互联网出口安全

企业互联网出口所面临的挑战

 

企业互联网出口的主要业务一般分为门户网站和企业内部互联网访问业务。

门户网站，主要用于发布企业信息，并提供基于互联网的业务，如金融行业的网银业务等。门户网站是企业面向社会的窗口，随着互联网的不断发展和普及，基于互联网的业务越来越成为企业提供业务的重要途径，其安全稳定运行对于企业的形象、声誉以及业务都至关重要，门户网站出口的安全主要面临的挑战是如何防止基于WEB应用层面的攻击，包括防止恶意代码、防止网页被篡改、防止拒绝服务类攻击等，因为传统的防火墙主要是基于网络层和传输层的保护，无法对应用层的攻击提供保护，因此需要部署基于应用层面的安全防护工具。

   企业内部互联网访问的业务，包括内部员工上网、收发邮件、移动办公等。企业内部访问互联网主要面临的挑战是如何控制内部用户互联网访问的流量和内容，如何保证企业敏感信息不被泄漏，如何防止垃圾邮件和带恶意代码的邮件。

如何防护来自internet的DDoS与异常流量威胁，保障内部网络带宽，进行内部网络与internet隔离?

如何提供最佳性能保障网络通信，无网络流量瓶颈？

 

门户网站出口解决方案

 

分区安全部署

 

   门户网站出口总体可以划分为三个安全区域：互联网接入区、网站业务区和内网接入区，其中网站业务区通常又分为WEB服务区、应用服务区和数据库服务区。

   互联网接入区除了需要部署防火墙和IPS/IDS外，还需要部署流量清洗设备，预防DDOS拒绝服务攻击，如果企业有多个运营商线路的接入，还需要部署链路负载均衡设备，承担网站的域名解析，提供最优的线路访问。

   网站业务区需要通过防火墙将WEB服务区、应用服务区和数据库服务区进行安全隔离，同时部署应用安全和审计设备提供应用层面的安全防护，若对服务器的性能和可用性要求较高的企业，还需要部署服务器负载均衡设备和SSL加速设备为业务服务器提供负载均衡和SSL VPN服务，若企业需要对访问流量进行监控，还需要部署流量分析设备。

   内网接入区主要通过防火墙提供企业内部网络和网站业务区的安全隔离。

 

典型解决方案

   根据企业对网站各业务子区域的安全需要，可将各子区域进行物理隔离或逻辑隔离，典型的完全物理隔离和逻辑隔离的解决方案示意图如下：

 

图1 完全物理隔离解决方案示意图

 

图2 逻辑隔离解决方案示意图

 

企业内部互联网访问解决方案

   企业内部互联网访问出口解决方案主要包括下面几方面的内容：一是访问控制，二是邮件保护，三是移动办公安全接入。

访问控制主要通过部署代理服务器，只允许经过认证的用户访问互联网，通过部署流量管理网关控制每个用户的访问流量，通过部署上网行为管理设备，对用户的访问进行控制和审计，防止敏感信息泄漏。

   邮件保护主要通过邮件安全网关，防止企业邮件系统被垃圾邮件攻击，同时防止带有恶意代码的邮件。

   移动办公安全接入主要通过部署SSL VPN和认证服务器，确保经过认证的用户安全接入到内部网络。

   企业内部互联网访问解决方案示意图如下：

 

 

图3 企业内部互联网访问解决方案示意图

 

新华时代根据企业对网站各业务子区域的安全需要，设计完整的一套企业网络出口解决方案，满足不同企业的各种需要。

 

结束语 
互联网出口已逐步成为企业主要提供业务的渠道，互联网业务为企业带来收益，同时也会引入安全的风险，一旦互联网出口发生安全事故往往给企业带来难以估计的损失，因此需要部署一个完善的互联网安全防护体系。互联网出口安全涉及的产品种类繁多，企业可根据自身情况进行选择。