內網控制解決方案

摘要：目前網路安全的威脅越來越多的來自於內網。這些威脅的來源有可能是某些內部員工在發洩自己的不滿，但是更大的可能是，來自外部的攻擊者在利用內部某些存在安全缺陷的計算機作為跳板，從而在網路內部發起的攻擊。

目前網路安全的威脅越來越多的來自於內網。這些威脅的來源有可能是某些內部員工在發洩自己的不滿，但是更大的可能是，來自外部的攻擊者在利用內部某些存在安全缺陷的計算機作為跳板，從而在網路內部發起的攻擊。而內部使用者由於缺乏安全意識、沒有正確執行安全規範或者其他原因，很容易在無意識中的成為外部攻擊者的跳板。因此，如何加強內部安全控制已經成為IT部門必須面對的問題。

對內網進行安全控制最簡單的方法就是利用終端安全軟體對每臺網路終端進行控制，但是這種模式會帶來終端系統的種種相容性或者使用性問題，並由於個人隱私等方面的考慮可能受到系統終端使用者的抵制。因此，我們需要尋找一種非終端模式的內網控制解決方案，它可以幫助IT部門對內部網路具有以下控制能力：

□ 基本的內網訪問控制能力，在網路層面實現對內部使用者的訪問許可權的控制。

□ 當內網病毒爆發時，對病毒源的快速定位，並在IP層對病毒傳播進行抑制。

□ 發現來自於內網的攻擊行為，快速定位攻擊來源，並在IP層實現阻斷。

□ 發現並阻止非法接入行為，防止針對內網的物理攻擊。

□ 對內網使用者行為進行記錄和審計，提供合規性報告，滿足法規遵從的要求。

□ 提供效能平滑升級能力，在滿足目前的效能需求的同時，考慮到日後效能升級時的投資保護問題。

□ 統一的安全策略部署能力，簡化內網安全策略的部署和配置管理難度。

典型組網

DPTech內網控制解決方案是在充分考慮到了內網控制所有的L2~7層安全威脅的基礎上，以杭州迪普科技有限公司的應用防火牆、UAG產品和IPS產品為核心進行設計的。通過UAG的使用者認證功能提供了基於使用者的內網訪問控制能力，並有效防止非法接入。通過IPS實現了對攻擊和病毒的定位和阻斷能力，同時配合第三方的網管IPS Manager可以通過傳送SNMP trap使得支援此功能的交換機對問題使用者進行下線處理。並通過DPTech防火牆和IPS產品的虛擬化功能，實現不同安全區域的不同的安全策略。同時通過IPS Manager對內網行為進行識別和記錄，並輔助生成合規性報告。

在部署方面，採用旁路部署DPTech防火牆和IPS陣列，以實現平滑的效能擴充套件能力。通過防火牆進行流量的牽引，使得在邏輯上，所有安全產品都是串接部署。通過統一策略下發實現資料中心統一安全策略部署。

特點與優勢

■ 網路級的效能

迪普相關產品基於APP-X硬體平臺，可以在吞吐量、併發、新建連線、延時等方面提供網路級的效能。不會因為增加了新的裝置而使得應用的效能出現下降。

■ 網路適應性

迪普相關產品基於Conplat軟體平臺，提供了豐富的網路適應性，可以在IPv6、MPLS等複雜網路環境下良好的工作。裝置部署的時候，可不受網路環境的限制，也不需要大面積調整網路結構。

■ 完善的L2～7安全保護

整個方案以DPtech防火牆和IPS產批為核心，提供了完善的L2～7層安全保護。

■ 非客戶端模式

方案採用非客戶端模式，不在網路終端上部署任何軟體，降低了部署的難度和工作量。

■ 虛擬化安全部署，滿足資料中心虛擬化需求

通過DPtech防火牆和IPS的虛擬化功能，提供虛擬安全部署能力，實現分割槽域安全策略部署。

■ 旁路陣列式部署，效能平滑升級

方案所採用的旁路陣列部署方式，可以通過增加陣列中的裝置數量來實現效能的平滑升級，滿足效能提升需求的同時，保護客戶投資。

■ 統一安全策略部署

DPtech產品的統一管理和策略部署能力，提供了簡便的統一安全策略部署方案。

■ 完善的高可靠性保障

DPtech防火牆和IPS都具有雙機熱備能力，提供完善的高可靠性保障。