【正文】 根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)、不同的網(wǎng)絡(luò)規(guī)模、以及網(wǎng)絡(luò)中的不同位置的安全防護(hù)需求，防火墻一般存在以下幾種部署模式：. 數(shù)據(jù)中心防火墻部署防火墻可以部署在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)中心的前面，實(shí)現(xiàn)對(duì)所有訪問(wèn)數(shù)據(jù)中心服務(wù)器的網(wǎng)絡(luò)流量進(jìn)行控制，提供對(duì)數(shù)據(jù)中心服務(wù)器的保護(hù)，其基本部署模式如下圖所示： RPIntertPSTN區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語(yǔ) 音 出 口除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署還需要考慮兩個(gè)關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務(wù)器，是整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點(diǎn)，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會(huì)影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；35 / 44高可靠：大部分的應(yīng)用系統(tǒng)服務(wù)器都部署在數(shù)據(jù)中心，這些服務(wù)器是整個(gè)企業(yè)或者單位運(yùn)行的關(guān)鍵支撐，必須要嚴(yán)格的保證這些服務(wù)器可靠性與可用性，因此，部署防火墻以后，不能對(duì)網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊?，不能形成單點(diǎn)故障。數(shù)字疫苗以定期（每周）和緊急（當(dāng)重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并且能夠通過(guò)內(nèi)容發(fā)布網(wǎng)絡(luò)自動(dòng)地分發(fā)到用戶駐地的 IPS設(shè)備中，從而使得用戶的 IPS 設(shè)備在漏洞被公布的同時(shí)立刻具備防御零時(shí)差攻擊的能力。31 / 44在具備高速檢測(cè)功能的同時(shí)，TSE 還提供增值的流量分類、流量管理和流量整形功能。在惡意程序?qū)︻A(yù)定目標(biāo)進(jìn)行攻擊時(shí)，虛擬補(bǔ)丁程序就會(huì)立即“現(xiàn)身”— 確定并阻擋發(fā)送來(lái)的惡意通訊。28 / 44二、全面的應(yīng)用體系防護(hù) IPS. 中石油網(wǎng)絡(luò)應(yīng)用防護(hù)體系概述這里提到的應(yīng)用體系防護(hù)指的是針對(duì)網(wǎng)絡(luò) 4～7 層的攻擊，這些攻擊主要集中在WEB、OA、 Mail、ERP 等系統(tǒng)，這些系統(tǒng)都有一個(gè)共同的特性就是要為全網(wǎng)的用戶提供服務(wù)，這些用戶既包括總部，還包括下屬單位局域網(wǎng)，PSTN 接入用戶，總部、銀行、稅務(wù)的接入等。該組網(wǎng)方式非常靈活，可以根據(jù)運(yùn)營(yíng)商或教育網(wǎng)等不同的運(yùn)營(yíng)特點(diǎn)，實(shí)現(xiàn)多種方式的日志記錄與審計(jì)能力。兩種格式的 日志在采集器進(jìn)行日志采集時(shí)同時(shí)生成。. XLOG 技術(shù)特點(diǎn). 全面的日志收集用戶行為審計(jì)系統(tǒng)可支持多種網(wǎng)絡(luò)日志的采集（包括 、NetStream V5），對(duì)于不支持上述日志的設(shè)備，可以通過(guò)設(shè)備的鏡像端口或 TAP 分流器采集網(wǎng)絡(luò)流量生成 格式的日志。在警告模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項(xiàng)以彈出窗口的形式提供給終端用戶，同時(shí)提供修復(fù)指導(dǎo)和相關(guān)鏈接。2. 合法用戶通過(guò)身份認(rèn)證、安全認(rèn)證后，其訪問(wèn)權(quán)限受接入設(shè)備的ACL控制。? CAMS服務(wù)器需要安裝Portal認(rèn)證組件，Portal認(rèn)證頁(yè)面上，提供安全客戶端的下載鏈接。建議在嚴(yán)格控制用戶之間互訪的情況下，接入層設(shè)備在不同端口之間劃分不同的 VLAN。5. 通過(guò)使用H3C客戶端，可對(duì)用戶的終端使用行為進(jìn)行嚴(yán)格管理，比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡、禁止撥號(hào)等。. 實(shí)施效果1. 由于S30/39/，所有非法用戶將不能訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。