防火墙虚拟化技术和基于状态的包检查功能是IDC对边界防火墙的重点需求。天融信防火墙可以虚拟多套防火墙,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的域之间可以共用1台防火墙,但使用不同的虚拟系统。同时士防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
防ddos攻击设备和异常流量清洗在IDC网络,起到对DDOS攻击防范的作用,通常在运营商IDC的出口处部署,该系统主要由异常流量检测平台、流量清洗平台和安全管理平台三部分组成。
应用层安全防护
应用层安全部署主要包括入侵防御系统(IPS)和业务审计系统部署。在IDC的互联网出口处和内部各安全区的网络汇聚层出口处部署IPS进行应用层防护,可采用旁挂方式或与网络设备一体化的融合式部署,保证IDC整体和各安全区域内部服务器免受外部应用层攻击。
网络入侵防护系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。
安全审计系统是根据跟踪检测、协议还原技术开发的功能强大的安全审计系统为网上信息的监测和审查提供完备的解决方案。它能以旁路、透明的方式实时高速的对进出网络汇聚层出口的访问数据包和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,一旦发生安全事件后,可以通过分析记录信息,了解安全事件的过程,做到事后取证;此外还可以使网络维护人员根据安全事件的攻击过程,深入了解信息系统可能存在的安全隐患,为事后的修补与加固提供依据。
统一安全管理
统一安全管理平台旨在集中部署网络安全防护策略,简化对网络安全部件的管理,确保网络安全策略的统一;广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比;准确的、实时的评估当前的网络安全态势和风险,并根据预先制定的策略做出快速响应。其基本功能包括:
全策略集中部署:IDC网络中的安全部件涉及身份安全、终端安全、设备安全、连接安全、网络安全等各个层面,对应的安全防护技术包括AAA、防病毒、漏洞检测、防火墙、VPN、IPS等不同层次的防御部件。统一安全管理平台提供了集成、统一、完整的安全防护策略配置功能,可以通过直观的网络、服务器、终端及用户拓扑图,查看和配置安全策略,同时可尽可能的集中收集的各类安全事件报表。
业务系统动态感知:统一管理平台通过相应的策略配置,以主动探测和被动接收相关数据的方式,对业务系统进行不间断的监控,使管理员能够实时知道当前业务系统的带宽利用情况、主机访问情、,主机系统资源的利用情况,业务系统的存活情况等业务指标。重新构建客户感知、形成差异化客户服务,使客户享受到更加舒心、贴心、放心的服务。
安全事件深度感知:IDC统一安全管理平台在全面采集安全事件的基础上,通过各种基于统计和规则的关联分析算法,结合安全事件产生的网络环境、资产重要程度、系统漏洞级别,对安全事件进行深度分析,可以有效提高安全事件的信噪比,减少告警日志数量而不丢失重要信息,输出运营支撑的报表,为安全事件审计和风险响应提供更准确的决策支持。
