广域网安全建设的思路和部署
广域网安全建设
广域网安全建设7.7.4.1.1、远程接入解决方案针对远程数据传送,例如同相关部门或者上、下级单位进行数据交互时,需要确保数据在网络中的完整性、私密性和不可篡改性。
通常情况下,用IPSec VPN对传输数据进行加密;对于跨越异构网络的通信,需要结合GER VPN技术对数据进行加密;而对于移动性较强的用户,需要用SLL VPN进行加密,SLL VPN具有针对每个用户细分权限和免客户端安装的优势。
方案在保证连通性、安全性的前提下,要确保稳定性和易管理性。
如果由多台设备分别实现各种VPN和防火墙技术,在网络出口处串糖葫芦式部署,会导致单点故障率增加。
所以本方案采用集成防火墙、IPSec VPN、GER VPN、MPLS VPN、SSL VPN技术为一体的设备,避免了因为串接设备过多带来的单点故障问题。
而随着互联部门、机构的增多,维护成本也相应增加,如果在指挥中心就能完成对所有互联机构设备的监控和管理,则会在提高响应速度的同时,大幅降低运营、维护成本。
本方案安全管理平台收集分析整个网络的安全事件,并自动生成审计报表,同时可以对应急指挥中心和互联单位的VPN设备进行统一配置管理。
7.7.4.1.2、远程灾备解决方案对于容灾系统,除了要保证信息传输过程中的安全性、保密性和不可篡改性,还需要保证大数据量备份的实时性。
所以除了部署IPSec/GRE/SSL/MPLS VPN 设备,还需要在应急平台数据中心和远程灾备中心对称部署WAN优化设备,可以数十倍提升数据传输速度,满足海量信息实时备份的要求。
7.7.4.1.3、推荐产品●集成IPSec/ GRE / SSL / MPLS VPN和防火墙功能的防火墙/VPN设备●可以统一配置、管理各分支的VPN管理系统●集成WAN优化功能的路由器插卡。
广域网方案
广域网方案引言广域网(Wide Area Network,简称WAN)是一种连接分布在较大地理范围内的局域网(Local Area Network,简称LAN)的计算机网络。
在现代商业和组织中,广域网的重要性不言而喻。
本文将重点介绍实施广域网的方案和要点。
设计目标在设计广域网方案时,应考虑如下目标:1.高可用性:确保广域网的稳定性和可靠性,以确保业务的连续进行。
2.灵活性:允许添加或移除新的支点,以便网络能够容纳扩展和变化。
3.性能优化:提供高性能的网络连接,最小化延迟和带宽瓶颈,以满足用户的需求。
4.安全性:确保数据传输的机密性和完整性,保护网络免受潜在的威胁。
方案概述广域网的基本结构包含以下组件:1.路由器:实现不同局域网之间的互连和数据传输。
2.链路:提供相互连接的网络段,可以是传统的物理线路或者虚拟专用网络(Virtual Private Network,简称VPN)。
3.协议:用于在不同网络节点之间交换信息的通信规则和约定,如IP、TCP等。
4.安全设备:包括防火墙、入侵检测系统(Intrusion Detection System,简称IDS)、虚拟专用网络等,用于保护广域网的安全。
下面将逐一介绍每个组件的设计和实施。
路由器选择和配置路由器是广域网的核心设备,负责转发数据包和管理网络流量。
在选择路由器时,应考虑以下因素:1.品牌和性能:选择知名品牌的路由器,并确保其满足网络需求的性能要求。
2.可扩展性:根据网络规模和增长趋势,选择支持多个接口和扩展槽的路由器。
3.安全功能:选择具备防火墙和虚拟专用网络功能的路由器,以确保网络通信的安全性。
同时,路由器的配置也是关键步骤。
以下是一些常见的配置要点:•配置路由器与各个局域网之间的接口,确保正确的网络互连。
•配置动态路由协议,以使网络能够自适应变化,并提供冗余路径以提高可靠性。
