1、Hillstone 企业安全域隔离解决方案概述企业内部,不同系统之间存在着资源互访的需求,比如办公网内的人员需要了解公司研发的一些最新进展,财务人员也需要访问公司的 OA( Office Automation)系统处理日常办公事宜,核心生产系统也需要对企业其他系统共享信息,这就使得企业信息网络既要隔离以保障安全,又要共享以支撑企业正常经营活动。为此采取划分安全域并控制不同安全域间的互访,成为大多数企业安全建设的常见手段。Hillstone 下一代防火墙在对企业安全域划分的基础上,对不同安全域之间隔离与控制,实现: 整合身份认证与访问控制,更有效限制非法访问; 综合多种安全技术,防范威胁蔓延;
2、深度流量监测与统计增强安全管理可视性; 实时监控域间访问行为,满足企业合规性。1、安全需求采用安全域对原本直连在一起的各类系统隔离开来,是企业网络安全建设常见的手段。但是同时,安全域的隔离并不意味着不同系统独立运行,在缺乏有效控制措施的前提下,往往使得企业信息网络面临较多的安全问题,为此企业需要: 控制非授权或越权访问从系统自身来看,无论是系统内对外部的访问,还是来自外部的访问,都需要进行有效的控制。而控制的前提是授权,即在运行的范围内,通过许可的方式,监测并控制不同系统间的访问活动。 防范安全威胁蔓延类型由于安全域的互通互联,导致一些低等级安全域的威胁会扩散到高等级安全域,对一些重要性较高的
3、高等级安全域形成破坏,对企业正常的经营活动造成严重损害。 防范内部攻击威胁部分员工利用安全域的互通互联,对企业的重要系统进行攻击造成严重损害。 应用监控并审计系统访问应用系统是支撑业务活动的核心,应用系统的活动状态将直接体现在流量、访问用户、访问行为等层面,为此需要有效的监控措施,使系统管理人员及时了解企业网内不同安全域的互访状态,并全面掌握业务运行状态和安全状态。2、解决方案由于安全域之间仍然存在互联互通的状态,这对于保护关键系统存在诸多的安全隐患,为此对安全域之间的互访实施有效控制措施成为必然。而融合了多种安全技术为一体的 Hillstone 下一代防火墙便可有效满足企业用户的安全域隔离需
4、求。下一代防火墙在企业划分安全域的基础上,通常以透明的方式部署在接入交换机与企业核心交换机之间进行隔离与监控以实现:Hillstone 企业安全域隔离解决方案 整合身份认证与访问控制更有效限制非法访问Hillstone 下一代防火墙在提供访问控制技术的前提下,整合了用户认证技术,当不同系统间用户需要互访,必须先进行身份认证,只有确定了真实的访问者身份后,方可按照策略对其他安全域进行访问; 综合多种安全技术防范威胁蔓延Hillstone 下一代防火墙整合了抗攻击、病毒过滤、入侵防御等多种技术,能够对安全域之间的访问数据包进行深度检测,并阻断异常行为,进一步提升企业网安全性。 深度流量监测与统计H
5、illstone 下一代防火墙部署在不同安全域间,对域间的访问流量进行实时监测与统计,通过各种报表呈现给安全管理人员,为安全事件的追查、响应提供参考。 实时监控域间访问行为Hillstone 下一代防火墙的行为审计技术,对安全域之间的访问进行记录,在整合了用户认证技术后,还能够针对不同用户的访问进行审计,提升了审计记录的可追查性。3、方案效果在企业中,Hillstone 下一代防火墙所提供的多种安全技术,能够在隔离安全域的前提下,实施有效的检测与防御,为企业业务的正常开展发挥作用,实现如下的建设效果: 隔离不同系统,杜绝非法访问Hillstone 下一代防火墙部署后,将原本互联在一起的企业网隔
6、离为多个安全域,不同安全域之间的访问均经过下一代防火墙的检查,检查内容包括 IP 地址、协议、端口、应用(深度应用识别出具体的应用类型)、时间等,那些违背了规则的业务访问被认定为非法访问而被拒绝。 整合身份认证,杜绝非授权访问Hillstone 下一代防火墙整合身份认证技术,当不同业务系统进行互访,访问者必须提交身份信息,经下一代防火墙确认后,方可按照许可的权限进行访问,杜绝了非授权的访问。 综合异常检测,防范恶意访问针对企业内部产生的的恶意攻击,在 Hillstone 下一代防火墙上开启攻击防范和恶意代码过滤规则,进行有效识别和阻断,保障企业网的总体安全性。 实名制行为审计,有效追溯事件Hillstone 下一代防火墙部署后,详细记录了不同安全域间的互访行为,同时在整合了用户认证技术后,每条访问记录都包含了访问者、访问源终端地址、应用类型、访问目标地址、访问时间等信息,这样的记录使系统管理员在发生安全事件时,能够方便地进行访问来源追溯,为安全事件的举证提供了有效帮助。
