【正文】 、S3900、S5600 等系列交換機(jī)、華為MA5200F等設(shè)備配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn)準(zhǔn)入控制。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。我們經(jīng)常見(jiàn)到的情況是，新的補(bǔ)丁發(fā)布，卻無(wú)人理會(huì)，任由系統(tǒng)漏洞的存在。注 1：隔離區(qū)是指端點(diǎn)用戶在通過(guò)安全認(rèn)證之前允許訪問(wèn)的一組主機(jī)的集合。注 3：補(bǔ)丁更新是指從補(bǔ)丁服務(wù)器下載軟件補(bǔ)丁到客戶機(jī)，并進(jìn)行安裝與生效處理的全過(guò)程。這種方式下，” 終端接入安全體系 ”系統(tǒng)與微軟補(bǔ)丁系統(tǒng)是相互獨(dú)立的，可以不依賴于對(duì)方而完成自有功能。12 / 44. 安全準(zhǔn)入工作流程? 身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。? 安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。在中心認(rèn)證服務(wù)器上部署安全策略，對(duì)違規(guī)行為進(jìn)行定義，下發(fā)到客戶端，提高客戶端對(duì)于重要安全策略的響應(yīng)，最大限度的減少誤操作給中石油帶來(lái)的經(jīng)濟(jì)、信息損失。同時(shí)支持客戶端自動(dòng)升級(jí)。? 防病毒聯(lián)動(dòng)：主要包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫(kù)和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后，”終端接入安全體系”定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問(wèn)限制在隔離區(qū)。當(dāng)前支持的弱AV聯(lián)動(dòng)支持的防病毒軟件有：諾頓、趨勢(shì)、 McAfee 和安博士。? 軟件安裝和運(yùn)行檢測(cè)：檢測(cè)終端軟件的安裝和運(yùn)行狀態(tài)。? 接入時(shí)間、區(qū)域控制：可以限制用戶只能在允許的時(shí)間和地點(diǎn)（接入設(shè)備和端口）上網(wǎng)。? 安全狀態(tài)監(jiān)控：定時(shí)監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。. 組網(wǎng)圖示圖表 1 接入層”終端接入安全體系”應(yīng)用組網(wǎng). 組網(wǎng)設(shè)備目前 S3000 以上系列接入層交換機(jī)多款交換機(jī)支持”終端接入安全體系” 解決方案，主要包括：17 / 44? S3050C? S3026E/C/G/T? S5012/24? S3900系列. 方案說(shuō)明? 用戶終端必須安裝H3C客戶端，否則將不能接入網(wǎng)絡(luò)或者只能訪問(wèn)隔離區(qū)的資源。? CAMS自助服務(wù)器（可選）可以為用戶提供基于WEB的自助服務(wù)，如修改密碼、查看上網(wǎng)明細(xì)等，建議部署于隔離區(qū)。. 流程說(shuō)明“終端接入安全體系”方案可以依據(jù)角色對(duì)網(wǎng)絡(luò)接入用戶實(shí)施不同的安全檢查策略并授予不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限。此時(shí)，用戶只能訪問(wèn)補(bǔ)丁服務(wù)器、防病毒服務(wù)器等安全資源，因此不會(huì)受到外部病毒和攻擊的威脅。6. 如果用戶補(bǔ)丁升級(jí)不成功，用戶仍然無(wú)法訪問(wèn)其他網(wǎng)絡(luò)資源，回到步驟47. 用戶可以正常訪問(wèn)其他授權(quán)（ACL、VLAN）的網(wǎng)絡(luò)資源。特定的服務(wù)器只能由被授權(quán)的用戶訪問(wèn)。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來(lái)的安全風(fēng)險(xiǎn)。19 / 44. 組網(wǎng)圖示圖表 2 匯聚層”終端接入安全體系”應(yīng)用組網(wǎng). 組網(wǎng)設(shè)備實(shí)際上沒(méi)有嚴(yán)格的接入層和匯聚層設(shè)備之分，通常用于匯聚的交換機(jī)均實(shí)現(xiàn)了對(duì)”終端接入安全體系” 解決方案的支持，包括以下設(shè)備：? S3526E/C系列? S3528/52系列? S5600系列? S6500系列根據(jù)網(wǎng)絡(luò)規(guī)模不同，這些設(shè)備通常也可以作為接入層設(shè)備使用。匯聚層”終端接入安全體系”應(yīng)用組網(wǎng)模式下，認(rèn)證設(shè)備下掛接入層設(shè)備，如果接入層設(shè)備端口不作 VLAN 劃分，用戶終端之間將可實(shí)現(xiàn)互訪。