【文章內(nèi)容簡(jiǎn)介】 用戶會(huì)有意無意的關(guān)閉或修改基于主機(jī)的安全系統(tǒng)。 員工將與其它網(wǎng)絡(luò)連接來開展業(yè)務(wù)，而這些外來網(wǎng)絡(luò)的安全級(jí)別完全未知。 員工可能會(huì)讓公司以外的人使用他們的移動(dòng)設(shè)備。 移動(dòng)用戶往往對(duì)他們的設(shè)備具有管理員權(quán)限，這就意味著他們可以安裝各種未經(jīng) 批準(zhǔn)的軟件。這些軟件常常屬于免費(fèi)軟件，可以從 Inter 上自由下載，很可能 帶有木馬或者間諜軟件。 移動(dòng)設(shè)備包含有公司信息，但可能沒有備份，增加了丟失公司有價(jià)值財(cái)產(chǎn)的風(fēng)險(xiǎn)。 移動(dòng)設(shè)備被盜的概率也要高出許多。 當(dāng)移動(dòng) 設(shè)備離開辦公室時(shí)，它們更容易感染病毒、木馬和蠕蟲。當(dāng)移動(dòng)用戶回來連接到公司網(wǎng)絡(luò)時(shí)，駐留在移動(dòng)設(shè)備里的感染和攻擊就會(huì)擴(kuò)散至公司網(wǎng)絡(luò)，感染其它曾被公司安全防御正常保護(hù)的系統(tǒng)。為了防止這種情況的發(fā)生， IT 專業(yè)人員必須重新設(shè)計(jì)它們的網(wǎng)絡(luò)，圍繞關(guān)鍵部門、服務(wù)器群和關(guān)鍵應(yīng)用系統(tǒng)提供更加安全的區(qū)域。建立安全資源的 ―孤島 ‖對(duì)于規(guī)范訪問權(quán)限和抑制威脅爆發(fā)是有效的手段。安全分區(qū)的常用工具包括訪問控制列表（ ACLs）、防火墻和認(rèn)證技術(shù)。 圖： CSO 的 Security Sensor VIII對(duì)于攻擊來 源的報(bào)告， 64%的安全威脅來自于企業(yè)內(nèi)部可信任用戶或合作伙伴。 增加基于網(wǎng)絡(luò)的安全 基于網(wǎng)絡(luò)的 ZXSEC US 產(chǎn)品能夠部署在現(xiàn)有的安全體系中來提高檢測(cè)率，并在有害流量進(jìn)入公司網(wǎng)絡(luò)之前進(jìn)行攔截。基于網(wǎng)絡(luò)的 ZXSEC US 產(chǎn)品在線（ ‖inline‖ ） 部 署 ， 阻 擋 攻 10 擊的能力要比傳統(tǒng)的依靠鏡像流量的 ―旁路式 ‖安全設(shè)備強(qiáng)得多?；诰W(wǎng)絡(luò)的ZXSEC US 產(chǎn)品包括防火墻、 VPN、入侵防御系統(tǒng)（ IPS）、防病毒網(wǎng)關(guān)、反垃圾郵件網(wǎng)關(guān)、 Web過濾等功能。 ZXSEC US 產(chǎn)品是將多種安全特性相結(jié)合的統(tǒng)一安全平臺(tái)。除了實(shí)時(shí)阻擋攻擊之外，基于網(wǎng)絡(luò)的安全還包括以下優(yōu)點(diǎn)： 減少維護(hù)成本。攻擊特征、病毒庫和探測(cè)引擎可以對(duì)單臺(tái)設(shè)備而不是上百臺(tái)主機(jī) 更新。 升級(jí)對(duì)于用戶、系統(tǒng)或者應(yīng)用來說是透明的，無需停機(jī)，更新可以實(shí)時(shí)進(jìn)行 —— 不像操作系統(tǒng)和應(yīng)用程序打補(bǔ)丁那樣需要重啟系統(tǒng)。 保護(hù)在基于網(wǎng)絡(luò)的安全設(shè)備后面的所有主機(jī)，因此減少了基于主機(jī)的病毒特征庫、 操作系統(tǒng)補(bǔ)丁和應(yīng)用程序補(bǔ)丁升級(jí)的急迫性，使 IT 專業(yè)人員在發(fā)生問題之前有較 充分的時(shí)間來測(cè)試補(bǔ)丁。 保持以前使用的設(shè)備、操作系統(tǒng)和應(yīng)用，無需將它們都升級(jí)到最新的版本。 