校园网安全系统规划设计.doc

第1章 校园网安全系统规划设计1.1 整体安全首先，可取采取的措施为多种冗余备份能力，包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构，在学院的网络改造建议方案中，我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备，通过双机进行实现相互备份和负载均衡，在学院的网络改造建议方案中，我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等，基于h3c网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。其次，采取高安全性的网络设备，网络与安全的融合是未来网络发展的必然趋势，随着网络设备特性的不断更新，h3c系列网络设备自身具备的安全能力也在不断加强。h3c系列网络设备包括路由器、交换机，都统一采用h3c自主研发的comware软件平台。除了上述丰富的基本安全特性，h3c网络设备具备非常丰富的动态安全特性，主要包括动态vlan的下发和动态acl的下发，h3c系列网络设备不仅支持标准的802.1q vlan，而且提供端口隔离功能，只允许用户端口与上行端口转发报文，从而阻断下挂各个用户私有网络之间的互相访问，从链路层保障用户转发数据的安全；通过启用802.1x和web认证后下发动态vlan及acl，实现用户的动态隔离，保证用户数据的隐私，杜绝内部攻击，与其他安全防护设备进行联动，构建全局的、立体的、动态安全防护体系。最后，采取具备丰富的安全管理特性的网管系统，在网络系统中，整个网络的安全首先要确保网络设备的安全：非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备，采用网络管理系统是一种有效的解决方法，通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络设备安全有效的配置，为整个网络系统提供安全运行的基石。网关系统的基本功能描述如下：配置管理：主要包括设备监控、远程控制、远程维护、自动搜索等；性能管理：主要包括性能数据可视化、阈值设置和报警、性能分析和预测、性能策略支持等；失效管理：主要包括故障定位、故障报警、故障恢复等；安全管理：访问认证和授权、网络隔离、远程访问控制、应用访问控制等。1.2 设计原则 在规划某大学的网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案：l 体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。l 全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。l 可行性、可靠性原则在采用全面的网络安全措施之后，应该不会对某大学原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。l 可动态演进的原则方案应该针对某大学制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。1.3 网络插卡优势l 高性能所有的 secblade业务模块都采用了业界最领先的多核cpu +asic +fpga的高性能硬件架构。这种分布式的硬件架构保证了所有的业务能在第一时间进行并行处理。对于现在大量的应用层安全攻击，由于需要进行深入的报文分析，只有这种多核cpu的硬件架构才能真正实现对数据报文的实时处理，不会造成传输延迟。除此之外，由于交换机对数据报文采用分布式转发的模式，这样secblade插卡就能巧妙地利用高端交换机的背板总线技术，确保安全插卡也能实现与万兆网络设备的无缝对接。l 高可靠性基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。任何一块插卡出现故障，通过专利的acfp技术，能够确保流量都会自动避开它，通过bypass方式保证业务正常运行。由于secblade插卡是部署在交换机上。而交换机的各种关键部件，包括电源、引擎、接口板、业务板等都可以冗余部署，这就大大提高了整体的可靠性。当所有的关键部件都进行冗余部署的时候，实际上就是两台设备在同时工作，并可以进行负载分担。此外，由于所有的插卡都可以进行热插拔，这也大大降低出现故障时更换设备的时间。l 易扩展 secblade插卡可以插到高端交换机的任何业务槽位上，通过插卡数量的扩展可以实现总体处理性能数倍的提升，组成多功能、高密度、高安全的核心交换机。此外，多种secblade插卡的组合使用，可以实现安全交换机的模块化设计。用户可以根据需求任意选择所需的业务模块，实现安全功能的平滑升级。l 方便的管理和配置 在secblade插卡上，单独有外带的网络管理口和串口（console），可以通过web界面实现对secblade插卡的管理和配置，也可以通过网口接入到交换机的网管系统，利用网管软件实现对secblade的配置。 