科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换天融信整合打造运营商终端准入建设方案

天融信整合打造运营商终端准入建设方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对运营商的业务系统进行访问的主机包括内部终端,以及外部第三方终端,这些终端在缺乏有效保护时,其自身的安全问题对网络的安全性带来极大挑战,终端上感染的病毒会通过网络大面积传播,并严重影响业务的连续性;此外网络管理人员也明确提出,不能在终端设备上安装代理软件,因此传统的终端安全管理解决方案无法适应该运营商的需求。

作者:ZDNET网络频道 来源:ZDNET网络频道 2010年11月15日

关键字: 天融信 解决方案

  • 评论
  • 分享微博
  • 分享邮件

对运营商的业务系统进行访问的主机包括内部终端,以及外部第三方终端,这些终端在缺乏有效保护时,其自身的安全问题对网络的安全性带来极大挑战,终端上感染的病毒会通过网络大面积传播,并严重影响业务的连续性;此外网络管理人员也明确提出,不能在终端设备上安装代理软件,因此传统的终端安全管理解决方案无法适应该运营商的需求。

天融信针对此问题,提出了边界防护、认证、准入控制一体化的解决方案,通过整合多种技术,整合集中的管理工具,形成面向全业务访问过程的解决方案。

方案背景

作为承载网,各种不同应用的终端具有种类多、数量大、分散广等特点,在计算机终端广泛应用的同时,也产生了一些问题和困难。在运营上采用了域管理技术,实现对内、外部终端的认证与访问控制,但是技术作用在应用层,对网络层的攻击行为(比如蠕虫病毒、拒绝服务等)缺乏控制手段。

目前某运营商某业务网络的总体结构简化示意如下:

天融信整合打造运营商终端准入建设方案 

安全需求

目前,对用户终端没有完善的用户管理体系、计算机管理体系、接入控制体系和接入状态检测(补丁、病毒库版本),系统很容易被攻击,也存在潜在的病毒泛滥威胁。对外部第三方接入的终端缺乏有效的控制措施,导致不能从根本上解决终端的安全问题。

设计思路

针对某网络终端控制的需求,天融信提出了从终端到网络,到应用支撑的一系列安全技术,针对内部终端和外部第三方终端,采用多种技术的整合来保障安全;天融信将基于以策略为核心,形成一套覆盖全面,可靠稳定的安全准入系统,全面提升用户的安全接入能力,更好地支撑业务的开展;通过边界安全和安全准入技术的整合,形成纵深的防护能力,有效地规避用户边界安全和终端接入过程中面临的各类安全问题;通过安全准入网关管理中心,做到策略的集中下发与日志管理,以及对终端安全准入监控。

方案设计

实现全局安全防护策略。解决单独安全措施仅能解决单一问题的现状。通过将各类安全效措施整合起来,实现边界的安全过滤与终端准入控制结合来更有效的解决安全问题。

由于在网络平台终端上安装软件不符合运营商制度,因此传统的终端安全管理则无法适用,对此天融信特开发了通过ACTIVE控件来提升终端安全的办法。

本方案设计如下的技术整合方法:

从边界安全:通过安全准入网关在边界实现基本安全规则的过滤,病毒过滤,以及流量的监测,利用动态策略的技术优势,提升边界安安全,以及利用ByPass技术实现业务保障需要。

从终端状态可控:通过终端管理技术全面监管终端的安全状态,对于终端外设、接口、双网卡等进行策略监管。

从接入这身份可控:内部终端及外部第三方终端需要访问DCN内的业务资源时,同时结合AD域与边界准入网关,在身份认证后从网络层进行访问控制,即做到了身份可信,同时也做到了行为可信,同时也做到一次登录,全过程控制的效果; "业务优先"准则:通过边界准入网关设备的带宽管理策略,对关键业务分配更多的网络带宽资源,保障了重要业务的连续性;

策略集中管理:所有的安全准入网关均在同一的管理中心协调下,实现策略、事件的集中管理,提升总体安全管理的强度。

具体的安全系统配置示意如下:

天融信整合打造运营商终端准入建设方案 

方案效果

本方案针对运营商的业务网络平台的内、外部终端安全准入问题,在不安装终端程序的前提下,综合采用访问控制技术、IPS技术、防毒墙技术、终端管理技术,初步建立了多层次、立体式的安全准入防护体系。

解决单一安全措施无法对抵御安全风险。

解决现有信息化成果与安全措施整合问题。

解决终端非法接入网络问题。

解决非法终端穿越网络边界窃取资源问题。

解决终端风险影响业务服务问题。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章