許多企業(yè)對(duì)于企業(yè)網(wǎng)絡(luò)用戶訪問(wèn)外網(wǎng)的安全非常關(guān)注，要求在網(wǎng)絡(luò)用戶訪問(wèn)外網(wǎng)時(shí)，進(jìn)行嚴(yán)格的身份認(rèn)證和終端安全檢查，保證只有授權(quán)的用戶才能訪問(wèn)外網(wǎng)，并且用戶終端不存在系統(tǒng)漏洞，安裝并運(yùn)行了企業(yè)要求的防病毒軟件，不致成為網(wǎng)絡(luò)黑客、非法訪問(wèn)者攻擊企業(yè)內(nèi)部網(wǎng)絡(luò)的跳板。在用戶希望對(duì)原有網(wǎng)絡(luò)改動(dòng)最小的情況下，可以將MA5200旁掛在網(wǎng)絡(luò)出口核心設(shè)備上，提供用戶接入控制功能。22 / 44. 流程說(shuō)明在 Web 認(rèn)證方式下，用戶的身份認(rèn)證、訪問(wèn)控制和安全認(rèn)證流程同接入層準(zhǔn)入控制基本相同。. 實(shí)施效果1. 由于在網(wǎng)絡(luò)出口設(shè)備上部署了Portal認(rèn)證，所有非授權(quán)用戶將不能訪問(wèn)外網(wǎng)。. “終端接入安全體系”應(yīng)用模式“終端接入安全體系”解決方案按照應(yīng)用模式可分為隔離模式、警告模式、監(jiān)控模式，三種模式對(duì)于實(shí)現(xiàn)的終端安全狀態(tài)監(jiān)控功能各有不同，對(duì)安全設(shè)備的要求也不相同。. 警告模式某些應(yīng)用環(huán)境下，不需要根據(jù)用戶終端的安全狀態(tài)嚴(yán)格控制用戶終端的訪問(wèn)權(quán)限，可以采用警告模式部署”終端接入安全體系 ”解決方案的應(yīng)用。網(wǎng)絡(luò)管理員可在 CAMS 安全策略服務(wù)器的管理界面中實(shí)現(xiàn)對(duì)用戶終端安全狀態(tài)的監(jiān)控，了解用戶終端的安全信息。XLog 用戶行為審計(jì)系統(tǒng)提供 日志， 日志，NetStreamV5 日志，DIG 流日志以及 DIG 摘要日志的查詢審計(jì)功能，網(wǎng)絡(luò)管理員可以根據(jù)網(wǎng)絡(luò)日志對(duì)上網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行審計(jì)。針對(duì)不同的日志類型，管理員可以獲得不同的用戶行為審計(jì)信息：24 / 44 日志：包括經(jīng)過(guò) NAT 轉(zhuǎn)換前的源 IP 地址、源端口，經(jīng)過(guò) NAT 轉(zhuǎn)換后的源 IP 地址、源端口，所訪問(wèn)的目的 IP、目的端口、協(xié)議號(hào)、開(kāi)始時(shí)間、結(jié)束時(shí)間等關(guān)鍵信息。 日志內(nèi)容為 IP 層數(shù)據(jù)報(bào)文信息，其中包含數(shù)據(jù)報(bào)文的流量信息和協(xié)議類型信息，而 日志內(nèi)容為應(yīng)用層協(xié)議數(shù)據(jù)報(bào)文信息，包含數(shù)據(jù)報(bào)文的摘要信息。NetStream V5 日志：包括日志的開(kāi)始時(shí)間、結(jié)束時(shí)間、協(xié)議類型、源 IP 地址、目的 IP 地址、服務(wù)類型、入接口、出接口、報(bào)文數(shù)、字節(jié)數(shù)、流數(shù)、總激活時(shí)間、操作字、日志類型等信息。25 / 44. 組網(wǎng)應(yīng)用. NetStream/NAT/FLOW 日志審計(jì)組網(wǎng)方式該組網(wǎng)可以為中石油內(nèi)網(wǎng)用戶提供網(wǎng)絡(luò)日志審計(jì)功能，以便于跟蹤訪問(wèn)非法站點(diǎn)的用戶行為。該組網(wǎng)方式下，需要配套設(shè)備支持 NAT、FLOW 或 NetStream 日志輸出。最后通過(guò)策略的配置實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中應(yīng)用層數(shù)據(jù)信息的過(guò)濾與審計(jì)。IPS 較之 IDS 有非常大的應(yīng)用優(yōu)勢(shì)，其強(qiáng)大的數(shù)據(jù)處理能力，在線部署的方式和非常小的漏報(bào)、誤報(bào)率，使得 IPS 產(chǎn)品迅速在國(guó)內(nèi)的政府、銀行、企業(yè)中推廣開(kāi)來(lái)。高性能的入侵防御系統(tǒng)能作為虛擬軟件補(bǔ)丁，保護(hù)網(wǎng)絡(luò)中尚未安裝補(bǔ)丁、具有漏洞的計(jì)算機(jī)免于遭受侵害。 為使 IPS 提供實(shí)用的虛擬軟件補(bǔ)丁解決方案，它必須能同時(shí)完成多個(gè)前端工作。采用流水線與大規(guī)模并行處理融合技術(shù)的 TSE 可以對(duì)一個(gè)報(bào)文同時(shí)進(jìn)行幾千種檢測(cè)，從而將整體的處理性能提高到空前水平。. 