【正文】 戶接入網(wǎng)絡(luò)前，通過強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果，強(qiáng)制實(shí)施用戶接入控制策略，從而實(shí)現(xiàn)對不符合安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”或監(jiān)控，并強(qiáng)制用戶進(jìn)行病毒庫升級、系統(tǒng)補(bǔ)丁安裝等操作。EAD解決方案中，安全策略是指一項(xiàng)接入服務(wù)對應(yīng)的所有安全管理內(nèi)容的配置，包括接入用戶的安全檢查方式、安全認(rèn)證的通過標(biāo)準(zhǔn)，以及根據(jù)安全認(rèn)證結(jié)果如何進(jìn)行接入權(quán)限控制。其中，對接入權(quán)限的控制可以靈活配置：當(dāng)安全檢查通過時(shí)，可以通過使用交換機(jī)ACL控制用戶訪問控制權(quán)限。當(dāng)安全認(rèn)證檢查結(jié)果為不通過時(shí)，管理員可選擇將用戶限制在隔離區(qū)（通過交換機(jī)ACL控制），或開放用戶正常上網(wǎng)權(quán)限（與安全檢查通過時(shí)權(quán)限相同），或開放用戶正常上網(wǎng)權(quán)限但要提示用戶安全檢查失敗及系統(tǒng)修復(fù)的措施，對應(yīng)地，安全策略提供了三種模式滿足上述需求，即隔離模式、監(jiān)控模式和提醒模式。不論處于哪種模式下，所有的安全檢查事件都會(huì)被EAD服務(wù)器記錄，供事后審計(jì)。本項(xiàng)目中的EAD部署如圖：EAD的安全認(rèn)證是建立在CAMS的身份認(rèn)證基礎(chǔ)上的。因此客戶端必須安裝華為3Com Client認(rèn)證軟件。樓層交換機(jī)S3952PEI作為安全聯(lián)動(dòng)設(shè)備和安全策略代理。用戶EAD安全認(rèn)證過程如下：安全客戶端發(fā)起認(rèn)證請求；如果通過省份認(rèn)證，通知設(shè)備隔離用戶，下發(fā)用戶服務(wù)策略；安全聯(lián)動(dòng)設(shè)備實(shí)施服務(wù)策略，將用戶限制到隔離區(qū)；從安全聯(lián)動(dòng)控制服務(wù)器獲取用戶安全策略（是否檢查補(bǔ)丁，是否殺病毒）；安全客戶端與防病毒軟件聯(lián)動(dòng)，將檢查結(jié)果發(fā)送到安全策略服務(wù)器，檢查是否合格；如果合格，通知安全聯(lián)動(dòng)設(shè)備解除隔離；如果不合格，通知安全客戶端，下發(fā)修復(fù)策略，提醒用戶自動(dòng)或手工在隔離區(qū)內(nèi)進(jìn)行自我修復(fù)，回到第5步；實(shí)施安全策略（是否實(shí)時(shí)查殺病毒、是否監(jiān)控郵件等），提醒用戶可以正常上網(wǎng)。 部署日志審計(jì)系統(tǒng)XlogXLog 是可擴(kuò)展的網(wǎng)絡(luò)日志審計(jì)系統(tǒng)（XLog Network Log AuditSystem）的英文簡稱，它通過與華為公司的網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）配合組網(wǎng)，XLog不僅可以準(zhǔn)確記錄用戶上網(wǎng)信息（比如上下線時(shí)間、使用的IP地址等），而且可以對用戶的訪問明細(xì)進(jìn)行詳細(xì)的記錄（比如訪問了哪些網(wǎng)站、流量大小、使用了哪些應(yīng)用層協(xié)議以及NAT轉(zhuǎn)換前后地址信息的對應(yīng)關(guān)系等）。為網(wǎng)絡(luò)管理者提供用戶上網(wǎng)日志審計(jì)的解決方案。 