H3C安全解决方案.ppt

2010H3CT自学辅助资料：H3C安全解决方案,杭州华三通信技术有限公司,远程安全接入SRA,边界防护NBP,安全统一管理平台,内网控制INC,行为监管BSC,数据中心保护DCP,H3C安全整体解决方案,H3C远程安全接入解决方案设计原则,设计原则满足不同用户接入需求，满足随时随地可连通安全第一，充分考虑公网传输的威胁注重管理需求，降低维护成本以业务为导向，保护业务的持续可靠运行满足对用户各种组网兼容性的需求,H3C远程安全接入解决方案（SRA：Security Remote Access）,SecCenter,大型分支,SecPath 防火墙,中小型分支,IPSec VPN,IPSec+GRE VPN,移动用户,BIMS,SSL VPN,合作伙伴,IPSec VPN,VPN Manager,SecPath 防火墙,SecPath 防火墙,SecPath 防火墙,SecPath 防火墙,安全管理平台,VPN是成本最低、应用最广泛的接入技术，预计2008年中国VPN空间14亿人民币-计世资讯,大型分支接入,SecPath,大型分支,SecPath,IPSec+GRE VPN,SecPath,功能：连通：GRE+IPSec，安全又可靠安全：防火墙攻击防范保证内容安全，IPSec保证传输安全管理：SecCenter集中管理，VPN Manager监控VPN隧道可靠性：总部双出口+双机热备+L3 Monitor，关键时刻不掉链子。兼容性：GRE+OSPF，实现跨internet的全网动态路由，国内唯一安全产品。兼容总部MPLS情况，实现分支对总部MPLS VPN的映射,SecCenter,BIMS,VPN Manager,中小分支合作伙伴接入,SecPath,SecPath,IPSec VPN,SecPath,功能：连通：IPSec VPN安全：防火墙攻击防范保证内容安全，IPSec保证传输安全管理：BIMS，业界最适合多分支接入的管理工具可靠性：总部双出口+双机热备+L3 Monitor，关键时刻不掉链子兼容性：兼容多种接入方式，例如ADSL、以太网接入,中小型分支,合作伙伴,SecPath,IPSec VPN,SecCenter,BIMS,VPN Manager,移动用户接入,SecPath,SSL VPN,SecPath,SSL VPN,功能：连通：SSL VPN安全：防火墙安全防范，SSL加密，多种安全认证管理：移动用户接入时无需客户端，方便可靠性：总部双出口+双机热备兼容性：支持密码、证书、LDAP、Radius、Domain等多种方式认证 支持多种接入方式,移动用户,移动用户,SecCenter,BIMS,VPN Manager,H3C远程安全接入解决方案特色,统一接入SecPath集成IPSec、GRE、SSL、MPLS VPN技术，一台设备满足用户所有接入需求高安全性SecPath集成专业防火墙功能，网关处防攻击支持多种认证方式，保证接入安全易管理性SecCenter对全网安全事件的集中采集、智能分析BIMS对分支智能管理高可靠性双机热备、双出口链路备份L3 Monitor可侦测整条链路状态QoS保障关键业务优先OSPF动态路由保障,中石油加油站联网 10000点VPN接入,远程安全接入解决方案案例,电信internet,网通internet,Secpath10F,2台Secpath1000,交换机,路由器,服务器区,VPN接入区,分支网点,BIMS,双机热备,Secpath10F,Secpath10F,典型案例1、平安保险（3000个分支）2、甘肃工商（800个分支）3、中国石油（700个加油站）4、中国人寿（全国各省分建）5、交通部全国骨干网6、武汉地税7、山西证券8、上海银联.,平安保险,远程安全接入SRA,边界防护NBP,安全统一管理平台,内网控制INC,行为监管BSC,数据中心保护DCP,H3C安全整体解决方案,划分安全区域将物理位置相近，并具有相同安全策略的安全资产划分为同一安全区域。不同信任级别的安全区域之间形成网络边界常规有以下安全区域数据中心区DMZ区广域网区远程接入区内部办公区管理区,如何应对层出不穷的DDoS、病毒、蠕虫、页面篡改等攻击？设备在不断增多，人员不断增加，如何解决安全的统一管理问题？,网络中的边界在哪里？,为什么需要边界安全防护？,开放的互联网使服务器长时间暴露，黑客轻易就可以找到想攻击的目标；各种病毒、蠕虫的泛滥，带来的危害和应用规模成正比。