【正文】 用戶可以獲得全面的無線業(yè)務(wù)管理能力，實現(xiàn) AC、 FAT AP、 FIT AP、移動終端等無線設(shè)備的集中管理，提供資源分組、無線拓?fù)涔δ埽瑢θW(wǎng)無線設(shè)備進(jìn)行直觀有效的組織；此外，策略模板等功能實現(xiàn)網(wǎng)絡(luò)和設(shè)備的批量配置，提升效率，降低維護(hù)工作量，降低維護(hù)成本。 智能配置中心 可以幫助管理員方便的對設(shè)備配置文件和軟件文件進(jìn)行集中管理，包括配置文件的備份、恢復(fù)以及批量更新、設(shè)備軟件的備份和升級等功能；同時提供設(shè)備配置的基線化版本管理，可以對配置文件的變化進(jìn)行比較跟蹤。 MPLS VPN 管理 實現(xiàn)網(wǎng)絡(luò)資源與 MPLS VPN 業(yè)務(wù)的統(tǒng)一管理，除基礎(chǔ)的網(wǎng)絡(luò)設(shè)備管理外，還包括 MPLS VPN 業(yè)務(wù)部署、業(yè)務(wù)監(jiān)控、業(yè)務(wù)審計等內(nèi)容，為客戶提供了端到端的全流程業(yè)務(wù)管理功能。 端點安全準(zhǔn)入管理 在身份接入基礎(chǔ)上，支持終端安 全準(zhǔn)入控制，支持安全狀態(tài)評估、網(wǎng)絡(luò)中安全威脅定位、安全事件感知及保護(hù)措施執(zhí)行等，預(yù)防因未打補丁、病毒泛濫、 ARP攻擊、異常流量、非法軟件安裝和運行等因素可能帶來的安全威脅，并可根據(jù)終端的安全狀態(tài)實現(xiàn)終端下線、隔離、提醒、監(jiān)控等多種控制策略。 . 系統(tǒng)結(jié)構(gòu) 以用戶為本，靈活分配資源，迅速響應(yīng)業(yè)務(wù)目標(biāo)的變化是 H3C iMC 系統(tǒng)結(jié)構(gòu)設(shè)計的出發(fā)點，從而保證了整個系統(tǒng)結(jié)構(gòu)可以適應(yīng)業(yè)務(wù)擴展、業(yè)務(wù)變更，進(jìn)而滿足業(yè)務(wù)流程再造的應(yīng)用需求： 通過平臺 +組件化設(shè)計，平臺框架實現(xiàn)了資源的統(tǒng)一管理和訪問控制，不同業(yè)務(wù)獨立設(shè)計，形成可擴展的組件設(shè)計模式，提供業(yè)務(wù)擴展能力； 不同功能組件之間實現(xiàn)融合聯(lián)動，功能組件不再獨立支撐業(yè)務(wù)，而為客戶提供更實用的業(yè)務(wù)支撐； 按照客戶所需進(jìn)行組合裝配，通過業(yè)務(wù) 流程完成整個網(wǎng)絡(luò)管理和運維； 基于 SOA 架構(gòu)設(shè)計，實現(xiàn)資源訪問層、業(yè)務(wù)邏輯層和應(yīng)用表示層分層實現(xiàn)，每一層可以對外提供接口，具備系統(tǒng)集成能力； H3C 智能管理中心 解決方案 架構(gòu) . 主要功能 基礎(chǔ)資源管理 全網(wǎng)資源的統(tǒng)一部署、管理和調(diào)配中心，包括對路由器、交換機、安全、無線、語音、存儲、服務(wù)器、 PC、 UPS 等設(shè)備類型，實現(xiàn)了故障、性能、拓?fù)洹⑴渲玫裙芾韮?nèi)容，成為業(yè)務(wù)融合聯(lián)動的基礎(chǔ)。 基于 SOA 的開放架構(gòu) ： 基于 SOA 開放的技術(shù)架構(gòu)，是實現(xiàn) H3C iMC 管理理念的技術(shù)保證。 用戶、資源和業(yè)務(wù)的融合管理 ： 用戶、資源和 業(yè)務(wù)是構(gòu)成客戶 IT 環(huán)境的三個要素，管理系統(tǒng)不應(yīng)該割裂的僅管理其中一部分，否則無法真正落實 IT 管理的規(guī)章制度。 