|
信達政府互聯網出口解決方案
資源天下 2019/8/16 10:05:36
(接上頁)訪問相關服務器。銳捷網絡針對不同的業(yè)務系統(tǒng)對互聯網出口的利用特征,使用鏈路負載均衡�����、智能DNS等技術對相關的應用速度進行優(yōu)化。
針對大量用戶同時訪問互聯網時����,NAT地址轉化的問題,NPE出口引擎設備提供硬件優(yōu)化的NAT轉換功能�����, NPE基于多核處理器技術進行架構��,具備轉發(fā)高性能�����,內嵌狀態(tài)防火墻���、并且采用NAT與REF(銳捷快速轉發(fā))高效配合����,并充分利用x-flow技術�����,實現高速NAT����,NPE成為網絡出口的高性能推力引擎。
目前用戶多采用多鏈路的互聯網出口的情況�����,NPE支持多鏈路的負載均衡技術����,通過線路帶寬大小、線路帶寬利用率��、鏈路響應等因素綜合分析判斷��,智能的為用戶選擇最快速最優(yōu)的訪問線路。
通過智能DNS功能����,可以保證外部用戶訪問應用服務器時通過最優(yōu)的線路進行服務器的訪問。智能DNS功能可以智能的判斷訪問用戶所在運營商�����,而將訪問數據智能解析定位到對應的ISP鏈路上�,以加速對服務器的訪問。同時對重要的服務器進行帶寬保證�����,在鏈路帶寬不足時���,優(yōu)先保證應用服務器的帶寬�����,提供服務質量�。
同時為了保證出口的帶寬合理化利用�����,對一些P2P下載和視頻流量進行統(tǒng)一管理。目前互聯網出口大多數會有一定程度的P2P程序����,此類程序占據著鏈路的大部分帶寬�����,造成出口擁塞���,造成正常的用戶訪問緩慢甚至無法打開頁面等情況的發(fā)生���,所以針對此類情況,使用專業(yè)的用戶行為管理設備�,對相關的應用進行靈活的控制。同時支持用戶組功能�,滿足不同用戶擁有不同上網權限的功能。提高了出口帶寬利用的靈活性�����。
2.2 審計功能設計
對于網絡中提供的審計功能�����,其目的是重現不法者的操作過程,提供認定其不法行為的證據��,同時可以分析目前安全防御系統(tǒng)中的漏洞����。銳捷從對國家法規(guī)法令的遵守和客戶實際需求出發(fā),結合以下兩個關鍵點進行統(tǒng)一日志審計方案的設計:
(1)對所需的用戶�、應用和流量的日志數據進行融合管理。
(2)多臺設備架構下的網絡出口多種類型的日志數據��。
銳捷統(tǒng)一日志審計解決方案通過整合各方網絡資源���,為IT管理者提供統(tǒng)一網絡監(jiān)管界面�����,最終將IT復雜問題簡單化���,提高IT工作效能。
統(tǒng)一的日志信息可以在審計界面直接顯示包括用戶身份�����、用戶IP地址��、訪問內容等一系列信息,日志信息直接關聯用戶身份�,可以保證管理人員快速定位責任人,并提供相關責任人的源IP����、源端口、NAT后源IP���、NAT后源端口、目的IP和目的端口的詳細信息�����,同時在內容審計方面���,可以實時的過濾相關服務器的敏感字��,并對相關頁面進行監(jiān)控�����,了解每個頁面訪問情況��,提供IP地址所訪問的詳細頁面信息��,在出現安全問題時�,可以直接根據相關的IP地址定位到具體的人員。
在提供豐富的審計功能的同時���,針對用戶的流入��、流出流量及建立的會話數設置告警條件��,并實時監(jiān)控日志數據���,觸發(fā)告警。
2.3 接入管理功能設計
(1) 內部用戶接入管理
通過在網絡中部署核心安全交換機���,對內網接入的主機通過基于802.1X協議和Radius協議的身份驗證體系����,通過與網絡交換機的聯動���,實現了對于用戶訪問網絡的身份的控制�。同時���,可以采用用戶名�����、密碼�����、用戶IP���、用戶MAC���、認證交換機IP�、認證交換機端口號等多達6個元素的靈活綁定,來保障用戶的身份正確性��,更可以根據用戶身份的不同�,來給用戶賦予靈活的網絡權限訪問控制。
(2) 遠程用戶接入管理
VPN接入設備����,通過與后端的用戶管理服務器將所有VPN用戶帳號進行整體的管理。并根據用戶使用的硬件信息進行VPN主機的安全準入控制�,防止因為遠程用戶的密碼丟失,導致內部安全隱患��。
同時通過與專業(yè)入侵檢測設備IDS的聯動,可以對用戶的訪問行為進行分析����,并通過內置的安全事件庫對網路安全事件進行及時的檢測和上報,通過后臺系統(tǒng)的聯動處理來自動的處理發(fā)生的網絡安全事件��。
3. 出口安全設計
目前針對互聯網出口的安全攻擊手段層出不窮��,任何一個獨立的安全手段都不足以保護整個互聯網出口上承載的應用系統(tǒng)的安全��。通過對互聯網出口的整體安全性考慮�,銳捷網絡為出口建立起用戶安全、網絡安全���、應用系統(tǒng)安全���、Web服務安全的立體安全防護體系。
3.1 用戶安全性設計
(1) 本地用戶安全性
為了保證本地用戶的接入安全���,通過對互聯網出口用戶的身份認證��,做到用戶的權限的統(tǒng)一管理����。在用戶通過用戶認證后,針對用戶的分組信息����,對用戶進行相應的帶寬分配,并根據用戶的相應權限�,限制用戶所能使用的相關互聯網程序和能訪問的相關資源。
(2)遠程用戶安全性
在互聯網出口部署VPN接入設備�����,通過與后端的用戶管理服務(未完�����,下一頁)
|
|
|