【文章內(nèi)容簡(jiǎn)介】 連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。為了確保信息的安全與暢通，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，進(jìn)行有效的管理和控制，主要體現(xiàn)在以下幾個(gè)方面： 網(wǎng)絡(luò)隔離需求：主要是指能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對(duì)不同區(qū)域之間的流量進(jìn)行控制，通過(guò)對(duì)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的精細(xì)控制，把可能的安全風(fēng)險(xiǎn)控制在相對(duì)獨(dú)立的區(qū)域內(nèi)，避免安全風(fēng)險(xiǎn)的大規(guī)模擴(kuò)散。攻擊防范能力：由于TCP/IP協(xié)議的開(kāi)放特性，缺少足夠的安全特性的考慮，帶來(lái)了很大的安全風(fēng)險(xiǎn)，常見(jiàn)的IP地址竊取、IP地址假冒、網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊（DoS/DDoS）等，必須能夠提供有效的檢測(cè)和防范措施。網(wǎng)絡(luò)優(yōu)化需求：對(duì)于用戶應(yīng)用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，同時(shí)應(yīng)該提供完善的QoS機(jī)制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，應(yīng)該能夠?qū)σ恍┏Ｒ?jiàn)的高層協(xié)議，提供細(xì)粒度的控制和過(guò)濾能力，比如支持WEB和EMAIL過(guò)濾，支持P2P識(shí)別并限流等能力。用戶管理需求：對(duì)于接入局域網(wǎng)、廣域網(wǎng)或者Internet的內(nèi)網(wǎng)用戶，都需要對(duì)他們的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，包括進(jìn)行身份認(rèn)證、對(duì)訪問(wèn)資源的限制、終端安全狀態(tài)檢測(cè)、對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制等。 H3C網(wǎng)絡(luò)安全解決方案概述H3C根據(jù)在網(wǎng)絡(luò)安全領(lǐng)域內(nèi)多年的知識(shí)和經(jīng)驗(yàn)積累，提出以下的安全分區(qū)設(shè)計(jì)模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對(duì)外連接區(qū)、網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等區(qū)域。通過(guò)以上的分區(qū)設(shè)計(jì)和網(wǎng)絡(luò)現(xiàn)狀，H3C提出了以防火墻、應(yīng)用層防御系統(tǒng)、EAD端點(diǎn)準(zhǔn)入防御為支撐的深度安全解決方案：防火墻防火墻是最主流也是最重要的安全產(chǎn)品，是安全解決方案的核心。它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問(wèn)控制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定、智能蠕蟲(chóng)防護(hù)等安全增強(qiáng)措施。應(yīng)用層防御傳統(tǒng)的安全解決方案中，防火墻和入侵檢測(cè)系統(tǒng) (IDS，Intrusion Detection System) 已經(jīng)被普遍接受，但僅僅有防火墻和IDS還不足以完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻作為一個(gè)網(wǎng)絡(luò)層的安全設(shè)備，不能充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊信號(hào)，而IDS也不能阻擋檢測(cè)到的攻擊。因此，即使在網(wǎng)絡(luò)中已部署了防火墻、IDS等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，IT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、應(yīng)用系統(tǒng)的響應(yīng)速度越來(lái)越慢。產(chǎn)生這個(gè)問(wèn)題的原因并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是近年來(lái)蠕蟲(chóng)、P2P、木馬等安全威脅日益滋長(zhǎng)并演變到應(yīng)用層面的結(jié)果，必須有相應(yīng)的技術(shù)手段和解決方案來(lái)解決針對(duì)應(yīng)用層的安全威脅。以入侵防御系統(tǒng) (IPS, Intrusion Prevention System ) 為代表的應(yīng)用層安全設(shè)備，作為防火墻的重要補(bǔ)充，很好的解決了應(yīng)用層防御的問(wèn)題，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。通過(guò)在線部署，檢測(cè)并直接阻斷惡意流量。 