【正文】 ACL 管理 ACL 管理實現(xiàn)了 ACL 這種網(wǎng)絡(luò)重要資源的集中管理，通過全網(wǎng) ACL 的視圖，方便的展示給用戶一個網(wǎng)絡(luò)中 ACL部署情況的藍(lán)圖； ACL部署功能實現(xiàn)了全網(wǎng) ACL的批量配置和下發(fā)，有效減輕了用戶日常的管理工作量；此外， ACL 管理還提供了 ACL 模板、 ACL 規(guī)則優(yōu)化等功能。 H3C iMC 在管理資源（網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、服務(wù)器等）、業(yè)務(wù)的基礎(chǔ)上，更融入了對用戶的管理，直接從用戶對資源使用以滿足業(yè)務(wù)需求的角度出發(fā)，真正實現(xiàn)了“面向人的管理”。 以上 IT 管理系統(tǒng)分布在部 XX 單位 和 XX 單位 ，為 2 級管理結(jié)構(gòu)。 部 XX 單位 數(shù)據(jù)中心存儲面向全國 XX 單位 數(shù)據(jù)：面向各應(yīng)用系統(tǒng)共享 SAN存儲池建設(shè)，存儲系統(tǒng)實現(xiàn)本地數(shù)據(jù)可靠存儲，同城容災(zāi)中心建設(shè)，異地容災(zāi)中心建設(shè)。 H3C 全局安全管理解決方案采用業(yè)界領(lǐng)先的集成技術(shù)，有效解決了 異構(gòu)環(huán)境 中的管理問題。 4. 安全威脅的協(xié)同響應(yīng) 對安全事件進(jìn)行全面采集和關(guān)聯(lián)分析的目的是準(zhǔn)確地阻斷和防止攻擊。集中部署各部件的安全防護(hù)策略，可以簡化對安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一，提高安全管理工作的效率。 . 全局安全管理解決方案概述 當(dāng)前， XX 單位 數(shù)據(jù)中心 系統(tǒng)安全管理中 遇到的問題 包括 ： ? 對實時安全信息不了解，無法及時發(fā)出預(yù)警 報告 。因此，在 XX 單位 數(shù)據(jù)中心 建設(shè)一個“全局安全管理平臺”是必要的。 數(shù)據(jù)中心每個區(qū)域的 IPS 部署： . 應(yīng)用服務(wù)器負(fù)載均衡 數(shù)據(jù)中心面臨的可用性威脅 隨著 信息化 的迅速發(fā)展， 數(shù)據(jù) 中心已經(jīng)從 分立的“ 計算中心 ＋ 網(wǎng)絡(luò)中心 ”模式 發(fā)展成計算 與網(wǎng)絡(luò)集成一體的數(shù)據(jù)中心。 FIRST引擎架構(gòu)如圖 21 所示。 應(yīng)用程序防護(hù) H3C IPS 模塊及獨立 IPS 提供擴(kuò)展至用戶端、服務(wù)器、及第二至第七層的網(wǎng)絡(luò)型攻擊防護(hù)，如：病毒、蠕蟲與木馬程序。 防火墻在數(shù)據(jù)中心的部署 在 XX 單位 數(shù)據(jù)中心 ，在各個區(qū)域匯聚交換機(jī)都要部署防火墻模塊，實現(xiàn)對訪問的控制，只有合法的報文才可以通過。狀態(tài) 防火墻還采用基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能， 可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。 EAD 廣泛、深入的和國內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長； EAD 與第三方認(rèn)證服務(wù)器、安全聯(lián)動設(shè)備等之間的交互基于標(biāo)準(zhǔn)、開放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。 ? 第三方服務(wù)器 是指補(bǔ)丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等，被部署在隔離區(qū)中。 EAD 從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用 戶終端的主動防御能力，為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。 （ 4）、 路由協(xié)議認(rèn)證 ： 攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯誤的路由更新報文，使路由表中出現(xiàn)錯誤的路由，從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。