【正文】 中某些軟件。? 支持匿名認證：安全客戶端和CAMS提供匿名認證用戶，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證。? 限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問題。. 用戶行為監(jiān)控? 終端強制或提醒修復(fù)：強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中心做自動升級）。16 / 44? 安全日志審計：定時收集客戶端的實時安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。. “終端接入安全體系”解決方案的部署. 接入層準(zhǔn)入控制將接入層設(shè)備作為安全準(zhǔn)入控制點，對試圖接入網(wǎng)絡(luò)的用戶終端進行安全檢查，強制用戶終端進行防病毒、操作系統(tǒng)補丁等企業(yè)定義的安全策略檢查，防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)，降低病毒、蠕蟲等安全威脅在企業(yè)擴散的風(fēng)險。其中，隔離區(qū)是指在S30/50系列交換機中配置的一組ACL，一般包括CAMS 安全代理服務(wù)器、補丁服務(wù)器、防病毒服務(wù)器、DNS、DHCP等服務(wù)器的IP 地址。? CAMS中配置用戶的服務(wù)策略、接入策略、安全策略，CAMS驗證用戶身份的合法性，并基于用戶角色（服務(wù)）向安全客戶端下發(fā)安全評估策略（如檢查病毒庫版本、補丁安裝情況等），完成身份和安全評估后，由CAMS確定用戶的ACL、VLAN 以及病毒監(jiān)控策略等。? CAMS安全代理服務(wù)器必須部署于隔離區(qū)，可以與CAMS自助服務(wù)器共用一臺主機。? 防病毒服務(wù)器（可選）必須部署于隔離區(qū)，可以與補丁服務(wù)器、CAMS安全代理共用一臺主機，可以選擇瑞星殺毒軟件2022網(wǎng)絡(luò)版、金山毒霸2022企業(yè)版以及江民KV 2022網(wǎng)絡(luò)版。其原理性的流程如下：1. 用戶上網(wǎng)前必須首先進行身份認證，確認是合法用戶后，安全客戶端還要檢測病毒軟件和補丁安裝情況，上報CAMS。18 / 443. CAMS通知接入設(shè)備（S30/39/50系列或其他支持”終端接入安全體系” 解決方案的交換機），將該用戶的訪問權(quán)限限制到隔離區(qū)內(nèi)。4. 安全客戶端通知用戶進行補丁和病毒庫的升級操作。如果合格則解除隔離，進入步驟7。. 實施效果1. 由于S30/39/，所有非法用戶將不能訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。2. 合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受S30/39/50系列交換機中的ACL控制。3. 合法用戶接入網(wǎng)絡(luò)后，其互訪權(quán)限受S30/39/50系列交換機中的VLAN 控制。4. 用戶正常接入網(wǎng)絡(luò)前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。5. 通過使用H3C客戶端，可對用戶的終端使用行為進行嚴格管理，比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡、禁止撥號等。尤其是在對用戶原有企業(yè)網(wǎng)絡(luò)進行改造，實施”終端接入安全體系” 解決方案時，可以將原有匯聚層設(shè)備替換為支持”終端接入安全體系”解決方案的匯聚層設(shè)備，實現(xiàn)”終端接入安全體系”解決方案的應(yīng)用。. 方案說明? ，制。. 實施效果實施效果同接入層準(zhǔn)入控制相同，但是網(wǎng)絡(luò)改造費用降低、系統(tǒng)部署簡單。建議在嚴格控制用戶之間互訪的情況下，接入層設(shè)備在不同端口之間劃分不同的 VLAN。Web 認證同 認證相比，具有應(yīng)用簡單的優(yōu)勢。在企業(yè)網(wǎng)絡(luò)的核心層部署”終端接入安全體系” 應(yīng)用，并且使用 Web 認證方式，能夠很好的滿足此類需求。? 使用MA5200F/G 系列設(shè)備配合組網(wǎng)，設(shè)備通常放置在網(wǎng)絡(luò)出口，并在設(shè)備上開啟Portal認證功能。? CAMS服務(wù)器需要安裝Portal認證組件，Portal認證頁面上，提供安全客戶端的下載鏈接。? 