摘要: 巡路免疫墙网关IWG1000-NB的推出,使得核心化免疫网络解决方案也可以以较低廉的价格部署于企业网络,使得企业花费大量自己购买的PC、交换机、办公软件、系统等组建的网络不再处于混乱、无序、难管理、效率低下的局面。转而得到了全面升级加固,真正的实现了所购电脑、...
巡路免疫墙网关IWG1000-NB的推出,使得核心化免疫网络解决方案也可以以较低廉的价格部署于企业网络,使得企业花费大量自己购买的PC、交换机、办公软件、系统等组建的网络不再处于混乱、无序、难管理、效率低下的局面。转而得到了全面升级加固,真正的实现了所购电脑、网络设备和软件的整体价值,安全、稳定、高速、易管理的免疫网络为企业未来的各种信息化应用提供了保证。
实施部署巡路免疫网络可以将一个普通网络升级为具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征的免疫网络。起到解决现有网络卡滞、掉线的不安全问题、防范未来的威胁,从底层进行安全加固并提供对网络治理优化的有效手段的作用。
使用巡路免疫墙网关将企业原有的普通网络升级为免疫网络,绝不是像部署防火墙、UTM、杀毒软件和行为管理设备那样,简单的添加到原有网络。而是要根据企业网络的IP划分、网络拓扑、业务模式等进行整体规划,通过免疫墙网关、免疫安全驱动、内网安全协议、安全策略等将原有网络从外网接入到交换机、到终端电脑、到每一个通讯数据都进行安全管理和控制,实现对整个企业局域网的免疫安全管理,全面加固企业网络。
网络拓扑
免疫墙网关内置了免疫网络解决方案组成部分的配置中心、运营中心、驱动下载服务、免疫安全协议、NAT接入模块。通过安全可信校验进行终端免疫驱动强制安装,使每一个网络节点都具有安全功能。通过免疫安全协议进行策略下发、执行、报警、群访群控,杜绝以太网协议漏洞、防御内网各种攻击,实现全网的安全联动,“网络问题网络解决”。
免疫安全特色
通过免疫墙网关IWG1000-NB进行免疫网络部署,专向解决内网问题、消除内网安全隐患、实现了完全有别于其它安全产品的特色功能,彻底保证内网基础安全:
1、有效抑制内网病毒攻击
对已知攻击验证有效的种类:ARP欺骗、ARP洪水、骷髅头、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDoS攻击、超大Ping包、格式错误数据、发包频率超标等等。
2、免疫安全策略
基于二层、三层及四层的现有策略组合,能够根据协议行为的规范以及与接入网关、运营中心的联动,应付未知攻击或攻击组合,具有主动防御能力。通过对免疫安全策略的调整定制,还能够有效针应对未来的攻击。
3、深度防御做到源头抑制
通过对每个终端网卡实施驱动级管理和对网络协议2~4层的全面保护,在终端上进行阻止ARP欺骗、CAM攻击、VLAN中继攻击、DHCP资源耗竭攻击等,使其无法通过网卡发出,保护交换网络的纯净。
4、全网设备安全联动
欣全向专有的内网安全协议,能够使接入网关、终端群、运营中心、监控中心等各种安全部件紧密配合,策略制定和策略下发、运行监控、异常通报、策略执行、人机互动等安全联动功能保证应对各种网络突发事件。
5、网关ARP先天免疫
在网关NAT过程中融合ARP先天免疫,无需绑定IP-MAC,确保网络正常通信数据不受任何ARP欺骗攻击干扰破坏。这是欣全向接入网关的独有专利技术。
6、终端ARP看守式绑定
终端免疫驱动拦截ARP欺骗信息,从运营服务器获取正确的网关信息并执行看守式绑定,锁定真实网关。与网关配合能够探测并防范7种ARP攻击。
7、基因式终端身份管理
通过对终端真实IP、物理MAC以及免疫封装,对每一台终端进行严格的基因式身份管理。有效解决私改IP上网、二级路由下的终端侦测和管理、IP-MAC完全克隆,对终端身份控制从系统到封包等其他方案解决不了或解决不彻底的问题。
8、强制安装免疫驱动
终端除非被列入豁免名单,否则不安装免疫驱动就不能上网。驱动的安装过程完全自动化,免疫服务器提供下载,由终端用户一键完成。它是一套对系统安全的驱动,有微软认证和数字签名。
9、分组策略
对全网终端实施分组管理,允许创建10个分组,可分别赋予不同的控制策略。策略实时调整、即时生效。
10、丰富灵活的控制策略
可灵活定制:免疫安全策略、行为管理策略、访问控制策略、上网时间策略、流量管理策略、内网防火墙策略。
11、免疫校验和豁免
允许对特殊的终端不进行免疫校验,即豁免校验。
12、精细带宽管理
可对内、外网的上、下载带宽分别管理,允许从终端驱动和网关两部分进行操作。这是基于真实身份、从终端网卡底层进行的带宽管理,不同于以IP身份、上传到路由再进行管理的普通方案。交换机上的数据流量也得到有效控制,避免在内网里存在访问瓶颈。
13、全网监测评估
全网工作状况一目了然、尽收眼底。实时图表直观显示带宽的使用情况、终端详细信息、终端网络流量、网络异常报警信息、网关运行日志等。
14、攻击源定位(取证)
通过实时流量、报警信息、运行日志及各终端运行状态信息,实时了解网络异常原因,准确定位攻击源。
15、内网终端集中控制
网络维护人员可在监控中心的控制台灵活调整每台终端的安全策略,对异常终端可封锁其网卡通信。
