【文章內(nèi)容簡(jiǎn)介】 圖：聯(lián)動(dòng)基本原理1．用戶終端試圖接入網(wǎng)絡(luò)時(shí)，首先通過(guò)安全客戶端進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)2．合法用戶將被要求進(jìn)行安全狀態(tài)認(rèn)證，由安全策略服務(wù)器驗(yàn)證補(bǔ)丁版本、病毒庫(kù)版本是否合格，不合格用戶將被安全聯(lián)動(dòng)設(shè)備隔離到隔離區(qū)進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)，直到安全狀態(tài)合格，安全狀態(tài)合格的用戶將實(shí)施由安全策略服務(wù)器下發(fā)的安全設(shè)置，并由安全聯(lián)動(dòng)設(shè)備提供基于身份的網(wǎng)絡(luò)服務(wù)從主要功能和基本原理可以看出，端點(diǎn)準(zhǔn)入控制解決方案將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲(chóng)等新興安全威脅的整體防御能力。圖：組成示意圖 EAD基本組件端點(diǎn)準(zhǔn)入控制方案是一個(gè)整合方案，其基本部件包括安全客戶端、安全聯(lián)動(dòng)設(shè)備、安全策略服務(wù)器，安全管理中心以及防病毒服務(wù)器、補(bǔ)丁服務(wù)器等第三方服務(wù)器。方案中的各部件各司其職，由安全策略中心協(xié)調(diào)與整合各功能部件，共同完成對(duì)網(wǎng)絡(luò)接入終端的安全狀態(tài)評(píng)估、隔離與修復(fù)，提升網(wǎng)絡(luò)的整體防御能力。216。 iNode安全客戶端安全客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體，其主要功能包括：、portal等多種認(rèn)證方式，可以與交換機(jī)、路由器配合實(shí)現(xiàn)接入層、匯聚層的端點(diǎn)準(zhǔn)入控制。檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息；同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。這些信息將被傳遞到安全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。安全策略實(shí)施，接收安全策略服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊(cè)表）、系統(tǒng)修復(fù)通知與實(shí)施（自動(dòng)或手工升級(jí)補(bǔ)丁和病毒庫(kù)）等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。216。 iMC安全策略服務(wù)器EAD方案的核心是整合與聯(lián)動(dòng)，而安全策略服務(wù)器是EAD方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。安全策略管理。安全策略服務(wù)器定義了對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評(píng)估配置、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等。用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級(jí)別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)，方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略。安全聯(lián)動(dòng)控制。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài)，控制安全聯(lián)動(dòng)設(shè)備對(duì)用戶的隔離與開(kāi)放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過(guò)安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動(dòng)設(shè)備與防病毒服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。日志審計(jì)。安全策略服務(wù)器收集由安全客戶端上報(bào)的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。216。 安全聯(lián)動(dòng)設(shè)備安全聯(lián)動(dòng)設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場(chǎng)合的不同，安全聯(lián)動(dòng)設(shè)備可以是交換機(jī)、路由器或防火墻安全網(wǎng)關(guān)，分別實(shí)現(xiàn)不同認(rèn)證方式（、Portal等）的端點(diǎn)準(zhǔn)入控制。