山石网科国产设备远程办公安全解决方案


方案背景

2020 年伊始,新冠肺炎疫情在武汉暴发并迅速蔓延至全国。疫情期间企业采取远程办公,带来一系列隐私和数据安全隐患。 很多企业缺乏可靠的安全接入平台,没有VPN、堡垒机等基础安全手段,互联网办公的接入和传输通道均存在较高风险。为了防护企业远程办公中存在的各类安全威胁,山石网科推出了国产安全设备远程办公VPN解决方案。

远程办公安全问题解析:

方案介绍

分别部署边界安全、数据安全、云安全等产品,采用国产下一代防火墙、国产入侵检测防御系统、国产Web应用防火墙等国产设备,在企业的总部核心交换区、DMZ区、互联网接入区、办公区/Wifi区以及分支机构等多种位置,满足用户多种远程办公VPN安全接入需求。

  • 在企业总部核心交换区、互联网接入区部署国产芯片入侵防御系统
  • 在企业总部互联网接入区、办公区/Wifi区、DMZ区以及分支机构部署国产芯片下一代防火墙

方案优势

  • 国际权威机构Gartner的认可
    • 2019年全球网络防火墙魔力象限:山石VPN功能的配置和管理的易用性,收到客户广泛好评。
  • 高性能硬件加解密技术
    • 山石网科产品内置VPN硬件加解密引擎,相较其他厂家基于软件的 SSL 加密方式性能提高 了1 到 2 个数量级。
  • 适用国际通用及中国国密加密算法
    • 山石网科硬件加解密加速支持所有国际通用的加密认证算法,包括 DES、3DES、AES128/192/256 位、MD-5、SHA-1 以及中国国密算法 SM-2、SM-3和SM-4等。
  • 强大的VPN综合能力
    • 兼容标准IPSec VPN厂商设备互联
    • VPN链路实时监控和告警
    • 实现混合云互联互通
    • PC主机、安卓/苹果移动终端安全接入
    • 基于U-key、软证书、用户名/口令认证、短信认证
    • 支持和AD域控对接,实现SSO登录并设置访问规则
    • 基于角色控制,实现私有应用访问控制

应用场景

  • 应用行业:
    • 政府、金融、电力、涉密等行业
  • 应用场景
    • 分支机构和总部VPN连接
    • 移动用户VPN接入
    • 虚拟化SSL VPN
    • 智能VPN扩展
    • 智能虚拟化VPN扩展

山石网科国产化产品解决方案


方案背景

习总书记在多个场合多次强调网络安全的重要性,指出“没有网络安全就没有国家安全”。网络安全即国家安全,在关键基础性设施和重点行业领域必须实现国产可控。历史告诉我们关键核心技术是“要不来、买不来、讨不来”的。

网络安全国产化需求:

  • 安全需求:棱镜门事件,国家背景攻击事件,CPU硬件后门等问题日益突出。
  • 政策要求:网络安全即国家安全,国家及行业政策要求产品国产化,如军工,保密行业强制执行。
  • 芯片受控:中兴事件,华为禁售的反思,芯片大多数是国外进口,产品的生产、研发完全被国外公司控制。

方案介绍

山石网科国产芯片产品系列可广泛部署在用户的网络边界、数据中心以及业务服务器前端做全面的安全防护。

  • 在数据中心部署国产芯片高性能安全平台、国产芯片Web应用防火墙
  • 在企业总部部署国产芯片下一代防火墙、国产芯片Web应用防火墙、国产芯片入侵防御系统
  • 在分支机构部署国产芯片下一代防火墙、国产芯片入侵防御系统

方案优势

  • 数据中心级防火墙的高性能
    • 整机吞吐300Gbps
    • 并发连接数1亿
  • 数据中心防火墙电信级999%的可靠性
    • 主控、交换、业务、接口、风扇、电源等模块的硬件级冗余架构
    • 双机热备HA组网,支持A/A和A/P模式
    • 两台防火墙支持配置、会话同步
  • 数据中心级高扩展能力
    • 机框式扩展设计,按需扩展增加业务板卡
    • 支持升级芯片、增加接口、功能扩展
  • 硬件设计
    • 核心组件采用国产芯片,从硬件层面做到安全
    • 硬件层面支持可信计算技术
  • 软件设计
    • 完全自主知识产权的StoneOS系统
    • StoneOS系统搭配中标麒麟内核
    • 配置管理采用三权分立的方式
    • 支持国密算法
    • 日志系统符合国家相关国产化标准
  • 全面的防护能力
    • 有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击
    • L2-L7层全面安全检测与防护,各类威胁一网打尽
    • 精准识别网络攻击、恶意软件、风险IP等攻击流量并及时进行阻断
    • 垃圾邮件及恶意代码防护,保障业务安全
    • 应用智能分析和高级机器流量学习技术
    • 高效Web 资产自发现、漏洞扫描和虚拟补丁、网页防篡改