每个secblade插卡的安全日志信息也能统一上报给的安全管理平台seccenter。通过seccenter的统一安全信息收集和筛选，提取相关的关联信息，然后进行统一管理，真正做到安全联动。l 无限的接口 相对一般盒式安全设备只能提供数量很少的接口而言，secblade插卡可提供无限制的接口，这是因为交换机中所有接口的数据都可以转发到secblade插卡上进行处理。同时，通过插卡的虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡，每个逻辑板卡拥有完全独立的资源和策略。 而且，除了普通的以太网电口和光口外，基于交换机secblade插卡，还可以实现与各种pos接口、atm接口、e1/t1口等其他接口进行对接。l 丰富的功能目前的secblade插卡包括万兆防火墙模块、ips入侵防御模块、lb负载均衡模块、netstream网络流量分析模块、ssl vpn模块、acg应用控制网关业务模块以及afc流量清洗模块等。这些插卡不但覆盖了从远程安全接入、专业ddos攻击防御、2-7层深度安全防护一直到服务器访问性能优化等各个应用层面，覆盖了整个主流的网络安全应用需求，能为用户提供最全面的安全保护。1.3.1 防火墙插卡h3c secblade fw是业内第一款万兆高性能防火墙模块，可应用于h3c s5800/s7500e /s9500e/s12500交换机以及sr6600/sr8800路由器。secblade fw集成防火墙、vpn、内容过滤和nat地址转换等功能，提升了网络设备的安全业务能力，为用户提供全面的安全防护。h3c secblade fw能提供外部攻击防范、内网安全、流量监控、url过滤、应用层过滤等功能，有效的保证网络的安全。采用h3c aspf（application specific packet filter）应用状态检测技术，实时检测应用层连接状态，实现3-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能，协助用户进行网络管理。secblade fw模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。此方案中防火墙插卡启用的功能主要有网络地址转换（nat），内外网分域2大功能。在网络出口处启用nat功能，将私有(保留)地址转化为合法的公网ip地址，是各种类型internet接入方式中应用最广泛的一种。原因很简单，nat不仅完美地解决了lp地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。防火墙分域主要是使用访问控制功能。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术有：包过滤技术，应用网关技术，代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。u secblade采用h3c电信级硬件平台，通过多内核系统实现核心企业用户对安全设备线性处理能力的需求。u secblade 通过先进的oaa结构，实现与h3c 公司的路由、交换设备无缝融合，通过硬件平台直接互联，实现了用户网络安全的深度防护。u 增强型状态安全过滤：支持虚拟防火墙技术，支持安全区域间默认访问控制；支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持h3c特有aspf应用层报文过滤（application specific packet filter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对ftp、http、smtp、rtsp、h.323（包括q.931，h.245， rtp/rtcp等）应用层协议的状态监控，支持tcp/udp应用的状态监控。u 抗攻击防范能力：包括多种dos/ddos攻击防范（cc、syn flood、dns query flood等）、arp欺骗攻击的防范、提供arp主动反向查询、tcp报文标志位不合法攻击防范、超大icmp报文攻击防范、地址/端口扫描的防范、icmp重定向或不可达报文控制功能、tracert报文控制功能、带路由记录选项ip报文控制功能；静态和动态黑名单功能；mac和ip绑定功能；支持智能防范蠕虫病毒技术。u 应用层内容过滤：可以有效的识别和控制网络中的各种p2p模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；能够识别和控制im协议，如qq、msn等；支持邮件过滤，提供smtp邮件地址、标题、附件和内容过滤；支持网页过滤，提供http url和内容过滤；支持应用层过滤，提供java/activex blocking和sql注入攻击防范。u 全面nat应用支持：提供多对一、多对多、静态网段、双向转换 、easy ip和dns映射等nat应用方式；支持多种应用协议正确穿越nat，提供dns、ftp、h.323、nbt等nat alg功能；支持无限nat转换。