很轻易能够找到攻击工具，攻击变得非常简单网络边界是攻击者必经之路,边界设防，御敌于国门之外！,边界防护主要关注点,DDoS、蠕虫、病毒、页面篡改等攻击类型层出不穷，如何防御？设备在不断增多，人员不断增加，网络结构日益复杂，安全需要统一管理，如何解决？,H3C边界防护解决方案（NBP:Network Border Protection),安全管理平台,SecCenter,SecPath防火墙/UTM,交换机,DMZ,SecPath IPS,SecPath防火墙/UTM,数据中心,SecBlade FW/IPS,边界安全防护最佳方案！,方案描述,SecPath/SecBlade防火墙提供2-4层包过滤、状态检测等技术实现边界隔离SecPath/SecBlade IPS提供4-7层安全防护SecPath UTM统一威胁管理产品提供“所想即所得”的安全功能通过安全管理平台对部署的防火墙、IPS以及网络产品进行统一安全管理。,外联单位,SecPath IPS,SecPath IPS,边界防护解决方案描述,什么是网络边界？网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。H3C提出边界防护解决方案，有效的解决了来自边界的安全问题。本方案由安全网关、入侵防御系统和安全管理平台组成。安全网关：包括盒式的SecPath系列防火墙和应用于S95/75E核心交换机的SecBlade防火墙模块；防火墙集成了2-4层包过滤和状态检测技术，对不同信任级别的安全区域制定相应安全策略，防止非授权访问；SecPath防火墙支持H3C OAA开放应用架构，可在设备上部署防病毒、网流分析等业务模块；入侵防御系统（IPS）包括盒式的SecPath系列IPS和应用于S95/75E核心交换机的SecBlade IPS模块；是业界唯一集成漏洞库、专业病毒库、协议库的IPS产品，特征库数量已达上万种，并保持不断更新；精确实时地识别并防御蠕虫、病毒、木马等网络攻击；统一威胁管理产品（UTM)集防火墙、VPN、NAT地址转换、防病毒、防垃圾邮件、行为审计、漏洞等功能于一体；安全管理平台 通过安全管理平台对安全网关、入侵防御系统以及网络设备进行统一安全管理，包括防火墙、IPS/IDS、路由器、交换机等多种类型的产品。,边界防护解决方案的卖点,最全面的边界安全防护1、是业界唯一能提供同时万兆安全模块和盒式设备的厂商；2、支持OAA架构，可与第三方厂商合作定制（目前已有ASM、NSM）或根据用户需求定制开发；3、实现2-7层全面安全防护，有效的抵御非法访问、DDoS、病毒、蠕虫、页面篡改等攻击；业界唯一的万兆插卡式防火墙，安全与网络深度融合 支持S95/S75E核心交换机中的万兆防火墙/IPS模块,是业界唯一的万兆插卡式防火墙虚拟化安全服务 支持虚拟防火墙/IPS功能，便于管理，简化网络结构，降低建设成本,国家税务总局(2008),双链路出口,SecPath T200,办公大楼局域网,终端工作站,Web服务器,文件服务器,邮件服务器,H3C SecCenter（试用）,外网服务器区域,党政案例江苏地税(2006),网络管理区,13个地市地税局2个直属局,核心交换机,省地税局,路由器,应用服务器区,市局核心交换机,市局路由器,市局核心交换机,市局路由器,市局核心交换机,市局路由器,SecPath F1000-S,SecPath F1000-S,SecPath F1000-S,SecPath F1000-S,国家海洋局“数字海洋”项目,服务器区,SecPathF100-E,办公区,SecPathT200-A,服务器区,SecPathF100-E,办公区,SecPathT200-A,21个海洋局接入单位,外联接入单位,SecPathT200-A,SecBlade FW,边界防护解决方案的一次完美体现,党政案例贵州地税,S7510E+FW插卡,省局,9个地市局,国家税务总局,国家骨干网设备,应用服务器,IMC智能管理中心,F100-E 防火墙,S3600-28TP接入交换机,MSR50-40,SR8805,SR6608,数据中心,T1000-A,SR8805,F100-M 防火墙,98个区县分局,F100-E 防火墙,S3600-28TP接入交换机,MSR50-40,F100-M 防火墙,S7503地市核心交换机,S7503地市核心交换机,2M