【文章內(nèi)容簡介】 一層的安全性解決方案主要集中于保護技術(shù)設(shè)施不受物理和邏輯上的攻擊，其他主要集中方面是基礎(chǔ)設(shè)施和應(yīng)用的監(jiān)控和管理。 ? 應(yīng)用和數(shù)據(jù)安全性： o 這一層是指業(yè)務(wù)應(yīng)用的安全性，業(yè)務(wù)應(yīng)用被內(nèi)部和外部終端用戶實際訪問，是處理業(yè)務(wù)事務(wù)的資產(chǎn)，并提供電子商務(wù)。 o 企業(yè)安全性這一層的安全性解決方案主要集中于提供對應(yīng)用的受控訪問、驗證用戶身份、用戶的 provisioning 和授權(quán)、審查用戶 操作，并通過加密來保護數(shù)據(jù)。 ? 管理安全性 o 這一層是指業(yè)務(wù)流程和操作的安全性，當管理團隊作出高級策略決定時，管理安全性主要進行基礎(chǔ)設(shè)施和應(yīng)用的安全性的實現(xiàn)和配置。企業(yè)策略和標準的成功與否取決于如何在這一層上實現(xiàn)和實施級別，這使組織能夠運行業(yè)務(wù)，而不會有意或無意的違背企業(yè)策略，并防止業(yè)務(wù)遇到合法的或其他類型的安全問題。 o 這一層的安全性解決方案主要包括一些方案或服務(wù)，這些方案或服務(wù)幫助組織實施并自動操作安全策略和流程，最終用戶了解規(guī)劃并完成企業(yè)級安全性的管理和報告。 數(shù)據(jù)中心需要一個全方位一體化的安全部署 方式。 H3C 數(shù)據(jù)中心安全解決方案秉承了 H3C 一貫倡導(dǎo)的 “ 智能安全滲透理念 ” ，將安全部署滲透到整個數(shù)據(jù)中心的設(shè)計、部署、運維中，為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺，真正做到了使安全貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標，使安全保護無處不在。 . XX 單位 數(shù)據(jù)中心整體安全規(guī)劃 H3C 數(shù)據(jù)中心安全解決方案的技術(shù)特色可概括為： ? 27 層防御 ? 分區(qū)分層部署 ? 統(tǒng)一管理、智能聯(lián)動 ? 27層防御： 以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護功能。依托具有豐富安全特性的交換機構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護；以 ASIC、 FPGA 和 NP 技術(shù)組成的具有高性能精確檢測引擎的 IPS 提供對網(wǎng)絡(luò)報文深度檢測，構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護；第三重保護是憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。 數(shù)據(jù)中心多層安全防御 三重防護 數(shù)據(jù)中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。交換機提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進行隔離，并提供對 DDOS 和多種畸形報文攻擊的防御。 IPS 可以針對應(yīng)用流量做深度分析與檢測能 力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理，從而達到對網(wǎng)絡(luò)應(yīng)用層的保護。 ? 分區(qū)規(guī)劃，分層部署 在網(wǎng)絡(luò)中存在不同價值和易受攻擊程度不同的設(shè)備，按照這些設(shè)備的情況制定不同的安全策略和信任模型，將網(wǎng)絡(luò)劃分為不同區(qū)域。 多層思想（ nTier）不僅體現(xiàn)在傳統(tǒng)的網(wǎng)絡(luò)三層部署（接入－匯聚－核心）上，更應(yīng)該關(guān)注數(shù)據(jù)中心服務(wù)器區(qū)的設(shè)計部署上。服務(wù)器資源是數(shù)據(jù)中心的核心，多層架構(gòu)把應(yīng)用服務(wù)器分解成可管理的、安 全的層次。按照功能分層打破了將所有功能都駐留在單一服務(wù)器時帶來的安全隱患，增強了擴展性和高可用性。 ? 統(tǒng)一管理、智能聯(lián)動 當前，數(shù)據(jù)中心系統(tǒng)安全管理中 遇到的問題 包括 ： 1) 對實時安全信息不了解，無法及時發(fā)出預(yù)警 報告 。 2) 各種安全設(shè)備是孤立的，無法相互關(guān)聯(lián)，信息共享。 3) 安全事件發(fā)生以后，無法及時診斷網(wǎng)絡(luò)故障的原因，恢復(fù)困難。 4) 網(wǎng)絡(luò)安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題。 在此背景下， H3C 提出用 SecCenter（安全管理中心）和 iMC（智能管理中心）組合，來滿足數(shù)據(jù)中心系統(tǒng)全局安全管理的需求， 將安全體系 中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端等納入一個緊密的 “全局安全 管理平臺 ” 中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個 智能 安全防御體系，大幅度提高 數(shù)據(jù)中心系統(tǒng) 的整體安全防御能力。 H3C“全局安全管理平臺” 由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的 協(xié)同防御體系（見下圖）。 