三星中小企业网络安全解决方案

　　中小企业网络的现状与未来

　　当今中小企业与大企业一样，都广泛使用信息技术，特别是网络技术，以不断提高企业的竞争力。企业信息设施在提高企业效益的同时，也给企业增加了风险隐患。大企业所面临的安全问题也一直困扰着中小企业，关于中小企业网络安全的相关报导也一直层不穷，给中小企业所造成的损失不可估量。由于涉及企业形象的问题，所曝光的事件只是冰山一角。针对中小企业网络安全事故大多不为人所知。由于计算机网络特有的开放性。网络安全问题日益严重。中小企业所面临的安全问题主要有以下几个方面:

　　1.外网安全——骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。

　　2.内网安全——最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密。

　　3.内部网络之间、内外网络之间的连接安全——随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。

　　中小企业网络安全需求分析

　　目前的中小企业由于人力和资金上的限制，网络安全产品不仅仅需要简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。归结起来，应充分保证以下几点:

　　1. 网络可用性:网络是业务系统的载体，防止如DOS/DDOS这样的网络攻击破坏网络的可用性。

　　2.业务系统的可用性:中小企业主机、数据库、应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

　　3.数据机密性:对于中小企业网络，保密数据的泄密将直接带来企业商业利益的损失。网络安全系统应保证机密信息在存储与传输时的保密性。

　　4.访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制，这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记录。

　　5.网络操作的可管理性:对于网络安全系统应具备审计和日志功能，对相关重要操作提供可靠而方便的可管理和维护功能。易用的功能。

　　UTM(统一威胁管理)更能满足中小企业的网络安全需求

　　网络安全系统通常是由防火墙、入侵检测、漏洞扫描、安全审计、防病毒、流量监控等功能产品组成的。但由于安全产品来自不同的厂商，没有统一的标准，因此安全产品之间无法进行信息交换，形成许多安全孤岛和安全盲区。而企业用户目前急需的是建立一个规范的安全管理平台，对各种安全产品进行统一管理。于是，UTM产品应运而生，并且正在逐步得到市场的认可。UTM安全、管理方便的特点，是安全设备最大的好处，而这往往也是中小企业对产品的主要需求。

　　中小企业的资金流比较薄弱，这使得中小企业在网络安全方面的投入总显得底气不足。而整合式的UTM产品相对于单独购置各种功能，可以有效地降低成本投入。且由于UTM的管理比较统一，能够大大降低在技术管理方面的要求，弥补中小企业在技术力量上的不足。这使得中小企业可以最大限度地降低对安全供应商的技术服务要求。网络安全方案可行性更强。

　　UTM产品更加灵活、易于管理，中小企业能够在一个统一的架构上建立安全基础设施，相对于提供单一专有功能的安全设备，UTM在一个通用的平台上提供多种安全功能。一个典型的UTM产品整合了防病毒、防火墙、入侵检测等很多常用的安全功能，而用户既可以选择具备全面功能的UTM设备，也可以根据自己的需要选择某几个方面的功能。更为重要的是，用户可以随时在这个平台上增加或调整安全功能，而任何时候这些安全功能都可以很好地协同工作。共3页。

　　整体网络安全系统架构

　　随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已不足以应付来自各种攻击了。例如，那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。结合中小企业的网络特征，我们建议采用基于三星Ubigate IBG ISM(集成安全模块)的UTM整体安全网络架构方案。

　　如图1所示，这种多层次的安全体系不仅要求在网络边界设置防火墙&VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。对于内网安全，特别是移动办公，client quarantine(客户端隔离)将对有安全问题的主机进行隔离，以免其对整个网络造成更大范围的影响。这给整个企业网络提供了安全保障。基于 Samsung Ubigate IBG ISM的UTM提供了当今最高级别的安全性，可以检测到任何异常操作并立即关闭可疑的通讯途径。

　　基于Samsung Ubigate IBG 系列整合平台及其集成安全模块 (ISM) 的UTM整体网络安全方案

　　网络安全平台的设计由以下部分构成:

　　防火墙& VPN系统:用基于状态检测的防火墙系统实现对内部网和广域网进行隔离保护。 VPN 为远程办公人员及分支机构提供方便的VPN高速接入，保护数据传输过程中的安全，实现用户对服务器系统的受控访问。

　　IDS/IPS签名检测:ISM采用高速模式匹配实现高速签名筛选，从而保证网络性能最优化。IPS系统能够对所有数据进行实时检测。对于可疑攻击行为，IPS系统采用灵活的策略进行相应处理，大大降低了IPS系统误报和漏报给内部网络带来的风险。

　　病毒检测:ISM 中的代理将每个会话的有效负荷组装至文件，然后将该文件发送至系统的防病毒引擎检查该文件，若感染病毒，则修复文件，然后将文件传输至其原始目的地。支持对HTTP、SMTP、POP3、FTP等协议的病毒检测。

　　通讯异常检测:包括扫描检测，会话限制，TCP/UDP/ICMP洪泛攻击检测和阻止。ISM具有强大的防DOS/DDOS功能，不但可以防御外网的DOS/DDOS，同时对于内网用户发起的DOS攻击，UTM 安全网关也可以进行防御。

　　客户端隔离:隔离是抑制蠕虫和病毒爆发的最有效方法。为实现此目标，ISM 将安装 Desktop Agent 并与所有内部客户端的Desktop Agent进行通信。 如果检测到异常通讯，ISM 就会发送一个命令，阻止源计算机生成更多的通讯。

