网络基础设施安全

企业网络安全所面临的挑战

网络安全风险无处不在，企业网络安全不仅仅局限在企业网络的边界，企业的内部网络也需要有足够的安全防护措施，这就要求企业网络基础设施具备自我防御的能力，当网络发生攻击的时候（无论来自企业外部还是内部），网络基础设施应该具备自我保护的能力，同时能跟踪和定位攻击的来源。另外，业务的安全需求在不断变化，不同业务的安全需求可能不尽相同，例如某些业务只需要防火墙的保护，另一些业务可能还需要IPS/IDS或VPN等的保护，如何构建一个自适应、按需提供安全服务的动态网络安全架构是企业网络安全所面临的挑战。

企业网络基础设施安全解决方案企业网络基础设施安全所涉及的内容

今天的企业网络边界不仅仅指互联网、广域网等外部网络出口，企业内部网络的接入网也是企业安全防护的边界，特别是企业的内部网络由于接口比较多，安全防护尤其困难，这就需要企业的所有网络基础设施（包括路由器、交换机等）具有安全防护的能力，同时还需要构建一套完整的安全防御体系保证企业网络的安全。企业网络安全体系主要涉及以下几个方面：l 网络接入安全——无论用户从哪里接入网络都必须经过认证和安全检查，确保连接到企业网络的都是可信的用户和设备，典型的解决方案是网络准入控制。l 网络自我安全防护——所有网络设备都需要具有登录认证、流量攻击保护的功能，网络协议（如动态路由协议）也需要启用认证的功能，所有连接的线路也需通过QOS等流量控制功能保证关键业务不受非法数据流的影响。l 重要IT资产的安全防护——对于关键业务服务器等重要IT资产需要提供特殊的安全防护，例如部署防火墙、IPS/IDS、VPN等安全设备，但整个安全防护架构必须是一个自适应的安全架构，能够根据不同业务的需求提供动态、按需的服务。l 网络流量监控——能够实时监控和分析网络的流量和协议状态，当网络发生攻击时，能跟踪和定位故障源，同时为网络安全策略的优化调整提供依据。

自适应网络安全架构

传统网络安全架构采用串接的方式，所有安全设备串联起来为业务提供安全保护，但业务的安全需求发生变化时，就很难进行调整或调整的影响面很大，这种安全架构很难适应当前不断变化的业务需求。传统网络安全架构示意图如下：

图1 传统串联式网络安全架构示意图

      自适应网络安全架构——通过建立一个独立的安全服务层，所有安全设备都部署在安全服务层中，并根据不同业务的安全需求动态调用相应的安全服务，实现按需的服务，同时安全功能的变化都不会影响到现有的服务，架构的扩展性和灵活性很高。自适应网络安全架构示意图如下：

图2 自适应网络安全架构示意图

结束语

企业网络的安全防护边界不仅仅是外网出口，还包括内部网络的接入层，因此一个完善的网络安全防护体系必须从网络基础设施做起，所有网络接入设备都应具备自我防御的能力，同时需要构建一个自适应的安全架构，能够根据不同业务的安全需求集成和调用相应的安全服务。