其原理性的流程如下：1. 用戶上網(wǎng)前必須首先進(jìn)行身份認(rèn)證，確認(rèn)是合法用戶后，安全客戶端還要檢測(cè)病毒軟件和補(bǔ)丁安裝情況，上報(bào)CAMS。其中，隔離區(qū)是指在S30/50系列交換機(jī)中配置的一組ACL，一般包括CAMS 安全代理服務(wù)器、補(bǔ)丁服務(wù)器、防病毒服務(wù)器、DNS、DHCP等服務(wù)器的IP 地址。? 限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問(wèn)題。. 用戶權(quán)限管理? 強(qiáng)身份認(rèn)證：在用戶身份認(rèn)證時(shí)，可綁定用戶接入IP、MAC、接入設(shè)備IP、端口和VLAN等信息，進(jìn)行強(qiáng)身份認(rèn)證，防止帳號(hào)盜用、限定帳號(hào)所使用的終端，確保接入用戶的身份安全。? 安全狀態(tài)定時(shí)評(píng)估：安全客戶端可以定時(shí)檢測(cè)用戶安全狀態(tài),防止用戶上網(wǎng)過(guò)程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。? 動(dòng)態(tài)授權(quán)：如果用戶身份驗(yàn)證、安全檢查都通過(guò)，則CAMS安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問(wèn)權(quán)限、用戶帶寬限制參數(shù)、用戶優(yōu)先級(jí)等QOS參數(shù)、用戶組播權(quán)限等等）下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。但可以通過(guò) API 來(lái)實(shí)現(xiàn)兩個(gè)系統(tǒng)之間的聯(lián)動(dòng)，彌補(bǔ)各自的不足，完善補(bǔ)丁管理和安全準(zhǔn)入方案。一般地，隔離區(qū)可能包含防病毒軟件安裝升級(jí)服務(wù)器（防病毒管理中心）、軟件補(bǔ)丁更新服務(wù)器和” 終端接入安全體系 ”管理代理服務(wù)器。? 實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，目前可以通過(guò)動(dòng)態(tài)ACL方式限制用戶的訪問(wèn)權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對(duì)用戶終端的隔離。8 / 44. 修復(fù)服務(wù)器(與防病毒系統(tǒng)聯(lián)動(dòng))在”終端接入安全體系” 方案中，修復(fù)服務(wù)器可以是第三方廠商提供的防病毒服務(wù)器、補(bǔ)丁服務(wù)器或用戶自行架設(shè)的文件服務(wù)器。? 用戶管理。安全防護(hù)主要是對(duì)終端接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對(duì)達(dá)不到安全要求的終端可以進(jìn)行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過(guò)程中，系統(tǒng)實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，并針對(duì)用戶終端的安全事件采取相應(yīng)的應(yīng)對(duì)措施，實(shí)時(shí)保障網(wǎng)絡(luò)安全。但是在實(shí)施過(guò)程中，大量的問(wèn)題和矛盾暴露出來(lái)，涉及制度完善、流程改造、企業(yè)文化等各方面。該手冊(cè)依照薩班斯法案所推薦和要求對(duì)照的美國(guó) COSO（反虛假財(cái)務(wù)報(bào)告委員會(huì)的贊助組織委員會(huì)）報(bào)告的理論體系建立內(nèi)部控制體系，內(nèi)容涉及共 13 大類業(yè)務(wù)、43 個(gè)流程、862 個(gè)控制點(diǎn)?？偛繉ｉT召開電視電話會(huì)議推行該手冊(cè)，要求各企業(yè)根據(jù)實(shí)際情況制定實(shí)施細(xì)則，在組織多層次培訓(xùn)的同時(shí)，派出檢查小組，對(duì) 65 家企業(yè)內(nèi)控制度的執(zhí)行情況進(jìn)行全面檢查。短時(shí)間內(nèi)完全建立完善的內(nèi)控環(huán)境是不可能的。6 / 44. “終端接入安全體系”解決方案的組成部分“終端接入安全體系 ”解決方案的實(shí)現(xiàn)思路，是通過(guò)將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對(duì)企業(yè)安全策略的符合度為條件，控制用戶訪問(wèn)網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問(wèn)等安全威脅對(duì)企業(yè)網(wǎng)絡(luò)帶來(lái)的危害。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級(jí)別的安全檢查和控制。此類服務(wù)器通常放置于網(wǎng)絡(luò)隔離區(qū)中，用于終端進(jìn)行自我修復(fù)操作。? 