企业内网安全解决方案

 1.企业寻求安全的道路艰辛

 在企业网络中，为了避免数据泄密的问题，有的企业采用的内外网物理分离的策略，员工上网查资料需要到指定的地点， 工作效率低下；有的企业强部桌管，做上网行为审计，员工抵触情绪大，信息资源部忙于终端的维护。员工能够高效的工作，是企业网络安全运行的前提条件，在防泄密措施和员工上网的体验之间找到平衡成为目前企业急需解决的问题。

2. 看似纷繁的问题却有一样的解决办法

从数据泄密的方式来看分为主动泄密和被动泄密。主动泄密，防不胜防，并且无法根除，管理主动泄密的层面远远超过了网络管理，而被动泄密却可以通过网络层面解决。采用锐捷企业内网安全解决方案使企业防泄密和员工上网工作效率之间达到了完美的平衡。

对于要接入网络的用户，企业内网安全解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行访问权限的划分，实名制流量的控制，并对应用安全域进行指定和划分，从而对内网安全进行了良好的保护。

企业内网安全解决方案示意图：

3.方案价值 

3.1局域网安全准入防护

在企业网内部，接入终端一般是通过交换机接入企业网络，SMP通过与交换机的联动，提供统一的身份管理模式，对接入内网的用户进行身份合法性验证。没有合法身份的用户被隔离在内网之外，无法登录访问网络，阻止来自企业内部的安全威胁。

3.2安全域划分--兼顾内外网的安全与高效

根据业务不同，将网络化为不同的安全域，如互联网访问域和业务域.根据身份的不同，为每个员工提供不同的安全域访问权限.同一时刻只能访问一个安全域，确保不同域之间隔离.提供便捷访问列表，方便快捷的业务直达。 

3.3安全域的便捷跳转

出于安全考虑，将网络中的业务划分为多个不同的网络区域，并互相隔离，但为了终端用户方便的使用，还提供同一终端对于不同安全域的方便的访问和跳转，这样让网络的安全建设不影响到最终用户对于网络的使用。 

3.4非法外连检测与防御--兼顾防泄密与用户体验   

如果说网络访问控制系统（NAC）是网络准入的一道大堤，保障网络的安全，那么形形色色的“非法外连”行为，就是让这道大堤毁于一旦的蚁穴。用户不受控的“非法外连”，让我们辛辛苦苦建立起来的网络安全体系变成了形同虚设的“马其顿防线”，也打通了外部病毒、木马、网络攻击通往内网，以及内部机密信息流向外网的一个“秘密通道”，更可怕的是，这种非法连接都是在网络管理人员不知情的情况下发生的，无法精确布防，在安全、泄密事件发生后，无法追根溯源，着实是让网络管理人员极其头痛的一个顽疾。  

企业内网安全解决方案采取多种防范非法外连技术，针对计算机采用双网卡、拨号、代理等方式进行有效的防御。甚至内网终端被拿到外部使用的“极端”情况，企业内网安全解决方案也可以有效地解决。使得非法外连的PC，可以直接被踢下线，让违规用户无法连接内部网络，避免用户对内网造成的安全威胁。同时，会将用户的非法外连行为记录在案，以备后期审计查看。

3.5有线无线一体化

对于外来访客和企业内部的移动用户，使用WLAN无线网卡接入企业网络的情况越来越多，这带来了许多安全问题，SMP通过与FAT AP、AC无线控制器等无线设备的联动，强制用户在使用无线网络之前，必须先进行身份认证。