iMC 系統(tǒng)的主要特點 有： 業(yè)務(wù)流程（ Business Process） 傳統(tǒng)網(wǎng)絡(luò)管理產(chǎn)品往往提供給客戶的是一個個面向故障、性能、安全、配置等內(nèi)容的割裂工具軟件，但如何利用這些工具和滿足客戶實際管理需求之間存在著巨大的“鴻溝”，正是此導(dǎo)致了業(yè)界“有工具，無管理”的現(xiàn)狀。通過 iMC 能夠靈活組織功能組件，可以形成直接面向客戶需求的業(yè)務(wù)流解決方案，從根本上解決管理的復(fù)雜性問題。 . 智能管理中心 iMC H3C 智能管理中心（ H3C Intelligent Management Center，以下簡稱： iMC）。 網(wǎng)絡(luò)管理：數(shù)據(jù)中心、局域網(wǎng)、廣域網(wǎng)管理，集中監(jiān)控、配置、升級； 綜合安全管理：安全基礎(chǔ)設(shè)施管理、安全事件管理、安全認(rèn)證審計管理、人員終端安全管理； 防病毒管理：內(nèi)部辦公用戶終端防病毒管理； 綜合 IT 基礎(chǔ)設(shè)施管理：能夠?qū)Ψ?wù)器軟硬件、數(shù)據(jù)庫進(jìn)行管理監(jiān)測，對客戶端軟件進(jìn)行安裝、升級管理。 . H3C IT 綜合管理解決方案 管理系統(tǒng)提供 IT 系統(tǒng)監(jiān)控管理功能，管理范圍包括服務(wù)器系統(tǒng)軟硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件、終端 PC 的運行狀態(tài)，通過多角度視圖、告警、報表、SLA 管理等多種手段監(jiān)視您的整個 IT 基礎(chǔ)結(jié)構(gòu)，并可以集中進(jìn)行管理、控制，使系統(tǒng)管理員實現(xiàn)真正 IT 管理。 在 XX 單位 主數(shù)據(jù)中心設(shè)置面向各應(yīng)用系統(tǒng)的存儲池，在同城和異地分別設(shè)置災(zāi)備中心和備份中心。 XX 單位 存儲面向該 XX 單位 下屬機構(gòu)數(shù)據(jù)： 面向個應(yīng)用系統(tǒng)共享 SAN 存儲池建設(shè)， 實現(xiàn)本地數(shù)據(jù)可靠存儲，同城、異地災(zāi)備中心建 設(shè)。 存儲系統(tǒng)實現(xiàn)了整合后， 實現(xiàn) 2 地 3 中心備份容災(zāi)系統(tǒng) 。但由于歷史原因，不同部門存儲系統(tǒng)大部分為 FCSAN 架構(gòu)，并且為不同廠商設(shè)備，兼容性、互通性存在問題。 . 數(shù)據(jù)中心安全解決方案實現(xiàn)方案總結(jié) 數(shù)據(jù)中心安全方案要點總結(jié)： ? 數(shù)據(jù)中心同廣域網(wǎng)和辦公局域網(wǎng)之間設(shè)置防火墻、 IPS； ? 各業(yè)務(wù)功能區(qū)匯聚交換機設(shè)置防火墻、 IPS、負(fù)載均衡、 VPN 加密插卡； ? 在外連區(qū) 網(wǎng)絡(luò)邊緣設(shè)置獨立防火墻、 IPS、應(yīng)用控制網(wǎng)關(guān) ； ? 在系統(tǒng)管理區(qū)設(shè)置綜合安全管理系統(tǒng)，安全認(rèn)證系統(tǒng)，防病毒管理，用戶行為分析等。以負(fù)責(zé)安全事件深度感知的 SecCenter 為例， SecCenter 不僅能夠管理 H3C 各種類型的設(shè)備，而且可以支持業(yè)界主流網(wǎng)絡(luò)和安全產(chǎn)品，支持產(chǎn)品類型高達(dá)上百種，其中包括防火墻、 IPS、 IDS、路由器、交換機、 VPN、內(nèi)容過濾系統(tǒng)、防病毒系統(tǒng)、防間諜軟件系統(tǒng)、防垃圾郵件系統(tǒng)和 Windows、 Unix 和 Linux 主機、數(shù)據(jù)庫等。 ? 管理覆蓋全面 網(wǎng)上設(shè)備種類多、型號復(fù)雜是安全管理面臨的一大難題。 . H3C全局安全管理解決方案的突出特點 ? 組件的模塊化架構(gòu) 安全管理由 策略管理、事件采集、分析決策、協(xié)同響應(yīng) 四個組件組成，各功能部件以模塊化方式組成，架構(gòu)簡單明晰，易于擴展， XX 單位 系統(tǒng)網(wǎng)絡(luò)中可根據(jù)實際情況進(jìn)行組件的選配。 高效的安全解決方案不僅僅在于當(dāng)安全事件發(fā)生時，我們能夠迅速察覺、準(zhǔn)確定位，更重要的是我們能夠及時制定合理的、一致的、完備的安全策略，并最大限度的利用現(xiàn)有網(wǎng)絡(luò)安全資源，通過智能分析和協(xié)同響應(yīng)及時應(yīng)對各種真正的網(wǎng)絡(luò)攻擊。 H3C全局安全管理平臺 在全面了解網(wǎng)絡(luò)資源部署的條件下，可以根據(jù)攻擊源的不同，智能選擇控制點以更有效的防止攻擊，比如，對于外部攻擊選擇在防火墻 的 ACL阻斷、對內(nèi)部攻擊選擇用戶接入交換機 的 端口關(guān)閉、對 于內(nèi)部蠕蟲爆發(fā)選擇隔離攻擊源。H3C SecCenter 在全面采集安全事件的基礎(chǔ) 上，通過各種基于統(tǒng)計和規(guī)則的關(guān)聯(lián)分析算法，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度、系統(tǒng)漏洞級別，對安全事件進(jìn)行深度分析，可以有效提高安全事件的信噪比，減少告警日志數(shù)量而不丟失重要信息，為安全事件審計和風(fēng)險響應(yīng)提供更準(zhǔn)確的決策支持。 3. 安全事件的關(guān)聯(lián)分析 網(wǎng)絡(luò)中的各種安全部件產(chǎn)生的眾多安全事件，往往使管理員淹沒于信息的海洋中。為了實時、全面地獲取網(wǎng)絡(luò)安全信息，必須解決網(wǎng)絡(luò)安全管理中的事件透明性問題，讓管理員可以監(jiān)控到網(wǎng)絡(luò)中每個設(shè)備的運行狀態(tài)， 為網(wǎng)絡(luò)安全分析與決策提供支持。 H3C 全局安全管理平臺 的安全策略集中部署提供了集成、統(tǒng)一、完整的安全防護(hù)策略配置 功能 ，可以通過直觀的網(wǎng)絡(luò)、服務(wù)器、終端及用戶拓?fù)鋱D，查看和配置安全策略 。其基本功能包括： 1. 安全策略的集中部署 網(wǎng)絡(luò)中的安全部件涉及身份安全、終端安全、設(shè)備安全、連接安全、網(wǎng)絡(luò)安全等各個層面，對應(yīng)的安全防護(hù)技術(shù)包括 AAA、防病毒、漏洞檢測、防火墻、 VPN、IPS 等不同層次的防御部件。 H3C“全局安全管理平臺” 由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的 協(xié)同防御體系。 ? 網(wǎng)絡(luò)安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題。 ? 各種安全設(shè)備是孤立的，無法相互關(guān)聯(lián)，信息共享。同時，通過集中管理，一個企業(yè)可以最大程度地減少重復(fù)工作從而提高安全事件管理的效率。這些審計數(shù)據(jù)可能來自防火墻、 路由器 、入侵防御系統(tǒng)、主機系統(tǒng)、防病毒系統(tǒng)和桌面安全系統(tǒng)。