一、網絡安全威脅和問題

今天的信息網絡越來越多地把關鍵業務應用、語音、視頻等新型應用融合到IP網絡上，一個安全、可靠的信息網絡是業務成功的關鍵。

但是隨著網絡應用的不斷深入和廣泛，網絡自身安全的威脅和問題也愈發嚴重和復雜。

1.  蠕蟲/病毒/垃圾郵件在網上泛濫；

2.  黑客惡意攻擊，DDoS拒絕服務攻擊；

3.  管理人員對網絡設備的簡單配置和隨意部署；

4.  內部用戶任意下載/拷貝；

5.  內部人員無意或有意嘗試闖入敏感區域 等等。

這些問題，都對網絡自身的穩定運行帶來了極大的安全隱患，問題一旦發作，會導致網絡設備資源耗盡，網絡帶寬被塞滿，網絡系統無法正常工作，使得整個業務系統不能有效進行，應用系統被侵入或篡改，造成的損失非常巨大，后果極為嚴重。 

二、普通技術解決方案和不足

如何應對現在新的網絡安全環境呢？如何在我們的網絡上確保安全，及時地發現問題、跟蹤定位和阻止泛濫，是每個網絡管理人員所思考的問題

為了應對網絡平臺日益泛濫的安全問題，普通的技術解決方案是針對問題的出現區域增加專門的安全設備，包括：

1.  服務器和桌面系統安裝防病毒/蠕蟲軟件；

2.  經常性升級代碼庫和操作系統的補��；

3.  網絡出口安裝防火墻；

4.  網絡中心或關鍵區域安裝IDS入侵監測；

5.  網絡接入增加加密設備等等。

由于在網絡設計的初期，缺少對網絡安全的整體考慮，特別是沒有網絡自身層面去規劃安全的要素，導致“頭痛醫頭，腳痛醫腳”，完全是“救火式”網絡安全保護，結果自然是：

1.  網絡安全各個部分相互獨立，各行其事；

2.  網絡設備沒有安全保護，只是區域的邊界安全；

3.  安全防范效果不明顯，原有安全問題依然存在；

4.  對于新出現的攻擊、病毒和蠕蟲不能適應，難以承受，被動響應；即使發現問題，也缺乏跟蹤定位，有效隔離，快速消除的能力。

因此，我們需要從網絡自身基礎架構的層面上，考慮安全，規劃安全，部署安全和實施安全。

安全已經不是網絡中的一個選項，安全是網絡中必不可少的重要組成部分，通過智能集成，分工協作，全局部署，做到真正融于網絡內部，真正成為網絡規劃的核心，真正確保整體網絡的穩定、可靠、高效運營。

三、網絡安全解決方案

網絡安全解決方案，通過設備、網絡及應用幾個層面的安全保護，各自分工，系統協作，全面部署，從核心層到分布層、接入層，從物理層到應用層，我們要采取全面的安全策略來保護整個網絡基礎構架和其所連接的系統，即使當攻擊，蠕蟲和病毒發生時，我們的網絡基礎設施要具備相當的抵抗和承受能力，在自動適應“變化”的基礎上，充分利用網絡基礎平臺的優勢，協助專門的安全系統，定位問題，提供數據，有效隔離，快速清除，確保整體網絡的穩定運行。

建議對整體網絡的自身安全部署要充分考慮，特別重視，詳細規劃，貫徹實施:

諸如以上的圖示，在網絡自身安全的部署過程中要從以下方面進行。

1、網絡設備級別保護

包括路由器，交換機，接入設備，無線設備等等。

針對每個網絡設備，從三個方面立體部署實施。

?  設備控制平面保護

主要是對設備控制平臺，如CPU，內存等資源訪問控制和策略保護，以及設備本身路由處理交換的實現機制，如快速轉發方式。

?  設備管理平面保護

對設備管理訪問和信息收集的安全保護，諸如SNMP，SSH，CLI，WEB等等。

另外，對于支持USB安全令牌的設備，也建議考慮配備，從物理的角度更為深入的實現了設備的安全管理。

?  設備數據平面保護

設備的數據平面是網絡設備安全功能豐富且全面的領域，針對交換設備和路由設備，各廠商產品各有多種多樣的安全保護措施，建議在整體網絡的設計、結構、規劃和實施中，充分結合相關設備的安全功能，做到“所有設備安全”。

2、網絡級別保護

1.  網絡級別的保護是指設備之間的安全保護，包括

2.  路由控制協議驗證加密；

3.  網絡應用識別NBAR；

4.  網絡流量統計分析Netflow；

5.  針對客戶提供ACL的服務質量；

6.  網絡訪問中的網絡準入控制（NAC）。