应用场景

  • 应用行业:
    • 政府、金融、电力、涉密等行业
  • 应用场景
    • 数据中心边界防护
    • 互联网出口安全防护
    • 内部安全区域安全隔离
    • 企业多分支VPN互联
    • 云数据中心高性能虚拟化防火墙

山石网科数据中心边界安全解决方案


方案背景

随着企业信息化建设的逐步深入,网络业务应用和网络系统日益复杂,企业的带宽大规模升级,网络结构不断优化,数据中心流量剧增,而原有安全设备往往老化严重,吞吐、并发能力有限,网络抗风险性差,数据中心安全设备往往成为性能瓶颈,有单点故障风险,更无法满足未来的带宽扩展需求。

由于企业数据中心往往面临着黑客的攻击,这些攻击轻者引起访问业务中断,严重的将造成重要信息的泄露,并且数据中心集中了企业最重要的信息资产,一旦发生安全事件将对企业的正常业务造成极大的损失,因此需要采取必要的安全防护手段进行保护。

企业数据中心常见的安全需求:

  • 边界隔离、身份识别与访问控制;
  • 有效对抗攻击、防范网络入侵和恶意代码、检测与防护未知威胁;
  • 流量管理、带宽控制,保障健康的互联网访问;
  • 高性能、高可靠性要求;
  • 数据中心虚拟化攻击防护;
  • 有效防护网站被攻击和篡改;
  • 满足等级保护合规性需求;
  • 企业多出口运营商线路智能选路;
  • 深度应用识别与管控,实现应用层安全防护;
  • IPv4 和 IPv6 网络的共存。

方案介绍

 

通过在企业数据中心部署山石网科下一代防火墙、IPS、WAF等设备,满足大流量、高并发环境的部署要求,同时还提供了链路负载、NAT、应用识别、流量管理、访问控制和攻击防护等安全功能,全面保障了企业数据中心网络的安全:

  • 在数据中心边界区域部署两台下一代防火墙设备,防火墙设备采用HA的主备方式部署,开启防火墙基本功能、访问控制策略等功能,实现数据中心区域的访问控制、安全防护的功能;
  • 下一代防火墙下联两台入侵防御设备,实现对出入数据中心的 2-7 层网络攻击流量的安全防护,保证数据中心区域服务器的安全;
  • 在数据中心区域核心交换机处,采用旁挂的方式部署两台WEB应用防火墙设备, 通过在数据中心核心交换机上,将 WEB 流量采用流量牵引方式引流到 WEB 应用防火墙上,进行 WEB 流量的过滤,开启相应的防护策略,保障数据中心 WEB 服务器的安全。

方案优势

企业数据中心的网络边界安全防护,主要是通过有效的隔离与控制手段,对远程的访问加以约束,防范非法访问、恶意攻击,同时保障带宽资源的合理分配,并对远程访问数据包的传输安全性加以保护,防范其在互联网平台上传递过程中被窃取和篡改。

综合起来,对照企业数据中心的特点和安全需求,数据中心边界安全方案有以下优势和价值:

  • 提升企业数据中心基础平台的安全防护能力
    • 通过下一代防火墙的深度访问控制能力(基于地址、协议、端口、应用、 用户身份),对外部的访问进行控制,结合访问来源、访问目标、访问行为等要素,对访问的合法性进行判断,并阻断非法的访问;
    • 通过高性能病毒扫描过滤功能,查杀并过滤外部传播的恶意代码;
    • 通过虚拟防火墙功能,将办公网和DMZ区网络等进行逻辑隔离,针对不同网络单独管理;
    • 通过 HA 双机热备保障系统的高可靠性,避免单台设备发生故障导致的网络业务中断;
    • 通过多种 IPv6 过渡技术,例如 DNS64/NAT64 等,可完成网络从 IPv4 到 IPv6 网络的平滑过渡,并且支持双栈技术,在 IPv6 网络建设后期,也可以完全满足 IPv4 和 IPv6 网络同时运行的情况;
    • 通过IPS基于应用的入侵防御技术,深度检测访问数据包并对恶意渗透行为进行鉴别和阻断;
    • 通过WAF网关对外网访问数据中心的网站流量进行全面深度分析过滤, 实时阻挡针对网站的攻击或篡改。
  • 保障企业数据中心基础平台的工作效率
    • 下一代防火墙采用多核架构,支持板卡扩展带来的性能线性提升,能够在对企业数据中心基础网络平台进行保护的同时,尽可能维持企业数据中心原有的工作效率;
    • 通过下一代防火墙智能带宽管理功能,结合企业业务应用优先级,对企业上网流量进行两层八级的细粒度划分控制,同时配合会话限制、策略路由、链路负载均衡等功能,为企业提供了更为灵活的流量管理与运营商线路自动切换的解决方案;
    • 下一代防火墙支持设备部件的冗余,以及设备整机冗余,还支持硬件Bypass,部署在企业数据中心网络边界,能够提供高可靠的安全防护,不会成为单点故障。

