下一代防火墙

NGAF广域网安全建设方案

一、应用背景


随着广域网不断扩张和新的各类应用系统的快速上线,广域网运行效率和稳定与企业、政府的业务关联更加紧密,网络安全、数据安全变得尤为重要。同时广域网的运维和管理的要求也在不断的提升,从网络安全、应用安全到业务数据安全的要求都在不断的提高。


二、需求分析


广域网确保了总部和各级分支机构之间的互联互通,但是,随着广域网上各种应用的业务量和复杂度不断提升,其安全及性能问题变得越来越突出,主要问题包括:

     

  • 安全组网:如何实现安全组网,并在安全组网的基础下减小运维成本?

  • 访问控制:如何实现各分支机构和总部间、各分支机构之间复杂的访问控制?

  • 安全威胁:分支机构的安全级别低、安全管理松散,容易引入蠕虫、木马、病毒、黑客等,如何防范这些安全威胁在广域网上快速扩散?

  • 数据安全:如何防止总部数据中心内存储的敏感数据被非法盗用、非法窃取,如何防止敏感数据泄露?

  • 带宽保障:非关键业务或垃圾流量占用了有限的广域网带宽资源,造成广域网拥塞,如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度?

  • 安全管理:如何实现广域网集中的安全管理,整网部署统一的安全策略,进行统一的安全事件监控?


三、深信服广域网安全解决之道


深信服广域网安全建设解决方案充分考虑到广域网组网、运行过程中潜在的安全问题及可靠性问题,通过深信服下一代防火墙NGAF不同功能模块的应用,组成L2-L7层立体安全防御体系,实现广域网安全组网、广域网流量清洗的防护效果,确保广域网高安全和高可用。


3.1 总部安全设计

总部包含外网数据中心、互联网办公区域、安全管理区域,安全等级较高。在总部广域网出口处部署两台双机热备的高端NGAF开启VPN模块且开启安全防护模块进行全面、立体的L2-L7层流量清洗。在核心业务区核心交换机上旁路部署NGAF防泄密功能,对核心业务区敏感数据传输做旁路审计。如下图:


     

  • 安全组网:深信服下一代防火墙NGAF-IPSECVPN模块实现总部与分支机构的安全组网。

  • 安全隔离:深信服下一代防火墙NGAF实现分支机构对总部资源的访问控制与安全隔离。深信服下一代防火墙NGAF访问控制具有用户与应用属性的优势,与AD域、radius等认证系统的结合,基于应用识别的访问控制可实现更精细的用户-应用的访问控制策略。

  • 安全防护:深信服下一代防火墙NGAF-IPS-WAF模块实现分支到总部的L2-L7层安全防护。有效防止漏洞攻击、注入类攻击、恶意插件等攻击的威胁。

  • 流量清洗:深信服下一代防火墙NGAF通过网关处病毒木马在线查杀实现广域网流量清洗。有效防止恶意流量通过互联网快速传播的风险。

  • 带宽保障:为在资源有限的广域网实现核心业务的可用性保障,深信服下一代防火墙NGAF通过基于应用的流量控制实现核心业务,如OA、ERP、视频会议等系统的可靠带宽保障。

  • 集中管理:在总部安全管理网部署APM异常流量分析系统以及深信服NGAF集中管理平台实现对总部-分支各设备的集中监管与远程配置。提高管理效率,简化运维成本。


3.2 分支机构一体化安全组网与安全防护

分支机构局域网办公及总部资源访问业务为主,安全等级相对较低。为实现分支机构高安全防护、高投资回报的分支机构安全建设目标,采用深信服下一代防火墙NGAF实现一体化安全组网与安全防护的效果。


  • 安全组网:通过深信服下一代防火墙NGAF实现与总部VPN对接,实现高强度加密的VPN组网。

  • 安全防护:深信服下一代防火墙NGAF-IPS-WAF模块实现分支到总部的L2-L7层安全防护。有效防止漏洞攻击、注入类攻击、恶意插件等攻击的威胁。

  • 流量清洗:深信服下一代防火墙NGAF通过网关处病毒木马在线查杀实现广域网流量清洗。有效防止恶意流量通过互联网快速传播的风险。


四、总结


深信服下一代防火墙NGAF提供了广域网安全建设需求的多维度集中化安全功能需求。结合内置IPSEC VPN实现广域网一体化安全组网的同时,对广域网网络层到应用层进行L2-L7层流量清洗,有效的解决了广域网上病毒木马快速扩散及对总部应用层攻击的问题;为解决广域网带宽资源有限的问题,NGAF提供了基于应用的可视化带宽保障,保障核心业务正常运行;集中管理、统一监管解决了分支机构专业安全维护困难的问题。深信服广域网安全建设方案实现了一体化安全的安全策略部署、L2-L7层的安全防护效果、高效的广域网流量清洗,可视化的流量带宽保障、集中管理统一部署的价值,在有效解决广域网安全问题的前提下,简化管理运维成本,实现了最优投资回报。

  • 东南汽车部署深信服广域网优化解决方案