1.2.6 防病毒模块
防病毒模块ASM是应用于H3C SecPath防火墙/MSR路由器中的防病毒安全模块,具有查杀毒能力强、易部署、成本低、配置管理方便等特点。ASM防病毒模块可以快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透,防御外部网络的蠕虫病毒、后门木马和垃圾邮件侵袭;采用面向对象的高稳定性设计和高应变型智能引擎,可以识别和处理未知病毒,降低网络风险;支持在线实时升级功能,能够实时升级病毒特征库及病毒引擎;支持对知名协议和文件的识别、处理,并且可以定制相应病毒防范策略。 一体化的安全保护
ASM嵌入防火墙/路由器中,在不改变原组网结构的情况下,与防火墙/路由器配合完成查杀病毒的工作,为用户提供一体化的安全保护。 先进的系统架构
先进的H3C OAA开放应用架构,确保ASM在各种情况下都不会影响防火墙/路由器的正常业务。独立的操作系统、CPU、内存和硬盘等计算资源,提供了高性能病毒查杀能力;动态的检测技术,有效规避了单点故障。 全面病毒防御
通过报文深度检查、识别应用层信息、协议命令入侵检测和阻断、蠕虫病毒防护以及先进的数据包验证机制,可以控制各种蠕虫网络攻击、后门木马和垃圾邮件扫描,并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。 完备防御模式
ASM支持“变种共性特征比对”技术,可以实现对各种未知病毒的防御,最大程度降低用户损失。支持对各类文件类型进行病毒防御,可以设置多种防范策略。
强大日志审计
可按照用户设置的最长时间进行滚动保存;支持Syslog和Mysql日志记录格式,提供日志实时备份模块,能够实现日志异地存储。提供各种日志功能、流量统计和分析功能、事件监控和统计功能、邮件告警功能。当户的邮件中含有病毒时,ASM会把病毒信息清除后的邮件发送给收件人,并在邮件中标明该邮件感染过何种类型的病毒。 高效的流引擎
当用户访问网络时,防病毒功能实时检查传输流量,如果在流量中发现病毒,ASM将主动断开与客户端的连接,防止病毒信息对用户环境造成破坏。 友好的配置
ASM提供Web和命令行访问方式,具有友好、灵活和直观的操作界面,降低管理人员的配置工作。
1.3 安全管理组件职能
1.3.1 iMC智能管理中心平台
随着网络建设的不断深入发展,除了单纯的追求高带宽、高速率外,安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点,网络精细化管理也越来越深入人心,一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。
基于多年的积累和对用户网络的深入理解,H3C智能管理中心(intelligence Management Center,iMC)平台(以下简称iMC平台)为用户提供了实用、易用的网络管理功能,在网络资源的集中管理基础上,实现拓扑、故障、性能、配置、安全等管理功能,不仅提供功能,更通过流程向导的方式告诉用户如何使用功能满足业务需求,为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络,iMC平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖网络管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。
其余软件均为IMC平台的组件进行部署和安装。(在第九章校园管理)
1.3.2 UBA用户行为审计组件
iMC UBA用户行为审计组件通过与多种网络设备共同组网,用来对终端用户的上网行为进行事后审计,追查用户的非法网络行为,满足相关部门对用户网络访问日志进行审计的硬性要求。
UBA用户行为审计组件提供NAT1.0日志、FLOW1.0日志、NetStream V5日志、DIG日志的查询审计功能,网络管理员可以根据网络日志对上网用户的网络行为进行审计。
全面的日志采集
UBA用户行为审计组件可支持多种网络日志的采集(包括NAT1.0、FLOW1.0、NetStream V5),对于不支持上述日志的设备,可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG格式的日志。
?
分布式部署
UBA用户行为审计组件采用分布式的体系结构,支持多点采集,统一Web界面审计分析,可以同时采集多个设备的日志信息,为网络管理员监控网络提供了灵活有效的支持。
?
强大的日志审计功能
UBA用户行为审计组件可根据用户需要,通过接入用户名、上网时间、用户访问网页的URL、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计,并对审计结果提供灵活的排序、分组、保存等功能。
网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果,日志审计包括:
? 通用日志审计:审计内容包括接入用户名、用户上网起止时
间、来源/目的IP地址、来源/目的端口、使用的协议及应用名。
? Web访问审计:审计内容包括接入用户名、用户上网起止时
间、来源/目的IP地址、端口、用户访问的站点、用户访问的网页等。 ? 文件传输审计:审计内容包括接入用户名、用户传输文件起
止时间、来源/目的IP地址、端口、ftp用户名、传输文件名、传输方式(上传/下载)等。 ? 邮件审计:审计内容包括接入用户名、邮件发送时间、来源/
目的IP地址、发件人、收件人、邮件主题等。 ? 地址转换审计:审计内容包括接入用户名、用户上网起止时
间、来源/目的IP地址、来源/目的端口、使用的协议及应用名、NAT转换后IP地址/端口等。
图1-1 日志审计界面
?
基于用户的行为审计
结合EAD端点准入解决方案,UBA用户行为审计组件可高效地管理网络用户,建立详细的用户访问互联网的日志,提供行之有效的网络管理和用户行为跟踪审计策略,帮助管理员分析用户的上网行为。
?
七层应用审计
端口不固定的应用,如P2P等应通过报文应用层数据的特征进行识别。基于七层应用的识别和分类,UBA可基于用户全面审计网络中的七层应用使用信息。
组件已经将大部分常见的端口不固定的应用设定为组件预定义的应用,如:
BT、DC、eDonkey、Gnutella、 Kazaa、MSN、QQ、AIM等。用户可根据需要,定义其它的应用识别。七层应用识别只对DIG日志有效,对其他类型的日志无效。
?
任务式审计
UBA用户行为审计组件提供基于任务的自动跟踪审计功能,可以根据接入用户名、用户访问网页的URL等各种查询审计条件灵活制定审计任务。任务一旦制定,组件将自动跟踪审计当前时间段内满足查询条件的所有用户及日志信息。审计任务 包括:地址转换、Web访问、文件传输、邮件、通用等多种类型。
?
日志转储
UBA用户行为审计组件支持对海量日志进行转储。用户可以将敏感日志和由于数据库空间限制无法存储的日志定时导出到数据文件中进行异地保存,同时组件提供转储日志查询工具,用户可直接对转储日志进行查询操作。
?
审计报表
UBA系统提供专业的报表,包括访问站点、会话数、应用分布、未知应用的TopN报表,SMTP、HTTP、FTP的应用分析报表,每种报表都可以按照天、周等周期和图形、列表等形式输出。通过使用这些自带的报表,管理员可以非常清楚的了解当前用户对网络的使用情况。