•配置网络地址转换(Network Address Translation,简称NAT)以实现局域网IP地址到广域网IP地址的转换,以允许局域网内的主机访问外部网络。
加强网络安全建设的方法和策略
加强网络安全建设的方法和策略如今,随着信息技术的快速发展和网络应用的日益普及,网络安全问题已经成为全球人民的共同关注。
特别是在当前全球疫情的冲击下,网络应用的增长和网络攻击的加剧,更使得网络安全问题愈加突出。
如何加强网络安全建设,成为了亟待解决的问题。
要加强网络安全建设,首先需要明确网络安全的定义。
网络安全是指在网络通信过程中保护信息系统和网络的保密性、完整性和可用性等方面的安全性问题。
其包括了计算机网络、通信网络、物联网等多个方面,因此要加强网络安全建设,并不是单纯的技术问题,更需要政策、法律、技术、组织等多方面的综合治理。
如何做好网络安全建设?下面笔者将从策略和方法两个层面进行论述。
一、制定网络安全战略制定网络安全战略是加强网络安全建设的第一步。
网络安全战略是基于国家的安全利益和长远发展利益而制定的安全政策,它指导着网络安全的规划和实施,保障着网络安全稳定运行。
1.加强网络安全建设的法律和政策保障在制定网络安全战略之前,我们需要明确网络安全是国家安全的重要组成部分,应该得到国家的高度重视和保障。
在国家层面上,要加强立法和政策制定,规范网络安全行为,保障网络安全法律和制度的健全运行。
从机构建设上,需成立专门负责网络安全工作的监管机构和专家委员会,加大网络安全领域的人才引进,提高网络安全专业化水平。
只有这样,才能从法律和政策上制定网络安全战略,并得到有效落实。
2.加强网络安全体系建设网络安全是一个系统工程,需要统筹协调和整体推进。
在网络安全战略中,需要明确网络安全体系和架构,构建网络安全警报系统、网络安全检测系统、网络应急系统等多种网络安全应急措施,以及建立网络安全管理平台,实现对信息系统和网络的安全管控。
3.加强网络安全教育和培训在网络安全战略中,必须重视加强网络安全教育和培训。
提高公众的网络安全意识,对于提升全国网络安全水平具有重要意义。
网络安全部门需要向公众普及网络安全知识,推广网络安全技术和防范措施,及时发布网络安全信息和警示,提高网络用户的信息安全保护意识和自我防范技能。
ppt网络安全建设思路
ppt网络安全建设思路网络安全建设是现代社会信息化发展的必然要求。
随着互联网技术的迅猛发展,网络安全问题也日益凸显。
网络安全问题不仅仅是个人信息泄露和个人隐私被侵犯的问题,更是国家安全和国家利益的关键问题。
针对当前网络安全形势,我国需要从以下几个方面进行网络安全建设。
首先,加强法律法规建设。
制定完善相应的网络安全法律法规,明确网络安全的底线,加强对网络犯罪的打击力度,建立健全网络安全管理制度和责任追究机制,为网络安全建设提供法律保障。
其次,加强网络安全技术研究和创新。
推动网络安全技术的研究和创新,加快培养网络安全专业人才,提高我国在网络安全领域的核心竞争力。
同时,加强国际合作,共同应对全球网络安全威胁。
第三,加强网络安全意识教育。
加强网络安全意识教育,提高全民网络安全素养,培养正确的网络安全行为习惯。
开展网络安全知识宣传活动,普及网络安全基础知识,提高广大群众应对网络安全威胁的能力。
第四,加强网络安全监管和管理。
建立健全网络安全监管和管理机制,加强对关键信息基础设施的保护,确保网络运行的安全稳定。
加大对网络安全违法行为的打击力度,严惩网络黑客和网络犯罪分子。
第五,加强网络安全应急响应能力。
建立完善的网络安全应急响应机制,提高网络安全事件的应急处理能力。
建立网络安全信息共享平台,加强各级政府部门和企事业单位之间的信息共享和合作。
第六,加强网络安全审计。
加强对网络安全的审计工作,发现和解决网络安全隐患,确保网络系统的安全运行。
建立网络安全审计机构,组织开展网络安全审计工作。
