互聯網出口安全
企業互聯網出口所面臨的挑戰
企業互聯網出口的主要業務一般分為門戶網站和企業內部互聯網訪問業務。
門戶網站,主要用于發布企業信息,并提供基于互聯網的業務,如金融行業的網銀業務等。門戶網站是企業面向社會的窗口,隨著互聯網的不斷發展和普及,基于互聯網的業務越來越成為企業提供業務的重要途徑,其安全穩定運行對于企業的形象、聲譽以及業務都至關重要,門戶網站出口的安全主要面臨的挑戰是如何防止基于WEB應用層面的攻擊,包括防止惡意代碼、防止網頁被篡改、防止拒絕服務類攻擊等,因為傳統的防火墻主要是基于網絡層和傳輸層的保護,無法對應用層的攻擊提供保護,因此需要部署基于應用層面的安全防護工具。
企業內部互聯網訪問的業務,包括內部員工上網、收發郵件、移動辦公等。企業內部訪問互聯網主要面臨的挑戰是如何控制內部用戶互聯網訪問的流量和內容,如何保證企業敏感信息不被泄漏,如何防止垃圾郵件和帶惡意代碼的郵件。
如何防護來自internet的DDoS與異常流量威脅,保障內部網絡帶寬,進行內部網絡與internet隔離?
如何提供最佳性能保障網絡通信,無網絡流量瓶頸?
門戶網站出口解決方案
分區安全部署
門戶網站出口總體可以劃分為三個安全區域:互聯網接入區、網站業務區和內網接入區,其中網站業務區通常又分為WEB服務區、應用服務區和數據庫服務區。
互聯網接入區除了需要部署防火墻和IPS/IDS外,還需要部署流量清洗設備,預防DDOS拒絕服務攻擊,如果企業有多個運營商線路的接入,還需要部署鏈路負載均衡設備,承擔網站的域名解析,提供最優的線路訪問。
網站業務區需要通過防火墻將WEB服務區、應用服務區和數據庫服務區進行安全隔離,同時部署應用安全和審計設備提供應用層面的安全防護,若對服務器的性能和可用性要求較高的企業,還需要部署服務器負載均衡設備和SSL加速設備為業務服務器提供負載均衡和SSL VPN服務,若企業需要對訪問流量進行監控,還需要部署流量分析設備。
內網接入區主要通過防火墻提供企業內部網絡和網站業務區的安全隔離。
典型解決方案
根據企業對網站各業務子區域的安全需要,可將各子區域進行物理隔離或邏輯隔離,典型的完全物理隔離和邏輯隔離的解決方案示意圖如下:
圖1 完全物理隔離解決方案示意圖
圖2 邏輯隔離解決方案示意圖
企業內部互聯網訪問解決方案
企業內部互聯網訪問出口解決方案主要包括下面幾方面的內容:一是訪問控制,二是郵件保護,三是移動辦公安全接入。
訪問控制主要通過部署代理服務器,只允許經過認證的用戶訪問互聯網,通過部署流量管理網關控制每個用戶的訪問流量,通過部署上網行為管理設備,對用戶的訪問進行控制和審計,防止敏感信息泄漏。
郵件保護主要通過郵件安全網關,防止企業郵件系統被垃圾郵件攻擊,同時防止帶有惡意代碼的郵件。
移動辦公安全接入主要通過部署SSL VPN和認證服務器,確保經過認證的用戶安全接入到內部網絡。
企業內部互聯網訪問解決方案示意圖如下:
圖3 企業內部互聯網訪問解決方案示意圖
新華時代根據企業對網站各業務子區域的安全需要,設計完整的一套企業網絡出口解決方案,滿足不同企業的各種需要。
結束語
互聯網出口已逐步成為企業主要提供業務的渠道,互聯網業務為企業帶來收益,同時也會引入安全的風險,一旦互聯網出口發生安全事故往往給企業帶來難以估計的損失,因此需要部署一個完善的互聯網安全防護體系?;ヂ摼W出口安全涉及的產品種類繁多,企業可根據自身情況進行選擇。