【正文】 、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環(huán)境的需要?！　Psec支持兩種協(xié)議標(biāo)準(zhǔn)，鑒別首部(Authenticaion Header，AH)和封裝安全有效載荷(Encapsulation Security Payload，ESP)：AH可證明數(shù)據(jù)的起源地(數(shù)據(jù)來(lái)源認(rèn)證)、保障數(shù)據(jù)的完整性以及防止相同的數(shù)據(jù)包不斷重播(抗重放攻擊)。 IPsec 上的GRE隧道GRE（Generic Routing Encapsulation，通用路由封裝）隧道已經(jīng)應(yīng)用了很長(zhǎng)的一段時(shí)間，GRE首先由Cisco公司提出，目的是提供IP網(wǎng)絡(luò)承載其他路由協(xié)議。另外與IPsec不同，GRE允許路由協(xié)議（OSPF和BGP）穿越連接?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。因此這個(gè)時(shí)候，L2TP常和IPsec結(jié)合使用，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPsec封裝對(duì)數(shù)據(jù)進(jìn)行加密和提供完整性保護(hù)，由此保證通信數(shù)據(jù)安全傳送到目的地。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙。與復(fù)雜的IPSec VPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。SSL VPN相對(duì)IPsec VPN主要有以下優(yōu)點(diǎn)：n 方便：實(shí)施SSL VPN之需要安裝配置好中心網(wǎng)關(guān)即可。n 安全:SSL VPN是一個(gè)安全協(xié)議，數(shù)據(jù)全程加密傳輸?shù)摹VPN 提出了NBMA 類(lèi)型的隧道機(jī)制，使用Tunnel邏輯接口作為DVPN 隧道的端點(diǎn)，完成DVPN 報(bào)文的封裝和發(fā)送，同時(shí)通過(guò)Tunnel接口完成私網(wǎng)路由的動(dòng)態(tài)學(xué)習(xí)。DVPN不但繼承了傳統(tǒng)VPN的各種優(yōu)點(diǎn)，更大程度上解決了傳統(tǒng)VPN目前還沒(méi)有解決的問(wèn)題。n 支持自動(dòng)建立隧道技術(shù):DVPN中的server維護(hù)著一個(gè)DVPN域中所有接入設(shè)備的信息，DVPN 域中的client可以通過(guò)server的重定向功能自動(dòng)獲得需要進(jìn)行通信的其它c(diǎn)lient的信息，并最終在兩個(gè)client之間自動(dòng)建立會(huì)話隧道（session）。傳統(tǒng) VPN 使用第二層隧道協(xié)議（L2TP、L2F 和PPTP 等）或者第三層隧道技術(shù)（IPsec、GRE 等），獲得了很大成功，被廣泛應(yīng)用。 MPLS VPN 模型如上圖所示，MPLS VPN 模型中，包含三個(gè)組成部分：CE、PE 和P。MPLS 網(wǎng)絡(luò)中，對(duì)VPN的所有處理都發(fā)生在PE路由器上 。安全網(wǎng)關(guān)可以用于CE或PE設(shè)備。SecPath F5000A5采用多核多線程、ASIC等先進(jìn)處理器構(gòu)建分布式架構(gòu)，將系統(tǒng)管理和業(yè)務(wù)處理相分離，實(shí)現(xiàn)整機(jī)吞吐量達(dá)到40Gbps，使其具有全球最高性能的分布式安全處理能力。SecPath V100S是H3C公司面向中小型企業(yè)用戶開(kāi)發(fā)的新一代專業(yè)VPN網(wǎng)關(guān)設(shè)備。