【正文】 對用戶終端運(yùn)行情況和網(wǎng)絡(luò)使用情況進(jìn)行審計和監(jiān)控。 ? 安全聯(lián)動設(shè)備 是指用戶網(wǎng)絡(luò)中的交換機(jī)、路由器、 VPN 網(wǎng)關(guān)等設(shè)備。 ? H3C iMC CAMS安全策略服務(wù)器 它要求和安全聯(lián)動設(shè)備路由可達(dá)。 ? 第三方服務(wù)器 是指補(bǔ)丁服務(wù)器、病毒服務(wù)器和安全代理服務(wù)器等，被部署在隔離區(qū)中。 （ 3）、 H3C EAD 功能描述 ? 嚴(yán)格的身份認(rèn)證 除基于用戶名和密碼的身份認(rèn)證外， EAD還支持身 份與接入終端的 MAC地址、IP 地址、所在 VLAN、接入設(shè)備 IP、接入設(shè)備端口號等信息進(jìn)行綁定，支持智能卡、數(shù)字證書認(rèn)證，增強(qiáng)身份認(rèn)證的安全性。 例如 EAD 可 充分利用微軟成熟的 桌面 管理工具，由 SMS 實現(xiàn) 各種 Windows 環(huán)境下用戶 的桌面管理需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等。終端用戶的所屬 VLAN、 ACL 訪問策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一配置實施。 EAD 廣泛、深入的和國內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長； EAD 與第三方認(rèn)證服務(wù)器、安全聯(lián)動設(shè)備等之間的交互基于標(biāo)準(zhǔn)、開放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。 EAD 按照網(wǎng)絡(luò)管理員 配置的安全策略 區(qū)別對待不同身份的用戶，定制不同的安全檢查和處理模式，包括監(jiān)控模式、提醒模式、隔離模式和下線模式；此外， EAD 還支持靈活的舊網(wǎng)改造方案和客戶端靜默安裝等特性。防火墻以其高效可靠的防攻擊手段，和靈活多變的安全區(qū)域配置策略擔(dān)負(fù)起是守護(hù)數(shù)據(jù)中心邊界安全的重任。正如其名稱所示， SPI防火墻的主要優(yōu)點就是更智能的基于狀態(tài)的包檢查。狀態(tài) 防火墻還采用基于流的狀態(tài)檢測技術(shù)可以提供更高的轉(zhuǎn)發(fā)性能， 可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻，這樣就可以利用流的狀態(tài)信息決定對數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。 邊界安全的一項主要功能是網(wǎng)絡(luò)隔離，并且這種網(wǎng)絡(luò)隔離技術(shù)不是簡單的依靠網(wǎng)絡(luò)接口來劃分的，因為網(wǎng)絡(luò)的實際拓?fù)涫乔Р钊f別的，使用固定接口來進(jìn)行網(wǎng)絡(luò)隔離不能適應(yīng)網(wǎng)絡(luò)的實際要求。 業(yè)界很多防火墻一般都提供受信安全區(qū)域（ trust）、非受信安全區(qū)域（ untrust）、非軍事化區(qū)域（ DMZ）三個獨(dú)立的安全區(qū)域，這樣的保護(hù)模型可以適應(yīng)大部分的組網(wǎng)要求，但是在一些安全策略要求較高的場合，這樣的保護(hù)模型還是不能滿足要求。例如，通過對本地安全區(qū)域的報文控制，可以很容易的防止不安全區(qū)域?qū)Ψ阑饓Ρ旧淼?Tel、 ftp 等訪問。 防火墻在數(shù)據(jù)中心的部署 在 XX 單位 數(shù)據(jù)中心 ，在各個區(qū)域匯聚交換機(jī)都要部署防火墻模塊，實現(xiàn)對訪問的控制，只有合法的報文才可以通過。