E1,CPOS,CPOS,CPOS,E1,5500-28C-EI,SR6608,远程安全接入SRA,边界防护NBP,安全统一管理平台,内网控制INC,行为监管BSC,数据中心保护DCP,H3C安全整体解决方案,内网安全建设的烦恼,内部病毒泛滥,事故屡禁不止,整网安全状况无法掌控,用户接入随意,H3C内网控制解决方案设计思路,Protection(预防):缺陷扫描、访问控制、防病毒/ARP攻击Detection(检测):入侵检测/防御、网络流量检测、异常行为监控Response(响应):告警分析、安全联动、安全审计Recovery(恢复):安全事件统一处理、漏洞补丁升级、防御手段更新,PDRR模型,安全策略,Protection,Detection,Response,Recovery,什么是内网控制解决方案,两个片面认识：内网控制解决方案就是EAD方案内网控制解决方案就是安全联动,内网控制解决方案（INC：Internal Network Control),SecPath 防火墙,EAD,EAD,EAD,SecPath IPS,安全管理中心SecCenter,智能网管中心iMC,安全管理平台,预防：防火墙进行安全区域划分 EAD进行用户接入控制检测：防火墙+IPS+NetStream进行27层深度检测，保护重点区域响应：安全设备与网络设备和终端软件以及网管中心的联动，共同防御攻击恢复：漏洞、补丁升级；根据安全管理平台分析的安全事件，重新调整、下发安全策略,SecBlade FW/IPS/NetStream,有效解决：内网病毒防护、内网用户控制、安全区域隔离,应用模式,内网控制解决方案,区域隔离,病毒防护,统一管理,网流分析,接入控制,安全联动,预防：安全区域划分,办公区,研发区,生产区,将物理位置相近，并具有相同安全策略的节点划分进入同一个安全区域通过安全区域划分，可以最小化攻击扩散范围和病毒传染区,你是谁？,你安全吗？,你可以做什么？,预防：终端安全接入,检测：27层深度业务感知,网络层次越高资产价值越大,L5-L7:Application Layer,L4:Transport Layer,L3:Network Layer,L2:Lnk Layer,L1:Phy.Layer,TCP/IP Stack,NIC,OSes,Web Servers,Web ApplicationFrameworks,Applications,风险越高越迫切需要被保护,Application Data,Session ID,HTTP Request/Respond,TCP Connection,IP Packet,Ethernet Packet,Bit on Wire,防火墙，NetStream,IPS,多数据源采集信息、多维度整理分析,检测：全面的网络流量分析,时间,应用,IP,趋势,异常,TopN,网络流量分析模块,响应：安全事件联动,设备之间沟通不畅，对攻击事件只能孤岛防御,安全管理平台联动安全设备、网络设备和终端软件共同防御威胁,响应：安全事件联动,核心交换机,安全管理中心SecCenter,智能网管中心iMC,安全管理平台,2、设备自动处理后，同时将日志上报给安全管理平台。,4、iMC对该用户进行告警、下线等处理,EAD,EAD,EAD,1、用户进行非法或非授权行为,SecBlade FW IPS NetStream,补丁/病毒库/安全代理服务器,IPS,防火墙,3、Seccenter根据预定策略，将需要联动的告警通过iMC进行下发,服务器区,恢复：全面及时的安全状态作为决策依据,事件过滤漏洞匹配锁定位置告警通知,安全管理中心：支持H3C所有设备的管理支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交换机、Unix、Linux、Windows等各类IT资源的管理支持安全事件、网络事件、系统事件、应用事件,恢复：安全管理平台确保改进策略的落实,最完整,事前预防：EAD方案进行安全状态检查事中控制：防火墙、IPS发现攻击并联动事后审计：SecCenter记录并输出报告,最全面,SecBlade直接集成在交换机上，检查所有流量，覆盖最全面,最易用,SecCenter统一管理不同厂商、不同设备的安全事件，自动输出审计报告客户端简单易用，自动运行、自动检查,H3C内网控制解决方案特色,典型案例山西电力信息网,经典案例之央视国际内网,F1000-A,SecCenter安全管理中心,台网,网通100M,燕京大厦,F1000-A,SecPath