目前網(wǎng)絡(luò)安全的威脅越來(lái)越多的來(lái)自于內(nèi)網(wǎng)。這些威脅的來(lái)源有可能是某些內(nèi)部員工在發(fā)泄自己的不滿，但是更大的可能是，來(lái)自外部的攻擊者在利用內(nèi)部某些存在安全缺陷的計(jì)算機(jī)作為跳板，從而在網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊。而內(nèi)部用戶由于缺乏安全意識(shí)、沒有正確執(zhí)行安全規(guī)范或者其他原因，很容易在無(wú)意識(shí)中的成為外部攻擊者的跳板。因此，如何加強(qiáng)內(nèi)部安全控制已經(jīng)成為IT部門必須面對(duì)的問題。

對(duì)內(nèi)網(wǎng)進(jìn)行安全控制最簡(jiǎn)單的方法就是利用終端安全軟件對(duì)每臺(tái)網(wǎng)絡(luò)終端進(jìn)行控制，但是這種模式會(huì)帶來(lái)終端系統(tǒng)的種種兼容性或者使用性問題，并由于個(gè)人隱私等方面的考慮可能受到系統(tǒng)終端用戶的抵制。因此，我們需要尋找一種非終端模式的內(nèi)網(wǎng)控制解決方案，它可以幫助IT部門對(duì)內(nèi)部網(wǎng)絡(luò)具有以下控制能力：

□ 基本的內(nèi)網(wǎng)訪問控制能力，在網(wǎng)絡(luò)層面實(shí)現(xiàn)對(duì)內(nèi)部用戶的訪問權(quán)限的控制。

□ 當(dāng)內(nèi)網(wǎng)病毒爆發(fā)時(shí)，對(duì)病毒源的快速定位，并在IP層對(duì)病毒傳播進(jìn)行抑制。

□ 發(fā)現(xiàn)來(lái)自于內(nèi)網(wǎng)的攻擊行為，快速定位攻擊來(lái)源，并在IP層實(shí)現(xiàn)阻斷。

□ 發(fā)現(xiàn)并阻止非法接入行為，防止針對(duì)內(nèi)網(wǎng)的物理攻擊。

□ 對(duì)內(nèi)網(wǎng)用戶行為進(jìn)行記錄和審計(jì)，提供合規(guī)性報(bào)告，滿足法規(guī)遵從的要求。

□ 提供性能平滑升級(jí)能力，在滿足目前的性能需求的同時(shí)，考慮到日后性能升級(jí)時(shí)的投資保護(hù)問題。

□ 統(tǒng)一的安全策略部署能力，簡(jiǎn)化內(nèi)網(wǎng)安全策略的部署和配置管理難度。

典型組網(wǎng)

DPTech內(nèi)網(wǎng)控制解決方案是在充分考慮到了內(nèi)網(wǎng)控制所有的L2~7層安全威脅的基礎(chǔ)上，以杭州迪普科技有限公司的應(yīng)用防火墻、UAG產(chǎn)品和IPS產(chǎn)品為核心進(jìn)行設(shè)計(jì)的。通過UAG的用戶認(rèn)證功能提供了基于用戶的內(nèi)網(wǎng)訪問控制能力，并有效防止非法接入。通過IPS實(shí)現(xiàn)了對(duì)攻擊和病毒的定位和阻斷能力，同時(shí)配合第三方的網(wǎng)管IPS Manager可以通過發(fā)送SNMP trap使得支持此功能的交換機(jī)對(duì)問題用戶進(jìn)行下線處理。并通過DPTech防火墻和IPS產(chǎn)品的虛擬化功能，實(shí)現(xiàn)不同安全區(qū)域的不同的安全策略。同時(shí)通過IPS Manager對(duì)內(nèi)網(wǎng)行為進(jìn)行識(shí)別和記錄，并輔助生成合規(guī)性報(bào)告。

在部署方面，采用旁路部署DPTech防火墻和IPS陣列，以實(shí)現(xiàn)平滑的性能擴(kuò)展能力。通過防火墻進(jìn)行流量的牽引，使得在邏輯上，所有安全產(chǎn)品都是串接部署。通過統(tǒng)一策略下發(fā)實(shí)現(xiàn)數(shù)據(jù)中心統(tǒng)一安全策略部署。

特點(diǎn)與優(yōu)勢(shì)

■ 網(wǎng)絡(luò)級(jí)的性能

迪普相關(guān)產(chǎn)品基于APP-X硬件平臺(tái)，可以在吞吐量、并發(fā)、新建連接、延時(shí)等方面提供網(wǎng)絡(luò)級(jí)的性能。不會(huì)因?yàn)樵黾恿诵碌脑O(shè)備而使得應(yīng)用的性能出現(xiàn)下降。

■ 網(wǎng)絡(luò)適應(yīng)性

迪普相關(guān)產(chǎn)品基于Conplat軟件平臺(tái)，提供了豐富的網(wǎng)絡(luò)適應(yīng)性，可以在IPv6、MPLS等復(fù)雜網(wǎng)絡(luò)環(huán)境下良好的工作。設(shè)備部署的時(shí)候，可不受網(wǎng)絡(luò)環(huán)境的限制，也不需要大面積調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。

■ 完善的L2～7安全保護(hù)

整個(gè)方案以DPtech防火墻和IPS產(chǎn)批為核心，提供了完善的L2～7層安全保護(hù)。

■ 非客戶端模式

方案采用非客戶端模式，不在網(wǎng)絡(luò)終端上部署任何軟件，降低了部署的難度和工作量。

■ 虛擬化安全部署，滿足數(shù)據(jù)中心虛擬化需求

通過DPtech防火墻和IPS的虛擬化功能，提供虛擬安全部署能力，實(shí)現(xiàn)分區(qū)域安全策略部署。

■ 旁路陣列式部署，性能平滑升級(jí)

方案所采用的旁路陣列部署方式，可以通過增加陣列中的設(shè)備數(shù)量來(lái)實(shí)現(xiàn)性能的平滑升級(jí)，滿足性能提升需求的同時(shí)，保護(hù)客戶投資。

■ 統(tǒng)一安全策略部署

DPtech產(chǎn)品的統(tǒng)一管理和策略部署能力，提供了簡(jiǎn)便的統(tǒng)一安全策略部署方案。

■ 完善的高可靠性保障

DPtech防火墻和IPS都具有雙機(jī)熱備能力，提供完善的高可靠性保障。