总之,网络安全建设是一个系统工程,需要政府、企事业单位和个人共同努力。
只有加强网络安全建设,才能确保网络空间的安全稳定,促进网络经济的健康发展。
计算机网络基础构建可靠的局域网与广域网
计算机网络基础构建可靠的局域网与广域网随着互联网的迅猛发展,计算机网络已经成为现代社会的重要基础设施之一。
在计算机网络中,局域网(Local Area Network,简称LAN)和广域网(Wide Area Network,简称WAN)扮演着至关重要的角色。
构建可靠的局域网和广域网是确保数据传输高效和安全的关键步骤。
本文将探讨如何基于计算机网络基础构建可靠的局域网与广域网。
一、局域网的构建局域网是指在一个相对较小的范围内,如企业、学校或家庭,通过网络设备连接起来的一组计算机和网络设备的集合。
要构建可靠的局域网,可以采取以下几个步骤:1. 设定适当的拓扑结构:拓扑结构是局域网的物理布局,包括总线、星型、环形等多种形式。
根据局域网规模和传输需求选择合适的拓扑结构,确保网络连接稳定。
2. 使用高质量的网络设备:选择具有可靠性和稳定性的网络设备,如交换机和路由器,以确保数据传输的高效和可靠。
3. 配置合理的IP地址和子网掩码:为局域网中的每个计算机分配唯一的IP地址,并设置适当的子网掩码,以实现正常的数据通信和网络管理。
4. 设置合理的访问控制策略:使用防火墙等安全设备,设置访问控制列表和安全策略,保护局域网免受未经授权的访问和恶意攻击。
5. 定期进行网络维护和更新:及时更新网络设备的固件和软件,定期检查和维护局域网的硬件和软件设备,确保网络的稳定和安全。
二、广域网的构建广域网是指连接不同地理位置的局域网或单个计算机的网络,其范围一般比局域网更广。
要构建可靠的广域网,可以采取以下几个步骤:1. 选择适当的通信介质:根据不同地理环境和传输需求,选择合适的通信介质,如光纤、电缆或无线通信等,确保传输质量和速度。
2. 配置合理的路由协议:使用合适的路由协议,如OSPF、BGP等,优化数据包的传输路径,提高网络传输的效率和可靠性。
3. 建立虚拟专线或VPN连接:通过建立虚拟专线或使用VPN技术,实现不同地理位置之间的安全数据传输,保护数据的机密性和完整性。
网络基础设施局域网和广域网的搭建与管理
网络基础设施局域网和广域网的搭建与管理在当今数字化时代,网络已成为工作和生活中不可或缺的一部分。
有效地搭建和管理网络基础设施是确保顺畅运行和数据安全的关键。
本文将介绍局域网和广域网的搭建与管理方法,以帮助读者实现高效的网络体验和维护安全性。
一、局域网的搭建与管理局域网(Local Area Network)是指在一个较小的范围内,如办公室、校园或建筑物内,通过局域网络设备连接多台计算机和其他设备的网络。
1. 网络拓扑结构选择局域网的拓扑结构有多种选择,包括星型、总线型和环型等。
根据需要和实际情况,选择最适合的拓扑结构。
2. 设备选购和布置购买合适的网络设备,如交换机、路由器和防火墙等。
根据实际需求确定设备布局和连接方式,避免网络拥堵和数据泄露。
3. 网络地址规划进行网络地址规划,为每个设备分配唯一的IP地址,确保设备之间可以正确通信。
同时,为了安全性考虑,可以设置访问控制列表(ACL)限制网络访问权限。
4. 网络监控和维护定期检查和维护网络设备,确保其正常运行,并采取必要的措施修复故障。
利用网络监控工具对网络流量、带宽利用率和设备状态等进行实时监控,以及及时发现和解决潜在问题。
二、广域网的搭建与管理广域网(Wide Area Network)是指跨越较大地理范围的网络,通常用于连接不同地理位置的局域网。
1. 选择合适的网络连接方式根据需求和预算,选择合适的网络连接方式,如专线、虚拟专用网络(VPN)、传输控制协议/互联网协议(TCP/IP)等。
根据不同的连接方式,配置相应的网络设备。
