目前網(wǎng)絡(luò)安全的威脅越來越多的來自于內(nèi)網(wǎng)。這些威脅的來源有可能是某些內(nèi)部員工在發(fā)泄自己的不滿，但是更大的可能是，來自外部的攻擊者在利用內(nèi)部某些存在安全缺陷的計算機作為跳板，從而在網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊。而內(nèi)部用戶由于缺乏安全意識、沒有正確執(zhí)行安全規(guī)范或者其他原因，很容易在無意識中的成為外部攻擊者的跳板。因此，如何加強內(nèi)部安全控制已經(jīng)成為IT部門必須面對的問題。

對內(nèi)網(wǎng)進行安全控制最簡單的方法就是利用終端安全軟件對每臺網(wǎng)絡(luò)終端進行控制，但是這種模式會帶來終端系統(tǒng)的種種兼容性或者使用性問題，并由于個人隱私等方面的考慮可能受到系統(tǒng)終端用戶的抵制。因此，我們需要尋找一種非終端模式的內(nèi)網(wǎng)控制解決方案，它可以幫助IT部門對內(nèi)部網(wǎng)絡(luò)具有以下控制能力：

□ 基本的內(nèi)網(wǎng)訪問控制能力，在網(wǎng)絡(luò)層面實現(xiàn)對內(nèi)部用戶的訪問權(quán)限的控制。

□ 當(dāng)內(nèi)網(wǎng)病毒爆發(fā)時，對病毒源的快速定位，并在IP層對病毒傳播進行抑制。

□ 發(fā)現(xiàn)來自于內(nèi)網(wǎng)的攻擊行為，快速定位攻擊來源，并在IP層實現(xiàn)阻斷。

□ 發(fā)現(xiàn)并阻止非法接入行為，防止針對內(nèi)網(wǎng)的物理攻擊。

□ 對內(nèi)網(wǎng)用戶行為進行記錄和審計，提供合規(guī)性報告，滿足法規(guī)遵從的要求。

□ 提供性能平滑升級能力，在滿足目前的性能需求的同時，考慮到日后性能升級時的投資保護問題。

□ 統(tǒng)一的安全策略部署能力，簡化內(nèi)網(wǎng)安全策略的部署和配置管理難度。

典型組網(wǎng)

DPTech內(nèi)網(wǎng)控制解決方案是在充分考慮到了內(nèi)網(wǎng)控制所有的L2~7層安全威脅的基礎(chǔ)上，以杭州迪普科技有限公司的應(yīng)用防火墻、UAG產(chǎn)品和IPS產(chǎn)品為核心進行設(shè)計的。通過UAG的用戶認證功能提供了基于用戶的內(nèi)網(wǎng)訪問控制能力，并有效防止非法接入。通過IPS實現(xiàn)了對攻擊和病毒的定位和阻斷能力，同時配合第三方的網(wǎng)管IPS Manager可以通過發(fā)送SNMP trap使得支持此功能的交換機對問題用戶進行下線處理。并通過DPTech防火墻和IPS產(chǎn)品的虛擬化功能，實現(xiàn)不同安全區(qū)域的不同的安全策略。同時通過IPS Manager對內(nèi)網(wǎng)行為進行識別和記錄，并輔助生成合規(guī)性報告。

在部署方面，采用旁路部署DPTech防火墻和IPS陣列，以實現(xiàn)平滑的性能擴展能力。通過防火墻進行流量的牽引，使得在邏輯上，所有安全產(chǎn)品都是串接部署。通過統(tǒng)一策略下發(fā)實現(xiàn)數(shù)據(jù)中心統(tǒng)一安全策略部署。

特點與優(yōu)勢

■ 網(wǎng)絡(luò)級的性能

迪普相關(guān)產(chǎn)品基于APP-X硬件平臺，可以在吞吐量、并發(fā)、新建連接、延時等方面提供網(wǎng)絡(luò)級的性能。不會因為增加了新的設(shè)備而使得應(yīng)用的性能出現(xiàn)下降。

■ 網(wǎng)絡(luò)適應(yīng)性

迪普相關(guān)產(chǎn)品基于Conplat軟件平臺，提供了豐富的網(wǎng)絡(luò)適應(yīng)性，可以在IPv6、MPLS等復(fù)雜網(wǎng)絡(luò)環(huán)境下良好的工作。設(shè)備部署的時候，可不受網(wǎng)絡(luò)環(huán)境的限制，也不需要大面積調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。

■ 完善的L2～7安全保護

整個方案以DPtech防火墻和IPS產(chǎn)批為核心，提供了完善的L2～7層安全保護。

■ 非客戶端模式

方案采用非客戶端模式，不在網(wǎng)絡(luò)終端上部署任何軟件，降低了部署的難度和工作量。

■ 虛擬化安全部署，滿足數(shù)據(jù)中心虛擬化需求

通過DPtech防火墻和IPS的虛擬化功能，提供虛擬安全部署能力，實現(xiàn)分區(qū)域安全策略部署。

■ 旁路陣列式部署，性能平滑升級

方案所采用的旁路陣列部署方式，可以通過增加陣列中的設(shè)備數(shù)量來實現(xiàn)性能的平滑升級，滿足性能提升需求的同時，保護客戶投資。

■ 統(tǒng)一安全策略部署

DPtech產(chǎn)品的統(tǒng)一管理和策略部署能力，提供了簡便的統(tǒng)一安全策略部署方案。

■ 完善的高可靠性保障

DPtech防火墻和IPS都具有雙機熱備能力，提供完善的高可靠性保障。