在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)上阻擋攻擊，在惡意流量進(jìn)入公司網(wǎng)絡(luò)之前將其攔截。 不像基于主機(jī)的安全應(yīng)用那樣可能被最終用戶或惡意程序關(guān)閉。 可與已有的安全技術(shù)共存并互補(bǔ)。 ZXSEC US 產(chǎn)品的其 它優(yōu)點(diǎn)包括： 通過為多種安全功能提供一個(gè)統(tǒng)一的管理平臺(tái)，降低了設(shè)備的復(fù)雜性，加 快了安裝速度。 與購買和使用多個(gè)單一功能的單點(diǎn)安全系統(tǒng)相比，降低了總體擁有成本 （ TCO）。 下表描述了 IDC對(duì)于未來幾年具備多種安全功能的 UTM設(shè)備（包括 ZXSEC US產(chǎn)品）和單一功能安全設(shè)備發(fā)展預(yù)測(cè)的對(duì)比。 IDC 全球安全設(shè)備市場(chǎng)預(yù)測(cè)， 20202020（百萬美元） 11 來源： IDC, 2020 表： IDC 的 UTM增長(zhǎng)預(yù)測(cè) 隨著網(wǎng)絡(luò)安全對(duì)于消費(fèi)者和商家都同樣變得越來越重要， IDC 預(yù)測(cè)， UTM 設(shè)備的銷量將在未來幾年內(nèi)超過傳統(tǒng)防火墻 /VPN 安全設(shè)備。 12 第二章 ******需求分析 根據(jù)實(shí)際情況書寫，并附上網(wǎng)絡(luò)拓?fù)鋱D，此處略。 13 第三章 中興通訊網(wǎng)絡(luò)安全解決方案 根據(jù)對(duì)網(wǎng)絡(luò)安全現(xiàn)狀及用戶需求的分析，我們推薦中興通訊的網(wǎng)絡(luò)安全解決方案。 中興通訊的 ZXSEC US 安全平臺(tái)通過動(dòng)態(tài)威脅防御技術(shù)、高級(jí)啟發(fā)式異常掃描引擎提供了無與倫比的功能和檢測(cè)能力。中興通訊的 ZXSEC US 提供以下功能和好處： 集成關(guān)鍵安全組件的狀態(tài)檢測(cè)防火墻。 可實(shí)時(shí)更新病毒和攻擊特征的網(wǎng)關(guān)防病毒。 和 IPS預(yù)置 3500個(gè)以上的攻擊特征，并提供用戶定制特征的機(jī)制。 （目前支持 PPTP、 L2TP、 IPSec、 SSL VPN）。 反垃圾郵件具備多種用戶自定義的阻擋機(jī)制，包括黑白名單和實(shí)時(shí)黑名單（ RBL） 等。 內(nèi)容過濾具有用戶可定義的過濾器和全自動(dòng)的 USService過濾服務(wù)。 帶寬管理防止帶寬濫用。 用戶認(rèn)證，防止非授權(quán)的網(wǎng)絡(luò)訪問。 動(dòng)態(tài)威脅防御提供先進(jìn)的威脅關(guān)聯(lián)技術(shù)。 加速提供比基于 PC 工控機(jī)的安全方案高出 46倍的性能。 加固的操作系統(tǒng)，不含第三方組件，保證了物理上的安全。 完整的系列支持服務(wù)，包括日志和報(bào)告生成器、客戶端安全組件。 1 網(wǎng) 絡(luò)構(gòu)架 ZXSEC US 系列安全網(wǎng)關(guān)支持路由（ NAT）模式、透明模式和混合模式三種工作模式。可以很好的適應(yīng)各種網(wǎng)絡(luò)環(huán)境。 路由（ NAT）模式 如果需要用 ZXSEC US 連接不同 IP 地址段，則將 ZXSEC US 置于路由工作模式。 14 如上圖所示，內(nèi)網(wǎng)使用的是 ，而外網(wǎng)使用的是 段來連接 Inter。此時(shí)由于內(nèi)外網(wǎng)絡(luò)不在同一 IP 地址段，因此需將 ZXSEC US設(shè)置為路由模式。此時(shí) ZXSEC US 工作在第三層，相當(dāng)于一臺(tái)路由器，連接不同的 IP 地址段。使 。 在路由（ NAT）模式下， ZXSEC US 的每一個(gè)接口都有一個(gè) IP 地址，分別對(duì)應(yīng)不同的網(wǎng)段。 