AngellPRO防火墙企业级解决方案

1、AngellPRO防火墙企业级解决方案企业网络安全解决方案 企业网的建设成功为企业信息化打下了基础，为企业的生产经营的开展提供了高效的信息传输手段。在网络信息资源日益丰富的同时，对信息的安全保密性提出了更高的要求。由于历史和技术等原因，在企业网的建设中，比较少或基本上没有考虑安全等因素。在安全性方面，比较突出的表现在以下几个方面：身份认证和资源访问控制、数据的安全传输、邮件的加解密和一些特殊的安全防范等问题。 一 企业网络安全解决思路 设计、服服务提供供依据采采用 PP2DRR 模型型。 通通过信息息安全表表述模型型 P 22 DRR 模型型的分析析，我们们可以对对需要建建设的整整体解决决方案

2、有有一个完完整的概概念。确确定 PPoliicy 策略、 Prroteectiion 防护、 Deetecctioon 检检测和 Ressponnse 响应四四个方面面的安全全需求。 P 2 DDR 模模型阐述述了一个个提供 7224 不不间断安安全管理理和保障障的产品品和服务务的全部部综合套套件以及及全面安安全解决决方案。 P 2 DR 方案是是一个超超前的安安全模型型。它的的指导思思想比传传统安全全方案 ( 传传统安全全在本质质上是静静态的，如防火火墙和加加固验证证等 ) 有突突破性提提高。 Poliicy 策略、 Prroteectiion 防护、 Deetecctioon 检检测和 R

3、essponnse 响应组组成的完完整模型型体系，可以描描述和解解释任何何信息安安全问题题。 PP2DRR 安全全模型的的特点就就是动态态性和基基于时间间的特性性，可以以说对信信息安全全的“相相对性”给予了了更好地地描述：虽然没没有 1100% 的安安全，但但是模型型为进一一步解决决信息安安全技术术问题提提供了有有益的方方法和方方向。 由 P 2 DDR 的的数学模模型我们们得到结结论：安安全的目目标实际际上就是是尽可能能的增大大保护时时间，尽尽量减少少检测时时间和响响应时间间。 按照 PP 2 DR 模型，信息安安全方案案可以最最大限度度地保护护信息不不受诸多多威胁的的侵犯，目的是是确保商商

4、务连续续性，将将商务损损失和风风险降低低到最小小程度，将投资资回报和和商业机机会提高高到最大大程度。 PPoliicy （安全全策略 ） 由于安全全策略是是 P 2 DDR 安安全模型型的核心心，所以以要想实实施动态态网络安安全模型型，必须须首先制制定企业业的安全全策略，所有的的防护、检测、响应都都是依据据安全策策略实施施的，企企业安全全策略为为安全管管理提供供管理方方向和支支持手段段。 对于一个个策略体体系的建建立包括括：安全全策略的的制订、安全策策略的评评估、安安全策略略的执行行等。 PProttecttionn （保保护） 保护通常常是通过过采用一一些传统统的静态态安全技技术及方方法来实

5、实现的，主要有有防火墙墙、加密密、认证证等方法法。通过过防火墙墙监视限限制进出出网络的的数据包包，可以以防范外外对内及及内对外外的非法法访问，提高了了网络的的防护能能力，当当然需要要根据安安全策略略制定合合理的防防火墙策策略；也也可以利利用 SSecuureIID 这这种一次次性口令令的方法法来增加加系统的的安全性性等等。 DDeteectiion （检测测） 在 P 2 DDR 模模型，检检测是非非常重要要的一个个环节，检测是是动态响响应的依依据，它它也是强强制落实实安全策策略的有有力工具具，通过过不断地地检测和和监控网网络和系系统，来来发现新新的威胁胁和弱点点，通过过循环反反馈来及及时作出

6、出有效的的响应。 在我们采采用了一一系列静静态安全全措施后后，比如如设置了了防火墙墙、进行行身份验验证、采采用了加加密算法法等等，我们是是否就能能认为我我们的网网络是安安全的呢呢？应该该如何来来评估网网络的安安全性？实际上上网络的的安全风风险是实实时存在在的，所所以我们们检测的的对象应应该主要要针对构构成安全全风险的的两个部部分：系系统自身身的脆弱弱性及外外部威胁胁。检测测的内容容主要包包括网络络和系统统漏洞扫扫描、入入侵检测测以及病病毒扫描描等等。 RRespponsse （响应） 紧急响应应在安全全系统中中占有最最重要得得地位，是解决决安全潜潜在性最最有效的的办法。在检测测到安全全漏洞和和

