安全性开放式平台(OPSEC)是Check Point软件技术有限公司的开放式体系结构解决方案,可提供业界唯一的企业级策略管理和策略执行框架。构成OPSEC联盟的300多家公司采用OPSEC框架,为客户提供了企业级网络安全各方面的解决方案。
这些合作伙伴通过提供经认证的产品和解决方案,从而与SVN体系结构全面集成,同时扩展了Check Point公司的系列解决方案,使OPSEC成为业界最成功的联盟。OPSEC合作伙伴:(一)采用已经发布的OPSEC应用编程接口(API)和OPSEC推荐的行业标准,将其安全性应用与Check Point FireWall-1和Check Point VPN-1 Gateway进行策略管理和安全执行方面的集成(例如内容安全性、认证、授权和入侵监测等);(二)将Check Point软件技术集成于网络基础设施(例如服务器、互联网设备、硬件和其他设备);(三)对应用级策略进行集成,以确保电子商务和企业应用的正常运行(例如多媒体、数据库、群件、业务处理和工作流等);(四)将FireWall-1和VPN-1集成在一个完整的可管理的构架之上(领先的电信和应用提供商)。
案例:某广告公司我们的安全需求:
●需要保证公司网络与Internet安全互联,能够实现网络的安全隔离;●必要的信息交互的可信任性;●要保证公司网络不能够被Internet访问;●同时公司网络公共资源能够对开放用户提供安全访问能力;●能够防范来自Internet的包括:
·利用Http应用,通过Java Applet、ActiveX以及Java Script形式;·利用Ftp应用,通过文件传输形式;·利用SMTP应用,通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于网络的侵害;●对网络安全事件的审计;●对于网络安全状态的量化评估;●对网络安全状态的实时监控;●防范来自Internet的网络入侵和攻击行为的发生,并能够做到:
·对网络入侵和攻击的实时鉴别;·对网络入侵和攻击的预警;·对网络入侵和攻击的阻断与记录;
其次,对于公司网络内部同样存在网络层的安全需求,包括:公司网络与下级分支机构网络之间建立连接控制手段,对集团网络网提供高于网络边界更高的安全保护。
解决方案:
我们的网络分布于不同地区,都使用了Check Point FireWall-1防火墙,根据客户网络的情况,在方案中配置了可以与Check Point FireWall-1相结合的TrendMicro的防病毒产品和ISS的入侵检测等产品,形成完整的网络安全体系。
方案简要说明:
1)VPN-1/FireWall-1:根据企业网的边界和内部对防火墙的不同安全特性的要求,方案采用FireWall-1作为边界和内部防火墙,实现对于边界的安全管理、网络带宽管理和信息统计需求,同时对内部网络实施有效的安全管理。
2)Internet网关防病毒:作为边界防火墙内容安全功能全面扩展和增强,同时实现自下而上的整体安全防御目标,通过边界防火墙与Internet网关整合,能够全面扑灭来自于Internet的有害信息和病毒对网络的侵害;
文件服务器防病毒:作为消灭病毒的寄生场所和传播基地,服务器端的病毒防治在整个网络的病毒防范工作中,起到了防治病毒通过该服务器传播,同时避免在担当网络文件交互的中间站时被病毒感染和危害;3)IDS RealSecure:利用ISS的基于网络的漏洞扫描工具Internet Scanner和基于主机的漏洞扫描工具System Scanner对网络中的设备及主机进行漏洞扫描。对于各个保护对象以及网络中的其他网络设备来说,例如交换机、路由器、防火墙和服务器等等,都可以利用Internet Scanner对其进行定期的扫描,以确定了解网络中存在那些漏洞,从而使我们可以针对存在的漏洞进行修补处理。
方案优势:
实现OPSEC产品之间互联互通:
1)TrendMicro与Check Point协同工作
TrendMicro InterScan for Check Point FireWall-1是经过Check Point认证的OPSEC合作伙伴,可以利用Check Point的CVP系统在防火墙上直接进行病毒检测。
·在FireWall-1中,可直接将Trend Interscan定义为CVP server。
·在FireWall-1上进行配置,所有http,smtp,ftp的协议配置为进行CVP检测。例如:当带有附件的邮件包经过防火墙时,先会经过InterScan进行扫描,检查没有附带病毒文件后方可以进入到内网。
·在Trend Interscan中,可进行病毒检测、报警,并可进行Check Point的OPSEC认证。
2)Realsecure与Check Point协同工作
Check Point公司通过它提供的OPSEC向第三方提供API,使得其他厂商可以使用这些API开发能集成到FW-1防火墙中的产品。由于ISS是Check Point的OPSEC合作伙伴,所以Realsecure能够对FW-1进行安全操作。
Realsecure重新配置FW-1有两种响应方式:冻结指定的时间长度和完全关闭。每种响应方式根据需要又细分四种模式:
·针对源地址操作·针对目的地址操作·针对源和目的同时操作·针对服务操作
当发现有可疑行为后,RealSecure一方面通过防火墙将该会话冻结或关闭;另一方面修改防火墙的安全策略保证今后不再允许该连接访问内部网络。
3)统一管理:中央基于策略的管理架构
对于所配置防火墙各功能模块的管理以及与OPSEC合作伙伴产品互联互通配置的管理均通过Check Point企业安全管理模块实现集中统一的安全管理。
同时在系统运行中系统会自动记录下所有与安全策略有关的网络安全事件,并由相关的功能模块收集并发送至中央管理模块中,用户的安全管理员统一通过中央管理服务器完成对事件的安全审计。例如:经过防病毒扫描的包,均会在日志中记录下来;另外,还可以在中央管理服务器上配置一旦发现病毒产生相应告警等。而且,用户能够通过中央管理服务器实时监视防火墙和OPSEC合作伙伴产品各功能模块的系统和安全状态,审查所有安全报警信息。
文章地址: http://www.qqread.com/erp/26/t208141004.html
更多内容请看数字化校园网解决方案、路由安全配置专题、系统安全设置专题,或进入讨论组讨论。
相关专题
- 数字化校园网解决方案 (5651篇文章)
- 路由安全配置专题 (11761篇文章)
- 系统安全设置 (23411篇文章)
- 配置安全的操作系统 (9778篇文章)
- 打造安全服务器 (13194篇文章)
- 大型实用解决方案专题 (5168篇文章)
- 应用解决方案 (5168篇文章)
- 中小型应用解决方案 (5168篇文章)
- 多媒体应用解决方案 (5936篇文章)
- 行业解决方案 (5168篇文章)
- 警惕企业的“破窗”危机 (0次浏览)
- 不能说的秘密 IT企业为守护技术机密而战 (0次浏览)