,SecPath V100E作為集IPSec VPN和SSL VPN功能與一體的專業(yè)VPN網(wǎng)關(guān)，還具有完善的防火墻功能，能夠有效的保護(hù)網(wǎng)絡(luò)安全；采用應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過(guò)程和異常命令進(jìn)行檢測(cè)；提供多種智能分析和管理手段；提供基本的路由能力，支持路由策略及策略路由；支持豐富的QoS特性。采用H3C ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，實(shí)時(shí)檢測(cè)應(yīng)用層連接狀態(tài)，實(shí)現(xiàn)37層安全防護(hù)。SecPath SSL VPN模塊系列產(chǎn)品是H3C公司面向大中型企業(yè)用戶開(kāi)發(fā)的新一代專業(yè)安全產(chǎn)品設(shè)備。 SecPath SSL VPN模塊部署模式H3C SecBlade SSL VPN模塊應(yīng)用于S7500E交換機(jī)/SR6600路由器上，提供方便、快捷的遠(yuǎn)程安全接入。 H3C ASM 防病毒模塊H3C ASM（AntiVirus Security Module）是應(yīng)用于H3C SecPath防火墻/MSR路由器中的防病毒安全模塊，具有查殺毒能力強(qiáng)、易部署、成本低、配置管理方便等特點(diǎn)。 SecBlade SSL VPN模塊的組網(wǎng)應(yīng)用 H3C NSM 網(wǎng)絡(luò)監(jiān)控模塊NSM（Network Security Monitor）網(wǎng)絡(luò)安全監(jiān)控模塊，是H3C在防火墻產(chǎn)品上開(kāi)發(fā)的流量監(jiān)控軟硬件平臺(tái)。 H3C的IPS和UTM設(shè)備IPS (Intrusion Prevention System，入侵預(yù)防系統(tǒng))是電腦網(wǎng)路安全設(shè)施，是對(duì)防病毒軟體（Antivirus Programs）和防火墻(Packet Filter, Application Gateway)的補(bǔ)充。通過(guò)深達(dá)第七層的流量偵測(cè)，H3C的入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。在提供傳統(tǒng)防火墻、VPN功能基礎(chǔ)上，同時(shí)提供病毒防護(hù)、URL過(guò)濾、漏洞攻擊防護(hù)、垃圾郵件防護(hù)、應(yīng)用層流量控制和用戶行為審計(jì)等安全功能。對(duì)于用戶身份認(rèn)證和網(wǎng)絡(luò)接入控制的方法有很多，不過(guò)對(duì)我們而言不是部署的安全措施越多越好，而是在合適的位置根據(jù)合理的要求來(lái)部署安全措施。H3C廠商的設(shè)備主要支持RADIUS和HWTACACS兩種協(xié)議。每個(gè)RADIUS 方案的屬性包括：主服務(wù)器的IP 地址、從服務(wù)器的IP 地址、共享密鑰以及RADIUS 服務(wù)器類(lèi)型等。 Telnet 用戶的Radius 認(rèn)證典型組網(wǎng)圖HWTACACS（HUAWEI Terminal Access Controller Access Control System）是在TACACS（RFC 1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。HWTACACS 協(xié)議RADIUS 協(xié)議使用 TCP，網(wǎng)絡(luò)傳輸更可靠使用 UDP除了HWTACACS 報(bào)文頭，對(duì)報(bào)文主體進(jìn)行加密只是對(duì)驗(yàn)證報(bào)文中的密碼字段進(jìn)行加密認(rèn)證和授權(quán)分離認(rèn)證和授權(quán)一起處理更適于進(jìn)行安全控制更適于進(jìn)行計(jì)費(fèi)支持對(duì)設(shè)備的配置命令進(jìn)行授權(quán)使用不支持HWTACACS的典型應(yīng)用是撥號(hào)用戶或終端用戶需要登錄到設(shè)備上進(jìn)行操作。EDA方案完全可以媲美Cisco公司的NAC(Network Access control,網(wǎng)絡(luò)準(zhǔn)入控制)方案。