u 支持ipsec vpn业务模式。u 智能网络集成：支持路由、透明及混合运行模式；支持静态路由协议、路由策略及策略路由；支持rip v1/2、ospf、bgp动态路由协议；支持基于802.1q vlan；支持dhcp client/server/relay。1.3.2 智能业务网关模块插卡h3c iag（intelligent application gateway）是h3c公司面向运营商、企业、教育等用户开发的智能业务网关模块，具有完善的接入、认证、授权和计费功能。h3c iag模块基于强大的多核、多线程处理器硬件平台，集bras业务网关和终端准入控制（ead，end user admission domination）解决方案网关的功能于一体，提供大容量用户的终端安全接入、高密度端口、电信级可靠性、线速转发性能、完整的qos机制、丰富的业务处理能力，是运营商宽带数据接入和业务运营方案的理想产品。产品特点 灵活的用户接入认证方式支持强大的pppoe拨号、portal认证、dhcp opt82认证、端口绑定等接入认证方式，提供高密度ge业务端口，可针对不同端口制定相应的某种或多种接入方式；同时支持免客户端认证方式以及免费ip访问功能；提供本地认证以及远程radius认证方式。 丰富的计费策略能够准确地采集用户的计费信息，包括用户上网时长和流量，并可向指定服务器抄送计费信息，提供计费保护机制；同时，支持不计费、一次性付费、后付费、基于时长或流量的预付费等多种计费策略，提供在指定时间内无流量时强制切断的功能。 大容量的用户策略具有大容量的用户控制策略，通过与灵活的qos机制、基于用户的策略下发功能进行配合，可实现对带宽资源、ip地址资源、会话资源等网络资源进行保护，大大增强了业务的灵活性、丰富性与安全性。 完善的qos机制支持高性能、高灵活度的qos解决方案，提供先进的队列调度、拥塞避免、流量监管、流量整形、优先级标记等功能，可对各类终端所承载的各类业务进行控制，包括带宽car限制、访问权限控制、不同终端之间的互访权限控制等，可精确保证不同业务的带宽、时延、抖动和丢包率，满足不同用户、不同业务等级的“区分服务”。 丰富的路由能力支持丰富的路由协议，包括静态路由、rip、ospf等各种路由协议，可提供大容量的路由表项。 易部署、易实施通过使用iag智能业务网关模块，可利于运营商网络的快速部署、简单实现，在企业异构网络环境中实现对网络改造、网络建设与升级的部署和实施，在高性能地实现大容量用户接入、保证网络安全性的同时，大大节省了网络改造带来的资产浪费和工作量。 运营商级高可靠iag智能业务网关模块按照电信级标准进行设计，作为业务插卡嵌入h3c wx6103/wx7300设备中，降低了单点故障，保证了网络的高可靠性；并通过igp快速收敛、vrrp、frb快速路由备份等各种软件设计，可保障iag智能业务网关在链路层和网络层的高可靠性，确保业务的不中断运行。考虑到大学用户的技术性较强，在实际的应用的过程当中应当充分考虑到proxy的使用，对于proxy的防止，h3c公司针对教育系列交换机配合h3c公司的802.1x的客户端，一旦检测到用户pc机上存在两个活动的ip地址（不论是单网卡还是双网卡），教育系列系列交换机将会下发指令将该用户直接踢下线。1.3.3 应用控制网关模块插卡应用控制网关模块是全球唯一应用控制与行为监管模块。是业界第一款千兆高性能应用控制模块，可应用于h3c s7500e/s9500e/s12500系列交换机和sr6600系列路由器，创新性的将应用监控、审计与网络进行无缝融合。secblade acg能对网络中的p2p/im/voip带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的url过滤功能，进而全面了解网络应用模型和流量趋势，大大提升网络的业务控制能力，帮助用户优化其网络资源，为用户打造一个和谐、有序的网络环境。secblade acg模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。此方案中acg插卡功能特点如下：对p2p/im/网游/媒体流等协议和应用的能够识别分类并进行灵活控制；使nternet出口使用可视化；规范内部学生上网行为，提高带宽的使用效率。在校园网的应用当中ip地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的mac地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止mac地址盗用的功能，用户在更改mac地址后，教育系列交换机对于与绑定mac地址不相符的用户直接将下线，其下线功能是由教育系列交换机来实现的。1.3.4 无线控制器（ac）插卡无线控制器业务插卡是安徽易科技术有限公司(以下简称h3c公司)自主研发的系列无线控制器(ac，access controller)。