部署Xlog一般要進(jìn)行以下配置：過濾策略配置過慮策略的目的是將不關(guān)心的日志報(bào)文丟棄，降低無用的報(bào)文對系統(tǒng)性能的影響。日志的過濾是由接收器完成。不同的日志類型設(shè)置不同的過濾策略，對應(yīng)不同的過濾項(xiàng)。過濾策略可以由一個(gè)缺省處理方式、一個(gè)或多個(gè)過濾條件、日志類型組成。過濾條件可以由一個(gè)或多個(gè)過濾項(xiàng)組成。過濾策略的缺省處理方式與過濾條件中處理方式之間的關(guān)系：缺省處理方式表示當(dāng)日志報(bào)文不符合日志接收器采用過濾策略中包含的任意一個(gè)過濾條件時(shí)，接收器對日志報(bào)文的處理方式。而當(dāng)日志報(bào)文符合某一個(gè)過濾條件時(shí)，接收器將按照該條件設(shè)定的處理方式處理日志報(bào)文。一個(gè)過濾條件中多個(gè)過濾項(xiàng)之間的關(guān)系：XLog支持的日志類型都包含多個(gè)過濾項(xiàng)，在增加過濾條件時(shí)可以根據(jù)實(shí)際需要進(jìn)行選擇。如果設(shè)置了多個(gè)過濾項(xiàng)，則只有同時(shí)滿足上述項(xiàng)目的日志報(bào)文才會(huì)按照此過濾條件的處理方式進(jìn)行處理。過濾項(xiàng)之間的關(guān)系是“與”關(guān)系。不同過濾條件之間的關(guān)系：當(dāng)某個(gè)日志報(bào)文同時(shí)符合多個(gè)過濾條件時(shí)，如果這些過濾條件的報(bào)文處理方式不同（有的是“接收”，有的是“丟棄”），則“丟棄”方式優(yōu)先。聚合策略配置 聚合策略是將同類的日志按照一定的條件合并成一條記錄，并丟棄原始報(bào)文，只保留匯總后的數(shù)據(jù)。目的是有效的減少日志的數(shù)據(jù)量，增加入庫、查詢操作的速度。不同的日志類型采用的聚合策略不同。聚合策略組成：日志類型、聚合粒度、聚合條件、聚合處理方式。聚合粒度是指相鄰的兩條日志進(jìn)行聚合的最大時(shí)間間隔 ，默認(rèn)為10分鐘。此處的時(shí)間間隔是指上一條日志報(bào)文的結(jié)束時(shí)間與下一條報(bào)文開始時(shí)間之差。聚合條件是指聚合日志時(shí)的依據(jù)。無論哪種日志類型，源/目的IP地址為必選項(xiàng)，即當(dāng)兩條日志記錄具有相同的源/目的IP地址，并且時(shí)間間隔小于策略設(shè)置的聚合粒度時(shí)，將對二者進(jìn)行聚合，并根據(jù)聚合處理方式記錄聚合后數(shù)據(jù)的開始、結(jié)束時(shí)間，根據(jù)實(shí)際需要也可以增加其他聚合條件。聚合條件之間的關(guān)系是“與”關(guān)系聚合處理方式：日志聚合過程實(shí)質(zhì)上是丟棄原始數(shù)據(jù)并創(chuàng)建新的數(shù)據(jù)記錄的過程，而新產(chǎn)生的數(shù)據(jù)記錄也包含起始、結(jié)束時(shí)間、報(bào)文數(shù)、字節(jié)數(shù)等字段，聚合處理方式就是新數(shù)據(jù)記錄中這些字段的取值方式日志服務(wù)配置日志服務(wù)將日志處理器、日志接收器有機(jī)的結(jié)合成一個(gè)整體，完成原始日志報(bào)文的接收、過濾、聚合、入庫等操作。一個(gè)日志服務(wù)只能對應(yīng)一個(gè)處理器（一個(gè)處理器可以對應(yīng)多個(gè)接收器），因此如果實(shí)際應(yīng)用中包含多個(gè)處理器，則必須配置多個(gè)日志服務(wù)。日志服務(wù)配置是對接收器、探針采集器、處理器運(yùn)行參數(shù)的配置，通知配置下發(fā)日志服務(wù)，生成接收器、探針采集器、處理器運(yùn)行所必要的參數(shù)。日志服務(wù)下發(fā)過程就是配置臺(tái)生成并發(fā)送UDP報(bào)文（、)的過程。