H3C 基于 SecCenter 和 iMC 的智能防御體系 H3C 全局安全管理平臺 旨在集中部署網(wǎng)絡(luò)安全 防護 策略，簡化對安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一；廣泛采集與分析來自于計算機、網(wǎng)絡(luò)、存儲、安全等設(shè)施的告警事件，通過關(guān)聯(lián)來自于不同地點、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風(fēng)險，提高安全報警的信噪比；準確的、實時的評估當前的網(wǎng)絡(luò)安全態(tài)勢和風(fēng)險，并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。 . 基礎(chǔ)網(wǎng)絡(luò)安全設(shè)計 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。架構(gòu)安全特性涉及服務(wù)器、接入交換機、負載均衡器、匯聚交換機、核心交換機等設(shè)備，部署點多、覆蓋面大，是構(gòu)成整個安全數(shù)據(jù) 中心的基石。 . 交換機安全部署 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。架構(gòu)安全特性涉及服務(wù)器、接入交換機、負載均衡器、匯聚交換機、核心交換機等設(shè)備，部署點多、覆蓋面大，是構(gòu)成整個安全數(shù)據(jù)中心的基石。 H3C憑借基于 COMWARE的具有豐富安全特性全系列智能交換機為數(shù)據(jù)中心打造堅實的基礎(chǔ)構(gòu)架。 COMWARE是由 H3C推出的支持多種網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，它以強大的 IP 轉(zhuǎn)發(fā)引擎為核心，通過完善的體系結(jié)構(gòu)設(shè)計，把實時操作系統(tǒng)和網(wǎng)絡(luò)管理、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)安全等技術(shù)完美 的結(jié)合在一起。作為一個不斷發(fā)展、可持續(xù)升級的平臺，它具有開放的接口，可靈活支持大量的網(wǎng)絡(luò)協(xié)議和安全特性。COMWARE 可應(yīng)用在分布式或集中式的網(wǎng)絡(luò)設(shè)備構(gòu)架之上，也就是說，不僅可以運行在高端的交換機 /路由器上，而且也可以運行在中低端的交換機 /路由器上，不向其它廠商，不同的軟件運行在不同的設(shè)備上。 COMWARE 的這一特性可使網(wǎng)絡(luò)中各節(jié)點設(shè)備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應(yīng)”。 數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全相關(guān)架構(gòu) 基于 VLAN 的端口隔離 交換機可以由硬件實現(xiàn)相同 VLAN 中的兩個端口互相隔離。隔離后這兩個端口在本設(shè)備內(nèi)不能實現(xiàn)二、三層互通。當相同 VLAN 中的服務(wù)器之間完全沒有互訪要求時，可以設(shè)置各自連接的端口為隔離端口，如圖。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全： 圖 交換機 Isolated Vlan 技術(shù) STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二層連接保護保證 STP/RSTP 穩(wěn)定 ,防止攻擊 ,保障可靠的二層連接。如圖。 圖 交換機 Root Guard/BPDU Guard 技術(shù) 端口安全 端口安全（ Port Security）的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址，以達到相應(yīng)的網(wǎng)絡(luò)管理效果。對于不能通過安全模式學(xué)習(xí)到源 MAC 地址的報文或 認證失敗的設(shè)備，當發(fā)現(xiàn)非法報文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動進行處理，減少了用戶的維護工作量，極大地提高了系統(tǒng)的安全性和可管理性。 端口安全的特性包括： NTK： NTK（ Need To Know）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的 MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認證的設(shè)備上，從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù)。 Intrusion Protection：該特性通過檢測端口接收到的數(shù)據(jù)幀的源 MAC 地址或 認證的用戶名、密碼，發(fā)現(xiàn)非法報文或非法事件，并采取相應(yīng)的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此 MAC 地址的報文，保證了端口的安全性。 Device Tracking：該特性是指當端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時，設(shè)備將會發(fā)送 Trap 信息，便于網(wǎng)絡(luò)管理員對這些特殊的行為進行監(jiān)控。 防 IP 偽裝 病毒和非法用戶很多情況會偽裝 IP 來實現(xiàn)攻擊。偽裝 IP 有三個用處： ? 本身就是攻擊的直接功能體。比如 smurf 攻擊。 ? 麻痹網(wǎng)絡(luò)中的安全設(shè)施。比如繞過利用源 IP 做的接入控制。 ? 隱藏攻擊源 設(shè)備防止 IP偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報文的源 IP是經(jīng)過偽裝的。這種判定的方式有 4 種。分別在內(nèi)網(wǎng)和 網(wǎng)絡(luò) 的邊界使用。 （ 1）、 利用 IP 和 MAC 的綁定關(guān)系網(wǎng)關(guān)防御 ： 利用 DHCP relay 特性，網(wǎng)關(guān)可以形成本網(wǎng)段下主機的 IP、 MAC 映射表。當網(wǎng)關(guān)收到一個 ARP 報文時，會先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。如果找到則正常學(xué)習(xí)，否則不學(xué)習(xí)該 ARP。這樣偽裝 IP 的設(shè)備沒有辦法進行正常的跨網(wǎng) 段通信。 （ 2）、 接入設(shè)備防御 ： 利用 DHCP SNOOPING 特性，接入設(shè)備通過監(jiān)控其端口接收到的 DHCP request、 ACK、 release 報文，也可以形成一張端口下 IP、 MAC的映射表。設(shè)備可以根據(jù) IP、 MAC、端口的對應(yīng)關(guān)系，下發(fā) ACL 規(guī)則限制從該端口通過的報文源 IP 必須為其從 DHCP 服務(wù)器獲取的 IP 地址。 （ 3）、 UPRF： UPRF 會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實現(xiàn)機制如下：設(shè)備接收到報文后， UPRF 會比較該報文的源地址在路由表中對應(yīng)的出接口是否和接收該報文的接口 一致。如果兩者不一致，則將報文丟棄。 （ 4）、 路由協(xié)議認證 ： 攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯誤的路由更新報文，使路由表中出現(xiàn)錯誤的路由，從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。為了防止這種攻擊最有效的方法就是使用局域網(wǎng)常用路由協(xié)議時，必須啟用路由協(xié)議的認證。 另外，在不應(yīng)該出現(xiàn)路由信息的端口過濾掉所有路由報文也是解決方法之一。但這種方法會消耗掉許多 ACL 資源。 . 內(nèi)網(wǎng)桌面終端 安全 管理系統(tǒng) 部署 在 XX 單位 的局域網(wǎng)接入上，需要采用嚴格的用戶認證和授權(quán)控制策略，避免網(wǎng)絡(luò)的非法接入和越級訪問，保證核心數(shù)據(jù)和業(yè)務(wù)的安全性和 高度機密。同時，對不同的接入用戶要做到動態(tài)的分配不同的權(quán)限，使之歸屬于不同的 VPN，訪問授權(quán)的資源。此外，需要對接入終端的安全性進行檢查，避免病毒的傳播對網(wǎng)絡(luò)造成的不可預(yù)知的破壞。這就需要一套完整的 端點準入防御（ EAD， Endpoint Admission Defense）解決方案 。 EAD 從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強了用 戶終端的主動防御能力，為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。 下面從桌面終端認證需求、組網(wǎng)部署、功能描述 3 方面進行 EAD 系統(tǒng)簡單介紹： （ 1）、桌面終端用戶 認證需求 對于要接入安全網(wǎng)絡(luò)的用戶， EAD 解決方案首先要對其進行身份認證，通過身份認證的用戶進行終端的安全認證，根據(jù)網(wǎng)絡(luò)管理員定制的安全策略進行包括病毒庫更新情況、系統(tǒng)補丁安裝情況、軟件的黑白名單等內(nèi)容的安全檢查，根據(jù)檢查的結(jié)果， EAD 對用戶網(wǎng)絡(luò)準入進行授權(quán)和控制。通過安全認證后，用戶可以正常使用網(wǎng)絡(luò)，與此同時， EAD 可以對用戶終端運行情況和網(wǎng)絡(luò)使用情況進行審計和監(jiān)控。 EAD 解決方案對用戶網(wǎng)絡(luò)準入的整體認證過程如下圖所示： （ 2）、 EAD 系統(tǒng) 組網(wǎng) 部署 如下圖所示， EAD 組網(wǎng)模型圖中包括安全客戶端、安全聯(lián)動設(shè)備、 H3C iMC CAMS 安全策略服務(wù)器和第三方服務(wù)器 ： ? 安全客戶端 是指安裝了 H3C iNode 智能 客戶端的用戶接入終端，負責(zé)身份認證的發(fā)起和安全策略的檢查。 ? 安全聯(lián)動設(shè)備 是指用戶網(wǎng)絡(luò)中的交換機、路由器、 VPN 網(wǎng)關(guān)等設(shè)備。 EAD 提供了靈活多樣的組網(wǎng)方案，安全聯(lián)動設(shè)備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡(luò)接入 層和匯聚層。 ? H3C iMC CAMS安全策略服務(wù)器 它要求和安全聯(lián)動設(shè)備路由可達。負責(zé)給客戶端下發(fā)安全策略、接收客戶端安全策略檢查結(jié)果并進行審核，向安全聯(lián)動設(shè)備發(fā)送網(wǎng)絡(luò)訪問的授權(quán)指令。 ? 第三方服務(wù)器 是指補丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等，被部署在隔離區(qū)中。當用戶通過身份認證但安全認證失敗時，將被隔離到隔離區(qū)，此時用戶能且僅能訪問隔離區(qū)中的服務(wù)器，通過第三方服務(wù)器進行自身安全修復(fù)，直到滿足安全策略要求。 （ 3）、 H3C EAD 功能描述 ? 嚴格的身份認證 除基于用戶名和密碼的身份認證外， EAD還支持身 份與接入終端的 MAC地址、IP 地址、所在 VLAN、接入設(shè)備 IP、接入設(shè)備端口號等信息進行綁定，支持智能卡、數(shù)字證書認證，增強身份認證的安全性。 ? 完備的安全狀態(tài)評估 根據(jù)管理員配置的安全策略，用戶可以進行的安全認證檢查包括終端病毒庫版本檢查、終端補丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號配置等；為了更好的滿足客戶的 需 求， EAD 客戶端支持和微軟 SMS、 LANDesk、 BigFix