7、安全事事件之后后必须及及时做出出正确的的响应，从而把把系统调调整到安安全状态态。从某某种意义义上讲，安全问问题就是是要解决决紧急响响应和异异常处理理问题。要解决决好紧急急响应问问题，就就要制订订好紧急急响应的的方案，做好紧紧急响应应方案中中的一切切准备工工作。 二 安全全系统设设计模型型 安全建设设过程是是一个系系统化过过程。因因此，安安全建设设的初期期考虑中中必须站站在全局局，而不不是局部部的角度度来设计计组织的的安全规规划。 按照 IISO1177999 的的标准，我们可可以将其其浓缩为为以下图图示。该该标准涉涉及了安安全建设设中需要要考虑的的各个方方面，对对组织的的安全建建设具有有非常全

8、全面的指指导作用用。 安全建设设参考模模型 以上模型型中所包包含的概概念如下下： 物物理和环环境安全全：物理理和环境境安全是是保护计计算机设设备、设设施以及及其它媒媒体免遭遭地震、水灾、火灾等等环境事事故以及及人为破破坏所造造成损失失的过程程和规范范。 链链路和操操作安全全：链路路安全主主要解决决网络系系统中，链路级级点对点点公用信信道上的的安全。操作安安全主要要解决人人为操作作失误所所造成的的损失。 网网络安全全：网络络安全只只要面对对信息传传输过程程中由于于传输协协议、网网络设备备配置、传输加加密等引引起的安安全问题题。 设设备安全全：设备备安全主主要解决决由于自自然磨损损、疲劳劳失效等等

9、引起的的设备老老化、介介质损坏坏等问题题。 应应用安全全：应用用安全主主要解决决应用系系统的安安全问题题，这些些问题主主要是应应用系统统本身的的程序设设计问题题造成或或者由于于应用系系统引发发的其他他问题。 数数据安全全：数据据是企业业存在和和发展的的基础。数据安安全主要要解决数数据在存存储和传传输过程程中的安安全问题题。 系系统安全全：系统统安全主主要解决决操作系系统的安安全问题题。 人人员安全全：人员员安全主主要解决决由于内内部人员员的离职职、无意意泄漏、警惕性性降低、水平不不足或者者故意报报复等造造成的损损失。 安安全策略略和管理理：安全全策略和和管理是是组织根根据自身身的业务务和安全全

10、需求制制定的用用于为信信息安全全提供管管理方向向和支持持手段的的指导性性规范。 安安全服务务：安全全服务是是组织的的 ITT 部门门或者专专业的安安全服务务提供者者提供给给组织的的安全培培训、响响应、指指导、分分析等工工作。 标标准：标标准是组组织实现现任何 IT 建设、安全保保障等必必须遵循循的国家家级或国国际化的的规范。 尽管我们们在具体体实现的的时候，会针对对不同情情况对以以上的方方面有所所侧重。但是，安全建建设参考考模型的的建立将将帮助组组织更加加全面地地考虑自自己所需需要面对对的安全全问题。 三 企业业网安全全实现目目标 技术先进进性和成成熟性 设计立足足先进技技术，相相对成熟熟可靠

11、，符合网网络发展展的方向向，以适适应大量量数据传传输以及及多媒体体信息的的传输。以适应应未来网网络技术术的发展展。 系统可靠靠性和稳稳定性 网络大量量传输的的是重要要的数据据，企业业网的安安全建设设结果应应严格注注意如何何保证网网络系统统的可靠靠性和运运行的稳稳定性，其中包包括： 网络结构构的可靠靠性和稳稳定性。 在网络拓拓扑结构构的设计计上，力力求简洁洁，符合合网络发发展的方方向。 设备的高高可靠 选用的网网络设备备应具有有很好的的容错特特性及热热备份能能力等。 网络系统统与应用用系统接接口的可可靠性。 选用的网网络系统统的接口口与应用用系统接接口兼容容并可靠靠。 选用的网网络设备备必须符符合国际际标准。 系统的开开放和互互联 在网络设设计过程程考虑到到与其它它系统或或网络的的互联，因此，网络系系统应支支持多协协议、兼兼容各种种拓扑结结构、互互连性好好，只有有这样才才能够实实现与现现有的和和未来的的网络系系统互联联。 易于管理理 在整个网网络中，连入网网络的网网络设备备和终端端设备多多、分布布广、网网络运行行情况复复杂，网网络设备备应该具