終端準(zhǔn)入防御EAD解決方案在用戶接入網(wǎng)絡(luò)前，強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果，強(qiáng)制實(shí)施用戶接入控制策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。 **************內(nèi)部局域網(wǎng)安全設(shè)計(jì)**************內(nèi)部局域網(wǎng)安全組網(wǎng)示意圖：內(nèi)部辦公局域網(wǎng)是**************信息化辦公的主要平臺(tái)，內(nèi)部局域網(wǎng)的安全問(wèn)題直接影響著新化化肥廠的日常工作，內(nèi)部的很多資料和信息需要高度保密和通信安全。因此內(nèi)部局域網(wǎng)要求與外部局域網(wǎng)和Internet保持完全的物理隔離。新化化肥廠專網(wǎng)相對(duì)于公共的Internet的環(huán)境要安全很多，但也不能排除安全威脅的存在，因此內(nèi)部局域網(wǎng)與新化化肥廠專網(wǎng)互聯(lián)采用一臺(tái)H3C SecPath F1000S高性能防火墻，隔離來(lái)自專網(wǎng)的網(wǎng)絡(luò)攻擊和非法數(shù)據(jù)流，避免專網(wǎng)和內(nèi)網(wǎng)的安全威脅相互擴(kuò)散。內(nèi)網(wǎng)數(shù)據(jù)中心是信息化建設(shè)的核心，掌控建設(shè)單位的眾多信息資源，其重要性不言而喻。 將內(nèi)網(wǎng)數(shù)據(jù)中心部署在內(nèi)網(wǎng)防火墻的DMZ區(qū)，確保內(nèi)網(wǎng)數(shù)據(jù)中心與內(nèi)網(wǎng)和專網(wǎng)的安全隔離。同時(shí)在內(nèi)網(wǎng)數(shù)據(jù)中心入口部署1臺(tái)TippingPoint 600E IPS入侵防御系統(tǒng)，對(duì)所有訪問(wèn)數(shù)據(jù)中心的流量進(jìn)行深度分析與檢測(cè)，實(shí)時(shí)阻斷攻擊，確保正常業(yè)務(wù)流的數(shù)據(jù)交換。H3C SecPath F1000S是華為3Com公司面向大中型企業(yè)用戶開(kāi)發(fā)的新一代專業(yè)防火墻設(shè)備。支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過(guò)濾、網(wǎng)頁(yè)過(guò)濾、應(yīng)用層過(guò)濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用ASPF（Application Specific Packet Filter）應(yīng)用狀態(tài)檢測(cè)技術(shù)，可對(duì)連接狀態(tài)過(guò)程和異常命令進(jìn)行檢測(cè)；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種VPN業(yè)務(wù)，如L2TP VPN、GRE VPN 、IPSec VPN、動(dòng)態(tài)VPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。SecPath F1000S防火墻充分考慮網(wǎng)絡(luò)應(yīng)用對(duì)高可靠性的要求，采用互為冗余備份的雙電源（1＋1備份）模塊，支持交、直流輸入電源模塊；業(yè)務(wù)接口卡支持熱插拔，充分滿足網(wǎng)絡(luò)維護(hù)、升級(jí)、優(yōu)化的需求；支持雙機(jī)狀態(tài)熱備，支持Active/Active和Active/Passive兩種工作模式。提供機(jī)箱內(nèi)部環(huán)境溫度檢測(cè)功能，并支持網(wǎng)管。市場(chǎng)領(lǐng)先的安全防護(hù)功能l 增強(qiáng)型狀態(tài)安全過(guò)濾：支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測(cè)包過(guò)濾技術(shù)，支持按照時(shí)間段進(jìn)行過(guò)濾；支持華為3Com特有ASPF應(yīng)用層報(bào)文過(guò)濾（Application Specific Packet Filter）協(xié)議，支持對(duì)每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測(cè)并動(dòng)態(tài)地過(guò)濾數(shù)據(jù)包，支持對(duì)FTP、HTTP、SMTP、RTSP、（， RTP/RTCP等）應(yīng)用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應(yīng)用的狀態(tài)監(jiān)控。l 抗攻擊防范能力：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能；靜態(tài)和動(dòng)態(tài)黑名單功能；MAC和IP綁定功能；支持智能防范蠕蟲(chóng)病毒技術(shù)。l 應(yīng)用層內(nèi)容過(guò)濾：可以有效的識(shí)別網(wǎng)絡(luò)中的BT、Edonkey、Emule等各種P2P模式的應(yīng)用，并且對(duì)這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過(guò)濾，提供SMTP郵件地址、標(biāo)題和內(nèi)容過(guò)濾；支持網(wǎng)頁(yè)過(guò)濾，提供HTTP URL和內(nèi)容過(guò)濾；支持應(yīng)用層過(guò)濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。