2. 网络安全与防护措施广域网涉及跨越地理范围的通信,数据传输过程中很容易受到非法访问和攻击。
因此,必须采取安全措施,如加密技术、虚拟专用网络(VPN)和防火墙等,确保数据传输的机密性和完整性。
3. 带宽管理和优化广域网的带宽通常比较有限,为了提高网络性能和用户体验,需要对带宽进行管理和优化。
这可以通过合理设置流量控制、带宽分配和压缩技术等来实现。
广域网安全与优化解决方案
广域网安全与优化解决方案广域网安全与优化解决方案WAN连接地理范围较大,常常是一个国家或是一个洲。
其目的是为了让分布较远的各局域网互连,所以它的结构又分为末端系统(两端的用户集合)和通信系统(中间链路)两部分。
下面是广域网安全与优化解决方案,为大家提供参考。
一、应用背景广域网确保了总部和各级分支机构之间的互联互通,但是,随着广域网上各种应用的业务量和复杂度不断提升,其安全及性能问题变得越来越突出,主要问题包括:访问控制:如何实现各分支机构和总部间、各分支机构之间复杂的访问控制?安全威胁:边远分支机构的安全级别低、安全管理松散,易引入蠕虫、木马、病毒、黑客等,如何防范这些安全威胁在广域网上快速扩散?带宽保障:非关键业务或垃圾流量占用了有限的广域网带宽资源,造成广域网拥塞,如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度?安全管理:如何实现广域网集中的安全管理,整网部署统一的安全策略,进行统一的安全事件监控?二、总部安全设计总部包含了广域网业务的核心数据,安全级别最高,所以在总部的广域网出口采用功能专一的安全设备实现安全防护和性能保护。
另外,对于大型广域网的总部,H3C可以提供高端万兆的安全产品F5000、T5000、ACG8800,以满足大型广域网总部对安全业务的高性能需求。
防火墙实现分支机构针对总部资源的访问控制,H3C防火墙具有虚拟化、ACL加速等技术优势,其虚拟化特性可大大简化访问控制策略的部署,ACL加速特性可提升总部大业务量下的访问控制效率。
IPS产品实现应用层安全威胁防御,H3C IPS具有三库合一、高性能等技术优势,其中病毒特征库采用了专业防病毒厂商卡巴斯基授权的`SafeStream库,可以有效防护各种诡异的混合型安全威胁;其独特的FIRST引擎技术可保证IPS开启所有特征规则(上万条)后,性能不衰减。
同时,H3C IPS产品可以有效阻断蠕虫、病毒等产生的扫描探测流量,以避免这些垃圾流量侵蚀宝贵的广域网带宽资源。
专线广域网安全解决方案
专线广域网安全解决方案在众多的安全手段当中,物理隔离是最简单有效的手段之一,因此很多企事业单位都会通过租用专线的形式搭建与Internet物理隔离的专线广域网,以保障自身的信息安全。
此时,已经解决了来自互联网的安全威胁以后,信息安全关注的重点变为如何保障专线广域网的信息安全上来。
专线广域网信息安全的特点分析专线广域网的应用环境,会发现整网的多管理员的管理模式,是其最大的特点。
专线广域网连接的是各个分支机构的局域网,而一半情况下,每个局域网都会有自己的管理员。
对于比较大型的专线广域网,也会实行分级网管策略,比如国家到各省的专线广域网为一个管理机构,各省内、市内的专线广域网又是各自独立的网管机构,从而形成多级网管的状态。
专线广域网的这种多管理员特点,使得专线广域网在信息安全建设中需要考虑如下几个问题:■如何快速有效的抑制蠕虫病毒在网内的传播。
由于专线广域网将所有的局域网进行了连接,一旦某一局域网内出现了蠕虫病毒,则病毒会通过专线广域网快速传播。
而多管理员结构又造成这样一种情况,当某一管理员发现蠕虫病毒时,需要通过其它管理员来进行相应动作,从而使得对蠕虫病毒的响应速度变慢,甚至得不到控制。
■如何解决源自内网攻击行为和对攻击来源的定位问题。
