企業網絡安全所面臨的挑戰

網絡安全風險無處不在，企業網絡安全不僅僅局限在企業網絡的邊界，企業的內部網絡也需要有足夠的安全防護措施，這就要求企業網絡基礎設施具備自我防御的能力，當網絡發生攻擊的時候（無論來自企業外部還是內部），網絡基礎設施應該具備自我保護的能力，同時能跟蹤和定位攻擊的來源。另外，業務的安全需求在不斷變化，不同業務的安全需求可能不盡相同，例如某些業務只需要防火墻的保護，另一些業務可能還需要IPS/IDS或VPN等的保護，如何構建一個自適應、按需提供安全服務的動態網絡安全架構是企業網絡安全所面臨的挑戰。

企業網絡基礎設施安全解決方案企業網絡基礎設施安全所涉及的內容

今天的企業網絡邊界不僅僅指互聯網、廣域網等外部網絡出口，企業內部網絡的接入網也是企業安全防護的邊界，特別是企業的內部網絡由于接口比較多，安全防護尤其困難，這就需要企業的所有網絡基礎設施（包括路由器、交換機等）具有安全防護的能力，同時還需要構建一套完整的安全防御體系保證企業網絡的安全。企業網絡安全體系主要涉及以下幾個方面：l 網絡接入安全——無論用戶從哪里接入網絡都必須經過認證和安全檢查，確保連接到企業網絡的都是可信的用戶和設備，典型的解決方案是網絡準入控制。l 網絡自我安全防護——所有網絡設備都需要具有登錄認證、流量攻擊保護的功能，網絡協議（如動態路由協議）也需要啟用認證的功能，所有連接的線路也需通過QOS等流量控制功能保證關鍵業務不受非法數據流的影響。l 重要IT資產的安全防護——對于關鍵業務服務器等重要IT資產需要提供特殊的安全防護，例如部署防火墻、IPS/IDS、VPN等安全設備，但整個安全防護架構必須是一個自適應的安全架構，能夠根據不同業務的需求提供動態、按需的服務。l 網絡流量監控——能夠實時監控和分析網絡的流量和協議狀態，當網絡發生攻擊時，能跟蹤和定位故障源，同時為網絡安全策略的優化調整提供依據。

自適應網絡安全架構

傳統網絡安全架構采用串接的方式，所有安全設備串聯起來為業務提供安全保護，但業務的安全需求發生變化時，就很難進行調整或調整的影響面很大，這種安全架構很難適應當前不斷變化的業務需求。傳統網絡安全架構示意圖如下：

圖1 傳統串聯式網絡安全架構示意圖

      自適應網絡安全架構——通過建立一個獨立的安全服務層，所有安全設備都部署在安全服務層中，并根據不同業務的安全需求動態調用相應的安全服務，實現按需的服務，同時安全功能的變化都不會影響到現有的服務，架構的擴展性和靈活性很高。自適應網絡安全架構示意圖如下：

圖2 自適應網絡安全架構示意圖

結束語

企業網絡的安全防護邊界不僅僅是外網出口，還包括內部網絡的接入層，因此一個完善的網絡安全防護體系必須從網絡基礎設施做起，所有網絡接入設備都應具備自我防御的能力，同時需要構建一個自適應的安全架構，能夠根據不同業務的安全需求集成和調用相應的安全服務。