這些威脅直接攻擊 IDC 核心服務(wù)器和應(yīng)用，給業(yè)務(wù)帶來了重大損失；攻擊終端用戶計算機(jī)，給用戶帶來信息風(fēng)險甚至財產(chǎn)損失；對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行 DoS/DDoS 攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、 BT 等 P2P 應(yīng)用和 MSN、 等即時通信軟件的普及，寶貴的帶寬資源被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的資源損失。 圖 1 常見應(yīng)用層威脅 ? 惡意網(wǎng)頁 ? 蠕蟲病毒 ? 后門木馬 ? 間諜軟件 ? DoS/DDoS ? BT、 eMule 等 P2P 帶寬濫用 ? Skype、 MSN 等 IM 軟件應(yīng)用 ? 垃圾郵件 ? 網(wǎng)絡(luò)釣魚 ? 系統(tǒng)漏洞 ? ?? . 入侵防護(hù)系統(tǒng)（ IPS） 入侵防護(hù)系統(tǒng) (IPS) 傾向于提供主動防護(hù)，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在 IPS 設(shè)備中被清除掉。 應(yīng)用程序防護(hù) H3C IPS 模塊及獨(dú)立 IPS 提供擴(kuò)展至用戶端、服務(wù)器、及第二至第七層的網(wǎng)絡(luò)型攻擊防護(hù)，如：病毒、蠕蟲與木馬程序。最新型的攻擊可以透過偽裝成合法應(yīng)用的技術(shù)，輕易的穿透防火墻。大部分的入侵防御系統(tǒng)都是針對已知的攻擊進(jìn)行防御，然而 H3C IPS 運(yùn)用漏洞基礎(chǔ)的過濾機(jī)制，可以防范所 有已知與未知形式的攻擊。 H3C SecPath T 系列產(chǎn)品采用華三公司自主知識產(chǎn)權(quán) 的 FIRST（注： FIRST，F(xiàn)ull Inspection with Rigorous State Test，基于精確狀態(tài)的全面檢測）引擎。 FIRST引擎架構(gòu)如圖 21 所示。 FIRST 引擎獨(dú)創(chuàng)了軟、硬件靈活適配的設(shè)計機(jī)制，在高端的 H3C SecPath T系列產(chǎn)品中，集成專有的硬件檢測芯片，利用專有的 ASIC 芯片實現(xiàn)硬件加速功能。 全面、及時的攻擊特征庫 攻擊特征庫是 FIRST 檢測引擎進(jìn)行攻擊檢測的依據(jù)，沒有完善的攻擊特征庫，再強(qiáng)大的檢測引擎也無法發(fā)揮作用，就象動力強(qiáng)勁的發(fā)動機(jī)沒有合適的、足夠的燃油一樣。 華三公司的攻擊 特征庫具有如下特點： 覆蓋全面，包含了主流操作系統(tǒng)、主流網(wǎng)絡(luò)設(shè)備、主流數(shù)據(jù)庫系統(tǒng)、主流應(yīng)用軟件系統(tǒng)的全部漏洞特征，同時也包含了黑客、蠕蟲、病毒、木馬、 DoS/DDoS、掃描、間諜軟件、網(wǎng)絡(luò)釣魚、 P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用特征； 更新及時，常規(guī)情況下每周進(jìn)行攻擊特征庫更新，緊急情況下 24 小時內(nèi)提供更新的攻擊特征庫； 攻擊特征庫與國際權(quán)威的漏洞庫 CVE 兼容； 攻擊特征庫雖然兼容國際，但仍根植中國，更多關(guān)注國內(nèi)特有的網(wǎng)絡(luò)安全狀況，及時對國內(nèi)特有的攻擊提供防御； 攻擊特征庫包含了與該攻擊相關(guān)的 詳細(xì)描述，包括攻擊的目標(biāo)系統(tǒng)信息、攻擊的危害程度、攻擊的解決方法等； 攻擊特征分類合理、細(xì)致，易于查詢、易于歸類操作。 