無(wú)處不在的安全保護(hù)IPS 在跟蹤流狀態(tài)的基礎(chǔ)上，對(duì)報(bào)文進(jìn)行 2 層到 7 層信息的深度檢測(cè)，可以在蠕蟲(chóng)、病毒、木馬、DoS/DDoS、后門(mén)、Walkin 蠕蟲(chóng)、連接劫持、帶寬濫用等威脅發(fā)生前成功地檢測(cè)并阻斷，而且，IPS 也能夠有效防御針對(duì)路由器、交換機(jī)、DNS 服務(wù)器等網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施的攻擊。在撰寫(xiě) SANS Risk 公告的同時(shí)，IPS 的專業(yè)團(tuán)隊(duì)同時(shí)跟蹤其它知名安全組織和廠商發(fā)布的安全公告；經(jīng)過(guò)跟蹤、分析、驗(yàn)證所有這些威脅，生成供 IPS 使用的可以保護(hù)這些漏洞的特征知識(shí)庫(kù) – 數(shù)字疫苗，它針對(duì)漏洞的本質(zhì)進(jìn)行保護(hù)，而不是根據(jù)特定的攻擊特征進(jìn)行防御。圖 IPS 提供數(shù)字疫苗服務(wù)因此，具備的的超高性能與精確阻斷能力的 IPS 產(chǎn)品，徹底重新定義了網(wǎng)絡(luò)安全的內(nèi)涵，并且從根本上改變了保護(hù)網(wǎng)絡(luò)的方式，可以幫助客戶實(shí)現(xiàn)持續(xù)降低 IT 成本，持續(xù)提高 IT 生產(chǎn)率的目標(biāo)。另外，應(yīng)該能夠?qū)σ恍┏Ｒ?jiàn)的高層協(xié)議，提供細(xì)粒度的控制和過(guò)濾能力，比如可以支持 WEB 和 MAIL 的過(guò)濾，可以支持 BT 識(shí)別并限流等能力；用戶管理的需求：內(nèi)部網(wǎng)絡(luò)用戶接入局域網(wǎng)、接入廣域網(wǎng)或者接入 Inter，都需要對(duì)這些用戶的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，包括對(duì)用戶進(jìn)行身份認(rèn)證，對(duì)用戶的訪問(wèn)資源進(jìn)行限制，對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制等；. 防火墻部署解決方案防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)措施，它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP 地址和 TCP/IP 服務(wù)端口等的訪問(wèn)控制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊（ping of 34 / 44death, land, syn flooding, ping flooding, tear drop, …）、端口掃描（port scanning）、IP 欺騙(ip spoofing)、IP 盜用等進(jìn)行有效防護(hù)；并提供 NAT 地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP 與 MAC綁定等安全增強(qiáng)措施。基于這種需求，我們建議進(jìn)行如下防火墻部署：? 設(shè)備部署模式：? 如上圖所示，我們建議在總部核心交換機(jī)與廣域路由器之間配置兩臺(tái)防火墻，兩臺(tái)防火墻與核心交換機(jī)以及廣域路由器之間采取全冗余連接，保證系統(tǒng)的可靠性；? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺(tái)防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制同時(shí)保證線路的可靠性，同時(shí)可以與內(nèi)網(wǎng)動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；? 安全控制策略：41 / 44? 防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；? 配置防火墻防 DOS/DDOS 功能，對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP 報(bào)文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；? 根據(jù)需要，配置 IP/MAC 綁定功能，對(duì)能夠識(shí)別 MAC 地址的主機(jī)進(jìn)行鏈路層控制；由上往下的訪問(wèn)控制規(guī)則：? 建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，對(duì)實(shí)現(xiàn)總部網(wǎng)絡(luò)訪問(wèn)下級(jí)網(wǎng)絡(luò)的嚴(yán)格控制，只有規(guī)則允許的 IP 地址或者用戶能夠訪問(wèn)下級(jí)網(wǎng)絡(luò)中的指定的資源，以避免總部網(wǎng)絡(luò)可能會(huì)對(duì)下級(jí)網(wǎng)絡(luò)的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播；由上往下的訪問(wèn)控制規(guī)則：? 