具有大容量、高可靠性、业务类型丰富等特点，具有丰富的有线数据和无线数据的处理功能，集精细的用户控制管理、完善的rf管理及安全机制、快速漫游、超强的qos及ipv4&ipv6等多功能于一体，提供强大的wlan接入控制功能。配合h3c公司自主研发的fit ap，可以方便的部署于任何现有的二层网络或三层网络之中，控制器和ap通过ietf制定的capwap协议进行互联而无需针对现在有网络进行重新配置。h3c公司使用创新的基于认证的组网来提供网络服务，这种方法基于用户身份而非端口或设备，以便跨越整个网络实现移动性和安全性。当用户漫游网络时，通过wlan网络范围内无线控制器的信息交换，以实现在整个网络范围内执行一致的访问和安全策略。同时采用wpa/wpa2和802.1x认证结合的aes、tkip以及wep加密等功能增强了网络安全。此方案中ac插卡能够对802.11n设备提供统一管理，对接入用户提供portal认证和wapi认证。提供多ap间的智能负载分担与信道智能切换功能。平滑支持ipv6，满足校园网组网需求。1.3.5 入侵防御与检测secpath ips（intrusion prevention system）集成入侵防御与检测、病毒过滤、带宽管理和url过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、ddos等攻击和恶意行为，并对分布在网络中的各种p2p、im等非关键业务进行有效管理，实现对网络应用、网络基础设施和网络性能的全面保护；领先的多核架构及分布式搜索引擎，确保secpath ips在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延，保证用户业务的不间断正常运行；支持透明模式，即插即用，支持在线或ids旁路方式部署，融合了丰富的网络特性，可在mpls、802.1q、qinq、gre等各种复杂的网络环境中灵活组网；h3c专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到ips设备中，使用户的ips设备在漏洞被公布的同时立刻具备防御零时差攻击的能力；secpath ips是业界唯一集成漏洞库、专业病毒库、应用协议库的ips产品，配合h3c first（full inspection with rigorous state test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。u 强大的入侵抵御能力：secblade ips是业界唯一集成漏洞库、专业病毒库、应用协议库的ips模块。配合h3c first（full inspection with rigorous state test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。u 专业的病毒查杀：secblade ips集成卡巴斯基防病毒引擎和病毒库。采用第二代启发式代码分析、ichecker实时监控和独特的脚本病毒拦截等多种最尖端的反病毒技术，能实时查杀各种文件型、网络型和混合型病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。u 时差的应用保护：h3c专业安全团队密切跟踪全球知名安全组织和厂商发布的安全漏洞公告，通过准确的分析，快速生成保护操作系统、应用系统以及数据库漏洞的特征库；同时，通过部署于全球的蜜罐系统，实时掌握最新的攻击技术和趋势，以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并自动或手动地分发到secblade ips模块中，使用户的secblade ips模块快速具备防御零时差攻击的能力。u 网络基础设施保护：secblade ips具有强大的攻击防护和流量模型自学习能力，当攻击发生、或者短时间内大规模爆发的病毒导致网络流量激增时，能自动发现并阻断攻击和异常流量，以保护路由器、交换机、voip系统、dns服务器等网络基础设施免遭各种恶意攻击，保证关键业务的通畅。u 灵活的组网模式：透明模式，即插即用，支持在线或ids旁路方式部署；融合了丰富的网络特性，可在mpls、802.1q、qinq、gre等各种复杂的网络环境中灵活组网。u 高性能高可靠性：领先的多核架构及分布式搜索引擎，确保secblade ips在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延。ips模块通过嵌入到交换机中，可以有效降低单点故障，即使在secblade ips出现故障时也能保证数据业务的正常转发。除了在线部署，secblade ips模块还可以采用旁路部署的模式，实现ids入侵检测的功能。u 降低运营成本：直接在h3c s5800/核心交换机/ s9500e系列交换机中增加secblade ips模块，即可实现交换机应用层安全防护功能的扩展。通过与交换机共用管理平台，降低了管理难度。