24小時(shí)服務熱(rè)線:
企業辦公網全網安全管控方案
更新時(shí)間:2019-09-16 14:02:43
企業辦公網建設是IT建設的(de)一大(dà)核心随著(zhe)互聯網的(de)持續發展,當前大(dà)量企業通(tōng)過網絡将集團總部與各分(fēn)公司/廠區(qū)結合起來(lái),便捷的(de)溝通(tōng)和(hé)共享方式...
企業辦公網建設是IT建設的(de)一大(dà)核心
随著(zhe)互聯網的(de)持續發展,當前大(dà)量企業通(tōng)過網絡将集團總部與各分(fēn)公司/廠區(qū)結合起來(lái),便捷的(de)溝通(tōng)和(hé)共享方式大(dà)大(dà)提高(gāo)了(le)企業的(de)生産力和(hé)工作效率,如何能夠保障一個(gè)穩定、安全、便捷的(de)整體網絡成爲企業IT建設的(de)重要課題。深信服對(duì)大(dà)量企業用(yòng)戶進行調研後發現,在企業全網建設過程中IT管理(lǐ)者普遍面對(duì)著(zhe)四個(gè)方面的(de)問題。
此可(kě)見,企業辦公網作爲承載業務和(hé)人(rén)員(yuán)辦公的(de)重要基礎設施,同時(shí)其建設狀況存在大(dà)量問題,因此辦公網建設已然成爲了(le)IT建設的(de)一大(dà)核心。
綜合上圖所列舉的(de)企業網絡建設所面臨的(de)主要問題,我們可(kě)以清楚地發現,如何讓企業全網辦公獲得(de)更安全、更穩定、更高(gāo)效的(de)辦公體驗,讓管理(lǐ)部門更簡單、更直觀地進行運維管理(lǐ)已經成爲IT建設的(de)突破點。
深信服企業辦公網全網安全管控建設思路
基于當前企業辦公網建設需求以及其中的(de)信息安全挑戰,深信服提出了(le)完整的(de)企業辦公網全網安全管控建設解決思路,主要目标是提升企業集團總部對(duì)各分(fēn)支網絡的(de)集中建設與管控能力,在******簡單有效、用(yòng)戶體驗、控制成本的(de)原則下(xià),解決辦公網内的(de)業務需求和(hé)普遍安全問題。
根據企業辦公網的(de)建設現狀和(hé)主要挑戰,辦公網全網安全建設可(kě)以分(fēn)爲四個(gè)模塊:
深信服企業辦公網全網安全管控建設方案
本方案是站立在企業用(yòng)戶全局視角,對(duì)用(yòng)戶全網建設需求進行深入分(fēn)析,結合用(yòng)戶網絡建設體系所設計的(de)一套安全加固方案,結合既定的(de)建設思路和(hé)企業常見網絡結構,我們繪制出以下(xià)企業全網安全管控建設拓撲圖。
以下(xià)是本方案建設所需清單。
方案價值
n 安全防護,統一組網
Ø 在總部和(hé)分(fēn)支的(de)邊界分(fēn)别建立2到7層的(de)邊界全面防護體系,能夠識别抵禦常見的(de)網絡攻擊行爲;同時(shí)在總部實現了(le)全網安全監測能力,能夠及時(shí)發現内網安全威脅,追根溯源,保障網絡持續穩定運行。
Ø 分(fēn)支機構結合具體建設需求,采用(yòng)相應标準設備作爲網絡出口,通(tōng)過加密VPN隧道組網通(tōng)信,劃分(fēn)邏輯隔離的(de)企業内網。
n 内網管控,統一認證
Ø 靈活管理(lǐ)總部及分(fēn)支員(yuán)工上網行爲,可(kě)以禁止或雙向管控敏感部門和(hé)用(yòng)戶使用(yòng)外發類(文件傳輸、圖片外發)、降低工作效率類(遊戲類、購(gòu)物(wù)類、視頻(pín)類)應用(yòng)以及帶寬消耗類應用(yòng),審計記錄用(yòng)戶上網行爲,提供溯源依據,規避法律風險。