H3C的EAD安全產(chǎn)品可以構(gòu)建分布式的、內(nèi)外結(jié)合的網(wǎng)絡(luò)安全架構(gòu)，最大限度的防止非法入侵。如果安全認(rèn)證通過(guò)，則用戶的隔離狀態(tài)被解除，可以正常訪問(wèn)網(wǎng)絡(luò)資源；如果安全認(rèn)證不通過(guò)，則繼續(xù)隔離用戶，直到用戶完成相關(guān)修復(fù)操作后通過(guò)安全認(rèn)證為止?！盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入控制設(shè)備的端口這一級(jí)對(duì)所接入的設(shè)備進(jìn)行認(rèn)證和控制。在交換機(jī)上啟動(dòng)了對(duì) 客戶端的版本驗(yàn)證功能后， 客戶端軟件的版本和合法性進(jìn)行驗(yàn)證，以防止使用有缺陷的老版本客戶端或者非法客戶端的用戶上網(wǎng)。網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)、防火墻集中器和入侵檢測(cè)設(shè)備。物理安全比起網(wǎng)絡(luò)安全更為重要，但往往被網(wǎng)絡(luò)管理員所忽略。n 網(wǎng)絡(luò)的安全位置：IDC數(shù)據(jù)中心和機(jī)房盡量在安全的地方，要裝避雷針，還要能夠避免火災(zāi)和剛強(qiáng)度的電磁信號(hào)干擾。采用24小時(shí)不斷電的UPS電源，另外最好有一個(gè)備份電源。盡管大部分的登錄訪問(wèn)缺省都是禁止的。大多時(shí)候我們調(diào)試設(shè)備，不可能在IDC機(jī)房里實(shí)現(xiàn)，更多的時(shí)候是遠(yuǎn)程控制。終端使用者可以在Telnet程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣。當(dāng)用戶通過(guò)非安全的網(wǎng)絡(luò)環(huán)境遠(yuǎn)程登錄到交換機(jī)時(shí)，每次發(fā)送數(shù)據(jù)前，SSH 都會(huì)自動(dòng)對(duì)數(shù)據(jù)進(jìn)行加密，當(dāng)數(shù)據(jù)到達(dá)目的地時(shí)，SSH 自動(dòng)對(duì)加密數(shù)據(jù)進(jìn)行解密，以此提供安全的信息保障，以保護(hù)交換機(jī)不受諸如明文密碼截取等攻擊。用戶名和密碼兩個(gè)參數(shù)的組合可以很好的實(shí)現(xiàn)用戶識(shí)別。進(jìn)入系統(tǒng)視圖的密碼盡量用MD5加密，這樣非管理員用戶就不能通過(guò)相關(guān)命令來(lái)獲取該密碼。SNMP 采用輪詢機(jī)制，只提供最基本的功能集，特別適合在小型、快速和低價(jià)格的環(huán)境中使用。SNMP 分為NMS 和Agent 兩部分：NMS和Agent。Agent 在設(shè)備發(fā)生異常情況或狀態(tài)改變時(shí)（如設(shè)備重新啟動(dòng)），也會(huì)主動(dòng)向NMS 發(fā)送Trap報(bào)文，向NMS匯報(bào)所發(fā)生的事件。對(duì)于開(kāi)啟了日志功能。NTP 使用UDP 端口123進(jìn)行報(bào)文的傳輸。Agent是運(yùn)行在網(wǎng)絡(luò)設(shè)備上的服務(wù)器端軟件。目前SNMP有三個(gè)版本，SNMP VSNMP V2C 采用團(tuán)體名（Community Name）認(rèn)證，SNMP V3 采用用戶名和密碼認(rèn)證方式。 SNMP協(xié)議的應(yīng)用 SNMP(Simple Network Management Protocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)是目前網(wǎng)絡(luò)中用得最廣泛的網(wǎng)絡(luò)管理協(xié)議。這個(gè)系統(tǒng)可以在很多場(chǎng)合應(yīng)用例如：Telnet或者SSH虛擬類(lèi)型終端路線、VPN用戶、。