由于業(yè)務(wù)的需要,報(bào)社網(wǎng)絡(luò)有多個(gè)外部網(wǎng)絡(luò)連接,例如Internet連接、專版專線等,報(bào)社網(wǎng)絡(luò)與這些外部網(wǎng)絡(luò)之間存在復(fù)雜的數(shù)據(jù)交互的需求,需要對(duì)這些不同網(wǎng)絡(luò)之間的通信進(jìn)行嚴(yán)格的檢測(cè)��、控制和隔離,保證網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)的安全�����。
防火墻一直是網(wǎng)絡(luò)安全方案的關(guān)鍵設(shè)備,防火墻將網(wǎng)絡(luò)劃分成不同安全等級(jí)的網(wǎng)段,在網(wǎng)段邊界放置防火墻,進(jìn)行網(wǎng)段隔離和訪問控制,很多報(bào)社考慮網(wǎng)絡(luò)安全時(shí)都采購了防火墻產(chǎn)品,但隨著信息技術(shù)發(fā)展到今天,單一的防火墻方案已經(jīng)不能滿足報(bào)社對(duì)安全的要求,主要原因包括:
? 越來越多的安全威脅來自報(bào)社內(nèi)部,記者便攜機(jī)的普及使得移動(dòng)辦公得到大量普及,計(jì)算機(jī)終端不斷的在報(bào)社內(nèi)網(wǎng)和外網(wǎng)兩個(gè)環(huán)境間進(jìn)行漫游,很容易造成網(wǎng)絡(luò)威脅從外網(wǎng)進(jìn)入內(nèi)網(wǎng),從而在內(nèi)網(wǎng)進(jìn)行傳播�。另外由于VPN技術(shù)的普及,使得報(bào)社內(nèi)網(wǎng)無限擴(kuò)展,更加大了威脅進(jìn)入內(nèi)網(wǎng)的機(jī)會(huì)。由于防火墻以抵御外部攻擊為主要目標(biāo),對(duì)于內(nèi)部網(wǎng)絡(luò)產(chǎn)生的安全問題,防范不足�;
? 對(duì)于應(yīng)用層攻擊、復(fù)合攻擊,防火墻力不從心�����。目前由各種蠕蟲����、病毒�����、應(yīng)用層攻擊技術(shù)和EMAIL��、移動(dòng)代碼結(jié)合形成了復(fù)合攻擊手段,以直接攻擊報(bào)社核心采編服務(wù)器和應(yīng)用為主,會(huì)給報(bào)社帶來了重大損失; 同時(shí)隨著報(bào)社P2P應(yīng)用和MSN��、QQ等即時(shí)通信軟件的普及,報(bào)社寶貴帶寬資源被無關(guān)業(yè)務(wù)流量浪費(fèi),形成巨大的性能威脅��。這些威脅大部分都能夠穿透防火墻,防火墻基于TCP/IP 3層和4層的訪問控制對(duì)于基于應(yīng)用的攻擊威脅無法識(shí)別����。
? 對(duì)緊急發(fā)生的安全問題無法及時(shí)響應(yīng)�����。越來越多的病毒和蠕蟲基于網(wǎng)絡(luò)來傳播,有了網(wǎng)絡(luò)這個(gè)介質(zhì),威脅傳播速度很快,以SQL Slammer為例,10分鐘內(nèi),SQL Slammer可感染全球90%的有漏洞計(jì)算機(jī)�。如果網(wǎng)絡(luò)對(duì)于這些威脅不能識(shí)別,不能在其傳播擴(kuò)散的通路上進(jìn)行阻截,純粹依靠人工手動(dòng)的打補(bǔ)丁、升級(jí)防病毒軟件�����、在防火墻上設(shè)置ACL,根本無法抑制這些蠕蟲病毒的大規(guī)模泛濫���。
針對(duì)防火墻的以上不足,需要有新的安全設(shè)備與之配合,這就是IPS--入侵防御系統(tǒng),IPS可以完成防火墻所不能提供的深度內(nèi)容分析攻擊檢測(cè)和防范的能力�����。
H3C的H3C IPS產(chǎn)品自2002年發(fā)布以來,已 幫助H3C迅速成為提供基于網(wǎng)絡(luò)的入侵防御系統(tǒng)的領(lǐng)先廠商�����。H3C的入侵防御系統(tǒng)能夠阻止蠕蟲��、病毒���、木馬程序、拒絕服務(wù)攻擊���、間諜軟件��、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用����。通過深達(dá)第七層的流量偵測(cè),H3C的入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量��。利用H3C提供的數(shù)字疫苗服務(wù),入侵防御系統(tǒng)能能夠及時(shí)對(duì)漏洞過濾器�、協(xié)議異常過濾器和統(tǒng)計(jì)異常過濾器進(jìn)行更新��,從而主動(dòng)地防御最新的攻擊�����。
