【干货】企业网络安全部署要点
发布作者:微思网络 发布时间:2024-12-23 浏览量:0次
园区网络的安全一般包含园区内网安全,比如设备登录安全,禁止非法用户登录;数据转发安全,保证数据在传输过程中不被截获或篡改等。还包含园区出口安全,在园区出口会部署专业安全设备防火墙,实现网络边界防护,有效阻止来自外网的安全威胁。a. 设备登录安全
如果是本地Console登录,强烈建议使用用户名和密码登录;如果是远程登录,则建议使用安全性较高的SSH协议(STelnet登录)。b. 不同网络层次的安全
比如:接入层作为园区网络的边界,需要防止非法的终端和用户进入网络,同时控制二层流量的转发行为;核心层作为网络的关键位置,其安全性更为重要,当核心设备作为集中认证 点时,需要考虑CPU性能要能满足处理大量用户接入时的协议报文的能力,当核心设备作为网关时,还需考虑其ARP安全。c. 无线业务安全
对非法入侵的设备和非法攻击的用户进行检测和反制,保护无线网络边界的安全;对用户接入的合法性和安全性进行认证,保证用户业务数据的安全。
a. 上网行为管理
针对内网员工访问外部网络的行为,开启URL过滤、文件过滤、内容过滤、应用行为控制、反病毒等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。b. 边界防护
将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对文件服务器开启文件过滤和内容过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。c. 园区典型组网案例
主要介绍园区出口安全的部署。具体业务安全要求如下:- 内网用户可以正常访问Internet资源,但只能访问教育/科学类、搜索/门户类网站。
- 为了防止公司机密文件的泄露,禁止员工上传常见文档文件、开发文件(C、CPP、JAVA)以及压缩文件到Internet。
- 为了降低病毒进入公司内部的风险,禁止员工从Internet下载可执行文件。
- 为了保证员工的工作效率,禁止员工从Internet下载视频类文件。
- 为了防止公司机密信息的泄露以及违规信息的传播,对内网用户上传到Internet的文件、发送到Internet的邮件、发布的帖子和微博、浏览网页和搜索的内容进行过滤。
- 外网用户可以访问内网中的HTTP服务器资源。为了保障服务器的正常运行,对SYN Flood、UDP Flood和HTTP Flood攻击进行防范。
- 为了防止邮件引入病毒,需要对HTTP和POP3协议进行反病毒检测。
- 为了防止蠕虫、木马和僵尸网络等攻击,需要对这些攻击进行防范。
- 为了不影响正常业务,在任何时间内限制P2P、在线视频等最大带宽不超过30Mbps。为了更好的控制P2P、在线视频流量,可以通过限制连接数的方式,限制最大连接数不超过10000。为了让Email、ERP等应用不受到影响,此类流量可获得的最小带宽不少于60Mbps。
- 记录员工的上网行为,从而采取更加精确的安全策略控制。
