对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。根据以上原则,H3C提出以下的安全分区设计模型,主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。
通过以上的分区设计和网络现状,H3C提出了以防火墙、VPN和应用层防御系统为支撑的深度边界安全解决方案:
路由器
路由器在网络中承担路由转发的功能,它们讲流量引导进入网络、流出网络或者在网络中传输,由于边界路由器具有丰富的网络接口,一般置于internet出口或广域网出口,是流量进入和流出之前我们可以控制的第一道防线。
防火墙
防火墙是最主流也是最重要的安全产品,是边界安全解决方案的核心。它可以对整个网络进行区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
由于防火墙部署位置的先天优势,在防火墙中提供了病毒防护和网络流量实时监控功能。
防病毒
通过开启病毒防护可以在网关处抵御了网络中病毒、木马等威胁的传播,保护网络内部用户免受侵害。采用ASM实现了网关病毒防御,改变了原有被动等待病毒感染的防御模式,实现网络病毒的主动防御,切断病毒在网络边界传递的通道。
网流监控
通过启用流量监控功能可以实时收集网络流量信息,分析网络应用情况,可以识别分析一百多种协议,包括P2P等应用层协议。NSM(用于防火墙)/NAM(用于路由器)模块可以将收集的信息存储在本地,或远端服务器,为用户提供优化和再投资的依据。
VPN
VPN(Virtual Private Network,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。VPN只为特定的企业或用户群体所专用。从用户角度看来,使用VPN与传统专网没有任何区别。VPN作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN资源不会被网络中的其它VPN或非该VPN用户使用;另一方面,VPN提供足够安全性,能够确保VPN内部信息的完整性、保密性、不可抵赖性。
VPN具有成本低、易扩展、高安全等优点,尤其是免客户端的SSL VPN,进一步降低企业用户的投入。通过公用网来建立VPN,可以节省大量的通信费用,并且可以灵活的增加和删除VPN节点。通过VPN,可以在远端用户、分支机构、合作伙伴、供应商与公司总部之间建立可靠的安全连接,保证数据传输的安全。利用公共网络进行信息通讯,一方面使企业以明显更低的成本连接远地办事机构、出差人员和业务伙伴,另一方面极大的提高了网络的资源利用率。
应用层防御
传统的安全解决方案中,防火墙和入侵检测系统 (IDS,Intrusion Detection System) 已经被普遍接受,但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备,不能充分地分析应用层协议数据中的攻击信号,而IDS也不能阻挡
检测到的攻击。因此,即使在网络中已部署了防火墙、IDS等基础网络安全产品,IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。
以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过在线部署,检测并直接阻断恶意流量。
方案特点
全面防护
通过对安全区域的设计、配合病毒防护和流量监控功能,在网络边界部署防火墙、VPN、IPS等安全设备,不仅能够保证2至7层的安全,同时也保证了数据传输的安全性,形成动态、立体、深层次的全面安全防护;
VPN特性丰富
H3C安全解决方案的VPN特性非常丰富,包括适用于分支机构的动态VPN(DVPN)解决方案、适用于MPLS VPN和IPSec VPN环境下的VPE解决方案、适用于链路备份的VPN高可用方案等,可以满足各种VPN环境的需要;
深层防护
通过H3C防火墙和IPS的部署,可以形成有效的深层次安全防护。如对蠕虫的传播和攻击进行防御、对P2P应用禁止和限流、对服务器的虚拟软件补丁管理、抵抗DoS/DDoS的攻击等等。 典型组网应用
在企业互联网出口部署防火墙和VPN设备,分支机构及移动办公用户分别通过VPN网关和VPN客户端安全连入企业内部网络;同时通过防火墙和IPS将企业内部网、DMZ、数据中心、互联网等安全区域分隔开,并通过制定相应的安全规则,以实现各区域不同级别、不同层次的安全防护。 内网安全解决方案 前言
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
一般说来,内网安全应该考虑以下问题: ? 终端安全策略部署
终端安全是内网安全的核心问题,终端安全策略的部署也就是内网安全的最主要部分。但是受限于终端用户安全应用水平,如何确保网络中的终端安全状态符合企业安全策略,却是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端,是一项费时费力的工作,往往造成企业安全策略与终端安全实施之间存在巨大的差距。 ? 内网访问控制部署
传统上,在内网是通过划分VLAN,配合ACL进行访问控制,这虽然可以在一定程度上实现内网访问控制,却难以做到比较精细的安全控制,同时也可能会影响到VLAN间用户的访问,从而影响网络的使用效率。对于部分交换机,ACL数量的增加会导致严重的性能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。 ? 网络自身安全保障
目前在内网安全事件中,出现从攻击主机转为攻击网络资源的趋势,而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。 方案概述
H3C的内网安全解决方案考虑到内网安全的方方面面,针对上述内网安全的主要问题都提出了有针对性的技术,这些技术相互关联、相互配合,形成完善的内网安全解决方案。 ? 端点准入防御解决终端合规性问题
为了解决现有安全防御体系中存在的不足,H3C推出了端点准入防御(EAD),旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。
EAD将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
EAD方案通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括:
? 检查——检查用户终端的安全状态,配合不同方式的身份验证技术(802.1x、
VPN、Portal等),可以确保接入终端的合法与安全。
? 隔离——隔离违规终端。不符合企业安全策略的终端,将被限制访问权限,
只能访问“隔离区”内的病毒库/补丁服务器等用于系统修复的网络资源。 ? 修复——强制安装系统补丁、升级防病毒软件。