扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
对运营商的业务系统进行访问的主机包括内部终端,以及外部第三方终端,这些终端在缺乏有效保护时,其自身的安全问题对网络的安全性带来极大挑战,终端上感染的病毒会通过网络大面积传播,并严重影响业务的连续性;此外网络管理人员也明确提出,不能在终端设备上安装代理软件,因此传统的终端安全管理解决方案无法适应该运营商的需求。
天融信针对此问题,提出了边界防护、认证、准入控制一体化的解决方案,通过整合多种技术,整合集中的管理工具,形成面向全业务访问过程的解决方案。
方案背景
作为承载网,各种不同应用的终端具有种类多、数量大、分散广等特点,在计算机终端广泛应用的同时,也产生了一些问题和困难。在运营上采用了域管理技术,实现对内、外部终端的认证与访问控制,但是技术作用在应用层,对网络层的攻击行为(比如蠕虫病毒、拒绝服务等)缺乏控制手段。
目前某运营商某业务网络的总体结构简化示意如下:
安全需求
目前,对用户终端没有完善的用户管理体系、计算机管理体系、接入控制体系和接入状态检测(补丁、病毒库版本),系统很容易被攻击,也存在潜在的病毒泛滥威胁。对外部第三方接入的终端缺乏有效的控制措施,导致不能从根本上解决终端的安全问题。
设计思路
针对某网络终端控制的需求,天融信提出了从终端到网络,到应用支撑的一系列安全技术,针对内部终端和外部第三方终端,采用多种技术的整合来保障安全;天融信将基于以策略为核心,形成一套覆盖全面,可靠稳定的安全准入系统,全面提升用户的安全接入能力,更好地支撑业务的开展;通过边界安全和安全准入技术的整合,形成纵深的防护能力,有效地规避用户边界安全和终端接入过程中面临的各类安全问题;通过安全准入网关管理中心,做到策略的集中下发与日志管理,以及对终端安全准入监控。
方案设计
实现全局安全防护策略。解决单独安全措施仅能解决单一问题的现状。通过将各类安全效措施整合起来,实现边界的安全过滤与终端准入控制结合来更有效的解决安全问题。
由于在网络平台终端上安装软件不符合运营商制度,因此传统的终端安全管理则无法适用,对此天融信特开发了通过ACTIVE控件来提升终端安全的办法。
本方案设计如下的技术整合方法:
从边界安全:通过安全准入网关在边界实现基本安全规则的过滤,病毒过滤,以及流量的监测,利用动态策略的技术优势,提升边界安安全,以及利用ByPass技术实现业务保障需要。
从终端状态可控:通过终端管理技术全面监管终端的安全状态,对于终端外设、接口、双网卡等进行策略监管。
从接入这身份可控:内部终端及外部第三方终端需要访问DCN内的业务资源时,同时结合AD域与边界准入网关,在身份认证后从网络层进行访问控制,即做到了身份可信,同时也做到了行为可信,同时也做到一次登录,全过程控制的效果; "业务优先"准则:通过边界准入网关设备的带宽管理策略,对关键业务分配更多的网络带宽资源,保障了重要业务的连续性;
策略集中管理:所有的安全准入网关均在同一的管理中心协调下,实现策略、事件的集中管理,提升总体安全管理的强度。
具体的安全系统配置示意如下:
方案效果
本方案针对运营商的业务网络平台的内、外部终端安全准入问题,在不安装终端程序的前提下,综合采用访问控制技术、IPS技术、防毒墙技术、终端管理技术,初步建立了多层次、立体式的安全准入防护体系。
解决单一安全措施无法对抵御安全风险。
解决现有信息化成果与安全措施整合问题。
解决终端非法接入网络问题。
解决非法终端穿越网络边界窃取资源问题。
解决终端风险影响业务服务问题。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者