h3c信息化数据安全资源整合方案

h3c信息化数据安全资源整合方案内容摘要：

一层的安全性解决方案主要集中于保护技术设施不受物理和逻辑上的攻击，其他主要集中方面是基础设施和应用的监控和管理。  应用和数据安全性： o 这一层是指业务应用的安全性，业务应用被内部和外部终端用户实际访问，是处理业务事务的资产，并提供电子商务。 o 企业安全性这一层的安全性解决方案主要集中于提供对应用的受控访问、验证用户身份、用户的 provisioning 和授权、审查用户 操作，并通过加密来保护数据。  管理安全性 o 这一层是指业务流程和操作的安全性，当管理团队作出高级策略决定时，管理安全性主要进行基础设施和应用的安全性的实现和配置。 企业策略和标准的成功与否取决于如何在这一层上实现和实施级别，这使组织能够运行业务，而不会有意或无意的违背企业策略，并防止业务遇到合法的或其他类型的安全问题。 o 这一层的安全性解决方案主要包括一些方案或服务，这些方案或服务帮助组织实施并自动操作安全策略和流程，最终用户了解规划并完成企业级安全性的管理和报告。 数据中心需要一个全方位一体化的安全部署 方式。 H3C 数据中心安全解决方案秉承了 H3C 一贯倡导的 “ 智能安全渗透理念 ” ，将安全部署渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。 . XX 单位 数据中心整体安全规划 H3C 数据中心安全解决方案的技术特色可概括为：  27 层防御  分区分层部署  统一管理、智能联动  27层防御： 以数据中心服务器资源为核心向外延伸有三重保护功能。 依托具有丰富安全特性的交换机构成数据中心网络的第一重保护；以 ASIC、 FPGA 和 NP 技术组成的具有高性能精确检测引擎的 IPS 提供对网络报文深度检测，构成对数据中心网络的第二重保护；第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。 数据中心多层安全防御 三重防护 数据中心网络提供了从链路层到应用层的多层防御体系，如图。 交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。 数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对 DDOS 和多种畸形报文攻击的防御。 IPS 可以针对应用流量做深度分析与检测能 力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。  分区规划，分层部署 在网络中存在不同价值和易受攻击程度不同的设备，按照这些设备的情况制定不同的安全策略和信任模型，将网络划分为不同区域。 多层思想（ nTier）不仅体现在传统的网络三层部署（接入－汇聚－核心）上，更应该关注数据中心服务器区的设计部署上。 服务器资源是数据中心的核心，多层架构把应用服务器分解成可管理的、安 全的层次。 按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患，增强了扩展性和高可用性。  统一管理、智能联动 当前，数据中心系统安全管理中 遇到的问题 包括 ： 1) 对实时安全信息不了解，无法及时发出预警 报告。 2) 各种安全设备是孤立的，无法相互关联，信息共享。 3) 安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。 4) 网络安全专家匮乏，没有足够的人员去监控、分析、解决问题。 在此背景下， H3C 提出用 SecCenter（安全管理中心）和 iMC（智能管理中心）组合，来满足数据中心系统全局安全管理的需求， 将安全体系 中各层次的安全产品、网络设备、用户终端等纳入一个紧密的 “全局安全 管理平台 ” 中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个 智能 安全防御体系，大幅度提高 数据中心系统 的整体安全防御能力。 H3C“全局安全管理平台” 由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全 设备 、网络设备、用户终端等独立功能部件通过各种信息交互接口形成一个完整的 协同防御体系（见下图）。 H3C 基于 SecCenter 和 iMC 的智能防御体系 H3C 全局安全管理平台 旨在集中部署网络安全 防护 策略，简化对安全部件的管理，确保网络安全策略的统一；广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件，通过关联来自于不同地点、不同层次、不同类型的安全事件，发现真正的安全风险，提高安全报警的信噪比；准确的、实时的评估当前的网络安全态势和风险，并根据预先制定的策略做出快速响应。 . 基础网络安全设计 网络基础 架构 的安全特性 是数据中心中各部件产品基本安全特性的通称。 架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备，部署点多、覆盖面大，是构成整个安全数据 中心的基石。 . 交换机安全部署 数据中心网络架构安全技术 网络基础 架构 的安全特性 是数据中心中各部件产品基本安全特性的通称。 架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备，部署点多、覆盖面大，是构成整个安全数据中心的基石。 H3C凭借基于 COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构架。 COMWARE是由 H3C推出的支持多种网络设备的网络操作系统，它以强大的 IP 转发引擎为核心，通过完善的体系结构设计，把实时操作系统和网络管理、网络应用、网络安全等技术完美 的结合在一起。 作为一个不断发展、可持续升级的平台，它具有开放的接口，可灵活支持大量的网络协议和安全特性。 COMWARE 可应用在分布式或集中式的网络设备构架之上，也就是说，不仅可以运行在高端的交换机 /路由器上，而且也可以运行在中低端的交换机 /路由器上，不向其它厂商，不同的软件运行在不同的设备上。 COMWARE 的这一特性可使网络中各节点设备得到同一的安全特性，彻底避免了由于部件产品安全特性不一致、不统一造成的安全“短木板效应”。 数据中心基础架构安全相关架构 基于 VLAN 的端口隔离 交换机可以由硬件实现相同 VLAN 中的两个端口互相隔离。 隔离后这两个端口在本设备内不能实现二、三层互通。 当相同 VLAN 中的服务器之间完全没有互访要求时，可以设置各自连接的端口为隔离端口，如图。 