企業網絡出口安全改造

引言： 目前大多數企業在內網和互聯網的邊界建立了較為完善的由外而內的安全防護措施，能夠有效地防護來自互聯網的攻擊。筆者所在單位有線網絡用戶有1500個，無線網絡用戶有500個，面對龐大的網絡結構和復雜的網絡應用，我們通過基于行為管控的企業網絡出口安全改造加強了由內而外訪問的安全管理。

目前大多數企業在內網和互聯網的邊界建立了較為完善的由外而內的安全防護措施，能夠有效地防護來自互聯網的攻擊。

筆者所在單位有線網絡用戶有1500個，無線網絡用戶有500個，面對龐大的網絡結構和復雜的網絡應用，如何對網絡效能行為進行統計、分析和評估，如何監控、控制一些非工作上網行為和非正常上網行為，如何杜絕用戶通過電子郵件、IM等途徑泄漏內部機密資料，如何在日常辦公過程中采取相應的流控機制，以保障核心業務系統的正常訪問，以及管理員如何在發生問題時有查證的依據？這些都成為了網絡安全管理需要解決的問題。為此，我們通過基于行為管控的企業網絡出口安全改造加強了由內而外訪問的安全管理，解決以上問題。

方案設計

圖1 原網絡出口拓撲圖

原網絡出口拓撲如圖1，公司網絡出口連接行業網、互聯網和DMZ區對外服務器。目前對網絡出口的安全防護采取二層防護的方式，第一層部署思科PIX525防火墻，通過NAT內外網IP地址轉換和訪問控制策略進行防護；第二層部署UTM安全網關，通過ISP地址映射、訪問控制策略、病毒和入侵防御，及流量控制對公司內網連接行業網、互聯網和DMZ區服務器進行安全防護。……