數(shù)據(jù)中心每個區(qū)域的 IPS 部署： . 應(yīng)用服務(wù)器負(fù)載均衡 數(shù)據(jù)中心面臨的可用性威脅 隨著 信息化 的迅速發(fā)展， 數(shù)據(jù) 中心已經(jīng)從 分立的“ 計算中心 ＋ 網(wǎng)絡(luò)中心 ”模式 發(fā)展成計算 與網(wǎng)絡(luò)集成一體的數(shù)據(jù)中心。 但是，作為企業(yè)網(wǎng) 絡(luò) 的心臟，數(shù)據(jù)中心面臨著眾多的挑戰(zhàn)。 尤其 重要的一點 是 ： 在訪問請求 急劇增長的時候 ，服務(wù)器仍 要 保證快速、 穩(wěn)定 的傳送應(yīng)用到客戶端 。 負(fù)載均衡在數(shù)據(jù) 中心的部署 在 XX 單位 數(shù)據(jù)中心 ， 每個數(shù)據(jù)中心區(qū)域的入口處部署兩臺負(fù)載均衡模塊進(jìn)行加速并實現(xiàn)備份 ，保護(hù) 服務(wù)器負(fù)載分擔(dān)及高可用 性 。因此，在 XX 單位 數(shù)據(jù)中心 建設(shè)一個“全局安全管理平臺”是必要的。 一個 安全攻擊事件可能是獨(dú)立的，也可能是一個較大規(guī)模協(xié)同攻擊的一部分。因此，對系統(tǒng)所記錄和存儲的審計數(shù)據(jù)進(jìn)行綜合分析及處理至關(guān)重要。對上述審計數(shù)據(jù)的統(tǒng)一和集中 的分析將能幫助更好地管理安全事件，從而描繪出整個系統(tǒng)當(dāng)前安全情況的更清晰和準(zhǔn)確的圖畫。 . 全局安全管理解決方案概述 當(dāng)前， XX 單位 數(shù)據(jù)中心 系統(tǒng)安全管理中 遇到的問題 包括 ： ? 對實時安全信息不了解，無法及時發(fā)出預(yù)警 報告 。 ? 安全事件發(fā)生以后，無法及時診斷網(wǎng)絡(luò)故障的原因，恢復(fù)困難。 在此背景下， H3C 提出用 SecCenter（安全管理 中心）和 iMC（智能管理中心）組合，來滿足 XX 單位 系統(tǒng)全局安全管理的需求， 將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端等納入一個緊密的 “全局安全 管理平臺 ” 中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個 智能 安全防御體系，大幅度提高 XX 單位系統(tǒng) 的整體安全防御能力。 H3C 全局安全管理平臺 旨在集中部署網(wǎng)絡(luò)安全 防護(hù) 策略，簡化對安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一；廣泛采集與分析來自于計算機(jī)、網(wǎng)絡(luò)、存儲、安全等設(shè)施的告警事件，通過關(guān)聯(lián)來自于不同地點、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風(fēng)險，提高安全報警的信噪比；準(zhǔn)確的、實時的評估當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢和風(fēng)險，并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。集中部署各部件的安全防護(hù)策略，可以簡化對安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一，提高安全管理工作的效率。 2. 安全事件的深度感知 網(wǎng)絡(luò)的不同層次、不同節(jié)點往往都部署了相應(yīng)的安全部件，分別起到不同層面的安全防御作用。 