　　Web应用程序防火墙:Web应用程序防火墙提供高效的防御，防止与Web系统相关的攻击。

　　URL 筛选:ISM可以依照有害站点数据库检查目标URL 来阻止内部用户访问特定的网站，管理员还可以选择预订Websense 数据库，只需加点费用即可。

　　通讯调整:ISM 可以根据网络管理员设立的策略来控制特定通讯的带宽。

　　三星UBigate3026特点:

　　整机模块化设计，所有模块支持热拔插功能，用户可量身定制自已的配置，升级、维护极灵活，具备很强的可扩展性。

　　1、防火墙(ISM模块)、VPN(VAC卡)

　　防火墙吞吐量:1.9Gbps

　　Concurrent Session:最大200，000(1G)

　　VPN吞吐量:360 Mbps，

　　VPN最大通道数:最大 2000，

　　IPS吞吐量:1.5Gbps， IPS签名数:超过2，000

　　支持防病毒网关、防垃圾邮件、URL过滤、Web应用层防火墙、终端安全性

　　2、路由交换:

　　支持RIP，OSPF，BGP协议，QOS机制，二、三层企业级交换能力，21G的吞吐量，最多支持54个千兆端口，4个光纤端口

　　3、VoIP

　　为模拟和数字电话提供接口，配备了带有IP电话和PoE的以太模块，能够提供灵活多变的企业级语音服务。并通过广泛的QoS使企业语音和数据业务真正整合，支持模拟、数字和IP电话。

　　Samsung Ubigate iBG 系列整合平台及其集成安全模块 (ISM) 提供了具有以下显著优势的“最佳方案”防御措施:

　　在路由器(通向内部网络的网关)处有多个先进的安全功能;

　　用于阻止来自端点设备的 Desktop Agent;

　　通过专用 CPU 和内存获取高性能安全性;

　　自动签名更新和用于传染的紧急推入服务;

　　使用基于 Web 的图形化设备管理器进行轻松配置、管理、监视和故障排除，可通过https实现远程管理，降低管理成本;

　　IBG集成交换和路由功能，以及VoIP功能，将大大降低中小企业的整体网络的造价成本;以及企业运作成本;

　　Samsung Ubigate iBG 系列整合平台及其集成安全模块 (ISM) 的UTM整体网络安全方案完全满足中小企业网络安全方案的安全需求。提供了当今最高级别的安全性。

　　三星Ubigate IBG 产品优势

　　比市场同类产品具有更高的性能，更有竞争性的价格。

　　提供完整的网络保护。

　　提供高可靠的网络行为监控。保持网络性能的基础下，消除病毒和蠕虫的威胁。

　　基于专用的硬件体系，提供了高性能和高可靠性。

　　用户策略提供了灵活的网络分段和策略控制能力。

　　提供了高可用端口，保证零中断服务。

　　强大的系统报表和系统自动警告功能。

　　多种管理方式:SSH、SNMP、WEB。基于WEB(GUI)的配置界面提供了中/英文语言支持。

　　(责编:杨华)共3页。

　　整体网络安全系统架构

　　随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已不足以应付来自各种攻击了。例如，那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。结合中小企业的网络特征，我们建议采用基于三星Ubigate IBG ISM(集成安全模块)的UTM整体安全网络架构方案。

　　如图1所示，这种多层次的安全体系不仅要求在网络边界设置防火墙&VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。对于内网安全，特别是移动办公，client quarantine(客户端隔离)将对有安全问题的主机进行隔离，以免其对整个网络造成更大范围的影响。这给整个企业网络提供了安全保障。基于 Samsung Ubigate IBG ISM的UTM提供了当今最高级别的安全性，可以检测到任何异常操作并立即关闭可疑的通讯途径。

　　基于Samsung Ubigate IBG 系列整合平台及其集成安全模块 (ISM) 的UTM整体网络安全方案

　　网络安全平台的设计由以下部分构成:

　　防火墙& VPN系统:用基于状态检测的防火墙系统实现对内部网和广域网进行隔离保护。 VPN 为远程办公人员及分支机构提供方便的VPN高速接入，保护数据传输过程中的安全，实现用户对服务器系统的受控访问。

　　IDS/IPS签名检测:ISM采用高速模式匹配实现高速签名筛选，从而保证网络性能最优化。IPS系统能够对所有数据进行实时检测。对于可疑攻击行为，IPS系统采用灵活的策略进行相应处理，大大降低了IPS系统误报和漏报给内部网络带来的风险。

　　病毒检测:ISM 中的代理将每个会话的有效负荷组装至文件，然后将该文件发送至系统的防病毒引擎检查该文件，若感染病毒，则修复文件，然后将文件传输至其原始目的地。支持对HTTP、SMTP、POP3、FTP等协议的病毒检测。

　　通讯异常检测:包括扫描检测，会话限制，TCP/UDP/ICMP洪泛攻击检测和阻止。ISM具有强大的防DOS/DDOS功能，不但可以防御外网的DOS/DDOS，同时对于内网用户发起的DOS攻击，UTM 安全网关也可以进行防御。

　　客户端隔离:隔离是抑制蠕虫和病毒爆发的最有效方法。为实现此目标，ISM 将安装 Desktop Agent 并与所有内部客户端的Desktop Agent进行通信。 如果检测到异常通讯，ISM 就会发送一个命令，阻止源计算机生成更多的通讯。

　　Web应用程序防火墙:Web应用程序防火墙提供高效的防御，防止与Web系统相关的攻击。

　　URL 筛选:ISM可以依照有害站点数据库检查目标URL 来阻止内部用户访问特定的网站，管理员还可以选择预订Websense 数据库，只需加点费用即可。

　　通讯调整:ISM 可以根据网络管理员设立的策略来控制特定通讯的带宽。