隔離區(qū)的設(shè)置、第三方服務(wù)器的設(shè)置、CAMS自助服務(wù)器和CAMS安全代理服務(wù)器的設(shè)置等信息同接入層準(zhǔn)入控制。區(qū)別在于：1. 用戶進行網(wǎng)絡(luò)登錄認證之前，可以訪問Portal服務(wù)器等 URL。簡化了客戶端分發(fā)工作。2. 合法用戶通過身份認證、安全認證后，其訪問權(quán)限受接入設(shè)備的ACL控制。3. 其余同接入層準(zhǔn)入控制。. 隔離模式對于需要嚴格控制用戶終端安全狀態(tài)的應(yīng)用環(huán)境，比如銀行系統(tǒng)的生產(chǎn)網(wǎng)，可以采用隔離模式來應(yīng)用”終端接入安全體系 ”解決方案。隔離模式要求安全聯(lián)動設(shè)備必須支持動態(tài) ACL 特性，能夠?qū)崟r應(yīng)用CAMS 安全策略服務(wù)器下發(fā)的 ACL 規(guī)格，并應(yīng)用于用戶連接。在警告模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項以彈出窗口的形式提供給終端用戶，同時提供修復(fù)指導(dǎo)和相關(guān)鏈接。23 / 44. 監(jiān)控模式監(jiān)控模式同警告模式的實現(xiàn)流程基本相同，區(qū)別在于監(jiān)控模式下，安全客戶端不會彈出窗口，向用戶提示終端的不合格項。在某些對用戶終端進行集中管理、不允許終端用戶進行軟件安裝等操作的應(yīng)用場景下，可使用監(jiān)控模式。. XLOG 日常行為審計XLog 用戶行為審計系統(tǒng)是公司推出的一種高性能、可擴展的網(wǎng)絡(luò)分析系統(tǒng)，通過與多種網(wǎng)絡(luò)設(shè)備共同組網(wǎng)，用來對終端用戶的上網(wǎng)行為進行事后審計，追查用戶的非法網(wǎng)絡(luò)行為，滿足相關(guān)部門對用戶網(wǎng)絡(luò)訪問日志進行審計的硬性要求。. XLOG 技術(shù)特點. 全面的日志收集用戶行為審計系統(tǒng)可支持多種網(wǎng)絡(luò)日志的采集（包括 、NetStream V5），對于不支持上述日志的設(shè)備，可以通過設(shè)備的鏡像端口或 TAP 分流器采集網(wǎng)絡(luò)流量生成 格式的日志。. 強大的日志審計功能用戶行為審計系統(tǒng)可根據(jù)用戶需要，通過各種條件的組合對網(wǎng)絡(luò)日志進行快速分析。 日志：包括源 IP、目的 IP、源端口、目的端口、流起始時間、結(jié)束時間等關(guān)鍵信息。 日志包含兩種格式日志， 和 。兩種格式的 日志在采集器進行日志采集時同時生成。? 日志記錄包含以下內(nèi)容：開始時間、結(jié)束時間、源 IP 地址、目的 IP 地址、源端口號、目的端口號、協(xié)議類型（目前區(qū)分 TCP、UDP 和 ICMP 三種協(xié)議）、輸入包個數(shù)、輸出包個數(shù)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)；? 日志記錄包含以下內(nèi)容：開始時間、結(jié)束時間、源 IP 地址、目的 IP 地址、目的端口號、摘要信息（目前支持 HTTP 協(xié)議、FTP 協(xié)議、SMTP 協(xié)議報文）。通過 NetStream 日志的分析，可以使網(wǎng)絡(luò)管理員深入地了解當(dāng)前數(shù)據(jù)網(wǎng)絡(luò)中的報文所包含的各種有價值的信息，可以實現(xiàn)網(wǎng)絡(luò)監(jiān)控、應(yīng)用監(jiān)控、用戶監(jiān)控等功能，并為網(wǎng)絡(luò)規(guī)劃提供重要參考。終端用戶何時訪問了某網(wǎng)站、何時訪問了某網(wǎng)頁、發(fā)送了哪些 Email、向外發(fā)送了哪些文件等信息均可通過日志審計得出結(jié)果。該組網(wǎng)方式非常靈活，可以根據(jù)運營商或教育網(wǎng)等不同的運營特點，實現(xiàn)多種方式的日志記錄與審計能力。如果在 Inter 出口不需要做 NAT 轉(zhuǎn)換，則可以通過 FLOW 格式或 NetStream V5 格式的日志記錄用戶的上網(wǎng)行為。. DIG 探針組 網(wǎng)方式探針式采集器能夠與任何支持端口鏡象功能的交換機或集線器配合，采集網(wǎng)絡(luò)中的報文信息，并為用戶行為審計提供統(tǒng)計信息。