深信服NGAF广域网安全建设方案模板

深信服深信服 NGAFNGAF 广域网安全建广域网安全建 设方案模板设方案模板 深信服科技股份有限公司深信服科技股份有限公司 20XX20XX 年年 XXXX 月月 XXXX 日日 1.1.应用背景应用背景 在当前互联网的浪潮下，日益成熟的网络基础建设和互联网丰富的资源大大 提高了人类的生产力和生产效率，各组织业务得以持续、快速、高效的发展。然 而无处不在的网络带给人类发展便利的同时， 也随之带来了诸多的网络安全风险。 互联网出口承载着内部所有用户的上网需求，首当其冲承受着最直接的安全 威胁，因此在该区域部署相匹配的安全防护手段必不可少。 2.2.需求分析需求分析 2.1.2.1. 基础需求基础需求 2.1.1.2.1.1.用户访问无控制，安全不可控用户访问无控制，安全不可控 在广域网环境下分支机构的各类用户对互联网或数据数据中心经常仅具有 一部分的访问权限， 而在实际网络中因仅仅解决了基础网络的使用， 导致很多用 户可以对互联网或数据中心随意进行访问。 最终使得各分支与总部没有实现有效的边界访问控制，无法对用户的访问行 为进行有效的管理与审计。 2.1.2.2.1.2.无用数据占用带宽，影响业务运行无用数据占用带宽，影响业务运行 在用户访问互联网或数据中心时，经常会产生大量的非关键业务流量或垃圾 流量占用有限的宽带资源。 这样的情况严重了影响关键业务的正常运行， 那么我 们应该如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度？ 2.2.2.2. 安全需求安全需求 2.2.1.2.2.1.网络欺诈泛滥，员工遭受损失网络欺诈泛滥，员工遭受损失 互联网发展越来越快，人们对互联网的依赖性越来越强，网上购物、数据存 储、 信息查询等等业务应用不断向互联网端迁移， 这也使得了攻击者可以通过互 联网获取想要的一切。 而随着越累越多的黑客察觉到了其中的利益后，各种钓鱼网站、网络欺诈便 开始变得层出不穷。 网络欺诈的泛滥直接导致了各类用户的经济损失、 数据泄露， 而各分支机构往往安全防护薄弱、 员工安全意识低， 最终致使网络欺诈行为屡获 成功。 2.2.2.2.2.2.僵木蠕隐蔽性强，终端大量失陷僵木蠕隐蔽性强，终端大量失陷 大量的网络攻击往往都是通过僵木蠕的传播来实现的，而对于分支机构的终 端来说从互联网端下载的参考资料、办公软件等数据便是主要的威胁来源。 为了更易感染终端，僵木蠕等恶意流量往往与参考资料、办公软件等进行捆 绑， 诱导用户下载执行从而感染终端实现后续目的， 而分支机构边界的薄弱也就 促成了恶意流量在整个广域网中肆意泛滥。 2.2.3.2.2.3.缺乏持续检测，失陷主机成为攻击跳板缺乏持续检测，失陷主机成为攻击跳板 当终端感染僵木蠕之后，往往会被攻击者控制成为僵尸主机或攻击跳板，此 类失陷主机也是进行 APT 攻击或更加深入攻击的首要条件。失陷主机在网络中 往往隐藏很深， 可能通过多种途径实现传播感染或对外通讯， 最终达到破坏窃取 等目的。 而现有的网络中，哪怕存在了一定的边界防护设备，也很难发现失陷主机。 主要原因便是失陷主机行为利用了大多数防护设备的逻辑漏洞， 最终导致失陷主 机在网络中成为万恶之源。 2.3.2.3. 管理需求管理需求 2.3.1.2.3.1.安全状况无法快速查看，缺乏全网了解安全状况无法快速查看，缺乏全网了解 在广域网环境下，分支网络的安全状况往往无法让运维人员统一快速的查看， 这也造成了很多问题由于发现不及时造成处理延误，也会带来更大的损失。 