并且交换机的任何端口都可以作为ips端口使用，从而降低用户首次和后续扩容的投入成本。1.3.6 防病毒模块防病毒模块asm是应用于h3c secpath防火墙/msr路由器中的防病毒安全模块，具有查杀毒能力强、易部署、成本低、配置管理方便等特点。asm防病毒模块可以快速有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透，防御外部网络的蠕虫病毒、后门木马和垃圾邮件侵袭；采用面向对象的高稳定性设计和高应变型智能引擎，可以识别和处理未知病毒，降低网络风险；支持在线实时升级功能，能够实时升级病毒特征库及病毒引擎；支持对知名协议和文件的识别、处理，并且可以定制相应病毒防范策略。一体化的安全保护asm嵌入防火墙/路由器中，在不改变原组网结构的情况下，与防火墙/路由器配合完成查杀病毒的工作，为用户提供一体化的安全保护。先进的系统架构先进的h3c oaa开放应用架构，确保asm在各种情况下都不会影响防火墙/路由器的正常业务。独立的操作系统、cpu、内存和硬盘等计算资源，提供了高性能病毒查杀能力；动态的检测技术，有效规避了单点故障。全面病毒防御通过报文深度检查、识别应用层信息、协议命令入侵检测和阻断、蠕虫病毒防护以及先进的数据包验证机制，可以控制各种蠕虫网络攻击、后门木马和垃圾邮件扫描，并且阻断来自内部的数据攻击以及垃圾数据流的泛滥。完备防御模式asm支持“变种共性特征比对”技术，可以实现对各种未知病毒的防御，最大程度降低用户损失。支持对各类文件类型进行病毒防御，可以设置多种防范策略。强大日志审计可按照用户设置的最长时间进行滚动保存；支持syslog和mysql日志记录格式，提供日志实时备份模块，能够实现日志异地存储。提供各种日志功能、流量统计和分析功能、事件监控和统计功能、邮件告警功能。当户的邮件中含有病毒时，asm会把病毒信息清除后的邮件发送给收件人，并在邮件中标明该邮件感染过何种类型的病毒。高效的流引擎当用户访问网络时，防病毒功能实时检查传输流量，如果在流量中发现病毒，asm将主动断开与客户端的连接，防止病毒信息对用户环境造成破坏。友好的配置asm提供web和命令行访问方式，具有友好、灵活和直观的操作界面，降低管理人员的配置工作。1.4 安全管理组件职能1.4.1 imc智能管理中心平台随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人心，一套好的管理软件无疑对网络的精细化管理起到至关重要的作用。基于多年的积累和对用户网络的深入理解，h3c智能管理中心（intelligence management center，imc）平台（以下简称imc平台）为用户提供了实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅提供功能，更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理最佳的工具软件。对于设备数量较多、分布地域较广并且又相对较为集中的网络，imc平台提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。imc平台除了涵盖网络管理功能外，还是其他业务管理组件的承载平台，共同实现了管理的深入融合联动。其余软件均为imc平台的组件进行部署和安装。（在第九章校园管理）1.4.2 uba用户行为审计组件imc uba用户行为审计组件通过与多种网络设备共同组网，用来对终端用户的上网行为进行事后审计，追查用户的非法网络行为，满足相关部门对用户网络访问日志进行审计的硬性要求。uba用户行为审计组件提供nat1.0日志、flow1.0日志、netstream v5日志、dig日志的查询审计功能，网络管理员可以根据网络日志对上网用户的网络行为进行审计。全面的日志采集uba用户行为审计组件可支持多种网络日志的采集（包括nat1.0、flow1.0、netstream v5），对于不支持上述日志的设备，可以通过设备的镜像端口或tap分流器采集网络流量生成dig格式的日志。l 分布式部署uba用户行为审计组件采用分布式的体系结构，支持多点采集，统一web界面审计分析，可以同时采集多个设备的日志信息，为网络管理员监控网络提供了灵活有效的支持。l 强大的日志审计功能uba用户行为审计组件可根据用户需要，通过接入用户名、上网时间、用户访问网页的url、ftp操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计，并对审计结果提供灵活的排序、分组、保存等功能。网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些email、向外发送了哪些文件等信息均可通过日志审计得出结果，日志审计包括： 通用日志审计：审计内容包括接入用户名、用户上网起止时间、来源/目的ip地址、来源/目的端口、使用的协议及应用名。 web访问审计：审计内容包括接入用户名、用户上网起止时间、来源/目的ip地址、端口、用户访问的站点、用户访问的网页等。 