資源描述:
《checkpoint企業(yè)安全方案案例》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1����、CheckPointUTM企業(yè)安全解決方案目錄1.現(xiàn)狀及需求分析21.1.InBound的安全需求31.2.OutBound安全需求41.3.Internet數(shù)據(jù)安全傳輸需求41.4.移動(dòng)用戶遠(yuǎn)程安全接入需求41.5.數(shù)據(jù)安全需求42.安全系統(tǒng)設(shè)計(jì)方案52.1.防數(shù)據(jù)泄漏技術(shù)方案52.1.1.產(chǎn)品選型52.1.2.終端數(shù)據(jù)安全方案設(shè)計(jì)72.2.防火墻技術(shù)方案92.2.1.產(chǎn)品選型92.2.2.產(chǎn)品部署方案102.2.3.安全系統(tǒng)功能實(shí)現(xiàn)說(shuō)明102.2.4.防火墻管理113.CheckPoint解決方案的優(yōu)勢(shì)133.1.UTM-1解決方案的優(yōu)勢(shì):133.2.
2、CheckPointPointSec防數(shù)據(jù)泄漏解決方案的優(yōu)勢(shì)144.配置清單概述145.附錄一CheckPointUTM-1產(chǎn)品說(shuō)明151.現(xiàn)狀及需求分析對(duì)于用戶企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)���,Internet數(shù)據(jù)流主要有兩種類(lèi)型:Outboud流量����,主要是企業(yè)內(nèi)部網(wǎng)絡(luò)對(duì)外的訪問(wèn)�,如OA客戶端對(duì)Internet的訪問(wèn);Inboud流量���,主要包括Internet對(duì)用戶企業(yè)內(nèi)網(wǎng)的訪問(wèn)��,如企業(yè)對(duì)外的WEB服務(wù)���、郵件服務(wù)�����;因此���,用戶企業(yè)網(wǎng)絡(luò)的邊界安全需求主要包括以下幾種類(lèi)型:1.1.InBound的安全需求ü來(lái)自于Internet的非法訪問(wèn)��,需要建立嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制策略�,實(shí)現(xiàn)精細(xì)
3、粒度的訪問(wèn)控制��;ü來(lái)自于Internet的黑客攻擊���;黑客攻擊包括多種類(lèi)型�����,掃描探測(cè)�����、遠(yuǎn)程注射��、遠(yuǎn)程溢出�����、碎片攻擊等等����。通常攻擊者利用了兩個(gè)方面的因素:一、開(kāi)放的端口����,由于系統(tǒng)開(kāi)放了不必要的端口,造成不必要的信息泄漏�;例如,掃描探測(cè)等�����。二�、針對(duì)開(kāi)發(fā)端口的主機(jī)及應(yīng)用服務(wù)的自身漏洞;另外�,還需要注意的是,由于攻擊手段的進(jìn)一步提升����,通過(guò)開(kāi)放協(xié)議封裝攻擊數(shù)據(jù)包的也成為一種常用的攻擊方式,因此�����,需要邊界安全設(shè)備具有強(qiáng)大的協(xié)議解析能力��;ü來(lái)自于Internet的蠕蟲(chóng)�,現(xiàn)在蠕蟲(chóng)已經(jīng)越來(lái)越具有自動(dòng)黑客攻擊工具的特征。蠕蟲(chóng)造成的危害主要包含兩種:一�����、蠕蟲(chóng)傳播造成網(wǎng)絡(luò)帶寬的耗盡
4����、;二�����、蠕蟲(chóng)病毒本身對(duì)主機(jī)系統(tǒng)造成破壞�����。因此�,蠕蟲(chóng)控制的手段是多層次的:網(wǎng)絡(luò)級(jí)控制、主機(jī)級(jí)控制�����;對(duì)于Intenret邊界來(lái)說(shuō)�����,需要在網(wǎng)絡(luò)級(jí)安全控制有所考慮;ü來(lái)自于Internet的病毒����,通過(guò)HTTP/SMTP/POP/IMAP/FTP等協(xié)議,如網(wǎng)頁(yè)瀏覽����,文件下載;üDOS攻擊��,拒絕服務(wù)攻擊造成的影響主要有兩種:一����,耗盡網(wǎng)絡(luò)帶寬,造成網(wǎng)絡(luò)擁塞��;二�����,造成主機(jī)資源耗盡����,內(nèi)部服務(wù)器無(wú)法提供正常服務(wù);ü跳躍性攻擊,例如����,以DMZ服務(wù)器為跳板���,實(shí)現(xiàn)對(duì)DCN內(nèi)網(wǎng)的跳躍���,因此,在邊界安全控制��,需要預(yù)防這種攻擊����;ü針對(duì)Internet邊界設(shè)備的攻擊。例如���,針對(duì)Interne