當(dāng)網(wǎng)關(guān)收到一個 ARP 報文時，會先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。偽裝 IP 有三個用處： ? 本身就是攻擊的直接功能體。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全： 圖 交換機(jī) Isolated Vlan 技術(shù) STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二層連接保護(hù)保證 STP/RSTP 穩(wěn)定 ,防止攻擊 ,保障可靠的二層連接。 H3C憑借基于 COMWARE的具有豐富安全特性全系列智能交換機(jī)為數(shù)據(jù)中心打造堅實的基礎(chǔ)構(gòu)架。 4) 網(wǎng)絡(luò)安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題。 IPS 可以針對應(yīng)用流量做深度分析與檢測能 力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。 o 這一層的安全性解決方案主要包括一些方案或服務(wù)，這些方案或服務(wù)幫助組織實施并自動操作安全策略和流程，最終用戶了解規(guī)劃并完成企業(yè)級安全性的管理和報告。當(dāng)在每一層次部署對應(yīng)安全解決方案時，也非常清晰的定義和確定了將被包含或影響到的業(yè)務(wù)。 考慮這些，并結(jié)合 XX 單位 已有廣域網(wǎng)，改造廣域網(wǎng)方案如下： 將原來 XXXX 單位 單設(shè)備、單鏈路的廣域網(wǎng)改造為雙設(shè)備、雙鏈路廣域網(wǎng)，使廣域網(wǎng)有充分可靠性。 外聯(lián)區(qū)匯聚交換機(jī)：集成防火墻并組成雙機(jī)熱備，為 關(guān)聯(lián)單位 提供安全可靠的服務(wù)。 業(yè)務(wù)服務(wù)器區(qū)的主要設(shè)計特點如下： ? 網(wǎng)絡(luò)架構(gòu)采用三層：核心、匯聚和接入 ? 小型機(jī)、 PC 服務(wù)器接入采用三層主要是為了滿足綜合布線和管理的要求； ? 接入交換機(jī)放在列頭柜，匯聚交換機(jī)和核心交換機(jī)放在網(wǎng)絡(luò)機(jī)房區(qū)，簡化布線、減少故障并實現(xiàn)快速故障診斷； ? 為保證核心業(yè)務(wù)的高可用性， 接入交換支持堆疊技術(shù) ,無需部署 MSTP、VRRP，解決服務(wù)器雙網(wǎng)卡無法同時工作的問題 ； H3C IRF 技術(shù)很方便實現(xiàn)以上功能， IRF 詳細(xì)技術(shù)見 XXX 章節(jié)。 對于存儲區(qū)域和系統(tǒng)管理區(qū)功能同部 XX 單位 ，規(guī)模有所不同 。 船員管理、船舶管理、通航管理、綜合管理區(qū)分別 設(shè)置面向全國 XX 單位 的應(yīng)用系統(tǒng)服務(wù)器、中間件服務(wù)器、數(shù)據(jù)庫服務(wù)器。 數(shù)據(jù)集中意味大流量集中，對于交換機(jī)分緩存能力要求極高：核心交換機(jī) 采用分布式緩存技術(shù)，分布式緩存區(qū)別于傳統(tǒng)方式的架構(gòu)，整個分布式緩存機(jī)制由流量管理器在硬件層面協(xié)調(diào)，無需軟件參與，因而工作在系統(tǒng)時鐘級別。對于計算型應(yīng)用而言，采用以太網(wǎng)互聯(lián)的微妙級時延已經(jīng)能夠滿足大量的計算需求。應(yīng)按照端到端訪問安全、網(wǎng)絡(luò) L2L7層安 全兩個維度對安全體系進(jìn)行設(shè)計規(guī)劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個數(shù)據(jù)中心網(wǎng)絡(luò)中。 兩地三中心方式充分保證了 XX 單位 信息化數(shù)據(jù)的高可靠性。 廣域網(wǎng)整合包括 全國 XX 單位 大聯(lián)網(wǎng)，實現(xiàn)部 XX 單位 、 XX 單位 、分支 XX 單位 、派出機(jī)構(gòu)之間互聯(lián)互通，網(wǎng)絡(luò)互通是整體 XX 單位 信息化的基礎(chǔ) 。 XX 單位 信息化現(xiàn)狀總結(jié) 主要業(yè)務(wù)逐步實現(xiàn)信息化，如船舶管理、船員管理、通航管理、應(yīng)急處理、收費(fèi)、信息查詢、綜合管理 、電子政務(wù) 等業(yè)務(wù)基本實現(xiàn)信息化。 （ 5）、應(yīng)急處理 突發(fā)事件應(yīng)急處理，保證應(yīng)急事件處理及時有效性。 