H3C SecCenter 可以通過開放協(xié)議或安全代理的方式采集來自不同部件的安全事件數(shù)據(jù)，如病毒事件、異常登錄事件、異常操作事件、漏洞檢測事件、系統(tǒng)資源異常占用事件、流量異常事件等，幫助管理員及時掌握網(wǎng)絡(luò)中設(shè)備和終端的安全狀態(tài)，為進(jìn)一步的深入分析和決策奠定準(zhǔn)確的數(shù)據(jù)基礎(chǔ)。各安全部件本身的局限性造成的誤報和漏報，容易導(dǎo)致真正的攻擊被忽視。 4. 安全威脅的協(xié)同響應(yīng) 對安全事件進(jìn)行全面采集和關(guān)聯(lián)分析的目的是準(zhǔn)確地阻斷和防止攻擊。也可以針對不同的被攻擊對象，區(qū)分響應(yīng)方式，以提高整個網(wǎng)絡(luò)的自防御能力，比如，對于用戶終端可以強(qiáng)制進(jìn)行補(bǔ)丁修復(fù)和病毒庫升級，對于服務(wù)器資源可以動態(tài)更新安全配置。 H3C 全局安全管理解決方案 為實現(xiàn)這一目標(biāo)而構(gòu)建了開放的、可持續(xù)演進(jìn)的安全管理平臺，通過對防護(hù)、檢測和響應(yīng) 等不同生命周期的各個安全環(huán)節(jié)進(jìn)行基于策略的管理，將各種異構(gòu)的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端和管理員有機(jī)的連接起來，構(gòu)成了一個智能的、聯(lián)動的閉環(huán)響應(yīng)體系，可在保護(hù)現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施投資的基礎(chǔ)上 有效應(yīng)對新的安全威脅、大幅提升對 XX 單位 業(yè)務(wù)的安全保障。 ? 管理、分析、響應(yīng)一體化 當(dāng)安全事件發(fā)生時， H3C 安全管理中心能夠迅速察覺、準(zhǔn)確定位，更重要的是能夠及時制定合理的、一致的、完備的安全策略， 在現(xiàn)有安全設(shè)施的基礎(chǔ)上 形成了 一個 智能的 安全防御體系，大幅度提高 了 企業(yè)網(wǎng)絡(luò)的整體安全防御能力。 H3C 全局安全管理解決方案采用業(yè)界領(lǐng)先的集成技術(shù)，有效解決了 異構(gòu)環(huán)境 中的管理問題。 . H3C SecCenter部署方案 在 XX 單位 數(shù)據(jù)中心 的系統(tǒng)管理區(qū)，部署一臺 SecCenter，收集整個數(shù)據(jù)中心的安全事件，并提供智能分析，供管理人員進(jìn)行分析和決策。 . 兩地三中心數(shù)據(jù)中心存儲災(zāi)備方案 多套業(yè)務(wù)系統(tǒng)應(yīng)用服務(wù)器集中到數(shù)據(jù)中心同時，統(tǒng)一建設(shè)面向各業(yè)務(wù)系統(tǒng)的存儲系統(tǒng)是水到渠成的事，不同業(yè)務(wù)部門應(yīng)用系統(tǒng)數(shù)據(jù)可以集中共享存儲資源池，同一物理存儲資源池可以為不同業(yè)務(wù)系統(tǒng)提供邏輯上獨(dú)立的存儲空間，彼此互不影響，但可以集中考慮備份、容災(zāi)。解決這些問題 ，需要采用虛擬化技術(shù)實現(xiàn)原有存儲系統(tǒng)利舊兼容，也就是在原有各家不同 FCSAN 異構(gòu)存儲環(huán)境中增加一層虛擬存儲層，面向前端主機(jī)實現(xiàn)統(tǒng)一資源共享，存儲虛擬化應(yīng)用成熟廣泛，這里不展開介紹該技術(shù)。 部 XX 單位 數(shù)據(jù)中心存儲面向全國 XX 單位 數(shù)據(jù)：面向各應(yīng)用系統(tǒng)共享 SAN存儲池建設(shè)，存儲系統(tǒng)實現(xiàn)本地數(shù)據(jù)可靠存儲，同城容災(zāi)中心建設(shè)，異地容災(zāi)中心建設(shè)。 