建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，對(duì)實(shí)現(xiàn)下級(jí)網(wǎng)絡(luò)訪問(wèn)總部局域網(wǎng)的嚴(yán)格控制，只有規(guī)則允許的 IP 地址或者用戶能夠訪問(wèn)總部局域網(wǎng)的指定的資源，以避免下級(jí)網(wǎng)絡(luò)中復(fù)雜的用戶可能會(huì)對(duì)總部網(wǎng)絡(luò)的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播；? 其他可選策略：? 可以啟動(dòng)防火墻身份認(rèn)證功能，通過(guò)內(nèi)置數(shù)據(jù)庫(kù)或者標(biāo)準(zhǔn) Radius 屬性認(rèn)證，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證后進(jìn)行資源訪問(wèn)的授權(quán)；? 根據(jù)需要，在兩臺(tái)防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問(wèn)控制能力；? 在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；42 / 44? 啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效的記錄和統(tǒng)計(jì)分析；? 設(shè)備選型建議：? 我們建議選擇 1000F/100F 防火墻，詳細(xì)的產(chǎn)品介紹見(jiàn)附件；. 防火墻部署方案特點(diǎn)? 高安全：防火墻的安全特性主要體現(xiàn)在以下幾個(gè)方面：? 防火墻自身的安全性：指防火墻抵抗針對(duì)防火墻系統(tǒng)自身攻擊的風(fēng)險(xiǎn)，很多防火墻自身都存在一些安全漏洞，可能會(huì)被攻擊者利用，尤其是一些基于 Linux 操作系統(tǒng)平臺(tái)的防火墻；? 防火墻安全控制能力：主要指防火墻通過(guò)包過(guò)濾、代理或者狀態(tài)檢測(cè)等機(jī)制對(duì)進(jìn)出的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層的控制，一般防火墻都支持狀態(tài)檢測(cè)機(jī)制，狀態(tài)檢測(cè)已經(jīng)是一種比較成熟的模式，不存在太多的差別，關(guān)鍵的差別在于對(duì)不同應(yīng)用協(xié)議的支持能力，尤其是一些語(yǔ)音、視頻等相關(guān)的協(xié)議；? 防火墻防御 DOS/DDOS 攻擊的能力：所有的 DOS/DDOS 攻擊的流量只要經(jīng)過(guò)防火墻，防火墻必須有足夠強(qiáng)的能力處理這些數(shù)據(jù)流，并且能把這些惡意數(shù)?；谏鲜鰞蓚€(gè)的關(guān)鍵特性，我們建議進(jìn)行以下設(shè)備部署模式和配置策略的建議：? 設(shè)備部署模式：? 如上圖所示，我們建議在兩臺(tái)核心交換機(jī)與兩臺(tái)數(shù)據(jù)中心交換機(jī)之間配置兩臺(tái)防火墻，兩臺(tái)防火墻與兩臺(tái)核心交換機(jī)以及兩臺(tái)數(shù)據(jù)中心交換機(jī)之間采取全冗余連接；? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺(tái)防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制的同時(shí)保證線路的可靠性，同時(shí)可以與動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；? 安全控制策略：? 防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；? 建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，配置只有規(guī)則允許的 IP 地址或者用戶能夠訪問(wèn)數(shù)據(jù)中心中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對(duì)數(shù)據(jù)中心服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會(huì)對(duì)數(shù)據(jù)中心的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播，保護(hù)數(shù)據(jù)中心的核心數(shù)據(jù)信息資產(chǎn)；? 配置防火墻防 DOS/DDOS 功能，對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供 AR