專線廣域網安全解決方案

摘要：在眾多的安全手段當中，物理隔離是最簡單有效的手段之一，因此很多企事業單位都會通過租用專線的形式搭建與Internet物理隔離的專線廣域網，以保障自身的資訊保安。

在眾多的安全手段當中，物理隔離是最簡單有效的手段之一，因此很多企事業單位都會通過租用專線的形式搭建與Internet物理隔離的專線廣域網，以保障自身的資訊保安。此時，已經解決了來自網際網路的安全威脅以後，資訊保安關注的重點變為如何保障專線廣域網的資訊保安上來。

專線廣域網資訊保安的特點

分析專線廣域網的應用環境，會發現整網的多管理員的管理模式，是其最大的特點。專線廣域網連線的是各個分支機構的區域網，而一半情況下，每個區域網都會有自己的管理員。對於比較大型的專線廣域網，也會實行分級網管策略，比如國家到各省的專線廣域網為一個管理機構，各省內、市內的專線廣域網又是各自獨立的網管機構，從而形成多級網管的狀態。專線廣域網的這種多管理員特點，使得專線廣域網在資訊保安建設中需要考慮如下幾個問題：

■  如何快速有效的抑制蠕蟲病毒在網內的傳播。

由於專線廣域網將所有的區域網進行了連線，一旦某一區域網內出現了蠕蟲病毒，則病毒會通過專線廣域網快速傳播。而多管理員結構又造成這樣一種情況，當某一管理員發現蠕蟲病毒時，需要通過其它管理員來進行相應動作，從而使得對蠕蟲病毒的響應速度變慢，甚至得不到控制。

■  如何解決源自內網攻擊行為和對攻擊來源的定位問題。

解決了源自Internet的安全威脅，並不意味著攻擊不會發生。個別不滿員工的報復行為，由於缺少安全意識造成的無意識的破壞行為，由於非法連線外網從而造成成為第三方想內網發起攻擊的跳板等等問題，都使得需要對源自內網攻擊行為進行識別控制，並且需要定位攻擊源。但是同樣由於多管理員的問題，造成了定位困難。尤其在某些內部區域網還採用了NAT技術的情況下，問題更為突出。

■  廣域網頻寬的有效保護問題。

廣域網頻寬是非常緊缺和昂貴的，而在其上往往又經常承載視訊會議等對頻寬和時延非常敏感的應用，因此合理使用廣域網頻寬就顯得非常重要。對於比較大型的廣域網，內部資源非常豐富，自建FTP甚至P2P下載的情況經常出現，這往往對有限的廣域網頻寬帶來很大的壓力。而在多管理員環境下，很難保證全網同一的QoS策略的有效實施。

除上述問題外，對於比較大型的專線廣域網往往會採用MPLS VPN技術進行多業務承載，這又對安全裝置提出了組網適應性的要求，要求所選用的安全裝置能夠支援MPLS報文識別、OSPF路由協議等網路特性。

典型組網

DPtech內網控制解決方案是在充分考慮到了專線廣域網所面對的全部L2~7層安全威脅的基礎上，綜合運用杭州迪普科技有限公司的防火牆、UTM、IPS、UAG等產品進行設計的。在近似的防護能力下，對於不同的網路環境、網路節點提供了不同的產品選擇。

對於網路的核心節點和大型分支節點，採用獨立的高效能的防火牆、IPS、UAG產品進行防護。首先通過DPtech防火牆實現L2~4層訪問控制功能。而DPtech IPS實現了病毒庫、攻擊特徵庫和協議庫的三庫合一，因此通過DPtech IPS對包括蠕蟲病毒在內的所有L4～7層安全威脅進行防護。DPtech UAG產品則可以對各種應用層協議進行分析，對不同的應用提供靈活的頻寬控制和保障。

對於小型的網路分支節點，由於其對效能的要求相對較低，則可以通過DPtech UTM統一實現L2～7層安全威脅防護和廣域網頻寬控制和保障。

如專線廣域網連線的各區域網沒有終端准入的機制，則在專線廣域網建設中還應該額外考慮廣域網的終端准入問題，以解決對攻擊源的定位問題。對於此需求，可以通過DPtech UAG上的web認證功能實現無客戶端的廣域網端點准入。

特點與優勢

■  網路級的效能

迪普相關產品基於APP-X硬體平臺，可以在吞吐量、併發、新建連線、延時等方面提供網路級的效能。不會因為增加了新的裝置而使得應用的效能出現下降。

■  網路適應性

迪普相關產品基於Conplat軟體平臺，提供了豐富的網路適應性，可以在IPv6、MPLS等複雜網路環境下良好的工作。裝置部署的時候，可不受網路環境的限制，也不需要大面積調整網路結構。

■   完善的L2～7安全保護

通過DPtech的防火牆、IPS、UAG提供了完善的L2～7層安全保護。

■   統一安全策略部署

DPtech產品的統一管理和策略部署能力，提供了簡便的統一安全策略部署方案。

■  完善的高可靠性保障

DPtech防火牆和IPS都具有雙機熱備能力，提供完善的高可靠性保障。