文件传输审计：审计内容包括接入用户名、用户传输文件起止时间、来源/目的ip地址、端口、ftp用户名、传输文件名、传输方式（上传/下载）等。 邮件审计：审计内容包括接入用户名、邮件发送时间、来源/目的ip地址、发件人、收件人、邮件主题等。 地址转换审计：审计内容包括接入用户名、用户上网起止时间、来源/目的ip地址、来源/目的端口、使用的协议及应用名、nat转换后ip地址/端口等。图1-1 日志审计界面l 基于用户的行为审计结合ead端点准入解决方案，uba用户行为审计组件可高效地管理网络用户，建立详细的用户访问互联网的日志，提供行之有效的网络管理和用户行为跟踪审计策略，帮助管理员分析用户的上网行为。l 七层应用审计端口不固定的应用，如p2p等应通过报文应用层数据的特征进行识别。基于七层应用的识别和分类，uba可基于用户全面审计网络中的七层应用使用信息。组件已经将大部分常见的端口不固定的应用设定为组件预定义的应用，如：bt、dc、edonkey、gnutella、 kazaa、msn、qq、aim等。用户可根据需要，定义其它的应用识别。七层应用识别只对dig日志有效，对其他类型的日志无效。l 任务式审计uba用户行为审计组件提供基于任务的自动跟踪审计功能，可以根据接入用户名、用户访问网页的url等各种查询审计条件灵活制定审计任务。任务一旦制定，组件将自动跟踪审计当前时间段内满足查询条件的所有用户及日志信息。审计任务 包括：地址转换、web访问、文件传输、邮件、通用等多种类型。l 日志转储uba用户行为审计组件支持对海量日志进行转储。用户可以将敏感日志和由于数据库空间限制无法存储的日志定时导出到数据文件中进行异地保存，同时组件提供转储日志查询工具，用户可直接对转储日志进行查询操作。l 审计报表uba系统提供专业的报表，包括访问站点、会话数、应用分布、未知应用的topn报表，smtp、http、ftp的应用分析报表，每种报表都可以按照天、周等周期和图形、列表等形式输出。通过使用这些自带的报表，管理员可以非常清楚的了解当前用户对网络的使用情况。图1-2 用户访问站点topn日报表1.4.3 uam用户接入管理组件业界传统的网络管理、用户管理软件各自发展已经较为完善，网络管理系统关注于网络基础资源的管理，包括路由器、交换机、服务器等，而用户管理则关注于对当前正在使用网络基础资源的用户的管理，包括对用户身份的认证、对用户信息的组织管理等，但实际上网络和用户是有机融合的整体，需要统一集中管理。imc智能管理中心的平台组件实现了完善的网络设备管理功能，在此的基础上，imc智能管理中心用户管理组件将管理的范畴从网络设备延展到了网络用户的管理，通过网络设备管理和用户管理的深度融合和联动，在统一的平台上实现了用户、网络的集中管理。 集中化的设备资源和用户资源管理n 除对网络设备的统一管理外，imc也对用户基本信息进行集中维护，包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组；并提供用户附加信息管理功能，管理员可根据网络运营的习惯进行用户信息定制，如学校可以定制学号、年级等信息，企业可以定制部门、职务等信息。 设备和用户的统一分组管理n 支持设备和用户分组功能，通过对设备资源和用户进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离。n 接入业务服务和用户分组可灵活对应，使得特定分组用户才能配置对应的特定服务，便于管理员进行接入业务管理。 用户管理与网络设备管理相融合，用户管理操作更简单n 接入设备列表中可以直接看到用户相关信息，提高了操作员日常维护的效率。n 设备选定后可直接对其进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等。n 在线用户列表中提供接入设备查看入口，可查看当前在线用户所对应的接入设备的详细信息，比如，对应的基本信息、告警、性能状况等。n 网络设备管理和用户管理的全面融和，使得操作更友好，全面提升操作员操作体验。 支持多种接入及认证方式，适合多种接入组网场景及应用场景n 支持802.1x、vpn接入等多种认证接入方式。n 支持pap、chap、eap-md5、eap-tls、peap等多种身份验证方式，适应不同安全要求的应用场景。n 支持用户与设备ip地址、接入端口、vlan、用户ip地址和mac地址等硬件信息的绑定认证，增强用户认证的安全性，防止帐号盗用和非法接入。n 支持与windows域管理器、第三方邮件系统（必须支持ldap协议）的统一认证，避免用户记忆多个用户名和密码。n 支持终端准入控制（ead）解决方案，确保所有接入网络的用户终端符合企业的安全策略。 严格的权限控制手段，强化用户接入控制管理n 基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。n 可以控制用户的上网带宽（qos；802.1x认证支持）、限制用户同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。