不論是哪種接入設(shè)備或采用哪種認(rèn)證方式，安全聯(lián)動(dòng)設(shè)備均具有以下功能：178。 強(qiáng)制網(wǎng)絡(luò)接入終端進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估。178。 隔離不符合安全策略的用戶終端。聯(lián)動(dòng)設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后，可以通過(guò)ACL方式限制用戶的訪問(wèn)權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解除對(duì)用戶終端的隔離。178。 提供基于身份的網(wǎng)絡(luò)服務(wù)。安全聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的ACL、VLAN等。216。 第三方系統(tǒng)（桌面防病毒系統(tǒng)，防病毒服務(wù)器）在EAD方案中，第三方系統(tǒng)是指桌面防病毒系統(tǒng)及處于隔離區(qū)中，用于終端進(jìn)行自我修復(fù)的防病毒服務(wù)器或補(bǔ)丁服務(wù)器。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫(kù)升級(jí)服務(wù)，允許防病毒客戶端進(jìn)行在線升級(jí)；補(bǔ)丁服務(wù)器則提供系統(tǒng)補(bǔ)丁升級(jí)服務(wù)，當(dāng)用戶終端的系統(tǒng)補(bǔ)丁不能滿足安全要求時(shí)，可以通過(guò)補(bǔ)丁服務(wù)器進(jìn)行補(bǔ)丁下載和升級(jí)。216。 安全管理中心SecCenter采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的安全日志，結(jié)合H3C EAD客戶端上報(bào)的用戶上網(wǎng)過(guò)程、安全狀態(tài)、病毒查殺事件，進(jìn)行統(tǒng)一分析，實(shí)時(shí)輸出審計(jì)報(bào)告。當(dāng)發(fā)生安全事故后，可以根據(jù)記錄的信息對(duì)用戶既往行為進(jìn)行分析和追根朔源。同時(shí)，安全管理員可以按照法律法規(guī)（如SOX法案）和標(biāo)準(zhǔn)中的規(guī)定，定制相應(yīng)的審計(jì)報(bào)告。作為一種成熟的安全防御體系，內(nèi)網(wǎng)控制從端點(diǎn)準(zhǔn)入控制入手，整合防病毒軟件等單點(diǎn)安全產(chǎn)品，可以大幅度提高網(wǎng)絡(luò)對(duì)病毒、蠕蟲(chóng)等新興安全威脅的整體防御能力。216。 病毒、蠕蟲(chóng)的主動(dòng)防御，大幅提高安全性安全管理平臺(tái)通過(guò)H3C EAD（端點(diǎn)準(zhǔn)入防御）終端軟件對(duì)接入用戶進(jìn)行認(rèn)證時(shí)，同時(shí)檢查終端補(bǔ)丁、病毒庫(kù)升級(jí)狀態(tài)，確保只有身份合法并且符合企業(yè)的防病毒標(biāo)準(zhǔn)和系統(tǒng)補(bǔ)丁安裝策略的用戶接入，從而保證每一個(gè)接入端點(diǎn)的安全，預(yù)防內(nèi)網(wǎng)病毒、蠕蟲(chóng)的泛濫。不符合安全策略的用戶終端將被隔離到“隔離區(qū)”，只能訪問(wèn)網(wǎng)絡(luò)管理員指定的資源，在提醒下完成修復(fù)和升級(jí)。216。 基于深度檢測(cè)的安全聯(lián)動(dòng)，全面隔離“危險(xiǎn)”終端安全防御設(shè)備包含防火墻、SecBlade和IPS。融合了包過(guò)濾、狀態(tài)檢測(cè)、入侵防御和防病毒等多種技術(shù)，可以發(fā)現(xiàn)和阻斷蠕蟲(chóng)、病毒以及惡意入侵行為，同時(shí)將安全事件上報(bào)安全管理平臺(tái)。SecCenter進(jìn)行智能分析后聯(lián)動(dòng)iMC，對(duì)造成威脅的內(nèi)網(wǎng)用戶采取在線提醒、強(qiáng)制下線、關(guān)閉交換機(jī)端口、加入黑名單等控制手段，從源頭上制止威脅的發(fā)生。216。 專業(yè)的桌面行為審計(jì)SecCenter采集網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的安全日志，結(jié)合H3C EAD客戶端上報(bào)的用戶上網(wǎng)過(guò)程、安全狀態(tài)、病毒查殺事件，進(jìn)行統(tǒng)一分析，實(shí)時(shí)輸出審計(jì)報(bào)告。當(dāng)發(fā)生安全事故后，可以根據(jù)記錄的信息對(duì)用戶既往行為進(jìn)行分析和追根朔源。同時(shí)，安全管理員可以按照法律法規(guī)（如SOX法案）和標(biāo)準(zhǔn)中的規(guī)定，定制相應(yīng)的審計(jì)報(bào)告。