解决了源自Internet的安全威胁,并不意味着攻击不会发生。
个别不满员工的报复行为,由于缺少安全意识造成的无意识的破坏行为,由于非法连接外网从而造成成为第三方想内网发起攻击的跳板等等问题,都使得需要对源自内网攻击行为进行识别控制,并且需要定位攻击源。
但是同样由于多管理员的问题,造成了定位困难。
尤其在某些内部局域网还采用了NAT技术的情况下,问题更为突出。
■广域网带宽的有效保护问题。
广域网带宽是非常紧缺和昂贵的,而在其上往往又经常承载视频会议等对带宽和时延非常敏感的应用,因此合理使用广域网带宽就显得非常重要。
对于比较大型的广域网,内部资源非常丰富,自建FTP甚至P2P下载的情况经常出现,这往往对有限的广域网带宽带来很大的压力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
广域网安全建设的思路和部署文/孙松儿广域网安全建设的特点分析在企业的广域网建设过程中,分布在不同位置的远程企业分支作为广域网络的重要组成部分,是客户完成与企业大多数业务往来的主要场所。
从政府、金融银行、大企业、零售业等行业来看,其分支机构都在想方设法提升分支机构的办事效率,增强分支机构的多业务支持能力,以便在降低成本的同时满足客户对更多元化服务的需要。
而安全的广域网分支建设,又是各项业务能否正常开展的关键环节,和企业园区网络的建设不同,企业广域网远程分支的安全建设有其自身的特点。
(i) 认证鉴权方面的需求多样性和企业总部局域网园区接入环境相比,各广域分支在认证鉴权方面有其特有的要求。
在局域网园区接入环境下,员工的办公地点相对固定,局域网为其网络接入方式,这意味着可以实现统一的认证授权管理方式。
而广域网分支办事处因为工作性质的关系,员工可能缺乏固定的网络接入点,部分员工还存在远程办公的需求。
因此在认证方式上必然存在多种形式,除了基础的802.1X或portal认证方式之外,还可能存在L2TP+IPSec 以及SSL VPN等远程接入方式,或者是需要考虑如何在MPLS的环境下实现接入认证等。
各类不确定的认证方式必然带来管理上的复杂性,使得企业在实施这些认证方式时,很难建设完整的覆盖各种人员的认证鉴权系统。
由于缺乏身份认证,出于对资源冒用的担心,企业会实施严格的限制策略进行总部资源访问控制,或者只是有限开放几种应用给广域网分支,从而无法实现多业务分支的构想。
(ii) 接入客户端的安全状况不可控性广域网分支办事处员工本身因为工作性质的关系,可以自由开放的使用诸如USB和移动硬盘等形式的存储介质,而这也将成为网络安全风险的一个关键来源。
同时,分支机构终端通过广域网线路进行统一的补丁分发和修复,大数量的并发操作,会给广域网带宽带来重大负荷。
在这种情况下,如何实现对接入客户端的安全可控?如何在广域网下进行统一的终端接入控制管理?如何实现集中式的统一管理?在各接入客户端的随意个性化使用的同时,如何保证客户端本身的安全状态?(iii) 多业务分支建设和广域网链路服务质量之间的矛盾在广域网分支的业务扩充过程中,更多的业务被引入到分支机构,这意味着可能需要消耗更多的广域网链路带宽。
对于诸如语音视频会议等对时延敏感的业务,则需要提供更高的QoS服务质量来进行保证。
这将导致:一方面,企业需要不断的扩容广域网链路的带宽,以使分支承载更多的业务部署;另一方面,扩容必然导致网络建设维护成本的提高,且不能保证完全达到预期的效果。
往往是带宽上去了,但有时候部分关键业务仍然没有得到足够的带宽,反而是其他一些优先级相对较低的业务侵占了本来就很有限的链路带宽。
如何解决这个矛盾?(iv) 更侧重“点状”的安全防护,缺乏系统的关联耦合和统一的安全管理与园区网络和数据中心的安全策略部署的规范有序相比,广域网分支在安全建设的重点上显得不够清晰。