Ø 建立完善的(de)認證管理(lǐ)體系,可(kě)結合AD域或者其他(tā)第三方認證平台進行用(yòng)戶識别和(hé)上網權限控制,支持各種類型的(de)單點登錄認證,可(kě)實現總部分(fēn)支全網統一實名制認證,支持多(duō)種認證方式組合,包括微信認證、短信認證、一鍵上網,APP認證等滿足不同場(chǎng)景需求
n 集中管理(lǐ),統一運維
Ø 采用(yòng)集中管理(lǐ)平台對(duì)分(fēn)布各地的(de)網絡設備進行實時(shí)監控、智能告警、配置下(xià)發、統一更新、遠(yuǎn)程接入、日志查詢,有效提高(gāo)網絡管理(lǐ)效率,降低管理(lǐ)成本,減輕管理(lǐ)負擔。
Ø 支持管理(lǐ)員(yuán)分(fēn)級分(fēn)域管理(lǐ),可(kě)同步所有受控端設備日志到統一日志中心,顯示所有在線網點的(de)網絡吞吐帶寬展示、當前用(yòng)戶流量信息、分(fēn)支設備配置信息。
n 行爲分(fēn)析,安全可(kě)視
Ø 結合總部内部流量與分(fēn)支安全日志進行統一分(fēn)析,獲取全網整體安全态勢,集中展現各分(fēn)支安全狀态。
Ø 基于全網用(yòng)戶海量的(de)上網日志和(hé)用(yòng)戶行爲特征進行深度建模,分(fēn)析整體流速狀态、應用(yòng)流量占用(yòng)比例、各單位流量排行,發現存在不良上網行爲的(de)單位,幫助運維人(rén)員(yuán)實時(shí)監控整體網絡流量狀态。
Ø 協助網絡運維管理(lǐ)員(yuán)迅速發現分(fēn)支的(de)網絡故障情況,結合集中管理(lǐ)平台幫助管理(lǐ)員(yuán)快(kuài)速定位并解決問題。
Ø 支持大(dà)屏展示,生成運維報表,彙報運維管理(lǐ)情況,爲IT建設提供數據依據,體現建設價值。
用(yòng)戶案例
随著(zhe)互聯網的(de)持續發展,當前大(dà)量企業通(tōng)過網絡将集團總部與各分(fēn)公司/廠區(qū)結合起來(lái),便捷的(de)溝通(tōng)和(hé)共享方式大(dà)大(dà)提高(gāo)了(le)企業的(de)生産力和(hé)工作效率,如何能夠保障一個(gè)穩定、安全、便捷的(de)整體網絡成爲企業IT建設的(de)重要課題。深信服對(duì)大(dà)量企業用(yòng)戶進行調研後發現,在企業全網建設過程中IT管理(lǐ)者普遍面對(duì)著(zhe)四個(gè)方面的(de)問題。
此可(kě)見,企業辦公網作爲承載業務和(hé)人(rén)員(yuán)辦公的(de)重要基礎設施,同時(shí)其建設狀況存在大(dà)量問題,因此辦公網建設已然成爲了(le)IT建設的(de)一大(dà)核心。
綜合上圖所列舉的(de)企業網絡建設所面臨的(de)主要問題,我們可(kě)以清楚地發現,如何讓企業全網辦公獲得(de)更安全、更穩定、更高(gāo)效的(de)辦公體驗,讓管理(lǐ)部門更簡單、更直觀地進行運維管理(lǐ)已經成爲IT建設的(de)突破點。
深信服企業辦公網全網安全管控建設思路
基于當前企業辦公網建設需求以及其中的(de)信息安全挑戰,深信服提出了(le)完整的(de)企業辦公網全網安全管控建設解決思路,主要目标是提升企業集團總部對(duì)各分(fēn)支網絡的(de)集中建設與管控能力,在******簡單有效、用(yòng)戶體驗、控制成本的(de)原則下(xià),解決辦公網内的(de)業務需求和(hé)普遍安全問題。