ACG2000-M,SecPath ACG2000-M,远程安全接入SRA,边界防护NBP,安全统一管理平台,内网控制INC,行为监管BSC,数据中心保护DCP,H3C安全整体解决方案,数据整合是企业管理集约化和精细化的必然要求数据整合是企业优化业务流程和管理流程的必要手段,数据中心整合大势所趋,数据大集中,数据来源：计世资讯2006年7月针对大中型行业用户的调研,0 10 20 30 40 50 60 百分比,49.6%,42.3%,33.5%,26.9%,25.9%,21.3%,可靠性,安全性,可管理性,扩展性,TCO,兼容性,可靠性、安全和可管理性是数据中心建设中用户最关心的三大问题。,数据中心建设的关注点,数据中心安全威胁,针对系统缺陷的应用攻击已成为数据中心面临的主要威胁由应用攻击造成的“零时差”效应是数据中心面临的严峻问题,DDOS/DOS攻击是数据中心面临的一大问题,数据中心,数据中心安全设计原则,为了更好地保障业务，对数据中心进行安全设计参考如下原则：最小授权，保障访问可控突出重点，重点区域重点安全保证可靠，尽量避免单点故障，采用HA和冗余可扩展性，采用模块化体系架构统一管理，三分技术，七分管理贴近应用，以应用为核心,数据中心保护解决方案（DCP：Data Center Protection）,SecBlade AFC,SecBlade IPS,WEB 区,应用区,数据库区,核心交换,汇聚交换,SecBlade 防火墙,安全防御系统,SecCenter,安全管理平台,iMC,H3C ASE,应用加速引擎,提高服务质量,全面安全防护,安全统一管理,H3C安全数据中心方案特色,最完整,AFC在不影响正常业务的同时，彻底清除DDoS防火墙有效防范越权访问、身份假冒IPS有效防范蠕虫、病毒、木马等应用层攻击ASE 510倍提升服务器响应速度和处理能力,最高端,万兆防护，业界唯一提供万兆SecBlade插卡,最可靠,插卡、旁挂，彻底消除单点故障的风险 安全事件统一管理，及时识别安全隐患,成都市政府IDC项目,山东农信,兴业银行上海数据中心,DCP案例名单,成都市政府南迁内外网IDC项目山东农信万和证券湖南农信广西金保工程一期数据中心天津滨海农商行数据中心中国工商银行总行数据中心河北移动网站奥运安全项目,湖南财富证卷灾备中心安全项目内蒙古“金土工程”一期兴业银行上海数据中心太钢集团中国烟草总公司内蒙古自治区公司深圳大学城图书馆.,远程安全接入SRA,边界防护NBP,安全统一管理平台,内网控制INC,行为监管BSC,数据中心保护DCP,H3C安全整体解决方案,用户上网行为带来安全隐患,P2P导致网络拥塞即时通讯、网络游戏、上班炒股导致工作效率下降非法网站访问导致病毒爆发和政治问题,是时候对上网行为进行监管了！,如何解决以下难题？,网络正常应用,网站访问监控,提高工作效率,用户行为审计,如何防止员工工作时间炒股、网络聊天、玩游戏造成工作效率下降,如何防止员工通过P2P下载造成网速变慢如何防止感染病毒造成网络瘫痪,如何过滤色情、反动等非法网站的访问如何对通过BBS、邮件等传播非法言论进行监控,管理员如何对用户行为进行安全审计，了解网络应用状况，满足公安部82号令要求,以上问题通过传统的网络管理无法解决，必须管理到用户和应用层！,H3C行为监管解决方案模型,人,智能应用感知 用户行为感知 上网内容感知即时升级的特征库,细粒度应用流量控制 根据五元组精确控制 URL过滤、内容过滤 黑白名单,记录访问日志用户行为的纵深分析应用流量的纵深分析记录NAT前后地址信息,行为识别,行为控制,行为审计,行为监管解决方案 BSC:Behavior Supervision Control,ACG Manager,SecCenter,SecPath防火墙,交换机,内部网络,SecPath ACG,安全管理平台,组网描述,ACG在线部署在网络出口，对于P2P/IM、网络游戏、炒股、非法网站访问等行为进行识别和控制。