216。 靈活、方便的部署與維護(hù)方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和隔離級(jí)別。其中EAD可以部署為監(jiān)控模式（只記錄不合格的用戶終端，不進(jìn)行修復(fù)提醒）、提醒模式（只做修復(fù)提醒，不進(jìn)行網(wǎng)絡(luò)隔離）和隔離模式，以適應(yīng)用戶對(duì)安全準(zhǔn)入控制的不同要求。216。 專業(yè)第三方廠商的合作內(nèi)網(wǎng)控制是一個(gè)整合方案，目前支持方案的廠商包括市場(chǎng)上主流的防病毒軟件廠商及桌面終端管理廠商，包括但不限于Microsoft，Bigfix，LANDdesk，瑞星，金山，江民，北信源，趨勢(shì)，Synmantec等等。通過(guò)EAD的聯(lián)動(dòng)，各軟件系統(tǒng)的價(jià)值得到提升，從單點(diǎn)防御轉(zhuǎn)化為整體防御。216。 具有策略實(shí)施功能，方便企業(yè)實(shí)施組織級(jí)安全策略方案除了能夠檢測(cè)用戶終端的安全防御狀態(tài)外，還可以幫助管理員設(shè)置終端的安全策略，以達(dá)到企業(yè)級(jí)安全策略統(tǒng)一實(shí)施的目的。5. 網(wǎng)絡(luò)綜合管理平臺(tái)設(shè)計(jì). 應(yīng)用場(chǎng)景隨著網(wǎng)絡(luò)建設(shè)的不斷深入發(fā)展，除了單純的追求高帶寬、高速率外，安全的網(wǎng)絡(luò)、高效的網(wǎng)絡(luò)和可運(yùn)營(yíng)的網(wǎng)絡(luò)成為越來(lái)越多的用戶關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)精細(xì)化管理也越來(lái)越深入人心，一套好的管理軟件無(wú)疑對(duì)網(wǎng)絡(luò)的精細(xì)化管理起到至關(guān)重要的作用。精細(xì)化管理的第一步是網(wǎng)絡(luò)的基礎(chǔ)管理，基于多年的積累和對(duì)用戶網(wǎng)絡(luò)的深入理解，H3C IMC開(kāi)放智能管理中樞解決方案為用戶提供了實(shí)用、易用的網(wǎng)絡(luò)管理功能，在網(wǎng)絡(luò)資源的集中管理基礎(chǔ)上，實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾?、告警管理、性能管理、軟件升?jí)管理、配置文件管理、ACL資源管理、MPLS VPN監(jiān)視與部署等多種管理功能。IMC解決方案不僅能夠管理H3C公司的全線數(shù)據(jù)通信設(shè)備，還能夠通過(guò)標(biāo)準(zhǔn)MIB管理3Com、華為、Cisco等各主流廠商的設(shè)備，而且還是H3C公司其他管理解決方案的基石所在。. 平臺(tái)介紹H3C IMC解決方案以對(duì)網(wǎng)絡(luò)資源的基本管理為核心，不僅提供功能，更通過(guò)流程向?qū)У姆绞礁嬖V用戶如何使用功能滿足業(yè)務(wù)需求，為用戶提供了網(wǎng)絡(luò)精細(xì)化管理最佳的工具軟件。H3C解決方案采用全新的SOA（Service Oriented Architecture，面向服務(wù)的架構(gòu)）為設(shè)計(jì)思想，基于B/S架構(gòu)，對(duì)外提供多種開(kāi)放接口，既能與用戶原有業(yè)務(wù)系統(tǒng)有機(jī)融合，又能方便吸納第三方服務(wù)，形成“面向業(yè)務(wù)”、“融合聯(lián)動(dòng)”、“開(kāi)放架構(gòu)”的管理流程。圖 IMC解決方案概述. NFM基礎(chǔ)網(wǎng)絡(luò)管理組件介紹IMC解決方案不僅涵蓋拓?fù)?、告警、性能和配置等管理功能，使網(wǎng)絡(luò)狀況一目了然，而且結(jié)合H3C公司的系列交換機(jī)和路由器設(shè)備，提供智能化的ACL管理工具，可實(shí)現(xiàn)客戶所需的各種嚴(yán)格的訪問(wèn)控制策略，從而構(gòu)成對(duì)網(wǎng)絡(luò)訪問(wèn)的權(quán)限控制。在傳統(tǒng)網(wǎng)絡(luò)管理的基礎(chǔ)上，與BGP/MPLS VPN網(wǎng)絡(luò)信息聯(lián)動(dòng)，形成端到端的管理解決方案，切實(shí)有效的減輕管理員的工作量。l 全面的基礎(chǔ)資源管理除了傳統(tǒng)的路由器、交換機(jī)外，更能對(duì)網(wǎng)絡(luò)中的無(wú)線、安全、語(yǔ)音、存儲(chǔ)、服務(wù)器、打印機(jī)、UPS等設(shè)備進(jìn)行管理，實(shí)現(xiàn)設(shè)備資源的集中化管理；基于H3C專利的發(fā)現(xiàn)算法，能快速、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資源，包括路由方式、ARP方式、IPSec VPN方式、網(wǎng)段方式等；支持設(shè)備面板管理，所見(jiàn)即所得的顯示設(shè)備的資產(chǎn)組成和運(yùn)行狀態(tài)。