安全边界服务方案

问题聚焦：
　　在企业日益依赖网络进行商业活动的今天，保证企业网络边界的安全，已成为企业首要考虑的安全问题。服务器遭受攻击、网页被恶意篡改、用户反馈网站访问速度慢、服务器由于用户访问量增大而不堪重负等等，这些安全问题直接影响到企业正常业务的开展，如果处理不好，会给公司的形象带来负面影响，影响用户对企业的信心。

需求分析：
　　基于企业网络边界面临的安全问题，企业网络边界安全方面的需求归纳起来主要包括以下几点：

1、网络层安全：防止来自网络的各种网络攻击，保证公司网络、服务器的正常运转，几乎是所有企业在网络安全方面最基本的需求。

2、 网络边界链路的可用性安全：在原chinanet分为北方china netcom 和南方china telecom之后。由于南北网络之间的互联问题。出现了从南方用户访问北方网站或北方用户访问南方用户访问速度较慢的问题。其出现的根本原因为南北网络的互通互联接点拥塞，造成用户丢包、延迟较大，从而导致访问缓慢，甚至对于一些应用根本无法访问。

3、对外提供服务的应用系统的可靠性安全：企业为用户提供的公司网站访问，业务平台访问，供应商/合同伙伴应用平台访问，vpn平台等等，随着企业业务的不断发展，为用户提供服务的应用服务器承担的处理任务越来越多，单台服务器的处理能力很有限，伴随着企业应用系统的“多米诺”现象的出现，保障企业应用系统的可靠性显得越来越重要。

解决方案：
　　为综合解决企业面临的网络边界安全问题，诺安公司为企业提供了如下的解决方案：

企业网络边界安全综合解决方案

　　采用array networks 的tmx系列产品来实现internet出口的多链路负载，两台tmx系列产品组成一个群集，置于互联网接入边缘，实现对多链路的负载均衡。解决企业南北互通访问速度慢的问题，并且两条链路实现负载，保证企业internet出口的高可用性。
　　同时，两台tmx系列产品可附加应用系统负载均衡功能，array tmx系列产品中具有丰富的负载分担算法，能够满足各种各样的应用需求。可以实现动态分配每一个应用请求到后台的服务器，并即时按需动态检查各个服务器的状态，将下一个请求分配给最有效率的服务器，当任何服务器或应用程序不能正常提供服务时，tmx能够检测到，并将会把接下来的访问请求分配给其它服务器，从而避免了由于后台某个服务器或应用的问题而影响了整个系统应用服务的提供。一套array tmx设备在解决企业internet出口高可用性安全的同时，也解决了企业的应用系统的高可靠性安全。
　　对于企业internet边界的网络安全，利用世界知名品牌checkpoint防火墙的安全防御功能，将网络安全威胁有效地拒之门外。check point集成的smartdefense ips主动防御解决方案，采用了智能安全技术主动保护组织免遭所有已知和未知的网络攻击。smartdefense 采用 check point 获专利的状态检测（stateful inspection）技术，通过分类和分级阻隔攻击，并提供了一个独立的、集中式的控制台来获取攻击的实时信息，以及进行攻击检测、阻隔、日志、审核和警报。
　　为增强对企业web服务器的保护，可辅助于网页防篡改技术产品，对web服务器进行更深层的保护。

落实保障
　　企业信息安全建设的国际化原则是“七分管理，三分技术”，但对于企业网络边界的安全建设，建议采用“七分技术，三分管理”的原则。
　　管理手段的利用，可让技术产品的功效得到更大的发挥，让信息安全建设落地。企业网络边界部署了相关安全产品后，企业网络边界的安全建设就高枕无忧了吗？答案是否定的。很多企业的信息安全建设都是项目型的，项目验收，标志着这一块的安全建设也就告一段落。企业信息安全建设除了需进行pdca循环(规划、实施、检查、改进)建设，还应进行主动的capd，c（check）a(acion)p(plan)d(do)（检查、改进、规划、实施）。

1、防火墙安全策略定期检查
　　企业应规定it人员定期（按季度或月）对防火墙安全策略进行整理、检查，明确每条安全策略的作用。以便对一些不合理、测试应用策略进行清除，保证安全策略的合理性、安全性。

2、策略变更流程
　　边界安全设备充当着企业网络边界的守护者的角色，策略的变更需要有制度、流程的规范。

3、审计日志是否正常记录
　　审计日志作为边界安全设备事后审查的依据，其重要性不言而喻，企业需定期检查日志记录服务运行是否正常，日志是否正常记录，存储日志的磁盘空间是否足够等等。

4、边界安全设备工作状态监控
　　配置相应的监控手段，对设备的cpu、内存性能、和网络带宽等等指标进行监控，保证系统的健康运行。比如对网络带宽进行监控，可分析高峰期带宽的使用情况，带宽被哪些应用占用，哪些用户占用了大量带宽，这些指标可为管理决策提供充足的依据，管理层可根据这些指标决策带宽是否应该合理扩容，员工的上网管理行为是否应该加以约束等等。

5、定期安全巡检
　　要求设备供应商配合it人员进行定期的安全巡检，是将安全隐患扼杀于发生之初的有效手段。再利用定期的安全扫描服务，及时发现网络边界存在的安全漏洞，加以修补，将企业网络边界风险降低到最小。

产品简介
　　checkpoint防火墙：
　　checkpoint防火墙具有高度集成、经实践检验的安全性能，为你提供简约与安全的完美结合。checkpoint防火墙在简化配置和管理操作的同时，安全性也丝毫不打折扣。checkpoint防火墙提供全面的安全功能，包括防火墙、入侵防御、防病毒、防间谍软件、网络应用防火墙、voip安全、即时通讯（im）、二层隔离网络安全（peer-to-peer blockingp2p）、web 过滤以及实现安全的站点到站点和远程接入连接。而且，checkpoint防火墙的支持smartdefensetmservices，后者为check point基础架构的安全领先性提供了强大的保障。smartdefense services提供实时更新服务，并提供防御和安全策略配置建议，助你始终走在威胁和攻击的前面。