管理海區(qū)港口航道測繪并組織編印相關(guān)航海海圖等資料。 擬定和組織實施國家水上安全監(jiān)督管理和防止船舶污染、船舶及海上設(shè)施檢驗、航海保障以及交通行業(yè)安全生產(chǎn)的方針、政策、法規(guī)和技術(shù)規(guī)范、標(biāo)準(zhǔn)。審核和監(jiān)督管理船員、引航員培訓(xùn)機(jī)構(gòu)資質(zhì)及 其質(zhì)量體系；負(fù)責(zé)海員證件的管理工作。 數(shù)據(jù)存儲系統(tǒng)建設(shè) 數(shù)據(jù)中心集中存儲資源池建設(shè)及備份、容災(zāi)。 橫跨 XX 單位 、交通廳局、政府部門的合作及整合，最優(yōu)化的政務(wù)流程和公眾服務(wù)等，沒有部門間障礙。 兩地：數(shù)據(jù)中心本地及對應(yīng)災(zāi)備 /備份異地，三中心：主數(shù)據(jù)中心、同城災(zāi)備中心、異地備份中心。網(wǎng)絡(luò)的可用性指業(yè)務(wù)應(yīng)用系統(tǒng)每天能有多少小時，每周有多少天，每年有多少周可以為用戶提供服務(wù)，以及這些應(yīng)用在發(fā)生故障時可以多快恢復(fù)工作的時間。 以往數(shù)據(jù)中心架構(gòu)前端 IP 網(wǎng)絡(luò)，計算網(wǎng)絡(luò)，存儲網(wǎng)絡(luò)往往是異構(gòu)的，如：前端采用以太網(wǎng)，計算網(wǎng)絡(luò)采用 InfiniBand 網(wǎng)絡(luò)，后端采用 FCSAN 架構(gòu)。 在高密應(yīng)用集中環(huán)境下，基礎(chǔ)網(wǎng)絡(luò)的高性能和可靠性要求變得苛刻，大量應(yīng)用密集情況下，局部故障影響范圍必須縮小。 模塊化數(shù)據(jù)中心好處是 ：有利于網(wǎng)絡(luò)穩(wěn)定，方便功能區(qū)更改擴(kuò)容，方便管理維護(hù)，統(tǒng)一出口避免重復(fù)建設(shè)。 系統(tǒng)管理區(qū)設(shè)置面向整個 XX 單位 的：網(wǎng)絡(luò)管理、安全管理、防病毒管理、IT 基礎(chǔ)設(shè)施管理。 對于資金壓力不是特別緊張 XX 單位 ，建議采用方案 1，否則可以采用方案2，但需要同部 XX 單位 進(jìn)行協(xié)商。 區(qū)域內(nèi)部署代理服務(wù)器、通信前置機(jī)與合作伙伴的服務(wù)器進(jìn)行通信，彼此之間的服務(wù)器通常情況下不允許直接互訪。 ? 多協(xié)議支持能力： IPv MPLS、 IPv6 等，為分支機(jī)構(gòu)的接入提供便利； ? 全面的 IPv4/IPv6 路由協(xié)議支持能力、大容量路由表和靈活的路由策略，如 OSPF、 BGP、 ISIS、 RIPv1/v2 等； ? 支持 IPSec、 NAT、 SSL VPN、策略路由等，提供靈活的業(yè)務(wù)和流量轉(zhuǎn)發(fā)控制能力，保證出口的安全性； ? 具有廣域網(wǎng)優(yōu)化支持能力，加速各種 Web、 FTP、 POP SMTP 等上層應(yīng)用 . 數(shù)據(jù)大集中廣域網(wǎng)整合方案 數(shù)據(jù)大集中必然要求各級 XX 單位 網(wǎng)絡(luò)暢通，這就要求有高可靠、帶寬充足的廣域網(wǎng)，滿足信息化數(shù)據(jù)、視頻會議、語音、應(yīng)急指揮視頻監(jiān)控 需求。不但需要保護(hù)數(shù)據(jù)中心中關(guān)鍵應(yīng)用和保密數(shù)據(jù)；并需要增強(qiáng)數(shù)據(jù)中心的運(yùn)營效率，增強(qiáng)業(yè)務(wù)競爭力，而且具有擴(kuò)展性 以支持隨時可能出現(xiàn)的新業(yè)務(wù)流程。 o 企業(yè)安全性這一層的安全性解決方案主要集中于提供對應(yīng)用的受控訪問、驗證用戶身份、用戶的 provisioning 和授權(quán)、審查用戶 操作，并通過加密來保護(hù)數(shù)據(jù)。 數(shù)據(jù)中心多層安全防御 三重防護(hù) 數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。 ? 統(tǒng)一管理、智能聯(lián)動 當(dāng)前，數(shù)據(jù)中心系統(tǒng)安全管理中 遇到的問題 包括 ： 1) 對實時安全信息不了解，無法及時發(fā)出預(yù)警 報告 。架構(gòu)安全特性涉及服務(wù)器、接入交換機(jī)、負(fù)載均衡器、匯聚交換機(jī)、核心交換機(jī)等設(shè)備，部署點多、覆蓋面大，是構(gòu)成整個安全數(shù)據(jù) 中心的基石。 