北电分层防护助推企业网络安全

　　【赛迪网讯】北电可向企业客户提供完整的安全解决方案，对整个网络提供自适应保护并确保信息安全。这些解决方案不仅能让企业抵御日益猖獗的各种威胁，确保业务安全和员工效率，而且能够满足各项法规对隐私和准确性日益严格的要求。

　　设计和执行合理的安全策略是部署安全解决方案的第一步。所有类型的企业都必须制定一个明确的安全策略，它应该是一个被严格贯彻执行的文档和流程，并可以不断更新以反映企业网络和业务需求的最新变化。

　　制定了一个安全策略后，下一步就是要使用一种分层防护方法执行该策略。北电的分层防护方法基于北电的网络安全体系结构，不仅能够避免网络上的任何单点安全故障，而且能够让网络应对未来的各种安全威胁。为了全面确保安全，这种分层防护方法在网络上的不同区域建立了连续的信任区域。

　　这种分层防护方法由以下解决方案组件构成：端点安全层、边界安全层、核心网安全层、通信安全层以及应用于这些层面的平台安全和安全管理。本文的其余部分将逐一介绍这些组件，并重点描述北电为每一领域提供的产品。

　　与搭建高可靠性网络的方式相同，北电采用分层方法跨越所有网络设备和流程实现网络安全。这种方法不仅能够避免网络上的任何单点安全故障，而且能够让网络应对未来的各种安全威胁。如果某个攻击突破了一个主要的安全层，后续的其它安全层将挫败此次攻击。

　　这种安全策略应用于分层防护方法的所有层面，包括核心网、边界、通信和端点安全。

　　如图所示，分层防护的各个解决方案组件被映射到一个典型企业的不同信任区域，每个组件都拥有一组安全保护措施。每个区域周围的圆形、方形、菱形和三角形分别代表了该区域所采用的不同的解决方案组件类型（核心网、边界、通信和端点）。

　　这些区域通常包含一个数据中心、安全多媒体区域、局域网（LAN）、安全操作中心、非军事区（DMZ）以及分支机构和远程办公站点。

　　. 数据中心：存储所有关键应用和文件，它们由一个北电的交换式防火墙（NSF）、威胁保护系统（TPS）的多个入侵探测器和一台应用交换机（AS）提供保护，后者负责为多个服务器提供负载均衡和智能流量管理（ITM）功能。

　　. 安全多媒体区域：确保IP电话和多媒体应用的安全性，由一个北电的安全多媒体控制器（SMC）（提供防火墙和信令加密功能）、TPS的多个入侵探测器、一台应用交换机、一台多媒体通信服务器（MCS）和/或一台通信服务器CS1000提供保护，后者负责处理IP电话和多媒体应用。

　　. LAN：为基于电话和PC的各种应用提供局域网，由北电TPS的多个入侵探测器和一台安全网络接入交换机（SNAS）提供保护，并包含北电的以太网交换机（ES）和以太网路由交换机（ERS），便于利用VLAN分离语音和数据业务。

　　. 安全操作中心：负责管理网络上的各种安全应用，由一个北电的交换式防火墙提供保护，并包含北电的TPS防护中心、配置管理器、企业策略管理器（EPM）和安全事件管理器。

　　. 非军事区（DMZ）：是互联网/广域网（WAN）/无线局域网（WLAN）与企业内部网和托管企业网站等业务的设备的连接点。

　　通常而言，进入企业内部网的非企业员工（如客户、供应商、承包商等）只能访问一些非敏感类型的信息。DMZ由一个北电交换式防火墙、TPS的多个入侵探测器和一台应用交换机提供保护。DMZ还包含一个VPN网关，合法的远程用户（远程办公人员、移动工作人员、客户和合作伙伴）可以通过它安全地访问企业内部网。来自于某个分支机构的业务可以通过互联网和一台VPN路由器、或一个基于帧中继的专用广域网链路进入企业内部网。业务还可以通过一个WLAN（该WLAN自身拥有保护措施，即一台无线安全交换机）、WLAN接入点和无线网状网（WMN）进入企业内部网。

　　分支机构和远程办公站点：由VPN路由器提供保护，这些路由器不仅能够通过一个嵌入式防火墙保护设备不受攻击，而且可以对互联网或WAN上传输的所有通信业务进行加密，防止信息失窃或VoIP窃听。

　　分层防护方法是确保企业能够消除所有单点安全故障的关键所在，而且它也能充分实现北电最先进的应用和网络所具备的优势。企业可以在网络的所有区域采用多种执行安全策略的方法搭建一个安全基础架构，该架构具备抵御各种攻击的高度弹性，而且能确保隐私和准确性，满足当今众多法规的要求。

　　不仅如此，随着北电安全网络体系结构的景象越发清晰，网络安全必须随着时间的推移从当前以基本阶段为主的网络演进至认证网络阶段，后者可提高用户效率，而不仅仅是保护他们不受恶意攻击。遵照北电安全网络体系结构的指南并使用本文描述的北电安全产品和解决方案以及分层安全防护方法，企业就能保护它们的网络免遭当前的威胁，而且还能将它们进一步演进，以应对未来威胁，并最大程度缩短停机时间和提高用户效率。(n101)

　　作者：Xs