可选SecPath盒式设备或SecBlade插卡防火墙进行地址转换，向安全管理平台发送NAT日志安全管理平台收集ACG和防火墙发送的信息，实现用户行为审计,CAMS,用户管理平台,行为监管解决方案流程,行为识别,行为控制,1、ACG识别用户的访问情况和流量信息，防火墙进行NAT地址转换,SecCenter,交换机,SecPath ACG,安全管理平台,校园网,SecPath防火墙,行为审计,2、ACG根据流控策略和内容过滤策略，对用户行为进行细粒度的控制,3、ACG发送用户上网行为信息，防火墙发送NAT日志，安全管理平台进行记录，供事后审计,ACG Manager,CAMS,用户管理平台,行为识别,H3C自主研发的UAAE智能应用感知引擎，具备强大的应用识别能力 深度应用流量识别：采用业界先进技术根据特征识别网络中各种P2P应用协议和流量 深度行为识别：可对HTTP、Email、FTP、IM、游戏、炒股等行为及内容进行感知,.,行为识别-实践效果,可全面识别游戏软件,对Internet等行为进行深入识别,全面、特征开放的应用库，可识别90%的业务流量,行为控制-应用流量控制,支持P2P、流媒体、网络游戏等多种应用协议的控制基于用户、源IP、目的IP、应用、时间段的任意组合进行多维度细粒度的控制提供阻断、限流、干扰、告警等多种控制方式，支持按时间段实施控制策略提供应用控制黑白名单功能,P2P使用率过大，限制某用户最大带宽,上午711点工作时间使用无关软件过多，限制某用户最大带宽,SecPath ACG,可根据分析结果对应用流量进行控制,行为控制-非法行为管理,用户不能访问带有“sex”的URL地址,用户工作时间不允许使用QQ,支持对即时通讯、炒股软件、流媒体、网络游戏等多种行为进行识别和精细化控制，提高工作效率针对非法网站访问，通过URL过滤、内容过滤，避免因访问反动、色情网站造成政治和安全的隐患,用户在每天13点-14点可以使用炒股软件，其他时间禁止,行为审计流量分析报告,对各种应用流量进行深入分析，形成分析报告，可用户流量控制策略的制定和事后的审计 基于流量的分布趋势TOPN分析：全业务流量、单协议/协议组流量、上下行/双向流量、流量明细等 基于用户的TOPN分析：用户全业务流量、上下行/双向流量、会话数、流量分布、流量趋势等,针对用户行为进行深入的识别，将携带关键信息的日志发送给安全管理平台携带关键信息的日志，形成用户审计报告。HTTP行为：可以记录网页IP、域名、访问用户、访问时间等信息 Email行为：可以记录收发件人、邮件标题、附件标题等信息 FTP行为：可以记录通过FTP上传下载的文件,HTTP访问审计,Email行为审计,FTP行为审计,行为审计用户访问审计,行为审计NAT地址信息记录,交换机,SecPath ACG,校园网,SecPath防火墙,SecCenter,ACG Manager,公安部82号令互联网安全保护技术措施规定要求：联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。,SecPath防火墙向安全管理平台发送NAT日志安全管理平台记录NAT地址转换前后对应关系，用于事后审计，满足82号令要求,安全管理平台,H3C 行为监管(BSC)解决方案特点,全球唯一能同时支持应用/行为的分析、控制、审计的解决方案,全球唯一,最精确,最全面,最放心,精确识别BT、电驴、迅雷、MSN、QQ、Yahoo Messenger、PPLive等近百种P2P/IM应用控制粒度最小可达8K，全球最细,全面识别网络游戏、炒股、非法网站访问等用户行为通过告警、限速、阻断、URL过滤、等方式进行有效的控制为用户提供最放心的网络环境,针对用户的HTTP、FTP、Email、IM等应用，提供最全面的用户行为审计和流量分析安全事件发生后可追根朔源，并能满足合规性要求,黑龙江大学,中石油华南石油销售公司,应用控制网关部署在出口对于出入的流量进行监控和管理对于上网的行为进行审计（FTP、Email、IM、URL）,电信600M,教育网100M,SecPath ACG8800,认证系统,SW,网通400M,学校内网,认证系统,FW,深圳大学,出口1个多G流量按时间段对P2P进行限流基于应用的流量分析对用户上网行为、邮件等的行为审计,H3C ACG Manager服务器,黑龙江大学协和医科大学医学科学城域网石家庄步兵学院上海海洋大学中国海洋大学深圳大学杭州七中河南新乡医学院安徽合肥学院山东教育学院山东淄博职业学院安徽新华学院吉林农业大学吉林广播电视大学南京水科院长江通信管理局烟草培训中心,央视国际内网山东烟台张裕集团甘肃酒泉钢铁湖南三一重工 广州广交会琶洲会馆辽宁东药集团浙江方圆检测集团河南周口市医院,上海广电郑州广电辽阳广电咸阳广电阜阳市政府北京盘古大观楼,用户名单,江西电力萧山电力中石油河北销售公司中石油华南销售公司,上海杨浦区信息委青岛市政府郑州市西开发区专网通信部,湖南农信联天津滨海商行,