解決方案
顯然如此規(guī)模網絡環(huán)境只靠一臺防火墻保障安全性是遠遠不夠的�,該集團安全方案提供商北京榕基網安根據用戶實際網絡環(huán)境以及應用結合多年的網絡安全保護經驗,建議在網絡中配置一臺榕基網絡隱患掃描RJ-iTop機架型產品和一臺榕基千兆入侵檢測系統(tǒng)RJ-IDS產品�。任何的網絡入侵都源于系統(tǒng)的脆弱性和各種潛在的網絡隱患所以評估是第一步,榕基公司的RJ-iTop網絡隱患掃描產品主要針對大型網絡�����,其機架式掃描服務軟硬件合為一體�,具有高度的穩(wěn)定性,適合部署于網絡中心�,通過高效且穩(wěn)定的掃描防護整體網絡。該產品支持的的分布式掃描功能��,可以方便的在對DMZ區(qū)重點防護�、掃描的同時對應用網絡同樣進行掃描,同時提供了Web方式的遠程管理����,網管不需要改變網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。網管人員可以快捷地進行整個網絡的掃描�,根據系統(tǒng)提供的掃描報告發(fā)現網絡中存在的各種系統(tǒng)以及應用漏洞,以便及時修補加固整個網絡的安全性�����。
漏洞掃描產品很好的解決了事前預防的問題,但要進一步控制風險實時監(jiān)測是必不可少的��,這樣IDS類安全產品就被引入該安全體系����。榕基千兆入侵檢測系統(tǒng)RJ-IDS產品通過監(jiān)聽的方式,從網絡系統(tǒng)中的關鍵點收集信息�����,并采用新一代的入侵檢測技術���,對收集的信息進行實時檢測和分析,及時發(fā)現來自網絡外部或內部違反安全策略的行為和攻擊事件�����,并可對行為和事件實時記錄日志和實時警報�。將入侵檢測系統(tǒng)部署在網絡的入口處,以對可能對內部網絡和DMZ發(fā)起的攻擊和入侵進行實時的檢測��。
RJ-IDS的探測引擎有管理端口和監(jiān)聽端口�����,將監(jiān)聽端口接到交換機的鏡像端口上,這樣探測引擎就可以實時監(jiān)控到被監(jiān)聽端口的數據流量了�,再將探測引擎的管理端口接在交換機的普通端口上,使之能與管理控制臺進行正常的通信�����。
將防火墻相連的交換機端口����、重要服務器所連的交換機端口、重要網段的交換機所連的端口設為被鏡像端口���,這樣可以實時監(jiān)聽流經防火墻�、重要服務器���、重要網段的數據�����。
將管理控制臺接到交換機的普通端口即可�,必須要保證管理控制臺與探測引擎的管理端口正常的通信�����。
榕基網安入侵檢測系統(tǒng)RJ-IDS在部署一段時間后,技術人員對記錄的事件利用RJ -IDS的報表分析系統(tǒng)進行了分析�,發(fā)現防火墻已經過濾了大部分的非法的網絡流量,而對于混雜在合法網絡流量中的攻擊行為��,則被榕基RJ-IDS檢測出來并通過與防火墻的聯動功能實施了動態(tài)阻斷���。對于個別經常出現攻擊行為的IP地址��,則將其加入RJ-IDS的黑名單中�,拒絕該IP地址訪問WEB服務器����。榕基網安入侵檢測系統(tǒng)RJ-IDS結合防火墻,取得了較好的防護效果�����,完全滿足了網絡安全需求����,大大的降低了其網絡的安全風險�。
通過使用榕基網絡隱患掃描設備,使得該集團的信息網絡處于一個嚴密的安全防范系統(tǒng)保護之下��,同時對于其數據網絡的正常使用無任何影響。通過對信息中心和下屬單位的網絡管理員進行技術培訓�,對如何使用漏洞掃描設備,掃描出的結果如何處理���,網絡的各種設備上出現漏洞應該如何解決��,網絡管理員都已經有了很好的掌握�����,完全可以隨時正確處理網絡運行中出現的各種安全問題��。通過此次合作��,雙方共同為大型復雜網絡的安全防范樹立了一個樣板����,對其他重要的網絡具有借鑒和參考價值�����。
此次榕基的網絡安全策略在該集團的實施��,為企業(yè)中網絡隱患掃描系統(tǒng)的建立和應用樹立了一個典范����,事實表明�,只要經過仔細調查研究擬訂恰當的方案�����,大型企業(yè)中復雜的網絡系統(tǒng)同樣可以實現對網絡隱患的及時發(fā)現和清除����。新系統(tǒng)運行后,通過管理人員和榕基企業(yè)技術人員的共同努力�����,通過日志分析�����、防火墻以及其他安全措施成功阻擋了多次攻擊行為�,成功避免了由于網上失密、泄密��、竊密造成的各種損失���。