對于所有的安全檢測點，如果沒有一個集中的分析視角，你可能低估某個安全攻擊的真正威脅，相應(yīng)采取的安全措施也可能無法解決真正的問題。 對于網(wǎng)絡(luò)系統(tǒng)來說，安全入侵經(jīng)常將網(wǎng)絡(luò)作為一個整體而不僅是針對某一個子系統(tǒng)。 . 統(tǒng)一安全管理 . 全局安全管理解決方案 H3C 參與了大量網(wǎng)絡(luò)安全建設(shè)實踐后認(rèn)為，除了在信息傳輸流程中實施安全解決方案之外，還需要進(jìn)行全局安全管理，這種管理涉及到網(wǎng)絡(luò)上的設(shè)備、使用者以及業(yè)務(wù)，只有對這 3 者實現(xiàn)閉環(huán)管理，才能對網(wǎng)絡(luò)安全狀況了如指掌。 顯然，僅靠不斷增加帶寬 是 不能滿足 上述 需求的 ， 想提高 服務(wù)器應(yīng)用的用戶滿意度 ，就需要在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)中專門增加一層，以專門用于提高 服務(wù)器應(yīng)用的傳遞速度。擴展性、靈活性、高性能、可靠性和安全性 ， 無一不是 對 數(shù)據(jù)中心的要求 。作為 信息化 的基礎(chǔ)核心，數(shù)據(jù)中心將匯集高性能計算、數(shù)據(jù)通訊、語音通訊等功能于一體，成為 支撐 企業(yè)未來 業(yè)務(wù)發(fā)展 的平臺。 IPS 在數(shù)據(jù)中心的部署 在 XX 單位 數(shù)據(jù)中心 ，每個功能區(qū)匯聚交換機設(shè)置一塊 IPS 模塊進(jìn)行應(yīng)用層防護(hù)，部署方式采用旁掛方式，保證內(nèi)部服務(wù)器免疫外部應(yīng)用層攻擊，同時保證高可靠性。 華三公司多年的網(wǎng)絡(luò)技術(shù)與安全技術(shù)積累，造就了資深的攻擊特征庫團隊和安全服務(wù)團隊，建有攻防實驗室，緊跟網(wǎng)絡(luò)技術(shù)與安全技術(shù)的發(fā)展前沿和網(wǎng)絡(luò)攻防的最新動態(tài)，定期更新并發(fā)布攻擊特征庫升級包，源源不斷地為強大的檢測引擎注入高質(zhì)量的燃油。同時，不論是軟、硬件實現(xiàn)， FIRST 引擎都采用了流水線與大規(guī)模并行處理機制，保證檢測效率與檢測特征數(shù)量無線性關(guān)系，可以對一個報文流 同時進(jìn)行幾千種攻擊特征和幾千種協(xié)議特征的并行匹配檢測，從而將整體的處理性能提高到空前水平。 圖 2 FIRST 引擎架構(gòu) 如上圖所示， FIRST 引擎創(chuàng)新性地將協(xié)議識別與特征匹配緊密地結(jié)合起來，利用特征匹配精 確地識別出應(yīng)用層協(xié)議，并精確地分析出協(xié)議異常進(jìn)行阻斷，同時，將特征匹配與協(xié)議識別的結(jié)果結(jié)合起來，只有關(guān)聯(lián)了特定應(yīng)用層協(xié)議上下文的攻擊特征成功匹配了才被判斷為一次有效攻擊，從而，大大提高了檢測精度，顯著降低了誤報率和漏報率。FIRST 引擎集成了多項檢測技術(shù)，實現(xiàn)了基于精確狀態(tài)的全面檢測，全面提高了入侵檢測的精確度；同時， FIRST 引擎采用了并行檢測技術(shù)，并且可軟、硬件靈活適配，硬件可采用 ASIC、 FPGA、 NP 等技術(shù)，大大提高了入侵檢測的性能。 H3C IPS 還支持以下檢測機制： 1）基于訪問控制列表（ ACL）的檢測 2）基于統(tǒng)計的檢測 3）基于協(xié)議跟蹤的檢測 4）基于應(yīng)用異常的檢測 5）報文規(guī)范檢測（ Normalization） 6） IP 報文重組 7） TCP 流恢復(fù) 高精度、高效率的入侵檢測引擎 入侵檢測引擎是 IPS 設(shè)備最核心的功能之一，入侵檢測引擎直接關(guān)系到 IPS設(shè)備的兩個重要功能指標(biāo)：漏報率和誤報率，也直接關(guān)系到 IPS 設(shè)備的兩個重要性能指標(biāo)：吞吐量和時延。