n 支持最大闲置时长限制。n 可以实现对用户acl、vlan的控制，限制用户对内部敏感服务器和外部非法网站的访问（802.1x认证支持）。n 可以限制用户ip地址分配策略，防止ip地址盗用和冲突。n 可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。n 可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。n 可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性。 详尽的用户监控，强化对终端用户的监视控制n imc用户管理组件提供强大的“黑名单”管理，可以将恶意猜测密码的用户加入黑名单，并可按mac、ip地址跟踪非法行为的来源。n 管理员可以实时监控在线用户，强制非法用户下线。n 支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等。n imc用户管理组件记录认证失败日志，便于方便定位用户无法认证通过的原因。 集中方便的接入业务用户管理，简化管理员维护操作n 基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封装于服务中，简化管理员的操作，保证网络管理模式的统一。n 接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用。n 接入用户可使用自助服务，帐号申请、查询、修改都通过自助服务页面完成，既提高效率，又减轻管理员的工作量。 灵活的业务及运行环境参数调整，适应不同的运行及应用环境n 系统参数配置，提供业务相关的常用参数信息配置功能。n 策略服务器参数配置，提供策略服务器及安全管理相关的参数信息配置功能。n 运行参数配置，提供系统运行环境相关的路径、数据库属性等基本信息的能。n 证书文件配置，提供证书认证配置信息功能。n 用户提示信息配置，提供给用户的相关提示信息配置功能。n 客户端自动运行任务配置，提供配置客户端认证后自动运行相关程序的配能。n 用户密码控制策略配置，提供配置用户密码的控制策略配置功能。 融合的接入设备管理，操作简单、管理方便接入设备配置与imc acl manager解决方案的协同，选定接入设备后，可直接为此设备进行acl配置；同时，在接入设备列表中，可查看其对应的acl部署信息，便于快速部署及开通业务接入业务。n 为接入设备提供查询设备明细信息的链接，可通过简单的鼠标点击看到接入设备的详细信息，比如对应的基本信息、告警、性能状况等。n 接入设备管理与拓扑管理的融合，拓扑中可以清晰的显示出接入设备，查看接入设备相关信息，并可通过鼠标点击方式，将此接入设备设置为非接入设备。 智能的广告推送，适应不同网络运营方需求n imc uam组件可以配合imc管理平台，针对不同用户身份/接入位置进行不同的广告推送业务，协助接入用户最快获取最需要的信息，从而可与第三方广告平台配合，适应不同网络运营方需求，达成广告平台、网络运营方以及接入用户的三赢。1.4.4 ead端点准入防御解决方案目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。h3c端点准入防御（ead，endpoint admission defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。对于要接入安全网络的用户，ead解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，ead对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，ead可以对用户终端运行情况和网络使用情况进行审计和监控。 严格的身份认证除基于用户名和密码的身份认证外，ead还支持身份与接入终端的mac地址、ip地址、所在vlan、接入设备ip、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。 完备的安全状态评估根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置、资产管理、软件分发、u盘外设管理、远程协助等；为了更好的满足客户的需求，ead客户端支持和瑞星、江民、金山、symantec、macafee、trend micro、ahn等国内外主流病毒厂商联动，支持和微软sms、landesk、bigfix等业界桌面管理产品的配合使用。 用户管理与网络设备管理的融合接入设备列表中可以直接看到用户相关信息，操作简单方便，提高了操作员日常维护的效率。 l 可针对选定的接入设备进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等。 l 可在在线用户列表中通过点击接入设备，直接查看当前在线用户所对应的接入设备的详细信息，比如对应的基本信息、告警、性能状况等。