用户名: 密码: 登录 | 邮箱入口
【HT】新闻公告 应用服务维护通知:2022年11/10晚18时至2022年11/11日早上6时,公司对外提供的所有网络服务进行设备维护。 2022-11-10 紧急告知:因配合疫情防控需要,公司办公场地或工作人员居住地存在封闭管控的可能,公司近期技术支持电话有可能存在无人接听的情况;有需要支持的可拨打15800947025、13916003523 2021-07-28 关于财政用户升级政务外网加密客户端通知 2021-07-28 华堂产品荣获信息安全产品认证证书 2021-07-28 华堂公司受邀参加“商用密码产品成果展” 2021-07-28 SSL VPN安全网关首家通过国密局认证 2021-07-28 VPN隧道内安全防范 2021-07-28
     
您现在的位置:首页 >> 成功案例 返回上一页  
【HT】案例目录
【HT】客户名录
【HT】客户鉴定
 
 
典型案例    
某市红十字血液中心网络安全解决方案

某市红十字血液中心网络安全解决方案

用户网络拓扑                                                  

   
    1、整个网络为典型的节点型网络;
    2、某市红十字血液中心网络内部主要由中心交换机和楼层交换机构建而成,结构相对简单,中心交换机上连接的数据、WEB等服务器需要保护,其中数据服务器的安全性尤为重要;
    3、网络应用主要以web、mail和OA系统为主。
    4、部分外出办公的人员,通过VPN方式通过互联网访问内部的OA系统和web、邮件服务。


用户网络特点                                                  

    成本限制比较严格,需要最少的投资来做最多的事情。
    对于一般用户来说,网络建设属于基础建设,属于提供服务的部门,不是用户的盈利部门,因此在网络建设中成本控制尤为重要。因此要求多种功能集成在同一个网关设备上,路由器、流量整形、防火墙、VPN、IDS/IDP、防病毒、内容过滤、应用控制等等。
    网络结构简单,用多个VLAN来在同一个物理网络上来隔离不同的组织机构。
很多中小用户部门之间通过VLAN进行划分,但因为成本的原因,部分用户内部没有三层交换机,因此要求网关设备可以作VLAN之间的路由、访问控制工作。
    用户自己的HTTP、Mail服务器,经常受到攻击。大多数用户都有自己的HTTP、Mail服务器,对外提供服务,因为这些服务器是面向Internet提供服务的,而这些服务器的操作系统为 windows或者Linux,会有很多漏洞,因此经常受到黑客攻击和病毒侵扰,如果保证这些服务器的安全性,是网管比较头痛的问题。
    很多用户在不同地方设有分支机构,需要进行生产数据交换。
    现在很多用户都不只一个办公场所,而是有总部、分公司、办事处、工厂、仓库等多个业务点,各个业务点之间经常要进行生产数据交换,因此需要在各个业务点之间建立穿越Internet的隧道,因此网关设备需要具备VPN功能。

需求分析                                                     

    用户的IT管理者们对于上网行为的管理有如下需求:
    ★ 上班时间聊天等。随着IM软件的流行,工作时间聊天和聊天中泄密等问题给管理带来了严峻的挑战。
    ★ 带宽资源滥用。BT、电骡、QQLive等严重占用带宽,导致其他同事、领导等抱怨网速较慢。
    ★ 病毒攻击泛滥,虽然已经要求部署某杀毒软件,但仍时常爆发病毒,尤其ARP欺骗导致整网段用户断网,DOS攻击甚至拖垮了出口网关。
    ★ 行为记录缺失,内网用户的网络访问行为无日志记录,无法审计,一旦发生访问反动网站、发表反动言论事件,将无据可查,给单位和领导带来不必要的压力和损失。
  