而 H3C IPS 運用重組 TCP 流量以檢視應(yīng)用層數(shù)據(jù)包內(nèi)容的方式，以辨識合法與惡意的數(shù)據(jù)流。利用深層檢測應(yīng)用層數(shù)據(jù)包的技術(shù)，H3C IPS 可以分辨出合法與有害的封包內(nèi)容。 IPS 可以針對應(yīng)用流量做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)上應(yīng) 用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。 IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實現(xiàn)這一功能的，即通過一個網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒踊蚩梢蓛?nèi)容后，再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中。 面對這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在 TCP/IP 3～ 4層上，根本就“看”不 到這些威脅的存在，而 IDS 作為一個旁路設(shè)備，對這些威脅又“看而不阻”，因此我們需要一個全新的安全解決方案。 . 應(yīng)用層安全設(shè) 計 今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和 EMAIL、移動代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險和難以抵御。 SecPath 防火墻還提供自定義安全區(qū)域，可以最大定義 16 個安全區(qū)域，每個安全區(qū)域都可以加入獨立的接口。 SecPath 防火墻默認(rèn)提供四個安全區(qū)域： trust、 untrust、 DMZ、 local，在提供三個最常用的安全邏輯區(qū)域的基礎(chǔ)上還新增加了本地邏輯安全區(qū)域，本 地安全區(qū)域可以定義到防火墻本身的報文，保證了防火墻本身的安全防護(hù)，使得對防火墻本身的安全保護(hù)得到加強。 H3C SecPath 防火墻提供了基于安全區(qū)域的隔 離模型，每個安全區(qū)域可以按照網(wǎng)絡(luò)的實際組網(wǎng)加入任意的接口，因此SecPath 的安全管理模型是不會受到網(wǎng)絡(luò)拓?fù)涞挠绊憽?狀態(tài)防火墻具有更高的智能，提供更高的安全性。下面是狀態(tài)防火墻兩個主要的優(yōu)點： ? 通過建立連接表增強了對連接狀態(tài)的理解，從而減少了包欺詐的可能性 ? 能夠在對通用協(xié)議（如 SMTP 或 NNTP）詳細(xì)理解的基礎(chǔ)上進(jìn)行包檢測 狀態(tài) 防火墻設(shè)備將狀態(tài)檢測技術(shù)應(yīng)用在 ACL 技術(shù) 上， 通過對 連接狀態(tài) 的檢測，動 態(tài)的發(fā)現(xiàn)應(yīng)該打開的端口，保證在通信的過程中動態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。 較新的一類防火墻設(shè)備支持基于狀態(tài)的包檢查。 . 網(wǎng)絡(luò)層安全設(shè)計 邊界安全的一項主要功能是實 現(xiàn)網(wǎng)絡(luò)隔離，通過防火墻