26 / 44. 終端安全防護與行為監(jiān)控總結(jié)在針對薩班斯法案而進行的網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)中，我們可以通過產(chǎn)品的組合實現(xiàn)對用戶行為審計的功能，包括的系統(tǒng)組件如下：? 身份認證系統(tǒng)：CAMES(可以視同認證中間件服務(wù)器，同內(nèi)網(wǎng)的域認證、CA認證結(jié)合使用)? 聯(lián)動服務(wù)器：防病毒廠商病毒庫升級服務(wù)器(瑞星、金山、江民、Symantec)? 系統(tǒng)補丁服務(wù)器：微軟 SMS? 日志服務(wù)器：Xlog? 網(wǎng)流信息獲取組件：Netscreem通過上述組件的集合，可以實現(xiàn)針對用戶日常上網(wǎng)安全性的保障，同時對于系統(tǒng)內(nèi)部用戶的網(wǎng)絡(luò)行為進行審計，監(jiān)控其訪問內(nèi)容，以及訪問方式等，并通過強認證27 / 44體系將網(wǎng)絡(luò)設(shè)備，主機設(shè)備與個人的網(wǎng)絡(luò)使用行為相結(jié)合，保證審計信息的正確性。28 / 44二、全面的應(yīng)用體系防護 IPS. 中石油網(wǎng)絡(luò)應(yīng)用防護體系概述這里提到的應(yīng)用體系防護指的是針對網(wǎng)絡(luò) 4～7 層的攻擊，這些攻擊主要集中在WEB、OA、 Mail、ERP 等系統(tǒng)，這些系統(tǒng)都有一個共同的特性就是要為全網(wǎng)的用戶提供服務(wù)，這些用戶既包括總部，還包括下屬單位局域網(wǎng)，PSTN 接入用戶，總部、銀行、稅務(wù)的接入等。在針對應(yīng)用層的防護我司采用的是國際領(lǐng)先的 IPS 產(chǎn)品來實現(xiàn)。. IPS 產(chǎn)品部署方案在 IPS 的部署上我們主要考慮兩個部分，一個是針對服務(wù)器的防護，另一個是針對網(wǎng)絡(luò)接入的防護，在產(chǎn)品部署的時候我們考慮到幾個因素： 網(wǎng)絡(luò)接入點雖然多，但是流量都不大，可以利用這個特性使用一臺 IPS 設(shè)備完成對多個接入的應(yīng)用防護； 針對應(yīng)用服務(wù)器帶寬大，數(shù)量多的特點，部署多臺設(shè)備進行保護，尤其是主要的兩臺服務(wù)器； 目前規(guī)劃如下，在具體的部署中可以根據(jù)服務(wù)器部署的方式、帶寬，數(shù)量等靈活調(diào)整產(chǎn)品部署的方式具體部署如圖所示：29 / 44RPIntertPSTN 區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語 音 出 口主 推 方 案. IPS 產(chǎn)品技術(shù)特色. 虛擬軟件補丁IPS 實現(xiàn)了基于漏洞的過濾器，以抵御針對 MS03026 緩沖溢出漏洞的攻擊，這幾個過濾器可以覆蓋幾個不同的攻擊方式（不同的端口、接口、協(xié)議）。請注意，很多 IPS 的客戶網(wǎng)絡(luò)上都使用了Microsoft RPC DCOM 協(xié)議，所有的客戶都可以通過這一組過濾器來阻擋這種類型的攻擊，沒有誤報，并且不需要管理員進行任何參數(shù)的調(diào)整。在惡意程序?qū)︻A(yù)定目標(biāo)進行攻擊時，虛擬補丁程序就會立即“現(xiàn)身”— 確定并阻擋發(fā)送來的惡意通訊。這種專門設(shè)計的過濾器可應(yīng)對最大范圍的攻擊和應(yīng)對最大彈性的規(guī)避。特別是，IPS 必須能實現(xiàn)高精度的漏洞過濾器，在全部過濾器都啟用的情況下正常處理高負載千兆網(wǎng)絡(luò)（無數(shù)據(jù)包丟失），在不需要管理員進行繁瑣的調(diào)整和配置工作，就能有效執(zhí)行的虛擬補丁功能。 TSE 的核心架構(gòu)由以下部件有機融合而成：? 定制的 ASIC? FPGA(現(xiàn)場可編程門陣列)? 20G 高帶寬背板? 高性能網(wǎng)絡(luò)處理器該核心架構(gòu)提供的大規(guī)模并行處理機制，使得 IPS 對一個報文從 2 層到 7 層所有信息的檢測可以在 215 微秒內(nèi)完成，并且保證處理時間與檢測特征數(shù)量無線性關(guān)系。31 / 44在具備高速檢測功能的同時，TSE 還提供增值的流量分類、流量管理和流量整形功能。