  用户的IT管理者们对于内网网络和信息安全监控需求:
    ★ 主流的安全产品如防火墙、入侵检测、防病毒软件等都是从某一局部去解决安全问题,相互之间是独立、分散管理的,这种状况不仅增加了管理成本和难度,而且无法对安全问题、安全隐患进行综合分析,不符合安全整体架构思想,无法为用户提供动态、全局的安全状态分析。
    ★ 用户总部和用户分部的OA系统和数据库及内网文件交换要做到高强度加密传输;
    ★ 加强对web、mail和OA系统的访问控制,确保只有授权用户才能访问;
    ★ 下属机关通过互联网访问用户总部提供的OA系统时,需要进行数据加密,防止信息泄漏。通过加密方式,可以保证OA资料的安全传输,且采用的加密方法需要快速稳定,部署方便,维护量小。同时系统提供所有访问的详细记录,并且实现访问控制的颗粒度细化。
    ★ 部分外出办公的人员,通过拨号或者其他方式通过互联网访问内部的OA系统时,也需要进行数据加密,防止信息泄漏。

华堂解决方案                                                  

    随着网络应用的发展,用户面临的安全威胁不仅仅来自于网络层,更多的是应用层的威胁(如病毒、黑客基于应用层攻击、内部员工通过BT下载、员工浏览不良Web内容、员工在上班时间玩游戏、聊天等降低生产力)。网络安全的需求也在发生变化,用户需要能够防御混合型威胁的安全设备。
    传统的基于专用设备的安全解决方案对上述威胁难以应付,简单地将这些防火墙、防病毒网关、VPN网关堆叠在一起,已经无法满足用户需要。只有将各种安全防护功能整合到一个平台上,融为一体,进行统一管理,才能彻底解决用户网络的安全问题。上海华堂网络有限公司最新推出的UTM(统一威胁管理)网关产品华堂网络安全防御系统-UTM是满足该类用户需求的理想解决方案。
    华堂UTM系列产品正是在如此复杂多变的恶意攻击和网络应用下孕育而生的,该产品将防火墙、VPN、入侵检测、防病毒、内容过滤和应用控制等功能结合于一体,提供从物理层到应用层7层安全防护的产品。

    华堂网络安全防御系统-UTM可简单地安装在网关处,即可保护最多的应用。充分发挥上网行为管理、防火墙、VPN、内容过滤、防病毒、防垃圾邮件、等多种功能结合使用的优势,对用户网络安全实现全方位的立体防御。

改建后的网络拓扑                                                                                           

   

网络架构说明                                                 

    某市红十字血液中心网络中计算机较多,使用了各种不同操作系统,其网络出口带宽在100M左右,在其下辖的几个分部网络中,网络出口带宽在10M左右。在网络运行的过程中发现病毒情况严重,主要来源于Internet网,很多是通过邮件进行传播。另外,由于网络用户经常上网浏览很多站点,包括一些安全性较差的网站,并下载很多恶意代码或软件,因此,通过HTTP和FTP感染病毒的情况也时有发生。鉴于其实际情况,华堂公司为其提供了网络安全解决方案华堂可控网络安全解决方案:
    ◆在用户总部网络的出口部署一台HT- UG08Q,在分部出口各部署一台HT-UG06Q,对这些设备可进行集中管理。
    ◆选用一台服务器作为策略管理服务器。部署华堂内网安全防御系统配置分发不同安全策略,对终端进行统一监控和管理。
    ◆在用户的电脑终端上部署客户端程序。通过服务端对全网进行网络客户端的各种策略下发、违规联网监控、入网设备状况监控、终端软硬件管理等工作,并对客户端进行各种行为和状态的监控。网络终端上的客户端程序可将各种网络终端的状态信息、日志信息和报警信息上报,可通过与防火墙的联动对异常计算机进行断网等处理,也可通过系统远程对客户端进行故障诊断和维护。
    ◆选用一台服务器作为病毒服务器。部署赛门铁克防病毒软件实时监控病毒来源,保证主机安全。

部署后可以实现                                                

    总体来说,通过华堂UTM、华堂内网安全防御系统、赛门铁克防病毒软件的部署,提高如下安全功能:

防火墙:
    通过防火墙组件,提供强大的抵御DOS/DDOS功能和访问控制功能;通过接口、IP地址、协议、端口、时间、用户等参数对数据包进行过滤,提供网络安全的第一层保障。

流量控制:
    通过华堂UTM专业的带宽管理功能,对用户的网络进行流量整形,例如:对用户生产数据和ERP数据等业务性非常强服务进行带宽保证、对于 员工浏览网页、FTP下载等非生产数据进行带宽限制、对非重要部门的每一个员工进行带宽控制、以及通过VPN传输数据的带宽管理等。

入侵防御:
    为了达到对服务器最佳保护,华堂UTM可以针对服务器同时开启过滤规则。当数据包 进入UTM设备,首先经过入侵检查,可以确定100%的攻击,UTM可以对该攻击进行阻断;如果数据包疑是攻击,进行IDS检查,同时提供IDS联动接口,支持第三方设备。通过对该数据检测与审计,保证服务器的同时不会产生因为误报而将正常数据包阻断现象。同时通过硬件加速保证系统的性能。

P2P下载控制:
    开启华堂UTM的P2P限制功能,对BT、Emule等P2P下载等进行控制;

内容过滤:
    网页内容过滤则为用户提供了一个管理服务,使得用户可以控制员工对Internet资源的访问方式,同时屏蔽互联网上恶意网站和“钓鱼”网站,最小化了恶意内容所带来的危险。通过提高生产力并降低带宽成本,它有助于帮您节约资金,同时使得您的网络更加安全。

反病毒网关:
    依托强大的病毒特征库和基于特征和启发式的扫描华堂UTM可以在网关处过滤高达24万余种各种已知和未知病毒,提供针对未知病毒、蠕虫、特洛伊木马和其它恶意内容的高性能保护。
    赛门铁克防病毒:有效防范病毒攻击,结合部署的杀毒软件。防范了网络病毒爆发、实时定位病毒来源。

对于上网行为的管理:
    杜绝上班时间聊天等。禁止员工在工作时间聊天,或者防止在聊天中泄密等问题。
    有效分配带宽资源。防止BT、电骡、QQLive等严重占用带宽,导致其他同事、领导等抱怨网速较慢。
    有效防范病毒攻击,结合部署的杀毒软件,防范网络病毒爆发,尤其是ARP欺骗等导致整网段用户断网,DOS攻击甚至拖垮了出口网关。
    详细的行为记录,记录内网用户的网络访问行为。
    实际上互联网的使用所引入的网络问题不仅限于此,还可以为不同用户分配差异化网络权限,实现IP-MAC绑定防止用户私改IP等。

对于终端安全管理:
    及时发现终端设备的操作系统和重要应用软件的漏洞并自动分发安全补丁,减少被攻击的可能。
    有效管理终端资产,保障终端设备正常运行,提供非法改变报警。
    防范内网终端设备非法外联。
    防范外来的移动终端非法接入内网。
    防范内部涉密重要信息的泄露。
    及时发现网络中占用大量网络带宽或产生异常网络流量的终端,并及时阻断。
    对移动存储设备的使用进行管理,防止通过移动存储设备泄密或染毒。
    通过批量设置计算机的安全保护措施提高桌面计算机的安全性。
    进行批量的软件分发和安装,提高运行维护效率。
    特定计算机的IP地址保护。
    在全网制订统一的安全策略并实时评估计算机的安全状态是否符合管理规定,阻断安全风险大的计算机与网络连接,并向管理员报警。
    出现安全问题后,可以快速有效的定位有问题的IP/MAC/主机名,找出网络中病毒、蠕虫、黑客的引入点,及时、准确的切断安全事件发生点和网络。

内网安全防御系统与华堂UTM实时联动:
    从整体安全的角度出发,为信息安全管理提供决策依据和管理手段,解决采用多种相互独立的安全产品及安全技术所带来的管理混乱局面,降低网络安全管理的复杂性就显得尤为重要。