SSH 采用客戶端——服務(wù)器模式。要開(kāi)始一個(gè)Telnet會(huì)話，必須輸入用戶名和密碼來(lái)登錄服務(wù)器。Telnet為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。Console登錄是最基本的登錄方式，管理員需要用Console線物理連接到需要管理的設(shè)備上，在終端上設(shè)置好相應(yīng)的波特率、數(shù)據(jù)位、奇偶校檢位、停止位、流控等參數(shù)。一個(gè)攻擊者可以將該設(shè)備作為攻擊的中轉(zhuǎn)站。在關(guān)鍵線路如核心層之間要采用高可靠性的介質(zhì)，避免線路故障帶來(lái)的網(wǎng)絡(luò)故障。保證物理安全主要有以下幾個(gè)方面：n 冗余設(shè)備：即在正常運(yùn)行的設(shè)備外再購(gòu)置一整套同樣的設(shè)備，運(yùn)行相同的服務(wù)，而且位置最好不要跟原來(lái)設(shè)備很近，避免自然災(zāi)害的襲擊。 物理安全 物理安全包括判斷對(duì)設(shè)備潛在的物理威脅，以及設(shè)計(jì)方法阻止它們對(duì)網(wǎng)絡(luò)造成的影響。 設(shè)備安全保護(hù)網(wǎng)絡(luò)中的設(shè)備是網(wǎng)絡(luò)安全最重要的任務(wù)之一。 接入控制組網(wǎng)示意圖：端口Ethernet 1/0/1 上對(duì)用戶接入進(jìn)行認(rèn)證，以控制其訪問(wèn)Internet；接入控制模式要求是基于MAC地址的接入控制,即該端口下的所有接入用戶均需要單獨(dú)認(rèn)證，當(dāng)某個(gè)用戶下線時(shí)，也只有該用戶無(wú)法使用網(wǎng)絡(luò)。后來(lái)， 協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機(jī)制用在以太網(wǎng)中，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問(wèn)題。用戶身份認(rèn)證在CAMS平臺(tái)上進(jìn)行，通過(guò)用戶名和密碼來(lái)確定用戶是否合法。CAMS安全組件的主要功能是對(duì)終端用戶的安全策略進(jìn)行配置；安全策略服務(wù)器則用于對(duì)用戶終端的染毒狀況、殺毒策略、系統(tǒng)補(bǔ)丁、軟件使用情況進(jìn)行集中管理、強(qiáng)制配置（如強(qiáng)制病毒客戶端升級(jí)、強(qiáng)制打補(bǔ)丁），確保全網(wǎng)安全策略的統(tǒng)一。 HWTACACS 的典型應(yīng)用組網(wǎng)圖 EAD安全解決方案EAD（Endpoint Admission Defense，端點(diǎn)準(zhǔn)入防御）安全產(chǎn)品是一套融合H3C網(wǎng)絡(luò)設(shè)備、用戶終端和第三方安全產(chǎn)品的全網(wǎng)安全體系框架，其目的是整合孤立的單點(diǎn)安全部件，加強(qiáng)網(wǎng)絡(luò)終端的主動(dòng)防御能力，控制病毒、蠕蟲(chóng)的蔓延。與RADIUS相比，HWTACACS具有更加可靠的傳輸和加密特性，更加適合于安全控制。同時(shí)，保證交換機(jī)上的RADIUS 服務(wù)端口設(shè)置與RADIUS 服務(wù)器上的端口設(shè)置保持一致。RADIUS協(xié)議配置是以RADIUS方案為單位進(jìn)行的。 AAA安全服務(wù)AAA 是Authentication，Authorization and Accounting（認(rèn)證、授權(quán)和計(jì)費(fèi)）的簡(jiǎn)稱，它提供了一個(gè)用來(lái)對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)這三種安全功能進(jìn)行配置的一致性框架，實(shí)際上是對(duì)網(wǎng)絡(luò)安全的一種管理。需要根據(jù)具體的要求部署相關(guān)的產(chǎn)品。此外，H3C的入侵防御系統(tǒng)是目前能夠提供微秒級(jí)時(shí)延、高達(dá)5G的吞吐能力和帶寬管理能力的最強(qiáng)大的入侵防御系統(tǒng)。