每個(gè)接口都支持不同的地址模式，既可 以是靜態(tài) IP，也可以通過 DHCP服務(wù)器獲得動(dòng)態(tài) IP，還能通過 PPPOE撥號(hào)獲取 IP 地址，可以很好的支持 LAN、 ADSL等多種網(wǎng)絡(luò)接入方式。 15 ZXSEC US 在路由模式下支持各種路由方法，包括靜 態(tài)路由、動(dòng)態(tài)路由（可以直接參與到 RIP、 OSPF、 BGP路由運(yùn)算中，而非僅僅讓動(dòng)態(tài)路由協(xié)議穿越）、策略路由（根據(jù)不同的源地址、目的地址、端口等確定下一條路由網(wǎng)關(guān)），可以滿足多種網(wǎng)絡(luò)環(huán)境的要求。 ZXSEC US 還可以很好的支持雙網(wǎng)關(guān)的網(wǎng)絡(luò)環(huán)境。如下圖所示，內(nèi)網(wǎng)使用 ISPISP2兩條鏈路接入 Inter。使用 ZXSEC US 可以實(shí)現(xiàn)兩條鏈路的冗余。通常情況下對(duì) Inter的訪問請(qǐng)求都通過帶寬較高的 ISP1鏈路進(jìn)行，當(dāng) ISP1鏈路出現(xiàn)故障中斷時(shí)， ZXSEC US 會(huì)自動(dòng)將所 有的訪問請(qǐng)求切換到 ISP2鏈路，保證網(wǎng)絡(luò)的不間斷運(yùn)行。 在路由（ NAT）模式下， ZXSEC US 可以實(shí)現(xiàn)雙向 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和 PAT（端 16 口轉(zhuǎn)換），包括 1： N、 N： N： N 的轉(zhuǎn)換。 NAT和 PAT可以很好的起到隱藏內(nèi)網(wǎng)結(jié)構(gòu)，節(jié)約 IP 地址資源的作用。 如下圖所示，內(nèi)網(wǎng)使用的是 ，無法直接在Inter上通信。通過 ZXSEC US 的 NAT/PAT功能，可以將內(nèi)網(wǎng)所有私有 IP 地址轉(zhuǎn)換為 ZXSEC US 外口的 IP 地址或其它地址池，實(shí)現(xiàn)共享上網(wǎng)的目的；還可以通過靜態(tài)地址映射或端口轉(zhuǎn)發(fā)的方式，將 ZXSEC US 外口的公網(wǎng) IP 地址或其他公網(wǎng) IP 地址映射到內(nèi)網(wǎng)的服務(wù)器上（如 的Web服務(wù)器），實(shí)現(xiàn)私有 IP 地址的服務(wù)器對(duì)外發(fā)布服務(wù)的功能。 透明（橋）模式 如果 ZXSEC US 內(nèi)、外網(wǎng)使用相同網(wǎng)段的 IP 地址，便無需 ZXSEC US 擔(dān)負(fù)路由的工作。此時(shí)可以將 ZXSEC US 置于透明模式， ZXSEC US 工作在第二層，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上相當(dāng)于一個(gè)交換機(jī)或者網(wǎng)橋。如下圖所示： 17 內(nèi)網(wǎng)已經(jīng)可以通過路由器的路由和 NAT功能連入 Inter，內(nèi)網(wǎng)所有計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)均指向路由器的內(nèi)口 ，此時(shí)只需加入安全網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)安全功能。為了盡可能的簡(jiǎn)化配置且不更改現(xiàn)有的網(wǎng)絡(luò)環(huán)境，一般情況下都推薦使用ZXSEC US 的透明模式。此時(shí) ZXSEC US 不像路由模式下需要給每個(gè)接口配置一個(gè)單獨(dú)的 IP 地址，只需直接插入到網(wǎng)絡(luò)鏈路中即可。內(nèi)外網(wǎng)用戶并不能感覺到這臺(tái)安全設(shè)備的