提供基于身份的網(wǎng)絡(luò)服務(wù)。. “終端接入安全體系”與微軟 SMS 聯(lián)動(dòng)方案. 特性簡(jiǎn)介端點(diǎn)準(zhǔn)入防御（” 終端接入安全體系 ”）解決方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，可以對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，保護(hù)網(wǎng)絡(luò)安全。隔離區(qū)具體包含哪些主機(jī)一般在接入設(shè)備上配置。. 特性的優(yōu)點(diǎn)（1） 聯(lián)動(dòng)的松散耦合性：充分利用微軟成熟的補(bǔ)丁管理工具，”終端接入安全體系”不需要管理各種 Windows 環(huán)境的用戶機(jī)器缺少哪些補(bǔ)丁等繁瑣事務(wù)；（2） 補(bǔ)丁更新的安全性：用戶機(jī)器的補(bǔ)丁狀態(tài)不符合安全要求時(shí)，其訪問(wèn)范圍控制在隔離區(qū)，即補(bǔ)丁更新是在隔離區(qū)進(jìn)行的；（3） 補(bǔ)丁更新的自動(dòng)性：補(bǔ)丁更新過(guò)程是自動(dòng)完成的（機(jī)器需要重啟時(shí)會(huì)提示用戶確認(rèn)），無(wú)需用戶手工下載和安裝補(bǔ)丁程序；（4） 補(bǔ)丁更新的即時(shí)性：用戶機(jī)器的補(bǔ)丁狀態(tài)檢查不合格后馬上轉(zhuǎn)入補(bǔ)丁自動(dòng)更新過(guò)程；補(bǔ)丁更新的強(qiáng)制性：不完成補(bǔ)丁更新的用戶機(jī)器只能訪問(wèn)隔離區(qū)內(nèi)的網(wǎng)絡(luò)資源，要訪問(wèn)更多資源，只有完成補(bǔ)丁更新。? 實(shí)時(shí)監(jiān)控：在用戶網(wǎng)絡(luò)使用過(guò)程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向CAMS安全策略服務(wù)器上報(bào)安全事件，由CAMS安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶。? 自動(dòng)補(bǔ)丁管理：提供與微軟WSUS/SMS（全稱：Windows Server Update Services/System Management Server）協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁。? “危險(xiǎn)”用戶隔離：對(duì)于安全狀態(tài)評(píng)估不合格的用戶，可以限制其訪問(wèn)權(quán)限（通過(guò)ACL隔離），使其只能訪問(wèn)防病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。? 代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。? 在接入交換機(jī)（S30/39/50系列交換機(jī)），強(qiáng)制進(jìn)行基于 、VLAN控制。2. CAMS檢測(cè)補(bǔ)丁安裝、病毒庫(kù)版本等是否合格，如果合格進(jìn)入步驟7，如果不合格，進(jìn)入步驟3。并且認(rèn)證通過(guò)前，用戶終端之間無(wú)法實(shí)現(xiàn)互訪。. 匯聚層準(zhǔn)入控制當(dāng)網(wǎng)絡(luò)中接入層設(shè)備不支持”終端接入安全體系”特性時(shí)，可以將匯聚層設(shè)備作為安全準(zhǔn)入控制點(diǎn)，實(shí)施”終端接入安全體系”解決方案，這樣可簡(jiǎn)化”終端接入安全體系”解決方案的應(yīng)用部署。. Portal（Web）認(rèn)證準(zhǔn)入控制“終端接入安全體系” 解決方案也支持 Web 認(rèn)證方式下的端點(diǎn)準(zhǔn)入控制。用戶可下載并安裝H3C客戶端后，發(fā)起認(rèn)證請(qǐng)求。用戶的外部訪問(wèn)權(quán)限受控。用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限不因終端安全狀態(tài)不合格而被更改。同時(shí)用戶行為審計(jì)系統(tǒng)采用分布式的體系結(jié)構(gòu)，支持多點(diǎn)采集，可以同時(shí)采集多個(gè)設(shè)備的日志信息，為網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)提供了靈活有效的支持。利用 日志的記錄信息，可以實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)行為的監(jiān)控，審查用戶的訪問(wèn)信息、使用的應(yīng)用信息等，全面審查用戶的網(wǎng)絡(luò)使用行為。例如，如果在 Inter 出口需要作 NAT 轉(zhuǎn)換，并且使用了設(shè)備的 NAT 功能，用戶行為審計(jì)系統(tǒng)就可以接收 NAT 日志進(jìn)行處理。目前網(wǎng)絡(luò)上針對(duì)應(yīng)用的攻擊可謂層出不窮，包括流行很久的 DOS/DDOS 攻擊、后門/木馬攻擊、蠕蟲攻擊，還包括近幾年剛剛興起的網(wǎng)絡(luò)釣魚、垃圾郵件、帶寬占用等問(wèn)題，因此應(yīng)用層的防護(hù)可謂重中之重。