论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　根据以上Internet出口安全需求分析，需要在Internet出口部署防火墙、IPS、LB、ACG等安全设备，以实现对Internet出口的立体防护，并实现对Internet出口流量的智能控管。

　　2.1.Internet出口的立体防护

　　防火墙主要工作在网络层以下，可以解决Internet出口的访问控制问题；IPS属应用层设备，可以进行深度检测，可以有效防御Internet网络上大量肆虐的具备渗透防火墙能力的木马、病毒。通过防火墙与IPS的组合，在保证性能的前提下，可实现对Internet出口网络2-7层的立体防护，有效抵御各种安全威胁。

　　为了避免防火墙成为Internet出口的性能瓶颈，要求部署在Internet出口的防火墙具备高性能NAT能力；IPS设备需具备防病毒功能，能够在进行应用层防御的同时有效防御Internet上肆虐的各种病毒。

　　2.2.Internet出口的智能选路

　　在Internet出口部署负载均衡设备可以解决出口链路的多方面问题。

　　智能选路：负载均衡设备对Internet出方向的每一个数据流的目的IP进行探测，选出最优链路进行分发。

　　解决来回路径不一致问题：在多ISP出口的应用场景中，用户对Internet提供公众服务（如WEB、邮件系统）中，由于出口路由器一般配置静态策略居多，容易出现用户请求报文与服务器响应报文来回路径不一致的情况。

　　防链路拥塞功能：在Internet出口多ISP链路情况下，要防止链路出现流量过载。负载均衡设备可以提供防链路拥塞功能来避免流量过载情况，负载均衡设备针对每条链路设置流量阈值，一般阈值略低于链路物理带宽值，当该链路的实际流量达到阈值后，后续按策略应由该链路转发的新的数据流会分发到其他低负载链路上。

　　2.3.Internet出口的流量控制

　　通过部署流量控制设备可以有效解决Internet出口带宽滥用问题：

　　应用流量分析：实时分析Internet出口各种网络应用，实现流量可视化

　　应用流量识别：分析、识别Internet出口的各种应用

　　应用流量控制：将Internet出口应用有序化、合理的使用

　　特征库升级：解决Internet出口各种新应用层出不穷的问题

　　2.4.Internet出口安全的统一管理

　　网管软件需要对部署在Internet出口的防火墙、IPS、ACG、路由器、交换机等各类IT资源的安全信息进行集中收集和管理；

　　网管软件需要通过的信息统计分析和过滤，将Internet出口中的安全事件进行关联分析并告警；

　　用户可在网管软件上定制丰富的事件报表和审计报告，实现Internet出口网络安全可视化。

　　根据以上需求分析，在Internet出口部署防火墙、IPS、ACG、LB及网管系统,能够保证Internet出口网速正常，有效防御各种攻击，控制网络资源滥用，提高出口链路的利用率，保证Internet出口网络的安全稳定运行。

　　3、结束语

　　Internet出口安全的重要性不言而喻，由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的，从来没有绝对的安全。在这种情况下，只有通过多重安全设备保障Internet出口的相对安全；同时，还需要有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，让Internet出口更安全。