某集团公司整体网络架构方案(fortigate)

某集团公司整体网络架构方案(fortigate)内容摘要：

测和防御。  增加统一威胁管理（ Unified Threat Management，简称 UTM），结合多项安全技术，提供更好的管理、攻击关联和降低维护成本。  增加对关键资源的监视。  研究有效的安全策略并培训用户。 解决方案对于每一个公司肯定是不同的，而 IT 专业人员必须充分分析和理解他们的安全需求，确定究竟什么是他们试图保护的。 一个完整有效的安全方案不仅包括最新的安全技术，而且要考虑到公司的预算、社会和文化层面的因素。 关键资源的安全分域管理 随着移动设备的普及，攻击和威胁能够同时从外网和内网发起攻击。 不管如何试图保持移动用户的安全，当他们外出离开公司网络总是会遇到更大的风险。 移动用户承受更大安全风险的原因如下：  移动设备无法受到与公司网络相同的安全技术的保护。  大多数公司仅仅使用基于主机的防病毒软件来保护移动设备，单机防火墙和 IDS 在移动设备上安装的比例很低。  保持基于主机的安全应用不断升级、与公司安全策略同步是很难做到的。  用户会有意无意的关闭或修改基于主机的安全系统。  员工将与其它网络连接来开展业务，而这些外来网络的安全级别完全未知。 上海软盛信息技术有限公司 Tel： 02152916000 上海市中山北路 2020 号中星经贸大厦 19 楼 Fax： 02152949018  员工可能会让公司以外的人使用他们的移动设备。  移动用户往往对他们的设备具有管理员权限，这就意味着他们可以安装各种未经批准的软件。 这些软件常常属于免费软件，可以从 Inter 上自由下载，很可能带有木马或者间谍软件。  移动设备包含有公司信息，但可能没有备份，增加了丢失公司有价值财产的风险。  移动设备被盗的概率也要高出许多。 当移动设备离开办公室时，它们更容易感染病毒、木马和蠕虫。 当移动用户回来 连接到公司网络时，驻留在移动设备里的感染和攻击就会扩散至公司网络，感染其它曾被公司安全防御正常保护的系统。 为了防止这种情况的发生， IT 专业人员必须重新设计它们的网络，围绕关键部门、服务器群和关键应用系统提供更加安全的区域。 建立安全资源的“孤岛”对于规范访问权限和抑制威胁爆发是有效的手段。 安全分区的常用工具包括访问控制列表（ ACLs）、防火墙和认证技术。 图： CSO 的 Security Sensor VIII 对于攻击来源的报告， 64%的安全威胁来自于企业内部可信任用户或合作伙伴。 增加基于网络的安全 基 于网络的安全设备能够部署在现有的安全体系中来提高检测率，并在有害流量进入公司网络之前进行拦截。 基于网络的安全设备在线（ ”inline”）部署，阻挡攻击的能力要比传统的依靠镜像流量的“旁路式”安全设备强得多。 基于网络的安全设备的例子包括入侵防御系统（ IPS）、防病毒网关、反垃圾邮件网关和统一威胁管理（ UTM）设备。 UTM 设备是将多种安全特性相结合的统一安全平台。 除了实时阻挡攻击之外，基于网络的安全还包括以下优点：  减少维护成本。 攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新。 上海软盛信息技术有限公司 Tel： 02152916000 上海市中山北路 2020 号中星经贸大厦 19 楼 Fax： 02152949018  升级对于用户、系 统或者应用来说是透明的，无需停机，更新可以实时进行 —— 不像操作系统和应用程序打补丁那样需要重启系统。  保护在基于网络的安全设备后面的所有主机，因此减少了基于主机的病毒特征库、操作系统补丁和应用程序补丁升级的急迫性，使 IT 专业人员在发生问题之前有较充分的时间来测试补丁。  保持以前使用的设备、操作系统和应用，无需将它们都升级到最新的版本。  在网络边界或关键节点上阻挡攻击，在恶意流量进入公司网络之前将其拦截。  不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。  可与已有的安全技术共存并互补。 增加统一威胁管理（ UTM）安全 为了对最新的混合型攻击和社会工程威胁提供先进的安全检测，越来越多的信息安全公司开发出了新一代安全平台。 IDC 将这类新的安全平台命名为统一威胁管理（ UTM）设备，它集成了多种安全功能，以提高安全系统的效能。 通过将状态检测防火墙、 VPN、网关防病毒和 IPS功能集成到一个安全设备里， UTM 提高了检测率，并提供了比单一功能安全设备更好的阻挡能力。 UTM 安全系统的其它优点包括：  通过为多种安全功能提供一个统一的管理平台，降低了设备的复杂性，加快了安装速度。  与购买和使用多个单一功能的 单点安全系统相比，降低了总体拥有成本（ TCO）。 随着网络安全对于消费者和商家都同样变得越来越重要， IDC 预测， UTM 设备的销量将在未来几年内超过传统防火墙 /VPN 安全设备。 上海软盛信息技术有限公司 Tel： 02152916000 上海市中山北路 2020 号中星经贸大厦 19 楼 Fax： 02152949018 二 、 司需求分析 网络分析及拓扑图 XX 集团有限公司目前按网络结构主是由总公司、各个地区的分公司和部分移动用户来组成的。 XX 集团有限公司内部网络中架构内部办公系统、销售系统和数据库服务器 ,整个集团的办公系统、销售系统、数据库和互联网访问浏览都混合在一起。 此次解决方案根据 XX 集团网络评估的结果 ,来进行整改 XX 集团有限公司的网络 ,降低整个网络的安全风险，进行多方冗余备份 ,保证网络运作的安全、稳定运行。 安全需求 通过分析 XX 集团面临的业务系统能够遇到的网络，我们提出防范安全威胁尤其是内部办公数据传输的安全性和由于病毒所造成的网络安全威胁的安全需求：  各分公司和总部之间使用 Fortigate 设备进行 IPSec VPN 连接 ,用来备份各分公司和总部之间的 DDN 线路 ,使集团内部网络更安全、更稳定的运作。  总部和分公司之内的 DDN 网络链路中接入 Fortigate 设备 (工作于透明模式 ),来进行过滤和阻挡病毒的传播 ,使得整个网络更为安全和 稳定。  各分公司也使用 IPSec VPN 功能 ,采用加密技术来对于移动办公人员于公司内部服务器数据传输之间的加密及安全防护 上海软盛信息技术有限公司 Tel： 02152916000 上海市中山北路 2020 号中星经贸大厦 19 楼 Fax： 02152949018  采用相关的访。