目前網絡安全的威脅越來越多的來自于內網。這些威脅的來源有可能是某些內部員工在發泄自己的不滿，但是更大的可能是，來自外部的攻擊者在利用內部某些存在安全缺陷的計算機作為跳板，從而在網絡內部發起的攻擊。而內部用戶由于缺乏安全意識、沒有正確執行安全規范或者其他原因，很容易在無意識中的成為外部攻擊者的跳板。因此，如何加強內部安全控制已經成為IT部門必須面對的問題。

對內網進行安全控制最簡單的方法就是利用終端安全軟件對每臺網絡終端進行控制，但是這種模式會帶來終端系統的種種兼容性或者使用性問題，并由于個人隱私等方面的考慮可能受到系統終端用戶的抵制。因此，我們需要尋找一種非終端模式的內網控制解決方案，它可以幫助IT部門對內部網絡具有以下控制能力：

□ 基本的內網訪問控制能力，在網絡層面實現對內部用戶的訪問權限的控制。

□ 當內網病毒爆發時，對病毒源的快速定位，并在IP層對病毒傳播進行抑制。

□ 發現來自于內網的攻擊行為，快速定位攻擊來源，并在IP層實現阻斷。

□ 發現并阻止非法接入行為，防止針對內網的物理攻擊。

□ 對內網用戶行為進行記錄和審計，提供合規性報告，滿足法規遵從的要求。

□ 提供性能平滑升級能力，在滿足目前的性能需求的同時，考慮到日后性能升級時的投資保護問題。

□ 統一的安全策略部署能力，簡化內網安全策略的部署和配置管理難度。

典型組網

DPTech內網控制解決方案是在充分考慮到了內網控制所有的L2~7層安全威脅的基礎上，以杭州迪普科技有限公司的應用防火墻、UAG產品和IPS產品為核心進行設計的。通過UAG的用戶認證功能提供了基于用戶的內網訪問控制能力，并有效防止非法接入。通過IPS實現了對攻擊和病毒的定位和阻斷能力，同時配合第三方的網管IPS Manager可以通過發送SNMP trap使得支持此功能的交換機對問題用戶進行下線處理。并通過DPTech防火墻和IPS產品的虛擬化功能，實現不同安全區域的不同的安全策略。同時通過IPS Manager對內網行為進行識別和記錄，并輔助生成合規性報告。

在部署方面，采用旁路部署DPTech防火墻和IPS陣列，以實現平滑的性能擴展能力。通過防火墻進行流量的牽引，使得在邏輯上，所有安全產品都是串接部署。通過統一策略下發實現數據中心統一安全策略部署。

特點與優勢

■ 網絡級的性能

迪普相關產品基于APP-X硬件平臺，可以在吞吐量、并發、新建連接、延時等方面提供網絡級的性能。不會因為增加了新的設備而使得應用的性能出現下降。

■ 網絡適應性

迪普相關產品基于Conplat軟件平臺，提供了豐富的網絡適應性，可以在IPv6、MPLS等復雜網絡環境下良好的工作。設備部署的時候，可不受網絡環境的限制，也不需要大面積調整網絡結構。

■ 完善的L2～7安全保護

整個方案以DPtech防火墻和IPS產批為核心，提供了完善的L2～7層安全保護。

■ 非客戶端模式

方案采用非客戶端模式，不在網絡終端上部署任何軟件，降低了部署的難度和工作量。

■ 虛擬化安全部署，滿足數據中心虛擬化需求

通過DPtech防火墻和IPS的虛擬化功能，提供虛擬安全部署能力，實現分區域安全策略部署。

■ 旁路陣列式部署，性能平滑升級

方案所采用的旁路陣列部署方式，可以通過增加陣列中的設備數量來實現性能的平滑升級，滿足性能提升需求的同時，保護客戶投資。

■ 統一安全策略部署

DPtech產品的統一管理和策略部署能力，提供了簡便的統一安全策略部署方案。

■ 完善的高可靠性保障

DPtech防火墻和IPS都具有雙機熱備能力，提供完善的高可靠性保障。