由于广域网分支本身只是业务的使用部门,不提供对周边部门的支撑服务,也很少涉及到大量服务器的安全防护。
这使得现阶段很多广域网分支本身的安全防护比较简单:企业通常的考虑是在分支出口部署防火墙实现基本的访问控制和安全隔离,或者要求员工PC终端安装杀毒软件,或者是针对一些企业的关键应用通过IP五元组等方式进行带宽的限制。
这些安全防护策略更多的是体现在“点状”的安全防护上,只是解决了安全防护的有无问题,但是系统之间缺乏有效的关联耦合;同时网络中可能存在多类型安全设备,日志格式的差异和配置方法的不同,将导致无法实现对多设备安全日志的统一关联分析和总体把握,日常管理维护效率不高。
广域网安全部署的整体思路和方案实施建议(i) 广域网分支安全建设的整体思路1.重点关注客户端的接入安全,建立完整的安全准入机制,实现对用户的认证鉴权在广域分支的安全建设过程中,员工的接入行为是造成安全风险的重要因素。
因此需要合理规范员工的安全接入行为,针对不同属性的员工设定差异化的终端准入访问策略,并通过灵活的技术手段,实现对客户端安全准入组件(如杀毒软件、操作系统)的补丁自动升级维护,对于部分关键业务严格设定用户访问权限,确保整个广域分支用户的“合规”访问。
2.强调企业分支数据传输通道的安全性,为固定和移动接入用户创造安全的接入环境结合广域分支办事处员工的工作实际,通过远程接入VPN等方式实现对移动用户办公的支持,同时对于企业分支和总部之间的传输线路。
在保证安全的前提下可以利用VPN进行加密,实现统一的VPN安全传输。
在产品的选择上,要考虑选择成熟的主流产品和符合技术发展趋势的产品,实现一体化的VPN安全网关,以减少系统维护的工作。
3.持续进行广域网链路质量的优化,保障关键应用的服务质量,提升应用的交付性能在规划建设多业务的广域分支时,无论是通过广域网的专线互联,还是利用internet链路进行互联,都需要考虑到多业务对带宽的占用情况。
除了不断的扩容之外,持续的优化广域分支的链路质量,对分支业务进行优先级排序并合理安排带宽占用比例,可以有效的分支业务的服务质量和交付性能,同时也可以减缓广域分支链路扩容维护的压力,用最小的代价获得更大的收益。
4.合理划分广域网的安全区域,加固防护边界安全风险,实现整体安全事件的统一管理边界安全防护和安全域的划分一直是安全建设的重点,对于广域网的安全建设来说也不例外。
在广域网的总部汇聚场合,除了部署传统的防火墙等产品,还可以根据对外提供服务器的位置部署诸如入侵防护等产品;在广域网的分支,安全边界的建设重点聚焦在广域网分支出口的位置。
同时针对这些安全防护策略,将广域分支的安全事件进行集中的上报和统一的安全管理,可以及时发现网络中存在的安全风险状况,为后续的策略调整提供技术的支撑。
(ii) 广域网分支安全方案实施建议如图1所示为广域网安全部署的典型组网。
考虑到广域网分支的关键业务职能是满足分支到总部的集中访问,及部分总部应用到分支的及时交付,在进行分支的安全部署时,可以重点关注以下几个方面:1.建设综合的VPN接入平台无论是采用专线方式接入或者是采用internet进行广域分支互联,在涉及到传输通道的加密安全方面,采用合适的VPN技术进行数据加密传输是必然的选择。
面对企业的多样化需求,在部署综合VPN接入平台时,需要考虑以下几个方面:1)按需选择技术实现。
为确保远程分支固定接入点人员和总部的数据安全,选择site-to-site IPSec VPN实现分支和总部的链路加密,为了保证路由协议的正常交付,建议采取GRE+IPSec的方式。
2)针对内部员工远程移动访问的需求,如果需要访问较多的内部资源,原则上建议采用L2TP+IPSec 的远程接入方式,同时客户端要求使用iNode VPN客户端,以便实现较严格的端点安全接入检查;针对部分合作方员工的远程接入访问需求,可以采取SSL VPN的方式进行,用户不需要客户端软件,而且对于访问的资源管理员将严格限定,避免客户端的安全风险对网络造成大的影响。
