互联网安全威胁的增多,促使网络安全产品也异常丰富。从加密到防护、从边界到数据、从通路到应用、从监控到管理等等各种各样的安全系统构成了一个让人眼花缭乱的虚假繁荣场面,各种产品似乎都能解决所有的问题,各种产品似乎都在抱着“永不停歇”的精神向其他个边沿领域衍生。
各种产品的定位重合与高强度的市场呐喊,让用户迷失在自己真实的需求里:我们没有办法评估到底需要什么样的安全方案、需要哪些安全产品。好像安全被无端的无限夸张了,导致直接恶果是最终用户因为“不能理解”而处于等待状态、甚至抵触状态。
所以,要普及或者更好的应用专业安全产品,需要的是给用户“诚实”的描述他们“真实”的需求。
青莲科技(Cyanlotus)提供产品与解决方案的同时,更关注的是让用户知道自己真实的需求。 在某矿业集团(下称A矿业集团)的网络安全项目建设中,青莲科技给出了最为典型的实施行动。
A矿业集团是我国最重要的煤炭生产基地之一,每年生产原煤200万吨,拥有各类二级下属法人单位100多个,员工2万多人。在所有二级下属法人单位中,最重要的是8个矿山和1个发电公司,也是信息化和网络安全建设的重点。 A矿业建有先进的网络中心,搭建了较为现代化的网络应用环境、矿山安全监控系统。在网络应用方面主要包括:电子邮件、ERP、矿山员工作业调度与定位系统、WEB服务器以及与上级矿务局的日常财务、管理数据同步系统。 A矿业集团的大部分管理与生产调度都基于IT网络系统来做,对IT系统的稳定性、安全等要求都非常的高。有关网络情况如下:
 |
| 图1 |
如图示:A矿业公司出口采用100M光纤接入,NAT由核心交换机来做;在服务器群主要的应用是电子邮件和ERP系统、集团管理数据同步系统等。对于日益复杂的网络应用环境,网络建设在该矿以前几乎是空白,除了简单的杀病毒系统外,没有其他任何防护策略。网管人员一直想将网络安全建设工作做好,但却无从下手。 了解到的情况是,众多的网络安全公司提供的方案都是大而全的,而对于这样一个矿业集团公司来说,由于光纤接入上级矿务局的大的环形网络,没有直接接到互联网当中,面临的攻击威胁远不像许多“典型安全方案”所描述的那样复杂。 仔细与用户沟通、分析,我们得出用户的主要需求包括:
(1)拥有个防火墙功能,能够防范其他内部单位的一些人员的攻击行为。
(2)解放核心交换,让大部分路由(NAT\DHCP\RIP)都由其他的设备来承担。
(3)由于业务不需要太多的上网,所以要对可能引发网络安全问题的应用进行控制
(4)能够对ARP问题进行一定的防护
(5)对内部人员的IP等进行必要的管理
(6)保证关键应用(电子邮件、ERP)等的流量
仔细分析这些需求,我们可能需要向用户提供(防火墙+行为审计+流量控制+防病毒)这样一个非常复杂的网络安全解决方案。但,客户认为自己尽管有这些需求,但却不想配置那么多设备、也不认为为了满足这些需求,而需要配备如此多的设备。他们需要一个简易的、经济的,却又有效的方案!
青莲科技依据对网络安全需求的深入理解,认为客户的需求是典型的“普及型需求”。对这种普及型需求的,最好提供的是方案型产品,而且这个用户的网络需求中,对于攻击这种典型安全需求不是很强烈,更多的是对应用的管理。 青莲网络行为管理与审计系统(下称,青莲AOS)基于多核处理器平台,让这种复杂的方案型产品成为可能。
青莲AOS采用MIPS新一代RISC架构64位多核处理器,可以提供4-16核、每个核提供多达4个线程的计算处理能力。这使得青莲AOS拥有令人羡慕的、电信级产品稳定性和网络处理能力。 作为一款网络安全访问控制与审计类产品,其多核平台设计,分别提供网络抓包、审计分析、访问控制计算等等功能,整合多种核心的网络技术,实现网络行为管理与审计的功能,并最大限度的利用RISC多核处理器的特点,实现增值的网络功能,如安全路由、多线路负载均衡、防火墙、IPsec VPN等等。如下图,是青莲AOS在多核处理平台下的技术群系图:
 |
| 图2 |
针对A矿业集团的需求,我们推荐了青莲AOS1000型号,可以满足1000人的网络环境。有关拓扑如下:
 |
| 图3 |
(1)将青莲AOS安装核心交换前面,以网关方式部署,开启防火墙功能、防DOS攻击。
(2)启用AOS的NAT功能,将内部IP与MAC进行绑定,强化内部IP的管理。
(3)启用ARP防护,解决用户最头疼的ARP欺骗问题。
(4)对网络内部用户,全部实行PORTAL认证,将用户按照部门进行分别管理。
(5)开启访问控制功能,对不通的部门实行不同的访问控制策略,有关策略表如下表:
|
类别 |
分类控制 |
|
WEB |
全部,上班时间禁止娱乐网站 |
|
FTP |
全部,上班时间禁止FTP |
|
P2P |
除高管、财务、业务人员外上班时间禁止 |
|
IM |
全部,禁止IM文件传输与视频 |
|
电子邮件 |
禁止WEB邮件,只允许SMTP |
|
视频娱乐 |
除高管外,禁止 |
|
远程登陆 |
除网络中心人员外,禁止 |
|
网络游戏 |
上班时间全部禁止 |
|
VOIP |
除财务人员,全部禁止 |
|
炒股 |
除投资公司与财务、高管外,全部禁止 |
(6)设置流量控制策略,为ERP\电子邮件配置保障带宽。
(7)全面记录所有用户的所有上网行为,并提供所谓外发信息的审计功能。
青莲AOS开启了相关功能后,较好的满足了A矿业集团的需求,集成化的普及型方案产品,让用户在应用、管理等方面的成本大幅降低。