根據企業辦公網的(de)建設現狀和(hé)主要挑戰,辦公網全網安全建設可(kě)以分(fēn)爲四個(gè)模塊:| 模塊一 | 構築辦公網安全邊界,分(fēn)支通(tōng)過加密穩定可(kě)管理(lǐ)的(de)通(tōng)道與總部通(tōng)信,建立邏輯隔離的(de)辦公内網。 |
| 模塊二 | 加強内網管控與防護,全網統一認證,實現用(yòng)戶******管理(lǐ),******用(yòng)戶上網體驗 |
| 模塊三 | 統一安全運維實現集中簡化(huà)的(de)管理(lǐ)架構,實現全網設備統一運維,集中告警,統一策略下(xià)發,形成全網運維可(kě)視能力。 |
| 模塊四 | 形成全網安全可(kě)視能力,實時(shí)了(le)解總部及分(fēn)支網絡狀态、用(yòng)戶行爲,實現全局安全可(kě)視化(huà)。 |
本方案是站立在企業用(yòng)戶全局視角,對(duì)用(yòng)戶全網建設需求進行深入分(fēn)析,結合用(yòng)戶網絡建設體系所設計的(de)一套安全加固方案,結合既定的(de)建設思路和(hé)企業常見網絡結構,我們繪制出以下(xià)企業全網安全管控建設拓撲圖。
以下(xià)是本方案建設所需清單。| 部署位置 | 部署産品 | 用(yòng)途 |
| 集團網絡出口 | 下(xià)一代防火牆(NGAF) | 構建邊界的(de)L2-7層的(de)完整安全防禦體系,進行互聯網邊界安全防護。 |
| 上網行爲管理(lǐ)(AC) | 集團用(yòng)戶上網認證、行爲管控和(hé)審計,提升集團員(yuán)工的(de)工作效率,提升集團管理(lǐ)能力。 | |
| 安全管理(lǐ)中心 | 統一認證平台 (AC-pt) |
全網統一用(yòng)戶認證平台,結合用(yòng)戶組織架構、角色權限進行相應認證 操作。 |
| 集中管理(lǐ)平台 | 全網多(duō)分(fēn)支設備統一管理(lǐ)平台,對(duì)分(fēn)支進行智能監控、遠(yuǎn)程策略配置、運維告警等集中化(huà)操作。 | |
| 全網安全感知平台(SIS) | 彙總來(lái)自于潛伏威脅探針、下(xià)一代防火牆、上網行爲管理(lǐ)等安全設備的(de)數據或日志,進行深入分(fēn)析,可(kě)視化(huà)呈現全網安全态勢、服務器漏洞态勢等,并對(duì)主機和(hé)服務器風險問題進行******定位。 | |
| 潛伏威脅探針(STA) | 通(tōng)過鏡像經過核心交換機的(de)全部流量,具備深度監測能力、異常會話(huà)監測能力、違規訪問監測能力、僵屍主機檢測能力等。 | |
| 行爲感知系統(BA) | 通(tōng)過大(dà)數據技術對(duì)彙總的(de)上網行爲記錄進行用(yòng)戶行爲趨勢建模分(fēn)析,展示多(duō)維度多(duō)場(chǎng)景分(fēn)析數據,如全網上網态勢分(fēn)析,辦公網上網态勢分(fēn)析、洩密追蹤分(fēn)析、帶寬分(fēn)析等。 | |
| 統一日志中心 (Log Server) |
網絡設備及服務器日志收集、保存、彙總。 | |
| 分(fēn)支機構 | 上網行爲管理(lǐ)(AC) | 分(fēn)支機構通(tōng)過IPsec VPN模塊與總部組網,建立穩定的(de)訪問連接;同時(shí)實現分(fēn)支用(yòng)戶的(de)統一認證、行爲管理(lǐ)和(hé)審計,提高(gāo)員(yuán)工工作效率,提升集團管理(lǐ)能力。 |
