企业网络安全问题

为了保证网络安全可靠性：企业要求核心设备支持防DDoS攻击、防恶意的IP扫描。病毒侵入与非法攻击是企业网络很大的安全隐患。不发作则已，一发作就是大问题，因此，企业要求内部网络能实现在核心层、接入层防止网络蠕虫病毒扩散。

对于以上要求我该如何做呢，在哪些设备上配置些什么呢？蠕虫病毒可以考虑封住蠕虫病毒常用的端口吗？ 请各位高手给出尽可能详细的说明，最好有具体的配置！在此感激不尽！

看到你们公司有这样的安全认识，如果想要网络不出问题，免疫网络才是网络解决问题的正根，“网络问题网络解决，三分技术七分管理”的免疫网络，内容如下：
免疫网络——
免疫网络是企业信息网络的一种安全形式。
“免疫”是生物医学的名词，它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。
就像我们耳熟能详的电脑病毒一样，在电脑行业，“病毒”就是对医学名词形象的借用。同样，“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。

免疫网络的主要理念是自主防御和管理，它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能，在面临攻击时调动各种安全资源进行应对。
它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。
1.安全和网络功能的融合---①网络架构的融合，主要包括网关和终端的融合
网关方面：ARP先天免疫原理—NAT表中添加源MAC地址
滤窗防火墙—封包检测，IP分片检查，UDP洪水
终端方面：驱动部分—免疫标记
-②网络协议的融合—行为特征和网络行为的融合
2.全网设备的联动—a:驱动与运营中心的联动(分收策略
b:驱动与驱动的联动（IP地址冲突
c:网关和驱动的联动（群防群控
d:运营中心和网关的联动（外网攻击，上下线
3.可信接入—1）MAC地址的可信（类似于DNA），生物身份
2）传输的可信（免疫标记）
4. 深度防御和控制—1）深入到每个终端的网卡
2）深入到协议的最低层
3）深入到二级路由，多级路由器下
5. 精细带宽管理—1）身份精细—IP/MAC的精确
2）位置精确—终端驱动
3）路径细分（特殊的IP）
4）流量去向（内，公网）
5）应用流控（QQ,MSN）
6.业务感知---协议区分和应用感知

它与防火墙（FW）、入侵检测系统（IDS）、防病毒等“老三样”组成的安全网络相比，突破了被动防御、边界防护的局限，着重从内网的角度解决攻击问题，应对目前网络攻击复杂性、多样性、更多从内网发起的趋势，更有效地解决网络威胁。
同时，安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制，以及对全网安全问题和工作效能的监测、分析、统计、评估，保证了企业网络的可管可控，大大提高了通信效率和可靠性。

巡路免疫网络解决方案——

欣全向公司巡路免疫网络解决方案是在企业网络中实现安全免疫，打造免疫网络的途径和方法。在目前网络架构不做重大改变的前提下，实施部署巡路免疫网络解决方案，可以顺利地将一个普通网络升级为免疫网络。

巡路免疫网络解决方案不是一个单独的产品，而是一套由软硬件、内网安全协议、安全策略构成的完整组件。

在巡路免疫网络解决方案中，采用了各种技术手段实现免疫网络的基本要求。比如：
1、通过在接入网关设备中加入安全功能，如ARP先天免疫、内网防火墙、滤窗技术等，实现了网络设备中融合安全功能的要求；
2、通过强制安装终端免疫驱动，在网络的末端节点进行部署。更重要的是在网卡一级对底层协议也进行管控，实现了深度防御和控制。
3、通过对全网安全策略组合的综合设置、预定和学习，实现了主动防御，对已知和未知的攻击行为起到抑制、干预，阻止其发作的作用。
4、通过运行在服务器上的运营中心，对来自网关和终端驱动的报警信息、异常流量、身份核查等进行处理，对网络的运行状况进行审计评估，还负责安全策略的升级和下发等工作。
5、内网安全和管理协议将接入网关、服务器、终端驱动等各部分网络设备和安全功能，构成一个完整的体系，实现了全网设备联动。

巡路免疫网络解决方案的功能特色：
1、 对终端身份的严格管理。终端MAC取自物理网卡而非系统，有效防范了MAC克隆和假冒；将真实MAC与真实IP一一对应；再通过免疫驱动对本机数据进行免疫封装；真实MAC、真实IP、免疫标记三者合一，这个技术手段其他方案少有做到。所以，巡路免疫方案能解决二级路由下的终端侦测和管理、IP-MAC完全克隆、对终端身份控制从系统到封包等其他解决不了或解决不彻底的问题。
2、 终端驱动实现的是双向的控制。他不仅仅抵御外部对本机的威胁，更重要的是抑制从本机发起的攻击。这和个人防火墙桌面系统的理念显著不同。在受到ARP欺骗、骷髅头、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDoS攻击、超大Ping包、格式错误数据、发包频率超标等协议病毒攻击时，能起到主动干预的作用，使其不能发作。
3、 群防群控是明显针对内网的功能。每一个免疫驱动都具有感知同一个网段内其他主机非法接入、发生攻击行为的能力，并告知可能不在同一个广播域内的免疫运营中心和网关，从而由免疫网络对该行为进行相应处理。
4、 提供的2-7层的全面保护，还能够对各层协议过程的监控和策略控制。深入到2层协议的控制，是巡路免疫网络解决方案的特有功能。而能够对各层协议过程的监控和策略控制，更是它的独到之处。现在普遍的解决方案，基本上是路由器负责 3层转发，防火墙、UTM等进行3层以上的管理，唯独缺少对“局域网至关重要的二层管理”，免疫驱动恰恰在这个位置发挥作用。而上网行为管理这类的软硬件，在应用层进行工作，对2、3层的协议攻击更是无能为力。
5、 对未知的协议攻击，能够有效发挥作用，是真正的主动防御。
6、 免疫接入网关在NAT过程中，采取了专用算法，摒弃了其他接入路由器、网关产品需要IP-MAC映射的NAT转发算法，将安全技术融于网络处理过程，使ARP对免疫接入网关的欺骗不起作用。这叫做ARP先天免疫，这样的技术融合还很多。
7、 具有完善的全网监控手段，对内网所有终端的病毒攻击、异常行为及时告警，对内外网带宽的流量即时显示、统计和状况评估。监控中心可以做到远程操作。

欣全向目前提供三种产品形式：集成方案、核心方案、整体方案。
核心方案（免疫网关）和集成方案的不同：（以下四点）
（1）连接方式不同 （2）OS不同
（3）后续升级不同 （4）策略开放性不同
免疫墙——
免疫墙技术属于网络安全行业中的内网安全和管理领域。

以太网有协议漏洞，不擅长管理，这是网络问题频发的技术根源。免疫墙技术针对和解决的就是这个问题。

因此，免疫墙技术研究的是如何填补以太网协议的先天漏洞、如何对业务进行规范化、策略化管理。“网络问题网络解决”是免疫墙技术的指导思想。免疫墙的技术范围要拓展到网络的最末端，深入到协议的最底层、盘查到外网的出入口、总览到内网的最全貌，就是希望通过网络本身对网络病毒全面抵御，同时完善对业务的管理，使网络可控、可管、可防、可观。

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/a35k1n1n5.html