内网管控与安全隔离
大中型企业的内网构成往往比较复杂,本节介绍如何通过将USG6000部署在企业内网,对网络进行安全隔离,对内网流量进行精细化控制。
对于大中型企业,通常其内部网络也需要划分安全等级。例如研发网络、生产网络、营销网络之间需要进行隔离,并对不同网络间的流量进行监控,以实现以下目的:
- 不同网络的业务类型和安全风险不同,需要部署不同的安全策略
- 不同网络间的流量需要受控,避免企业核心信息资产通过网络泄露
- 将网络进行隔离,避免一个网络感染病毒扩散到整个企业内网
- 大部分流量主要发生在同一网络内,而同一网络内的流量传输往往无需过多干预。所以通过网络划分,可以降低安全设备的检测负担,提高检测效率,使网络更加通畅。
基于以上特征,USG6000作为大中型企业的内网边界,典型的应用场景如图2-2所示:
图2-2 内网管控与安全隔离典型部署
- 在内网部署一个或多个USG6000作为内部不同网络的边界网关,隔离不同网络。
- 建立用户管理体系,对内网主机接入进行用户权限控制。
- 相同安全等级的网络划分到同一个安全区域,只部署少量的安全功能,例如“研发部1”和“研发部2”同属于Research安全区域,但是两者间通信的流量仍可进行简单的包过滤、黑白名单、反病毒等功能。
- 不同安全等级的网络划分到不同的安全区域,根据业务需求部署不同的安全功能,例如仅允许部分研发网络主机访问指定的市场部主机,并在Research与Marketing、Production、Server之间应用反病毒、文件类型过滤、内容过滤等功能。
- 在各个区域之间应用带宽策略,控制带宽与连接数,避免内网网络拥塞。
- 内网各个区域与外网之间应用入侵防御、反病毒、文件类型过滤、内容过滤、应用行为控制、URL过滤等功能。
发表评论