? 管理与监控——EAD提供了集接入策略、安全策略、服务策略、安全事件
监控于一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合,强制实施终端安全配置(如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等),监控用户终端的安全事件(如查杀病毒、修改安全设置等)。
? 以防火墙为核心的内网访问控制
为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,H3C提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块,通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。
SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起,使得交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务。防火墙模块主要实现对企业网络的监控和业务的约束,插入交换机中实现企业网络和园区网络的安全隔离。
SecBlade 防火墙模块主要对需要保护的区域进行策略定制和控制,可以支持所有报文的安全检测,同时SecBlade 防火墙模块支持多安全区域的设置,支持SECURE VLAN,对于需要防火墙隔离或保护的VLAN区域,用户可以将SECURE VLAN绑缚到其中的一个SecBlade 防火墙插卡模块上,这样可以通过设置SECURE VLAN支持对交换机内网之间(不同VLAN之间)访问的策略定制和安全检测。
此外,端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。 ? 交换机安全特性实现网络自身安全保障
以太网在设计时没有考虑安全性的要求,这造成了以太网自身存在很多的安全隐患,正是这种原因,目前出现了从攻击主机向攻击网络资源转变的趋势。
基于H3C在以太网安全领域积累的大量经验,在H3C交换机产品中提供了大量的安全特性,可以充分保障以太网的安全。这些安全特性同时也是内网安全解决方案中很多功能实现的基础,例如在EAD解决方案中就使用到了接入交换机的Port Security特性。这些安全特性包括:
? 接入控制技术——Port Security ? 接入安全技术——防IP伪装
? 防中间人攻击——STP Root / BPDU 保护 ? 防ARP欺骗 ? DHCP server 保护 ? 路由协议攻击防护能力
以上特性的详细信息可参考H3C交换机操作手册。 典型部署
内网安全解决方案的典型部署如下图所示:
内网安全解决方案典型组网
全网都要部署具有丰富安全特性的交换机产品,这是内网安全实现的基础。根据内网应用的要求设计VLAN,并通过SecBlade防火墙安全插卡实现VLAN之间的访问控制,结合交换机的端口隔离特性实心VLAN内的访问限制。
在所有的终端上部署EAD解决方案所需的iNode客户端,对终端的安全策略进行检查,检查的结果将送至部署于网络管理区域的CAMS安全策略服务器,在同样部署于网络管理区的病毒库服务器和补丁服务器的配合下,结合交换机的Port Security安全特性,实现检查、隔离、修复以及管理监控的端点准入防御功能。 方案特点
H3C内网安全解决方案具有以下特点:
? 企业级安全策略实施
本方案不仅仅可以在网络设备上实施统一的安全策略,还可以实施终端安全策略,以达到企业级安全策略统一实施的目的。
? 可扩展的安全解决方案
本方案是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备进行简单升级,即可实现。
? 灵活方便的部署与维护
SecBlade防火墙模块在提供精细化的VLAN间访问控制的同时,也简化了整个系统的部署与维护。而EAD方案则可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。
H3C 综合病毒防护方案
随着互联网的发展,病毒问题越来越严重,以金钱和利益为直接目的的病毒呈现明显上升趋势,更是威胁企业的经济利益。随着病毒和黑客攻击的融合,以及借助于网络和即时通讯、U盘等多元化传播手段,病毒威胁呈现的混合型、网络化、越来越快的趋势。面对新形
势下的病毒威胁,传统防病毒产品孤立的单点部署的防范模式已经不能适应反病毒的要求,反病毒技术迫切需要建立联合各种技术手段和管理措施的统一战线。另一方面,企业的分支机构和不同部门形成了具有一定规模的网络,需要建立机制来防范病毒在总部以及这些分支机构之间的传播和泛滥。享受互联网带来的商业机会,但同时避免病毒攻击等的侵扰成为企业的难题。
H3C综合病毒防护解决方案从企业整体网络安全角度出发,建立一个全面立体的综合病毒防护体系,为病毒防御部署下天罗地网,全面提升企业的信息安全水平。通过部署H3C综合病毒防护解决方案,企业可以避免病毒攻击带来的损失以及对业务流程的影响,从而降低企业的运营风险,并且可以减少为恢复需要的人力、时间等成本。 方案概述
H3C 综合病毒防护解决方案针对企业的网络整体,包括分支机构以及远程接入用户,整合了桌面防病毒策略、互联网出口防病毒策略、网络接入控制与终端安全策略、网络攻击防御、安全监控和策略联动等多个方面的技术和防范措施。
该方案可以分为互联网病毒防护、桌面病毒防护、攻击防护、病毒入侵监控和响应等组件。各个方案组件可以单独部署,也可以灵活组合,针对用户的当前需求实现定制解决方案,解决关键问题的同时节省投资,实现逐步部署。完成该方案的整体部署,可以实现病毒威胁的全方位预防、实时监控、全面分析、快速响应,提供给企业一个强大的病毒防御体系。H3C综合病毒防护方案实现统一的管理策略,与部署并维护多个单点的防病毒产品相比,这降低了维护的成本和复杂度,提高企业的运行效益。 2.方案部署
H3C综合病毒防护解决方案包括互联网病毒防护、桌面病毒防护、攻击防护、病毒入侵监控和响应等组件。
互联网病毒防护:
H3C ASM防病毒模块解决企业针对网络病毒的防护问题,在互联网出口和网络边缘进行病毒查杀,可以很好地防御目前流行的混合型的病毒蠕虫等安全威胁。另外,部署在互联网出口网关设备上的ASM可以针对VPN的流量进行病毒查杀,从而可以防止公司总部和各分支机构之间的病毒传播。
H3C ASM防病毒模块作为独立的硬件部署在H3C防火墙或路由器等产品上,具有性能高、可靠性高的特点;具备断电保护、可以实现冗余备份,负荷分担。另外,H3C ASM防病毒模块具有如下特点:
? 先进的体系构架:H3C ASM防病毒模块是专门的硬件平台,其病毒查杀引擎不占用
防火墙/路由器的硬件资源,不影响网络处理性能,实现网络设备对防病毒功能的无缝扩展。
? 完备的防御模式:ASM 防病毒模块采用了业界领先的防病毒引擎以及“虚拟化”
技术,有效的解决了变种病毒以及加壳病毒的查杀问题。
? 强大的日志审计:支持Syslog和Mysql日志记录格式,可按照用户设置的最长时
间进行滚动保存,用户可以进行日志实时异地存储备份。ASM对系统的各项功能都提供了日志记录以及多种查询方式。