欢迎user
由于业务的需要,报社网络有多个外部网络连接,例如Internet连接、专版专线等,报社网络与这些外部网络之间存在复杂的数据交互的需求,需要对这些不同网络之间的通信进行严格的检测、控制和隔离,保证网络数据流动的安全。
防火墙一直是网络安全方案的关键设备,防火墙将网络划分成不同安全等级的网段,在网段边界放置防火墙,进行网段隔离和访问控制,很多报社考虑网络安全时都采购了防火墙产品,但随着信息技术发展到今天,单一的防火墙方案已经不能满足报社对安全的要求,主要原因包括:
Ø 越来越多的安全威胁来自报社内部,记者便携机的普及使得移动办公得到大量普及,计算机终端不断的在报社内网和外网两个环境间进行漫游,很容易造成网络威胁从外网进入内网,从而在内网进行传播。另外由于VPN技术的普及,使得报社内网无限扩展,更加大了威胁进入内网的机会。由于防火墙以抵御外部攻击为主要目标,对于内部网络产生的安全问题,防范不足;
Ø 对于应用层攻击、复合攻击,防火墙力不从心。目前由各种蠕虫、病毒、应用层攻击技术和EMAIL、移动代码结合形成了复合攻击手段,以直接攻击报社核心采编服务器和应用为主,会给报社带来了重大损失; 同时随着报社P2P应用和MSN、QQ等即时通信软件的普及,报社宝贵带宽资源被无关业务流量浪费,形成巨大的性能威胁。这些威胁大部分都能够穿透防火墙,防火墙基于TCP/IP 3层和4层的访问控制对于基于应用的攻击威胁无法识别。
Ø 对紧急发生的安全问题无法及时响应。越来越多的病毒和蠕虫基于网络来传播,有了网络这个介质,威胁传播速度很快,以SQL Slammer为例,10分钟内,SQL Slammer可感染全球90%的有漏洞计算机。如果网络对于这些威胁不能识别,不能在其传播扩散的通路上进行阻截,纯粹依靠人工手动的打补丁、升级防病毒软件、在防火墙上设置ACL,根本无法抑制这些蠕虫病毒的大规模泛滥。
针对防火墙的以上不足,需要有新的安全设备与之配合,这就是IPS--入侵防御系统,IPS可以完成防火墙所不能提供的深度内容分析攻击检测和防范的能力。
H3C的H3C IPS产品自2002年发布以来,已 帮助H3C迅速成为提供基于网络的入侵防御系统的领先厂商。H3C的入侵防御系统能够阻止蠕虫、病毒、木马程序、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测,H3C的入侵防御系统能够在发生损失之前阻断恶意流量。利用H3C提供的数字疫苗服务,入侵防御系统能能够及时对漏洞过滤器、协议异常过滤器和统计异常过滤器进行更新,从而主动地防御最新的攻击。