同时各分支机构碎片化的数据，也导致了运维人员无法有效的了解到全网的 安全状况， 无法对广域网整体进行安全分析做不到全局的把控， 这些问题都是我 们对安全状况缺乏了解造成的。 2.3.2.2.3.2.分支机构安全不便管理，风险不可控分支机构安全不便管理，风险不可控 缺乏统一管理缺乏统一管理 大量的分支机构往往会给运维工作带来繁重的工作量，每一个分支都需要进 行单独的配置即影响工作效率，又十分耗费人力。 无法独立运营无法独立运营 分支机构的运维人员往往是其他岗位人员的兼职， 或是同时兼顾网络、 安全、 系统、应用等多方面的工作，在安全能力方面缺乏专业知识，对于安全设备的运 维工作往往力不从心。 3.3.深信服解决方案深信服解决方案 在分支环境下，为了满足以上大量的基础需求、安全需求及管理需求往往需 要几类安全设备并结合统一管理的方式来实现， 这样的网络架构对于分支来说同 样会增加管理难度和采购费用。 深信服解决方案依靠下一代防火墙独特的融合安全的能力为用户在分支边 界提供简单有效的解决方案，在实现各项需求的同时降低管理难度及采购成本。 基于客户情况添加拓扑描述 建设后拓扑 3.1.3.1. 完善基础网络完善基础网络 3.1.1.3.1.1.精细化访问控制，安全可管可控精细化访问控制，安全可管可控 在各分支机构的边界，深信服下一代防火墙通过对各类用户权限的区分，各 分支机构的不同访问需求，可以进行精确的访问控制。通过对终端用户、分支机 构不同的权限划分保障网络受控有序的运行。 在此可添加基于用户情况的访问关系描述。 通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情 况发生，减少安全事件发生概率。 3.1.2.3.1.2.智能流量管理，保障业务畅通智能流量管理，保障业务畅通 为保障关键业务正常运营，同时让分支用户能够有更好的上网体验，深信服 下一代防火墙能帮助管理者透彻了解组织当前、 历史带宽资源使用情况， 并据此 制定带宽管理策略，验证策略有效性。不但可以在工作时间保障核心用户、核心 业务所需带宽， 限制无关业务对资源的占用， 亦可以在带宽空闲时实现动态分配， 以实现资源的充分利用。基于不同时间段、不同对象、不同应用的管道式流控， 能有效保障用户的上网体验，保障网络的稳定性。 3.2.3.2. 网络访问全程保护网络访问全程保护 对于现今的网络安全防护，如果仅仅依靠单项单类别的防护方式很难实现完 整的防御效果。 为了更好的进行整体安全防护， 通过对用户对互联网的访问行为 进行分析， 并结合现行的攻击方式针对用户与互联网数据包的交互过程进行了全 程保护。 3.2.1.3.2.1.封堵风险访问，避免损失封堵风险访问，避免损失 风险访问往往是终端安全的第一道关卡，在互联网访问的过程中访问一个有 风险的网站可能带来的风险不仅是单次的经济损失， 也可能导致终端受控造成更 大损失的根本原因，所以封堵终端的风险访问便可以有效的降低终端安全风险。 深信服建立了业内领先的大数据威胁情报分析平台，该平台汇集了国内外多 个安全机构的的威胁情报数据， 通过自主研发的数据清洗技术， 形成高效准确的 威胁情报库。其情报来源如下： 国内外数十个知名的安全机构，如：CNVD、CNNVD、Virustotal、 Threatcloud 、Malware 、Abuse 等； 深信服在线的近万台安全设备上报的安全威胁情报； 深信服安全云检测平台、安全服务团队监测获得的海量威胁情报； 其中，仅从 Virustotal 一家安全机构，每天可以获取 20G 以上的威胁情报。 通过海量的威胁情报，能够更加精准的发现威胁，更好的保护终端上网安