3)在具体的认证方式上,对于L2TP+IPSec的接入或者是SSL VPN的接入,无论是采取USBKEY或者是token令牌都可以很好的保证认证安全。
4)在总部资源的访问上,严格限制通过SSL VPN接入的访问,以保密度不高的web类访问为主。
5)在设备的选择上,分支设备建议采取UTM多功能网关,在实现基础的安全防护功能的同时,兼作为VPN client网关设备;在总部VPN网关的选择上,如果是中小企业建议选择IPSec VPN和SSL VPN网关合一的设备进行部署,这种方式可以简化组网结构;对于大型广域网而言,可以旁挂部署专业的高性能SSL VPN网关配合高性能防火墙IPSEC VPN网关实现综合的VPN接入。
6)从可靠性的角度,总部VPN网关建议进行HA双机部署,保证故障情况下的双机业务切换。
图1 企业综合VPN组网示意图2.优化安全域的隔离和控制,实现L2-L7层的应用安全防护在建设安全边界防护控制过程中,面对企业的多个业务部门和分支机构,合理安全域划分是保证安全防护效果的重要环节。
尤其是通过internet实现广域各分支安全接入的企业,远程分支和internet之间的安全边界,企业总部汇聚和internet的安全边界,企业总部的DMZ安全防护,各远程分支之间的安全隔离和访问控制等需求更加明显。
在具体的安全域隔离和防护方面,主要的部署建议如下:1)广域网远程分支的安全防护,建议使用多功能合一的UTM产品实现,除了传统的安全隔离之外,如果远程分支具备internet边界,利用该产品还可以实现对web类应用威胁的访问控制,anti-virus和IPS等特性都可以很好的保证这一点。
2)在远程分支的内部,基于UTM产品实现对安全区域的严格划分,各个业务部门可以有自己独立的安全域,通过安全域可以很好的实现相互之间的访问控制。
3)总部广域汇聚区域的安全隔离方面,需要考虑各个分支之间的安全隔离,涉及到internet 接入方式的情况下,还需要考虑DMZ安全区域的安全防护,需要考虑对web应用层安全威胁的防护;其整体的部署示意图如图2所示。
4)在设备形态方面,对于广域网的总部汇聚位置,建议使用多功能集成的安全平台,通过在交换路由平台集成高性能的安全模块进行组网,以简化设备的部署和管理。
5)在设备的功能要求方面,除了传统的安全特性之外,如果设备支持的情况下,可以考虑使用虚拟化防火墙特性,实现不同业务之间或者是企业不同分支之间的彻底安全隔离,如图3所示。
图2 广域网安全典型部署组网图3 广域分支和总部防火墙虚拟化部署3.强调广域网应用的交付质量,聚焦低成本的广域网带宽管理和优化面对多业务广域分支建设对高带宽的需求,单纯的链路扩容并不能解决可持续性发展的问题。
如果选择昂贵的广域网优化设备,建设成本会提高很多给企业带来压力。
在这种情况下,利用现有的深度业务识别技术,在充分了解现有链路带宽的利用情况下,优先保证重点业务的服务质量、并有策略的限制与工作无关的流量,也可以在一定程度上缓解多业务应用和高带宽之间的矛盾,业务部署流程如下:1)先看:通过设备部署对现有网络流量应用情况进行学习监控,获取整个广域分支的流量分布和带宽占用情况,同时依托智能管理平台实现业务的多维度精细化呈现,帮助网络维护人员真正了解企业网络状况。
2)后控:在深度业务识别的基础上,根据自身的业务优先级,对业务流量进行优先级的标记,对高优先级业务进行带宽的保证,对工作无关业务实现速率限制或者丢弃,确保带宽不被滥用。
3)再调整:策略部署完成之后,可以基于可视化的报表平台,进一步监控分析策略部署的效果,同时可以根据实时的业务需求继续对策略进行调整控制,以便做到对业务从识别到控制再到调整再到监控的闭环流程。