這種虛擬補(bǔ)丁程序之所以如此有效，30 / 44是因?yàn)樗捎昧烁呔_的漏洞過(guò)濾器技術(shù)。TSE 可以自動(dòng)統(tǒng)計(jì)和計(jì)算正常狀況下網(wǎng)絡(luò)內(nèi)各種應(yīng)用流量的分布，并且基于該統(tǒng)計(jì)形成流量框架模型；當(dāng) DoS/DDoS 攻擊發(fā)生，或者短時(shí)間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)內(nèi)流量發(fā)生異常時(shí)，TSE 將根據(jù)已經(jīng)建立的流量框架模型限制或者丟棄異常流量，保證關(guān)鍵業(yè)務(wù)的可達(dá)性和通暢性。IPS 還與全球著名的系統(tǒng)軟件廠商，如 Microsoft、Oracle 等，保持了良好的合作關(guān)系?；谏鲜鰞蓚€(gè)的關(guān)鍵特性，我們建議進(jìn)行以下設(shè)備部署模式和配置策略的建議：? 設(shè)備部署模式：? 如上圖所示，我們建議在兩臺(tái)核心交換機(jī)與兩臺(tái)數(shù)據(jù)中心交換機(jī)之間配置兩臺(tái)防火墻，兩臺(tái)防火墻與兩臺(tái)核心交換機(jī)以及兩臺(tái)數(shù)據(jù)中心交換機(jī)之間采取全冗余連接；? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺(tái)防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制的同時(shí)保證線路的可靠性，同時(shí)可以與動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；? 安全控制策略：? 防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；? 建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，配置只有規(guī)則允許的 IP 地址或者用戶能夠訪問(wèn)數(shù)據(jù)中心中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對(duì)數(shù)據(jù)中心服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會(huì)對(duì)數(shù)據(jù)中心的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播，保護(hù)數(shù)據(jù)中心的核心數(shù)據(jù)信息資產(chǎn)；? 配置防火墻防 DOS/DDOS 功能，對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP 報(bào)文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；? 根據(jù)需要，配置 IP/MAC 綁定功能，對(duì)能夠識(shí)別 MAC 地址的主機(jī)進(jìn)行鏈路層控制，實(shí)現(xiàn)只有 IP/MAC 匹配的用戶才能訪問(wèn)數(shù)據(jù)中心的服務(wù)器；? 其他可選策略：? 可以啟動(dòng)防火墻身份認(rèn)證功能，通過(guò)內(nèi)置數(shù)據(jù)庫(kù)或者標(biāo)準(zhǔn) Radius 屬性認(rèn)證，實(shí)現(xiàn)36 / 44對(duì)用戶身份認(rèn)證后進(jìn)行資源訪問(wèn)的授權(quán)，進(jìn)行更細(xì)粒度的用戶識(shí)別和控制；? 根據(jù)需要，在兩臺(tái)防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)服務(wù)器訪問(wèn)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)關(guān)鍵服務(wù)器的網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問(wèn)控制能力；? 在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；? 啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效的記錄和統(tǒng)計(jì)分析；? 設(shè)備選型建議：? 我們建議選擇 1800F 防火墻，詳細(xì)的產(chǎn)品介紹見附件；. Inter 邊界安全防護(hù)在 Inter 邊界部署防火墻是防火墻最主要的應(yīng)用模式，絕大部分網(wǎng)絡(luò)都會(huì)接入 Inter，因此會(huì)面臨非常大的來(lái)自 Inter 的攻擊的風(fēng)險(xiǎn)，需要一種簡(jiǎn)易有效的安全防護(hù)手段，Inter 邊界防火墻有多種部署模式，基本部署模式如下圖所示：37 / 44RPIntertPSTN 區(qū) 域