5�����、t邊界的FW�、網(wǎng)絡(luò)設(shè)備的攻擊�����;例如,針對(duì)路由器的DOS攻擊��,針對(duì)路由器的暴力破解���,SNMP探測(cè)�����;1.1.OutBound安全需求ü內(nèi)部員工對(duì)網(wǎng)絡(luò)的非法訪問(wèn)���,例如,訪問(wèn)非法的WEB站點(diǎn)�;訪問(wèn)不安全的FTP站點(diǎn);發(fā)送內(nèi)容非法的郵件�,給公司造成不好的影響;ü內(nèi)部員工對(duì)網(wǎng)絡(luò)資源的濫用���,例如,利用公司Internet資源進(jìn)行BT下載��,影響正常業(yè)務(wù)對(duì)帶寬的使用���,降低了企業(yè)生產(chǎn)效率;1.2.Internet數(shù)據(jù)安全傳輸需求由于專線價(jià)格昂貴,因此����,采用Internet鏈路,基于VPN的方式進(jìn)行數(shù)據(jù)傳輸已經(jīng)成為業(yè)務(wù)數(shù)據(jù)傳輸?shù)闹匾绞?����。為了保障Internet傳輸數(shù)據(jù)安全����,需
6����、要采用VPN方式來(lái)進(jìn)行構(gòu)建。目前IPSECVPN是一種主流的VPN構(gòu)建方式����。同時(shí),還需要考慮到���,VPN的管理方式�,VPN的構(gòu)建模式�����,是否易于實(shí)現(xiàn),易于管理����。1.3.移動(dòng)用戶遠(yuǎn)程安全接入需求移動(dòng)辦公已經(jīng)成為越來(lái)越廣泛的應(yīng)用。對(duì)于遠(yuǎn)程接入來(lái)說(shuō)��,需要考慮幾個(gè)方面的因素:1.接入終端自身的安全性�;接入終端如果存在安全問(wèn)題,很可能成為攻擊跳板�����;2.可信的鏈路傳輸方式�;例如,通過(guò)IPSECVPN或者SSLVPN實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)募用埽?.可靠的接入用戶認(rèn)證����;對(duì)于Internet接入來(lái)說(shuō),user/password的方式已經(jīng)不能滿足認(rèn)證強(qiáng)度的需求��。通常����,采用數(shù)字證書(shū)或者動(dòng)態(tài)
7��、口令的方式�;1.1.數(shù)據(jù)安全需求數(shù)據(jù)安全已經(jīng)越來(lái)約被眾多企業(yè)重視���。業(yè)務(wù)數(shù)據(jù)的泄漏���,可能會(huì)對(duì)企業(yè)造成巨大的、甚至是災(zāi)難性的損失�����。這些損失可以概括為以下幾個(gè)方面:ü直接經(jīng)濟(jì)損失�。由于數(shù)據(jù)丟失����,造成企業(yè)技術(shù)秘密、財(cái)務(wù)信息���、人事資源等資料的泄漏�,造成的直接損失�;ü違反法律法規(guī)。企業(yè)數(shù)據(jù)泄漏�,違反國(guó)家和行業(yè)相關(guān)的法律法規(guī)���,造成的損失;ü企業(yè)形象和競(jìng)爭(zhēng)力����。由于數(shù)據(jù)泄漏,造成企業(yè)形象受損��,降低了用戶對(duì)該企業(yè)信賴度����,造成客戶資源的流失;因此�����,需要制定一套技術(shù)方案以防止企業(yè)關(guān)鍵數(shù)據(jù)的安全性���,切實(shí)保障企業(yè)數(shù)據(jù)安全��。2.安全系統(tǒng)設(shè)計(jì)方案2.1.防數(shù)據(jù)泄漏技術(shù)方案2.1.1.產(chǎn)品
8����、選型我們推薦使用CheckPoint公司的PointSec系列終端