圖 自動(dòng)識(shí)別多種設(shè)備類型l 靈活方便的拓?fù)涔δ艹齻鹘y(tǒng)的IP拓?fù)湟晥D外，IMC還支持自定義視圖，使用戶可以根據(jù)自己的組織結(jié)構(gòu)、地域情況、甚至樓層情況清晰靈活地繪制出客戶化的網(wǎng)絡(luò)拓?fù)?；通過(guò)拓?fù)鋵?shí)時(shí)展示網(wǎng)絡(luò)設(shè)備及鏈路狀態(tài)，實(shí)時(shí)定位網(wǎng)絡(luò)故障。圖 IP拓?fù)鋖 智能的告警管理IMC具有完備的告警和故障管理機(jī)制及流程，能自動(dòng)匯總?cè)W(wǎng)中故障設(shè)備，形成故障設(shè)備列表，使管理員能快速、清晰的找到需要關(guān)注的故障設(shè)備；提供對(duì)重復(fù)告警、突發(fā)的大流量告警、未知告警的自動(dòng)過(guò)濾，用戶還可以自定義過(guò)濾規(guī)則，以有效壓縮海量網(wǎng)絡(luò)告警，使得管理員直接關(guān)注真正的網(wǎng)絡(luò)故障；提供包括實(shí)時(shí)遠(yuǎn)程告警（手機(jī)短信、Email告警）、聲光告警板集中告警（按告警類型分類告警）、拓?fù)鋵?shí)時(shí)展示告警等多種機(jī)制，為管理員從多角度實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài)。圖 告警管理流程l 方便易用的性能管理支持對(duì)CPU利用率、內(nèi)存利用率、帶寬利用率、設(shè)備響應(yīng)性能、設(shè)備不可達(dá)等指標(biāo)的監(jiān)視，支持TopN統(tǒng)計(jì)排序；支持對(duì)每一個(gè)性能指標(biāo)設(shè)置兩級(jí)閾值，發(fā)送不同級(jí)別的告警，用戶可以根據(jù)告警信息直接了解到設(shè)備某指標(biāo)的性能情況；對(duì)監(jiān)控的信息支持餅圖、折線圖、曲線圖等多種方式輸出，提供靈活的組合條件統(tǒng)計(jì)和查詢，性能報(bào)表支持導(dǎo)出Html、Txt、Excel、PDF格式文件。圖 性能管理l 智能化的配置和軟件管理通過(guò)IMC管理員能方便的對(duì)設(shè)備配置文件和軟件文件進(jìn)行集中管理，包括配置文件的備份、恢復(fù)以及批量更新、設(shè)備軟件的備份和升級(jí)等功能；同時(shí)IMC提供設(shè)備配置的基線化版本管理，可以對(duì)配置文件的變化進(jìn)行比較跟蹤；提供設(shè)備軟件的升級(jí)歷史記錄，可以全面審計(jì)設(shè)備軟件版本的變化，并可快速的恢復(fù)歷史版本，極大的方便了對(duì)設(shè)備的管理，提高了網(wǎng)絡(luò)的可維護(hù)性。圖 設(shè)備配置管理l 全網(wǎng)設(shè)備的ACL資源統(tǒng)一管理部署提供易于理解的圖形化配置界面，管理員不需要了解復(fù)雜的命令行也可以輕松地配置和部署ACL，減少了人為錯(cuò)誤，加快、簡(jiǎn)化了ACL的配置過(guò)程；對(duì)于大量設(shè)備的批量ACL配置，支持批量部署功能，節(jié)省人力和時(shí)間成本；支持標(biāo)準(zhǔn)、擴(kuò)展、二層、自定義等各種ACL規(guī)則，讓用戶可以針對(duì)網(wǎng)絡(luò)、應(yīng)用、VLAN等資源制定強(qiáng)大的安全策略，從而提高了網(wǎng)絡(luò)的安全性。圖 批量部署ACL資源l 端到端的MPLS VPN網(wǎng)絡(luò)管理提供了便捷的方式增加VPN資源，PE和CE資源可以直接從基礎(chǔ)網(wǎng)絡(luò)資源導(dǎo)入，而VPN既支持手工增加，也可以利用自動(dòng)發(fā)現(xiàn)功能進(jìn)行自動(dòng)構(gòu)建；支持將已發(fā)現(xiàn)的VPN按照網(wǎng)絡(luò)的實(shí)際情況或者用戶希望的方式進(jìn)行組合，可以按客戶、種類等分組方法，把VPN分到不同的分組中；提供強(qiáng)大的VPN監(jiān)控功能，包括VPN接入拓?fù)洹PN業(yè)務(wù)拓?fù)?、VPN告警、VPN連通性審計(jì)等，實(shí)時(shí)反映網(wǎng)絡(luò)對(duì)象的故障狀態(tài)和配置狀態(tài)；提供向?qū)降腗PLS VPN部署功能，支持VPN鏈路部署和拆除；提供對(duì)VPN和業(yè)務(wù)接入的流量統(tǒng)計(jì)和報(bào)表功能。圖 MPLS VPN網(wǎng)絡(luò)管理流程. APM應(yīng)用管理組件介紹l 產(chǎn)品簡(jiǎn)介、云計(jì)算、數(shù)據(jù)中心等信息技術(shù)的不斷發(fā)展，企業(yè)的各種業(yè)務(wù)已經(jīng)越來(lái)越緊密地與Internet結(jié)合在一起，由服務(wù)器、數(shù)據(jù)庫(kù)、