这样可以更好的保证相同安全区域内的服务器之间的安全： 图 交换机 Isolated Vlan 技术 STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二层连接保护保证 STP/RSTP 稳定 ,防止攻击 ,保障可靠的二层连接。 如图。 图 交换机 Root Guard/BPDU Guard 技术 端口安全 端口安全（ Port Security）的主要功能就是通过定义各种安全模式，让设备学习到合法的源 MAC 地址，以达到相应的网络管理效果。 对于不能通过安全模式学习到源 MAC 地址的报文或 认证失败的设备，当发现非法报文后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。 端口安全的特性包括： NTK： NTK（ Need To Know）特性通过检测从端口发出的数据帧的目的 MAC地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。 Intrusion Protection：该特性通过检测端口接收到的数据帧的源 MAC 地址或 认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤此 MAC 地址的报文，保证了端口的安全性。 Device Tracking：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时，设备将会发送 Trap 信息，便于网络管理员对这些特殊的行为进行监控。 防 IP 伪装 病毒和非法用户很多情况会伪装 IP 来实现攻击。 伪装 IP 有三个用处：  本身就是攻击的直接功能体。 比如 smurf 攻击。  麻痹网络中的安全设施。 比如绕过利用源 IP 做的接入控制。  隐藏攻击源 设备防止 IP伪装的关键在于如何判定设备接收到的报文的源 IP是经过伪装的。 这种判定的方式有 4 种。 分别在内网和 网络 的边界使用。 （ 1）、 利用 IP 和 MAC 的绑定关系网关防御 ： 利用 DHCP relay 特性，网关可以形成本网段下主机的 IP、 MAC 映射表。 当网关收到一个 ARP 报文时，会先在映射表中查找是否匹配现有的映射关系。 如果找到则正常学习，否则不学习该 ARP。 这样伪装 IP 的设备没有办法进行正常的跨网 段通信。 （ 2）、 接入设备防御 ： 利用 DHCP SNOOPING 特性，接入设备通过监控其端口接收到的 DHCP request、 ACK、 release 报文，也可以形成一张端口下 IP、 MAC的映射表。 设备可以根据 IP、 MAC、端口的对应关系，下发 ACL 规则限制从该端口通过的报文源 IP 必须为其从 DHCP 服务器获取的 IP 地址。 （ 3）、 UPRF： UPRF 会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。 其实现机制如下：设备接收到报文后， UPRF 会比较该报文的源地址在路由表中对应的出接口是否和接收该报文的接口 一致。 如果两者不一致，则将报文丢弃。 （ 4）、 路由协议认证 ： 攻击者也可以向网络中的设备发送错误的路由更新报文，使路由表中出现错误的路由，从而引导用户的流量流向攻击者的设备。 为了防止这种攻击最有效的方法就是使用局域网常用路由协议时，必须启用路由协议的认证。 另外，在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。 但这种方法会消耗掉许多 ACL 资源。 . 内网桌面终端 安全 管理系统 部署 在 XX 单位 的局域网接入上，需要采用严格的用户认证和授权控制策略，避免网络的非法接入和越级访问，保证核心数据和业务的安全性和 高度机密。 同时，对不同的接入用户要做到动态的分配不同的权限，使之归属于不同的 VPN，访问授权的资源。 此外，需要对接入终端的安全性进行检查，避免病毒的传播对网络造成的不可预知的破坏。 这就需要一套完整的 端点准入防御（ EAD， Endpoint Admission Defense）解决方案。 EAD 从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用 户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。 下面从桌面终端认证需求、组网部署、功能描述 3 方面进行 EAD 系统简单介绍： （ 1）、桌面终端用户 认证需求 对于要接入安全网络的用户， EAD 解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果， EAD 对用户网络准入进行授权和控制。 通过安全认证后，用户可以正常使用网络，与此同时， EAD 可以对用户终端运行情况和网络使用情况进行审计和监控。 EAD 解决方案对用户网络准入的整体认证过程如下图所示： （ 2）、 EAD 系统 组网 部署 如下图所示， EAD 组网模型图中包括安全客户端、安全联动设备、 H3C iMC CAMS 安全策略服务器和第三方服务器 ： • 安全客户端 是指安装了 H3C iNode 智能 客户端的用户接入终端，负责身份认证的发起和安全策略的检查。 • 安全联动设备 是指用户网络中的交换机、路由器、 VPN 网关等设备。 EAD 提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如网络接入 层和汇聚层。 • H3C iMC CAMS安全策略服务器 它要求和安全联动设备路由可达。 负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。 • 第三方服务器 是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区中。 当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直到满足安全策略要求。 （ 3）、 H3C EAD 功能描述 • 严格的身份认证 除基于用户名和密码的身份认证外， EAD还支持身 份与接入终端的 MAC地址、IP 地址、所在 VLAN、接入设备 IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。 • 完备的安全状态评估 根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等；为了更好的满足客户的 需 求， EAD 客户端支持和微软 SMS、 LANDesk、 BigFix。