华为(HUAWEI)大中型企业边界防护
本节主要介绍如何通过将USG6000作为大中型企业的出口网关,来对企业的网络安全进行防护。
大中型企业通常是指员工人数在500人以上的企业。大中型企业通常具有以下业务特征:
- 企业人员众多,业务复杂,流量构成丰富多样。
- 对外提供网络服务,例如公司网站、邮件服务等。
- 容易成为DDoS攻击的目标,而且一旦攻击成功,业务损失巨大。
- 对设备可靠性要求较高,需要边界设备支持持续大流量运行,即使设备故障也不能影响网络运转。
基于以上特征,USG6000作为大中型企业的出口网关,典型的应用场景如图2-1所示:
图2-1 大中型企业边界防护典型部署
- 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。
- 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对图2-1中的文件服务器开启文件过滤和内容过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。
- 针对内网员工访问外部网络的行为,开启URL过滤、文件过滤、内容过滤、应用行为控制、反病毒等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。
- 在USG6000与出差员工、分支机构间建立VPN隧道,使用VPN保护公司业务数据,使其在Internet上安全传输。
- 开启DDoS防御功能,抵抗外网主机对内网服务器进行的大流量攻击,保证企业业务的正常开展。
- 针对内外网之间的流量部署带宽策略,控制流量带宽和连接数,避免网络拥塞,同时也可辅助进行DDoS攻击的防御。
- 部署eSight网管系统(需要单独采购),记录网络运行的日志信息。日志信息可以帮助管理员进行配置调整、风险识别和流量审计。
- 采用双机热备部署,提高系统可靠性。单机故障时可以将业务流量从主机平滑切换至备机上运行,保证企业业务持续无间断的运行。
发表评论