操作更友好，全面提升操作员的操作体验。 用户管理与网络拓扑管理的融合在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。 基于角色的网络授权在用户终端通过病毒、补丁等安全信息检查后，ead可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属vlan、acl访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。 全面的arp攻击防御ead解决方案通过arp网关地址自动下发、自动绑定的功能，使终端用户免受arp欺骗攻击的影响，同时提供了arp攻击报文过滤、arp异常流量检测等控制措施，杜绝恶意用户的arp攻击行为。 桌面资产管理ead解决方案实现了对终端资产全方位的监控和管理，可以对终端软硬件使用情况、变更情况进行监控，同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理，帮助客户更有效地管理企业的桌面资产。 u盘审计及外设管理ead解决方案可以对u盘和外设的访问过程进行监控，可以查看重要文件通过u盘拷贝时，有无存在不当使用行为。ead还提供了对u盘和其他外设的管理功能，可以对终端用户的各种外设进行控制，有效防止重要信息的泄密，而且在离线状态下依然生效。 扩展开放的解决方案ead解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。ead广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；ead与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范，易于互联互通。 灵活方便的部署方式ead方案部署灵活，维护方便。ead按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式；此外，ead还支持灵活的旧网改造方案和客户端静默安装等特性。1.4.5 cams计费管理组件网络早已融入到人们生活的方方面面，人们对网络的依赖性也日益增加。为了保护网络使用者的合法权益，也为了增加网络运营者的收益，需要对网络的使用进行收费。在实际生活中，需要进行计费管理的网络普遍存在，如：由运营商布设的商用网络，学校、小区宽带等园区网络，网吧等小型运营网络等，都是网络计费运营的典型例子。这些网络都有偿地提供服务，人们在获取网络资源的同时，还需要支付相应的费用。依托imc智能管理中心及uam用户接入管理组件，imc还提供了功能强大的cams计费管理组件。它可以稳定、高效地完成对网络接入用户的账务管理、计费管理等功能，满足各种网络可运营、可管理的需求。同时，它还提供丰富而开放的第三方接口，帮助管理员快速有效地与第三方系统进行对接。在imc平台可灵活扩展的基础上，cams计费管理组件还可以与ead终端准入控制组件以及uba用户行为审计组件进行很好的融合，为管理员提供从认证、计费到控制、审计全流程的具有强大竞争力的用户终端管理解决方案。（将在第7章详细介绍）1.4.6 apm应用管理组件随着web2.0、云计算、数据中心等信息技术的不断发展，企业的各种业务已经越来越紧密地与internet结合在一起，由服务器、数据库、中间件等组成的应用信息系统也变得越来越复杂，对it技术人员的要求变得越来越高，各种突发故障排除起来也越来越困难。因此，企业急需一套经济实用、易于部署、功能全面、扩展灵活的it运维管理解决方案，满足其不同层次的应用管理需求。imc应用管理组件（imc applications manager，imc apm）是为了帮助企业各种业务的监控管理需求而提供的应用监控管理解决方案，它提供了强大的系统与应用监控管理能力，可以对不同的业务系统、应用和网络服务（如服务器、操作系统、数据库、web服务、中间件、邮件、其他关键应用等），进行远程监控和管理，从而充分满足金融、电力、政府、烟草、大企业等用户对各种关键业务和数据中心的监控管理需求。imc apm采用易于部署的web架构，并提供友好的安装向导，即使是不熟悉相关技术的维护人员，也可以在半小时内安装完毕，并初步搭建起对企业各种应用提供监控的管理平台。imc apm采用了agentless（无监控代理）的最新技术，不需要在被监控的服务器上安装监控代理，就可以通过telnet、命令行等方式，对关键应用或资源进行远程监控，避免安装监控代理后对服务器造成的影响。apm为用户的整个业务基础架构提供各种视图，如google视图等，可以从多个角度、多个层次，更清晰地监视各种应用程序和服务器的运行情况。imc apm同时还提供自定义的监视器功能，允许用户对特殊应用进行定制化监控，满足用户的个性化需求。imc apm是一款基于web的综合应用监控解决方案。它具有友好的中文图形化界面，给用户提供一个简单易用的应用管理控制台，同时具备智能化的中文安装及配