l 多種安全認(rèn)證服務(wù)：支持RADIUS和HWTACACS協(xié)議及域認(rèn)證；支持基于PKI /CA體系的數(shù)字證書（）認(rèn)證功能；在PPP線路上支持CHAP和PAP驗(yàn)證協(xié)議；支持用戶身份管理，不同身份的用戶擁有不同的命令執(zhí)行權(quán)限；支持用戶視圖分級(jí)，不同級(jí)別的用戶賦予不同的管理配置權(quán)限。l 集中管理與審計(jì)：提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)功能、郵件告警功能。l 全面NAT應(yīng)用支持：提供多對(duì)一、多對(duì)多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換 、Easy IP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、ILS、MSN、NBT、PPTP、SIP等NAT ALG功能。TippingPoint的入侵防御系統(tǒng)能夠阻止蠕蟲(chóng)、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。通過(guò)深達(dá)第七層的流量偵測(cè)，TippingPoint的入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。利用TippingPoint提供的數(shù)字疫苗174。服務(wù)，入侵防御系統(tǒng)能得到及時(shí)的特征、漏洞過(guò)濾器、協(xié)議異常過(guò)濾器和統(tǒng)計(jì)異常過(guò)濾器更新從而主動(dòng)地防御最新的攻擊。此外，TippingPoint的入侵防御系統(tǒng)是目前能夠提供微秒級(jí)時(shí)延、高達(dá)5G的吞吐能力和帶寬管理能力的最強(qiáng)大的入侵防御系統(tǒng)。通過(guò)全面的數(shù)據(jù)包偵測(cè)，TippingPoint的入侵防御系統(tǒng)提供吉比特速率上的應(yīng)用、網(wǎng)絡(luò)架構(gòu)和性能保護(hù)功能。應(yīng)用保護(hù)能力針對(duì)來(lái)自內(nèi)部和外部的攻擊提供快速、精準(zhǔn)、可靠的防護(hù)。由于具有網(wǎng)絡(luò)架構(gòu)保護(hù)能力，TippingPoint的入侵防御系統(tǒng)保護(hù)VOIP系統(tǒng)、路由器、交換機(jī)、DNS和其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭惡意攻擊和防止流量出現(xiàn)異常。TippingPoint的入侵防御系統(tǒng)的性能保護(hù)能力幫助客戶來(lái)遏制非關(guān)鍵業(yè)務(wù)搶奪寶貴的帶寬和IT資源，從而確保網(wǎng)路資源的合理配置并保證關(guān)鍵業(yè)務(wù)的性能。TippingPoint IPS產(chǎn)品特點(diǎn)：u 主動(dòng)式的入侵防御TippingPoint IPS可以被“inline”地部署到網(wǎng)絡(luò)當(dāng)中去，對(duì)所有流經(jīng)的流量進(jìn)行深度分析與檢測(cè)，從而具備了實(shí)時(shí)阻斷攻擊的能力，同時(shí)對(duì)正常流量不產(chǎn)生任何影響?；谄涓咚俸涂蓴U(kuò)展的硬件平臺(tái)，TippingPoint IPS不斷優(yōu)化檢測(cè)性能，使其能夠達(dá)到與交換機(jī)同等級(jí)別的高吞吐量和低延時(shí)，同時(shí)可以對(duì)所有主要網(wǎng)絡(luò)應(yīng)用進(jìn)行分析，精確鑒別和阻斷攻擊。u 無(wú)與倫比的高性能TippingPoint 200 IPS具備絕對(duì)領(lǐng)先的能與交換機(jī)媲美的性能指標(biāo)：高達(dá)200Mbps吞吐量的線速檢測(cè)、轉(zhuǎn)發(fā)；低時(shí)延（最大時(shí)延215微秒）；精確檢測(cè)攻擊并實(shí)時(shí)阻斷；支持200萬(wàn)個(gè)并發(fā)連接；支持每秒25萬(wàn)個(gè)新建立連接。u 威脅抑制引擎（TSE，Threat Suppression Engine）TippingPoint基于ASIC、FPGA和NP技術(shù)開(kāi)發(fā)的威脅抑制引擎（TSE，Threat Suppression Engine）是高性能和精確檢測(cè)的基礎(chǔ)。該核心架構(gòu)提供的大規(guī)模并行處理機(jī)制（10,000條以上并行過(guò)濾器），使得TippingPoint IPS對(duì)一個(gè)報(bào)文從2層到7層所有信息的檢測(cè)可以在215微秒內(nèi)完成，并且保證處理時(shí)間與檢測(cè)特征數(shù)量無(wú)線性關(guān)系。采用流水線與大規(guī)模并行處理融合技術(shù)的TSE可以對(duì)一個(gè)報(bào)文同時(shí)進(jìn)行幾千種檢測(cè)，從而將整體的處理性能提高到最佳水平。在具備高速檢測(cè)功能的同時(shí)，TSE還提供增值的流量分類、流量管理和流量整形功能。TSE可以自動(dòng)統(tǒng)計(jì)和計(jì)算正常狀況下網(wǎng)絡(luò)內(nèi)各種應(yīng)用流量的分布，并且基于該統(tǒng)計(jì)形成流量框架模