故意泄密等事件,也是的企业的正常运营秩序受到威胁,如何做到既高效又安全,是大多数中小企业信息化关注的重点。
而作为信息安全体系建设,涉及到各个层面的要素,从管理的角度,涉及到组织、制度、流程、监督等,从技术的角度,设计到物理层、网络层、主机层、应用层和运维层,本方案的重点是网络层的安全建设,即通过加强对基础网络的安全控制和监控手段,来提升基础网络的安全性,从而为上层应用提供安全的运行环境,保障中小企业计算机网络的安全性。
1.2方案概述本方案涉及的典型中小型企业的网络架构为:两级结构,纵向上划分为总部与分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
典型中小型企业的网络结构可表示如下:典型中小型企业网络结构示意图为保障中小企业网络层面的安全防护能力,本方案结合山石网科集成化安全平台,在对中小企业信息网络安全域划分的基础上,从边界安全防护的角度,实现以下的安全建设效果:●实现有效的访问控制:对员工访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性;●实现有效的集中安全管理:中小型企业的管理特点为总部高度集中模式,通过网关的集中管理系统,中小企业能够集中监控总部及各个分支机构员工的网络访问行为,做到可视化的安全。
●保障安全健康上网:对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;●保护网站安全:对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为;●保护关键业务安全性:对重要的应用服务器和数据库服务器实施保护,防范病毒和内部的非授权访问;●实现实名制的安全监控:中小型企业的特点是,主机IP地址不固定,但全公司有统一的用户管理措施,通常通过AD域的方式来实现,因此对于访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理;●实现总部与分支机构的可靠远程传输:典型中小型企业的链路使用模式为,专线支撑重要的业务类访问,互联网链路平时作为员工上网使用,当专线链路故障可作为备份链路,为此通过总部与分支机构部署网关的IPSEC VPN功能,可在利用备份链路进行远程通讯中,保障数据传输的安全性;●对移动办公的安全保障:利用安全网关的SSL VPN功能,提供给移动办公人员进行远程安全传输保护,确保数据的传输安全性;2安全需求分析2.1典型中小企业网络现状分析中小企业的典型架构为两级部署,从纵向上划分为总部及分支机构,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,业务访问则是通过专线链路直接访问到总部;总部及分支机构均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。
双链路给中小企业应用访问带来的好处是,业务访问走专线,可保障业务的高可靠性;上网走互联网链路,增加灵活性,即各个分支机构可根据自己的人员规模,采用合理的价格租用电信宽带;从网络设计上,中小企业各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器,有些中小型企业在VLAN的基础上还配置了ACL,对不同VLAN间的访问实行控制;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。
具体的组网结构可参考下图:典型中小企业组网结构示意图2.2典型中小企业网络安全威胁在没有采取有效的安全防护措施,典型的中小型企业由于分布广,并且架构在TCP/IP网络上,由于主机、网络、通信协议等存在的先天性安全弱点,使得中小型企业往往面临很多的安全威胁,其中典型的网络安全威胁包括:【非法和越权的访问】中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统,在缺乏访问控制的前提下很容易受到非法和越权的访问;虽然大多数软件都实现了身份认证和授权访问的功能,但是这种控制只体现在应用层,如果远程通过网络层的嗅探或攻击工具(因为在网络层应用服务器与任何一台企业网内的终端都是相通的),有可能会获得上层的身份和口令信息,从而对业务系统进行非法及越权访问,破坏业务的正常运行,或非法获得企业的商业秘密,造成泄露;【恶意代码传播】大多数的中小企业,都在终端上安装了防病毒软件,以有效杜绝病毒在网络中的传播,但是随着蠕虫、木马等网络型病毒的出现,单纯依靠终端层面的查杀病毒显现出明显的不足,这种类型病毒的典型特征是,在网络中能够进行大量的扫描,当发现有弱点的主机后快速进行自我复制,并通过网络传播过去,这就使得一旦网络中某个节点(可能是台主机,也可能是服务器)被感染病毒,该病毒能够在网络中传递大量的扫描和嗅探性质的数据包,对网络有限的带宽资源造成损害。
【防范ARP欺骗】大多数的中小企业都遭受过此类攻击行为,这种行为的典型特点是利用了网络的先天性缺陷,即两台主机需要通讯时,必须先相互广播ARP地址,在相互交换IP地址和ARP地址后方可通讯,特别是中小企业都需要通过边界的网关设备,实现分支机构和总部的互访;ARP欺骗就是某台主机伪装成网关,发布虚假的ARP信息,让内网的主机误认为该主机就是网关,从而把跨越网段的访问数据包(比如分支机构人员访问互联网或总部的业务系统)都传递给该主机,轻微的造成无法正常访问网络,严重的则将会引起泄密;【恶意访问】对于中小型企业网而言,各个分支机构的广域网链路带宽是有限的,因此必须有计划地分配带宽资源,保障关键业务的进行,这就要求无论针对专线所转发的访问,还是互联网出口链路转发的访问,都要求对那些过度占用带宽的行为加以限制,避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。
这种恶意访问行为包括:过度使用P2P进行大文件下载,长时间访问网游,长时间访问视频网站,访问恶意网站而引发病毒传播,直接攻击网络等行为。
【身份与行为的脱节】常见的访问控制措施,还是QOS措施,其控制依据都是IP地址,而众所周知IP地址是很容易伪造的,即使大多数的防火墙都支持IP+MAC地址绑定,MAC地址也是能被伪造的,这样一方面造成策略的制定非常麻烦,因为中小型企业内员工的身份是分级的,每个员工因岗位不同需要访问的目标是不同的,需要提供的带宽保障也是不同的,这就需要在了解每个人的IP地址后来制定策略;另一方面容易形成控制缺陷,即低级别员工伪装成高级别员工的地址,从而可占用更多的资源。
身份与行为的脱节的影响还在于日志记录上,由于日志的依据也是根据IP地址,这样对发生违规事件后的追查造成极大的障碍,甚至无法追查。
【拒绝服务攻击】大多数中小型企业都建有自己的网站,进行对外宣传,是企业对外的窗口,但是由于该平台面向互联网开放,很容易受到黑客的攻击,其中最典型的就是拒绝服务攻击,该行为也利用了现有TCP/IP网络传输协议的先天性缺陷,大量发送请求连接的信息,而不发送确认信息,使得遭受攻击的主机或网络设备长时间处于等待状态,导致缓存被占满,而无法响应正常的访问请求,表现为就是拒绝服务。
这种攻击常常针对企业的网站,使得网站无法被正常访问,破坏企业形象;【不安全的远程访问】对于中小型企业,利用互联网平台,作为专线的备份链路,实现分支机构与总部的连接,是很一种提高系统可靠性,并充分利用现有网络资源的极好办法;另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台,进行相关的业务处理;而互联网的开放性使得此类访问往往面临很多的安全威胁,最为典型的就是攻击者嗅探数据包,或篡改数据包,破坏正常的业务访问,或者泄露企业的商业秘密,使企业遭受到严重的损失。