应用场景

  • 应用行业:
    • 政府、金融、企业、医疗、交通、能源、互联网、企业等
  • 应用场景
    • 数据中心与企业内网的边界防护
    • 数据中心互联网出口边界防护

山石网科视频安全接入解决方案


方案背景

视频监控广泛应用于社会治安、交通出行、环境保护、城市管理等多个领域,以视频监控为主的视频图像信息在维护社会稳定、打击犯罪、安全保卫工作中发挥着越来越重要的作用。随着“物联网”的飞速发展和普及,以及“平安城市”、“雪亮工程”、“智慧交通”、“智慧校园”等大型项目的逐渐落地,随之而来的,是视频专网安全事件的不断爆发。

2015年5月6日,国家发展改革委、中央综治办、公安部等九部委下发《关于加强公共安全视频监控建设联网应用工作的若干意见》,指出到2020年,基本实现“全域覆盖、全网共享、全时可用、全程可控”的公共安全视频监控建设联网应用,在加强治安防控、优化交通出行、服务城市管理、创新社会治理等方面取得显著成效。

视频监控网络安全现状

视频监控网络前端IP摄像头数量庞大,而且地理位置分散,品牌型号众多,难以实现集中管控,大多摄像头暴露在室外,模糊的网络边界,攻击者可利用分散在各处的前端设备通过私接无线接入点等接入到整个网络中,攻击核心业务系统,窃取保密信息。前端IP摄像头与网络核心、业务平台直接连通,网络中缺少有效的安全管控手段。

总结当前视频专网接入面临的安全风险主要有以下几点:

山石网科视频安全接入解决方案

山石网科视频安全接入解决方案能够主动识别网络接入的各类视频监控设备,同时对识别出的IPC、NVR设备进行监控,过滤并阻断非法终端接入,并且当发现其行为不符合视频监控行为特征或者存在网络异常行为时,能够及时告警并阻断,保护视频专网安全。

方案亮点

 

方案部署场景灵活

山石网科下一代防火墙部署在视频监控终端接入区,部署方式灵活,支持透明桥接或路由模式部署,支持旁路或串接方式接入,能够实现对视频采集设备的终端识别、流量监控、入网准入控制以及异常行为阻断。

WAF高校”双非“网站管理解决方案


方案背景

2017年7月,工信部又专门发布《工信管函〔2017〕1410号》要求进一步加强未备案管理工作,对于未备案接入网站的行为“零容忍”,发现一起,处罚一起。

方案介绍

什么是高校“双非”信息系统(网站)问题

大部分高校网站都是教育网的公网地址,也就是说这个地址相当于公网地址,互联网可以直接访问的。学校拥有一个教育网地址A,这时出现在公网上又有一个非法域名也对应学校的公网地址A。或者高校私自搭建非备案域名域名。那两种情况其实是非法的,称为高校“双非”信息系统(网站)问题。可分为2种情况:

场景1:校外盗用IP

  • 高校发布edu.cn,IP A
  • 被校外盗用,发布cn

场景2:校内滥用IP

  • 高校拥有 IP A,未使用
  • 管理员搭建私有域名cn

如何解决高校“双非”信息系统(网站)问题

1)通过山石网科WAF的Web资产自发现功能,发现双非网站:

  • 随着高校的发展,包含二级学院在内的网站可能达上百个之多,且分散于不同的业务部门。
  • 山石网科WAF支持智能Web资产自发现,可以自动侦测系统中的Web网站,不漏掉一个双非网站。

 

2)校外盗用IP场景:

  • 非备案域名:全局阻断
  • 典型场景:*.abc.edu.cn以外的域名全部阻断

  • 特定域名:精准控制
  • 典型场景:abc.edu.cn阻断/放行/重定向



3)校内滥用IP场景

  • 基于站点阻断

方案优势

应用场景

山石网科SD-WAN解决方案


方案背景

在企业网络规模愈加庞大,业务种类愈加繁多,移动类组网需求频繁的情况下,随着业务上云等新需求的诞生,对传统WAN网带来了极大的挑战,包括网络稳定性差、管理难度大、新业务上线慢、造价高昂等问题,亟待解决。

传统WAN网面临的问题主要有以下几点:

1)扩容成本高。专线成本高昂,组网规模的扩大,导致所需运营商MPLS专线规模更大,而昂贵的扩容成本使业务发展受限。

2)应用体验差。无智能选路,导致核心业务应用高频次阻塞,线路故障无法即时切换,导致体验极差。

3)上线周期长难度较高。单点配置,单点手工上线,导致运维专业性高,上线时间往往长达30天以上。且误操作无法避免,同时缺失图形化管理和实时监控,运维整体成为黑盒子。