兩級 XX 單位 之間保持同步。 兩地三中心數(shù)據(jù)中心存儲災(zāi)備系統(tǒng)方案詳細(xì)設(shè)計見《 XXXX 單位 數(shù)據(jù)中心存儲解決方案》。 同時，管理中心還是安全管理 審計中心，防病毒管理中心。 以上 IT 管理系統(tǒng)分布在部 XX 單位 和 XX 單位 ，為 2 級管理結(jié)構(gòu)。iMC 以業(yè)務(wù)應(yīng)用流程模型為核心，采用面向服務(wù)（ SOA）的設(shè)計思想，按需裝配的組件化結(jié)構(gòu)，為客戶提供業(yè)務(wù)、資源和用戶的融合管理解決方案，幫助客戶實現(xiàn)業(yè)務(wù)的端到端管理。 . 功能特點 iMC 從根本上顛覆了傳統(tǒng)網(wǎng)絡(luò)管理軟件的設(shè)計思想，以開放的技術(shù)路線和融合管理用戶、資源和業(yè)務(wù)三大網(wǎng)絡(luò)要素的理念為基礎(chǔ)，最終向客戶提供了一個個面向具體需求的業(yè)務(wù)管理流程，從而把客戶從繁雜、無序、割裂的管理工作中解脫出來。 H3C iMC 的核心理念在于融合、聯(lián)動各類工具軟件，包括網(wǎng)管軟件、 AAA認(rèn)證軟件、流量分析軟件、安全管理軟件、數(shù)據(jù)管理軟件等，提供給客戶的不再是獨(dú)立的功能工具，而是直接面向客戶需求的業(yè)務(wù)流程，由流程來指導(dǎo)管理工作的開展。 H3C iMC 在管理資源（網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、服務(wù)器等）、業(yè)務(wù)的基礎(chǔ)上，更融入了對用戶的管理，直接從用戶對資源使用以滿足業(yè)務(wù)需求的角度出發(fā)，真正實現(xiàn)了“面向人的管理”。 H3C iMC 采用 Web Services 技術(shù)框架，通過松耦合、分布式、易擴(kuò)展的開放管理平臺，提升業(yè)務(wù)融合能力；以資源虛擬化屏蔽底層設(shè)備差異，通 過面向服務(wù)的接口和調(diào)度框架，實現(xiàn)了功能組件化、標(biāo)準(zhǔn)化，使業(yè)務(wù)流程的再造得以落實。 iMC 設(shè)備面板管理 iMC 設(shè)備狀態(tài)管理 iMC 拓?fù)涔芾? iMC 設(shè)備性能管理 iMC 對象告警設(shè)置 身份與接入管理 支持 LAN、 WAN、 WLAN、 VPN 認(rèn)證接入，實現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理；支持智能卡、證書等強(qiáng)認(rèn)證功能，支持多種方式的端點準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù)，實現(xiàn)用戶與資源和業(yè)務(wù)的融合管理。從端點接入上保證每一個接入網(wǎng)絡(luò)的終端的安全，從而保證網(wǎng)絡(luò)安全。 ACL 管理 ACL 管理實現(xiàn)了 ACL 這種網(wǎng)絡(luò)重要資源的集中管理，通過全網(wǎng) ACL 的視圖，方便的展示給用戶一個網(wǎng)絡(luò)中 ACL部署情況的藍(lán)圖； ACL部署功能實現(xiàn)了全網(wǎng) ACL的批量配置和下發(fā)，有效減輕了用戶日常的管理工作量；此外， ACL 管理還提供了 ACL 模板、 ACL 規(guī)則優(yōu)化等功能。 無線業(yè)務(wù)管理 依托 iMC 智能管理平臺，實現(xiàn)有線無 線一體化的管理。 網(wǎng)絡(luò)流量分析系統(tǒng) 實現(xiàn)各種網(wǎng)絡(luò)流量信息統(tǒng)計和分析功能，能夠讓客戶及時了解各種網(wǎng)絡(luò)應(yīng)用占用的帶寬、消耗的網(wǎng)絡(luò)資源和