此外，為防止大量的 P2P、IM 流量侵占帶寬，TSE 還支持對 100 多種點到點應(yīng)用的限速功能，保證關(guān)鍵應(yīng)用所需的帶寬。IPS 還支持以下檢測機制：? 基于訪問控制列表（ACL）的檢測? 基于統(tǒng)計的檢測? 基于協(xié)議跟蹤的檢測? 基于應(yīng)用異常的檢測? 報文規(guī)范檢測（Normalization）? IP 報文重組? TCP 流恢復(fù)以上機制協(xié)同工作，IPS 可以對流量進行細微粒度的識別與控制，有效檢測流量激增、緩沖區(qū)溢出、漏洞探測、IPS 規(guī)避等一些已知的、甚至未知的攻擊。32 / 44IPS 實時更新、發(fā)布的數(shù)字疫苗（DV，Digital Vaccine）是網(wǎng)絡(luò)免疫的保障與基礎(chǔ)。數(shù)字疫苗以定期（每周）和緊急（當(dāng)重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并且能夠通過內(nèi)容發(fā)布網(wǎng)絡(luò)自動地分發(fā)到用戶駐地的 IPS設(shè)備中，從而使得用戶的 IPS 設(shè)備在漏洞被公布的同時立刻具備防御零時差攻擊的能力。在某個漏洞被發(fā)現(xiàn)后，IPS 能夠在第一時間（即廠商公布安全公告之前）獲得該漏洞的詳細信息，并且利用這一時間差及時制作可以防御該漏洞的數(shù)字疫苗，使得用戶的網(wǎng)絡(luò)免遭這種“零時差攻擊”（Zeroday Attack）。33 / 44三、防火墻部署需求分析隨著網(wǎng)絡(luò)技術(shù)不斷的發(fā)展以及網(wǎng)絡(luò)建設(shè)的復(fù)雜化，需要加強對的有效管理和控制，這些管理和控制的需求主要體現(xiàn)在以下幾個方面：網(wǎng)絡(luò)隔離的需求：主要是指能夠?qū)W(wǎng)絡(luò)區(qū)域進行分割，對不同區(qū)域之間的流量進行控制，控制的參數(shù)應(yīng)該包括：數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等，通過這些參數(shù)，可以實現(xiàn)對網(wǎng)絡(luò)流量的驚喜控制，把可能的安全風(fēng)險控制在相對獨立的區(qū)域內(nèi)，避免安全風(fēng)險的大規(guī)模擴散。流量管理的需求：對于用戶應(yīng)用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，同時應(yīng)該提供完善的 QOS 機制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)、不同的網(wǎng)絡(luò)規(guī)模、以及網(wǎng)絡(luò)中的不同位置的安全防護需求，防火墻一般存在以下幾種部署模式：. 數(shù)據(jù)中心防火墻部署防火墻可以部署在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)中心的前面，實現(xiàn)對所有訪問數(shù)據(jù)中心服務(wù)器的網(wǎng)絡(luò)流量進行控制，提供對數(shù)據(jù)中心服務(wù)器的保護，其基本部署模式如下圖所示： RPIntertPSTN區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語 音 出 口除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署還需要考慮兩個關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務(wù)器，是整個網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；35 / 44高可靠：大部分的應(yīng)用系統(tǒng)服務(wù)器都部署在數(shù)據(jù)中心，這些服務(wù)器是整個企業(yè)或者單位運行的關(guān)鍵支撐，必須要嚴格的保證這些服務(wù)器可靠性與可用性，因此，部署防火墻以后，不能對網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊?，不能形成單點故障。在這種大規(guī)模的分布式的部署模式中，對防火墻的關(guān)鍵性的要求主要集中在管理特性上，要求防火墻必須支持完善的集中管理模式，通過統(tǒng)一的管理中心，可以實現(xiàn)對全網(wǎng)部署的防火墻的集中管理，并且可以支持分級管