4)  缺失安全保障。传统网关没有L4~L7层安全能力,无法进行监测阻断,远程安全管理缺失。

整体方案

对于传统WAN网面临的问题,山石网科推出SD-WAN解决方案,为企业提供分支与数据中心、分支与分支、分支与云之间的全场景互联,并通过应用级智能选路、核心业务随需获取和智能运维能力,构建WAN网全流程的极致体验。

山石网科SD-WAN解决方案架构

山石网科SD-WAN解决方案由总部控制中心、区域节点、分支节点组成,覆盖总部数据中心、区域节点、分支机构,并可灵活应用于云上业务,为用户提供全场景的SD-WAN解决方案。

总部数据中心

部署基于SD-WAN架构的控制器HSM,实现设备统一管理及配置授权下发等能力,同时部署总部出口安全网关,核心VPN节点。

区域或分支节点CPE

部署FW或vFW,提供节点接入及中间接入能力。如采用网状组网可部署区域节点,作为VPN HUB,提供中间接入能力,缓冲过多VPN隧道对总部的压力。

主要功能

全场景联接,提高效率,降低成本

支持MPLS、Internet 等多种类型WAN 链路灵活捆绑。提供支持单、 双CPE、单双Hub、vCPE接入等丰富的接入方式,实现低成本的互联网链路与专线链路的混合接入。提高业务访问效率,同时降低组网成本。

设备上线即插即用,业务快速上线

实现分支机构节点设备上线,通过U盘等方式,快速部署,大幅度缩减分支节点开局成本,将传统上线时间缩短80%以上,保障业务快速上线。

分支节点统一管理,设备授权信息统一维护

摒弃传统单点管理配置,对分支运维技术要求较高的缺点,所有分支节点均由总部统一管理配置,设备可支持授权批量导入,按需对设备进行授权,并支持新设备上线后自动获取相关授权,保障全网设备动态可用,保障WAN网全流程通畅。

快速建立VPN网络,极简配置

向导型建立VPN网络,批量导入节点信息,自动化建立VPN配置,为管理人员提供极简化工作方式,降低误操作风险,减少组网运维操作。

业务链路动态调整,重要业务质量保证

支持智能选路能力,通过链路检测、流量调度等技术,实现业务流量智能感知与调度,保障关键业务优先,提高整网业务使用体验。

方案优势

山石网科SD-WAN解决方案,依托十年以上的安全技术积累及对金融、政府、运营商、企业等场景化行业用户的深度理解,构建了依托安全架构的SD-WAN方案。有别于业内基于传统网络组件的SD-WAN解决方案,山石网科对整网的安全性、可靠性更加关注,采用依托安全能力的软硬件,构筑了天然安全的SD-WAN解决方案。山石网科SD-WAN解决方案主要有以下五点优势:

自动化运维

策略全生命周期管理,辅助高效自动化运维。

零知识开局

向导式配置,业务可通过U盘即插即开。

傻瓜式组网

自动化VPN组网,VPN故障监控及网络自动恢复。

业务质量保障

基于应用的带宽管理,基于链路质量的动态应用选路。

天然安全

基于超过10年网络安全技术积累,形成天然安全的VPN组网方案。

应用场景

多分支安全组网,构建企业专属广域网

企业多分支应用场景下,总部与分支交互的数据敏感,存在VPN、防火墙、审计等安全需求。总部需要确保分支安全、通信安全以及VPN全网的安全监控。通过部署SD-WAN解决方案,提供以总部为核心的安全管理机制,分支机构以安全为核心,业务保障由总部统一调度的安全高效的网络机制。

微型组网,快速上线,集中运维

连锁行业、办事机构等小型分支场景中,通常分支较多但规模较小。每个分支与总部之间用VPN互连,需要分支IT具备快速上线能力。同时由于小型分支通常没有专业IT人员维护,对简化运维有很强的管理诉求。可通过部署SD-WAN方案,提供高效的运维能力,保障分支节点快速部署,大幅度降低分支节点的技术要求,达到快速上线,傻瓜式部署的效果。

云网融合,一键直达云内业务

OA、邮件等内网办公业务上云,用户通过互联网访问部署在云端的业务应用,而传统专线网络不适应复杂的云内环境给访问质量、数据传输安全、易运维提出了更高的挑战。SD-WAN解决方案可通过对云业务进行统一管理、调度,保障总部分支均可灵活访问。

广域网优化,业务加速

分支到总部多条隧道,要求业务故障快速切换。一旦某条线路故障,可以快速切换提高业务连续性。另外对于丢包、延时敏感性型业务需要得到带宽保证和优先转发。