| 下(xià)一代防火牆(NGAF) | 分(fēn)支機構通(tōng)過IPSec VPN模塊與總部組網,建立穩定的(de)訪問連接;同時(shí)涵蓋訪問控制、入侵防禦等功能實現分(fēn)支機構的(de)2到7層安全防護建設;分(fēn)支安全數據彙總至總部全網安全感知平台,由總部整體 |
n 安全防護,統一組網
Ø 在總部和(hé)分(fēn)支的(de)邊界分(fēn)别建立2到7層的(de)邊界全面防護體系,能夠識别抵禦常見的(de)網絡攻擊行爲;同時(shí)在總部實現了(le)全網安全監測能力,能夠及時(shí)發現内網安全威脅,追根溯源,保障網絡持續穩定運行。
Ø 分(fēn)支機構結合具體建設需求,采用(yòng)相應标準設備作爲網絡出口,通(tōng)過加密VPN隧道組網通(tōng)信,劃分(fēn)邏輯隔離的(de)企業内網。
n 内網管控,統一認證
Ø 靈活管理(lǐ)總部及分(fēn)支員(yuán)工上網行爲,可(kě)以禁止或雙向管控敏感部門和(hé)用(yòng)戶使用(yòng)外發類(文件傳輸、圖片外發)、降低工作效率類(遊戲類、購(gòu)物(wù)類、視頻(pín)類)應用(yòng)以及帶寬消耗類應用(yòng),審計記錄用(yòng)戶上網行爲,提供溯源依據,規避法律風險。
Ø 建立完善的(de)認證管理(lǐ)體系,可(kě)結合AD域或者其他(tā)第三方認證平台進行用(yòng)戶識别和(hé)上網權限控制,支持各種類型的(de)單點登錄認證,可(kě)實現總部分(fēn)支全網統一實名制認證,支持多(duō)種認證方式組合,包括微信認證、短信認證、一鍵上網,APP認證等滿足不同場(chǎng)景需求
n 集中管理(lǐ),統一運維
Ø 采用(yòng)集中管理(lǐ)平台對(duì)分(fēn)布各地的(de)網絡設備進行實時(shí)監控、智能告警、配置下(xià)發、統一更新、遠(yuǎn)程接入、日志查詢,有效提高(gāo)網絡管理(lǐ)效率,降低管理(lǐ)成本,減輕管理(lǐ)負擔。
Ø 支持管理(lǐ)員(yuán)分(fēn)級分(fēn)域管理(lǐ),可(kě)同步所有受控端設備日志到統一日志中心,顯示所有在線網點的(de)網絡吞吐帶寬展示、當前用(yòng)戶流量信息、分(fēn)支設備配置信息。
n 行爲分(fēn)析,安全可(kě)視
Ø 結合總部内部流量與分(fēn)支安全日志進行統一分(fēn)析,獲取全網整體安全态勢,集中展現各分(fēn)支安全狀态。
Ø 基于全網用(yòng)戶海量的(de)上網日志和(hé)用(yòng)戶行爲特征進行深度建模,分(fēn)析整體流速狀态、應用(yòng)流量占用(yòng)比例、各單位流量排行,發現存在不良上網行爲的(de)單位,幫助運維人(rén)員(yuán)實時(shí)監控整體網絡流量狀态。
Ø 協助網絡運維管理(lǐ)員(yuán)迅速發現分(fēn)支的(de)網絡故障情況,結合集中管理(lǐ)平台幫助管理(lǐ)員(yuán)快(kuài)速定位并解決問題。
Ø 支持大(dà)屏展示,生成運維報表,彙報運維管理(lǐ)情況,爲IT建設提供數據依據,體現建設價值。
用(yòng)戶案例
| 國家開發投資公司 | 綠地集團 | 中信證券 | 京東商城(chéng) | 美(měi)的(de)電器 |
| 中國南(nán)方航空集團公司 | 德祐地産 | 招商銀行 | 攜程網 | 聯塑集團 |
| 招商局集團有限公司 | 德邦物(wù)流 | 中銀保險 | 新浪科技 | 錦江之星 |