H3C產(chǎn)品型號(hào)包括從50Mbps處理性能的H3C IPS 50到5Gbps處理性能的H3C IPS 5000E，可以滿足從SOHO辦公、中小企業(yè)、到大企業(yè)和電信運(yùn)營(yíng)商的各種組網(wǎng)需求。NSM用于防火墻流量的監(jiān)控，利用防火墻在網(wǎng)絡(luò)中得天獨(dú)厚的位置，使Internet通訊的流量都會(huì)經(jīng)過(guò)防火墻設(shè)備，從而使NSM能夠獲取最為全面的流量數(shù)據(jù)，提供更加細(xì)致的網(wǎng)絡(luò)安全服務(wù)。，將配置ASM模塊的防火墻分別部署在總部和分支機(jī)構(gòu)的出口處，防止外部網(wǎng)絡(luò)對(duì)內(nèi)網(wǎng)的病毒攻擊，同時(shí)可以防止分支內(nèi)部病毒對(duì)總部網(wǎng)絡(luò)的攻擊。 SecBlade SSL VPN模塊的組網(wǎng)應(yīng)用SecBlade SSL VPN模塊采用業(yè)界先進(jìn)的遠(yuǎn)端安全狀態(tài)檢測(cè)技術(shù)，能限制不安全遠(yuǎn)程終端的接入；通過(guò)細(xì)粒度VPN訪問(wèn)權(quán)限控制，保證用戶對(duì)網(wǎng)絡(luò)資源的安全訪問(wèn)。SecPath SSL VPN模塊可提供安全的遠(yuǎn)程訪問(wèn)服務(wù)，可以在不安裝客戶端軟件的情況下，直接使用瀏覽器安全存取企業(yè)內(nèi)部網(wǎng)絡(luò)資源；支持對(duì)VPN訪問(wèn)的細(xì)粒度控制，可以管理用戶訪問(wèn)的文件目錄、URL、服務(wù)器資源等；支持動(dòng)態(tài)授權(quán)功能，對(duì)遠(yuǎn)程主機(jī)的安全狀態(tài)進(jìn)行評(píng)估，限制不安全遠(yuǎn)程主機(jī)的訪問(wèn)權(quán)限，從而保證網(wǎng)絡(luò)資源的安全訪問(wèn)。 SecBlade FW模塊的組網(wǎng)應(yīng)用SecBlade FW模塊與基礎(chǔ)網(wǎng)絡(luò)設(shè)備融合，具有即插即用、擴(kuò)展性強(qiáng)的特點(diǎn)，降低了用戶管理難度，減少了維護(hù)成本。SecBlade FW集成防火墻、VPN、內(nèi)容過(guò)濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。 SecPath V100E網(wǎng)關(guān)在線部署模式SecPath SSL VPN系列網(wǎng)關(guān)是SecPath系列產(chǎn)品的新成員，是H3C公司開(kāi)發(fā)的新一代專業(yè)安全產(chǎn)品。 SecPath F5000A5組網(wǎng)實(shí)例H3C SecPath F1000系列防火墻總共有五款產(chǎn)品主要應(yīng)用于大中型企業(yè)H3C SecPath F100系列防火墻總共有七款產(chǎn)品，主要應(yīng)用于中小型企業(yè)。它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于IP 地址和TCP/IP服務(wù)端口等的訪問(wèn)控制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定、智能蠕蟲(chóng)防護(hù)等安全增強(qiáng)措施。P 路由器需要支持MPLS 能力。CE“感知”不到VPN 的存在。通過(guò) MPLS技術(shù)可以非常容易地實(shí)現(xiàn)基于IP 技術(shù)的VPN 業(yè)務(wù)，而且可以滿足VPN 可擴(kuò)展性和管理的需求。即一臺(tái)防火墻不僅可以屬于VPN A，也可以屬于VPN B；同一設(shè)備可以在VPN A中作為client設(shè)備，同時(shí)還在VPN B中作為server設(shè)備使用。其特點(diǎn)如下：n 配置簡(jiǎn)單:一個(gè)DVPN接入設(shè)備可以通過(guò)