網(wǎng)絡(luò)分析報(bào)表XLog內(nèi)置了強(qiáng)大的統(tǒng)計(jì)分析引擎和報(bào)表顯示引擎，通過用戶定制的應(yīng)用、區(qū)域兩個(gè)維度對收集到的日志信息進(jìn)行統(tǒng)計(jì)分析。 XLog網(wǎng)絡(luò)分析報(bào)表為用戶提供了靈活多樣的報(bào)表生成、查詢方式。用戶可以根據(jù)需要定義應(yīng)用類型以及報(bào)表區(qū)域 。報(bào)表種類包括三大類（區(qū)域類、特定跟蹤類、應(yīng)用類）共計(jì)18種報(bào)表 。報(bào)表可以生成即時(shí)報(bào)表和周期報(bào)表（可選周期包括日、周、月）。報(bào)表格式支持HTML和PDF兩種格式?？梢愿鶕?jù)報(bào)表的種類、已生成的周期性報(bào)表以及已生成的所有報(bào)表三種方式進(jìn)行查詢。 部署入侵檢測(IDS)方案一直以來，業(yè)界對于安全需求只局限于單項(xiàng)產(chǎn)品解決單一需求的方式，例如購買防火墻出發(fā)點(diǎn)是阻斷一切可疑數(shù)據(jù)從而切斷攻擊，而購買密碼機(jī)來實(shí)現(xiàn)傳輸數(shù)據(jù)的加密，購買IDS（Invasion Detect System，入侵檢測系統(tǒng)）實(shí)現(xiàn)入侵的檢測。隨著應(yīng)用的不斷增加，疊加購買的方式不但成本高昂，并且?guī)砗芏嗟墓芾韱栴}。同時(shí)，部分安全隱患仍然存在。很多情況下安全產(chǎn)品與安全產(chǎn)品之間、安全產(chǎn)品與網(wǎng)絡(luò)中的其他部件之間需要通力協(xié)作，保證相關(guān)的攻擊在源頭就被發(fā)現(xiàn)和阻斷，從而更加有效的保護(hù)整個(gè)網(wǎng)絡(luò)的安全。這種通力合作就叫做聯(lián)動(dòng)。交換機(jī)支持IDS聯(lián)動(dòng)，即交換機(jī)和IDS通力合作，有效的保證整個(gè)網(wǎng)絡(luò)的安全。華為3Com的SecEngine D500入侵檢測系統(tǒng)可以與S8512交換機(jī)很好的聯(lián)動(dòng)，實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全。具體實(shí)施為：20臺(tái)服務(wù)器可以分別接入85的2塊單板上，每塊接10臺(tái)服務(wù)器，可以在每臺(tái)85上配置一臺(tái)IDS設(shè)備。如下圖所示。每塊接口板上，85接服務(wù)器的那10個(gè)端口的進(jìn)出流量都鏡像到鏡像口上，鏡像口接D500的檢測口，D500的管理口與85的管理口聯(lián)通（下聯(lián)動(dòng)命令時(shí)要用管理口）。IDS聯(lián)動(dòng)配置包括：l 端口鏡像配置l 端口IDS使能配置端口鏡像配置：端口鏡像就是將被監(jiān)控端口上的數(shù)據(jù)復(fù)制到指定的監(jiān)控端口，對數(shù)據(jù)進(jìn)行分析和監(jiān)視。S8512交換機(jī)支持多對一的鏡像，即將多個(gè)端口的報(bào)文復(fù)制到一個(gè)監(jiān)控端口上。用戶可以指定受監(jiān)控的報(bào)文的方向，如只監(jiān)控指定端口發(fā)送的報(bào)文。S8500系列交換機(jī)采用端口鏡像組的方式來配置端口鏡像功能。每個(gè)端口鏡像組包含一個(gè)監(jiān)控端口，和一組被監(jiān)控端口。端口IDS使能配置：配置好鏡像關(guān)系后必須在相應(yīng)的端口激活I(lǐng)DS聯(lián)動(dòng)功能，這樣才能使IDS聯(lián)動(dòng)生效。 QOS設(shè)計(jì)后期部署。第 19 頁 共 22 頁