16、远程监控
支持在任意地点通过网络远程登陆监控中心,通过验证后可获得本地相同的管理权限,便于网管员远程维护网络。
功能划分简述
安全策略
对内网安全的彻底管理是通过安全策略的定制、下发、执行、反馈实现的,完善的安全策略包括免疫安全策略、行为管理策略、访问控制策略、上网时间策略、流量管理策略、免疫防火墙、IP端口绑定、报警策略等。
内网主要的二层协议攻击和以太网协议漏洞问题的解决主要是通过免疫安全策略和全网联动实现的,免疫安全策略直接在每一个内网终端网卡中间层驱动上执行。免疫安全策略默认执行108种内网协议攻击防护,还包括拦截ARP欺骗、拦截篡改MAC、ARP应答控制、ARP探询控制、虚假IP过滤、拦截IP分片包、超大Ping包过滤、内网SYN限制、外网SYN限制等的自主设定。免疫网络解决方案对策略的差异化执行是通过分组实现的,将内网所有设备划分到不同分组,配以不同的安全策略,使每一个网络节点都有自主的安全功能,并通过免疫安全协议进行管理联动。
系统监控
对内网所有终端的网络访问和攻击状况进行时刻监控,通过配置软件的系统监控提供对每台终端的在线时间、工作组信息等的显示;每个终端的内/外网、上传/下载分别流量图表绘制;异常行为报警;是免疫网络进行揽控全网的管理交互接口。
带宽分析
免疫网关接入模块是内网的大门,是网络访问流量的总出口,合理使用接入带宽就需要对带宽使用情况进行监控和分析,配置软件中的带宽分析提供了网络访问流量的状态图表和分析显示,是进行历史带宽分析、当前流量统计、未来带宽管理规划的重要依据。
系统配置
通过配置软件设置和管理免疫网关接入模块的参数,包括:VLAN、DHCP、DMZ、虚拟服务器、VPN、VOIP穿透、动态DNS、静态路由、负载均衡等。
免疫网关接入模块采用高性能网络处理器;多WAN接入模块采用最先进的第四代多WAN技术,融合身份绑定技术,带宽汇聚。
日志
对网络安全运行状态的日志记录,包括接入部分的WAN口连接日志,还有威胁内网基础安全的ARP、IP分片、DDoS、超大Ping、MAC篡改等200多种以太网协议漏洞和攻击报警。
方案组件
巡路免疫网络核心化解决方案实现安全免疫、打造免疫网络是通过一套由软硬件、内网安全协议、安全策略构成的完整组件联动完成的。
·免疫网关--统一的接入模块和服务器平台
免疫网关是巡路免疫网络核心化解决方案的重要组成部分,免疫网关集成了免疫网络解决方案组成部分的接入模块、运营中心、监控中心、驱动下载服务。通过免疫安全协议进行接入网关、运营中心,监控中心和驱动下载服务的整体联动、统一管理,免疫网络实施更加简易,安全稳定效果更加明显。
运营中心进行免疫安全策略分发,控制管理,是免疫网络解决方案的管控核心。
监控中心对全网安全状态和网络访问进行监控,提供网络管理接口,方便企业网络管理检查。
驱动下载服务提供非免疫安全终端的免疫驱动强制安装,保障网络每一格节点都具备安全功能。
免疫网关稳定可靠的嵌入式操作系统,集成以上免疫网络重要组件,并进行了良好的功能拓展升级预留,未来将可能提供可选应用模块如:上网行为管理、应用流控、应用审计、行为记录等的升级,VPN等应用功能升级。
·免疫驱动
免疫驱动是巡路免疫网络解决方案不可或缺的组成部分,通过对内网终端电脑进行免疫驱动的强制安装,进行免疫驱动智能化的部署,不安装免疫驱动的电脑不能上网。
免疫驱动是安装到终端电脑网卡底层的安全管理驱动,它位于网卡驱动部分的中间层,是进行网络数据分析、安全管理和危险包过滤的最底层、最有效的管理方式。所有终端的网络数据收发都会经过免疫驱动检查处理后对正常的数据发行,底层的处理保证了对所有数据包的全面接收,驱动的处理保证了策略分析、攻击拦击的效率,不占用CPU资源,具备了最高的效率、完整的检查、彻底的安全。
策略执行:通过接收并执行来自运营中心的免疫安全策略,免疫驱动将终端电脑网卡从传统意义上简单的网络传输功能升级为网络和安全融合的免疫网络组件。实现了从普通网络升级为免疫网络具有决定性意义跨越。
群防群控:安装到终端电脑上的免疫驱动还进行对周边数据的接收和分析,安装在终端电脑上的免疫驱动对其接受的所有数据进行分析,对来自非免疫驱动控制的异常数据报警至运营中心,方便用户进行并由运营中心调动免疫网络所有组件进行应对。
·免疫安全协议
免疫安全协议是作为巡路免疫网络解决方案各个组件联动通讯的私有协议,巡路免疫网络解决方案组成部分的免疫驱动、网关接入模块、运营中心、下载服务、监控中心通过免疫安全协议进行通讯。
免疫安全协议主要负责和网关接入模块和运营中心的联动、免疫网关和免疫驱动之间的联动、免疫驱动之间的联动、免疫驱动和运营中心之间的联动。免疫驱动和网关接入部分的工作状态和异常信息通过免疫安全协议在运营中心汇总显示,免疫安全策略(策略调整范围,开放型强,拓展型强)
免疫安全策略是进行内网基础安全,保障网络稳定的安全执行标准,对各种以太网协议漏洞和内部攻击进行检查和控制。由于采用的是协议行为策略的处理方式,对网络攻击的各个过程和步骤进行拦截,所以不但能对现有网络攻击进行来拦截防护还能对未来可能发生的各种攻击起到防御效果。免疫安全策略可以通过免疫网络安全架构和协议进行参数调整和升级,应对各种网络安全需要。