數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全相關(guān)架構(gòu) 基于 VLAN 的端口隔離 交換機(jī)可以由硬件實現(xiàn)相同 VLAN 中的兩個端口互相隔離。 Intrusion Protection：該特性通過檢測端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認(rèn)證的用戶名、密碼，發(fā)現(xiàn)非法報文或非法事件，并采取相應(yīng)的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此 MAC 地址的報文，保證了端口的安全性。這種判定的方式有 4 種。 （ 3）、 UPRF： UPRF 會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。同時，對不同的接入用戶要做到動態(tài)的分配不同的權(quán)限，使之歸屬于不同的 VPN，訪問授權(quán)的資源。 EAD 提供了靈活多樣的組網(wǎng)方案，安全聯(lián)動設(shè)備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡(luò)接入 層和匯聚層。 ? 基于角色的網(wǎng)絡(luò)授權(quán) 在用戶終端通過病毒、補(bǔ)丁等安全信息檢查后， EAD 可基于終端用戶的角色，向安全聯(lián)動設(shè)備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。 較新的一類防火墻設(shè)備支持基于狀態(tài)的包檢查。 SecPath 防火墻默認(rèn)提供四個安全區(qū)域： trust、 untrust、 DMZ、 local，在提供三個最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本 地安全區(qū)域可以定義到防火墻本身的報文，保證了防火墻本身的安全防護(hù)，使得對防火墻本身的安全保護(hù)得到加強(qiáng)。 IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。 H3C IPS 還支持以下檢測機(jī)制： 1）基于訪問控制列表（ ACL）的檢測 2）基于統(tǒng)計的檢測 3）基于協(xié)議跟蹤的檢測 4）基于應(yīng)用異常的檢測 5）報文規(guī)范檢測（ Normalization） 6） IP 報文重組 7） TCP 流恢復(fù) 高精度、高效率的入侵檢測引擎 入侵檢測引擎是 IPS 設(shè)備最核心的功能之一，入侵檢測引擎直接關(guān)系到 IPS設(shè)備的兩個重要功能指標(biāo)：漏報率和誤報率，也直接關(guān)系到 IPS 設(shè)備的兩個重要性能指標(biāo)：吞吐量和時延。 華三公司多年的網(wǎng)絡(luò)技術(shù)與安全技術(shù)積累，造就了資深的攻擊特征庫團(tuán)隊和安全服務(wù)團(tuán)隊，建有攻防實驗室，緊跟網(wǎng)絡(luò)技術(shù)與安全技術(shù)的發(fā)展前沿和網(wǎng)絡(luò)攻防的最新動態(tài)，定期更新并發(fā)布攻擊特征庫升級包，源源不斷地為強(qiáng)大的檢測引擎注入高質(zhì)量的燃油。 顯然，僅靠不斷增加帶寬 是 不能滿足 上述 需求的 ， 想提高 服務(wù)器應(yīng)用的用戶滿意度 ，就需要在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中專門增加一層，以專門用于提高 服務(wù)器應(yīng)用的傳遞速度。這些審計數(shù)據(jù)可能來自防火墻、 路由器 、入侵防御系統(tǒng)、主機(jī)系統(tǒng)、防病毒系統(tǒng)和桌面安全系統(tǒng)。 H3C“全局安全管理平臺” 由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的 協(xié)同防御體系。 3. 安全事件的關(guān)聯(lián)分析 網(wǎng)絡(luò)中的各種安全部件產(chǎn)生的眾多安全事件，往往使管理員淹沒于信息的海洋中。 . H3C全局安全管理解決方案的突出特點 ? 組件的模塊化架構(gòu) 安全管理由 策略管理、事件采集、分析決策、協(xié)同響應(yīng) 四個組件組成，各功能部件以模塊化方式組成，架構(gòu)簡單明晰，易于擴(kuò)展， XX 單位 系統(tǒng)網(wǎng)絡(luò)中可根據(jù)實際情況進(jìn)行組件的選配。但由于歷史原因，不同部門存儲系統(tǒng)大部分為 FCSAN 架構(gòu)，并且為不同廠商設(shè)備，兼容性、互