天融信整合打造運營商終端準入建設方案
對運營商的業務系統進行訪問的主機包括內部終端,以及外部第三方終端,這些終端在缺乏有效保護時,其自身的安全問題對網絡的安全性帶來極大挑戰,終端上感染的病毒會通過網絡大面積傳播,并嚴重影響業務的連續性;此外網絡管理人員也明確提出,不能在終端設備上安裝代理軟件,因此傳統的終端安全管理解決方案無法適應該運營商的需求。
天融信針對此問題,提出了邊界防護、認證、準入控制一體化的解決方案,通過整合多種技術,整合集中的管理工具,形成面向全業務訪問過程的解決方案。
方案背景
作為承載網,各種不同應用的終端具有種類多、數量大、分散廣等特點,在計算機終端廣泛應用的同時,也產生了一些問題和困難。在運營上采用了域管理技術,實現對內、外部終端的認證與訪問控制,但是技術作用在應用層,對網絡層的攻擊行為(比如蠕蟲病毒、拒絕服務等)缺乏控制手段。
目前某運營商某業務網絡的總體結構簡化示意如下:
安全需求
目前,對用戶終端沒有完善的用戶管理體系、計算機管理體系、接入控制體系和接入狀態檢測(補丁、病毒庫版本),系統很容易被攻擊,也存在潛在的病毒泛濫威脅。對外部第三方接入的終端缺乏有效的控制措施,導致不能從根本上解決終端的安全問題。
設計思路
針對某網絡終端控制的需求,天融信提出了從終端到網絡,到應用支撐的一系列安全技術,針對內部終端和外部第三方終端,采用多種技術的整合來保障安全;天融信將基于以策略為核心,形成一套覆蓋全面,可靠穩定的安全準入系統,全面提升用戶的安全接入能力,更好地支撐業務的開展;通過邊界安全和安全準入技術的整合,形成縱深的防護能力,有效地規避用戶邊界安全和終端接入過程中面臨的各類安全問題;通過安全準入網關管理中心,做到策略的集中下發與日志管理,以及對終端安全準入監控。
方案設計
實現全局安全防護策略。解決單獨安全措施僅能解決單一問題的現狀。通過將各類安全效措施整合起來,實現邊界的安全過濾與終端準入控制結合來更有效的解決安全問題。
由于在網絡平臺終端上安裝軟件不符合運營商制度,因此傳統的終端安全管理則無法適用,對此天融信特開發了通過ACTIVE控件來提升終端安全的辦法。
本方案設計如下的技術整合方法:
從邊界安全:通過安全準入網關在邊界實現基本安全規則的過濾,病毒過濾,以及流量的監測,利用動態策略的技術優勢,提升邊界安安全,以及利用ByPass技術實現業務保障需要。
從終端狀態可控:通過終端管理技術全面監管終端的安全狀態,對于終端外設、接口、雙網卡等進行策略監管。
從接入這身份可控:內部終端及外部第三方終端需要訪問DCN內的業務資源時,同時結合AD域與邊界準入網關,在身份認證后從網絡層進行訪問控制,即做到了身份可信,同時也做到了行為可信,同時也做到一次登錄,全過程控制的效果; "業務優先"準則:通過邊界準入網關設備的帶寬管理策略,對關鍵業務分配更多的網絡帶寬資源,保障了重要業務的連續性;
策略集中管理:所有的安全準入網關均在同一的管理中心協調下,實現策略、事件的集中管理,提升總體安全管理的強度。
具體的安全系統配置示意如下:
方案效果
本方案針對運營商的業務網絡平臺的內、外部終端安全準入問題,在不安裝終端程序的前提下,綜合采用訪問控制技術、IPS技術、防毒墻技術、終端管理技術,初步建立了多層次、立體式的安全準入防護體系。
解決單一安全措施無法對抵御安全風險。
解決現有信息化成果與安全措施整合問題。
解決終端非法接入網絡問題。
解決非法終端穿越網絡邊界竊取資源問題。
解決終端風險影響業務服務問題。
【編輯推薦】
