销售指导H3C内网控制解决方案V.doc

内网控制解决方案销售指导书H3C安全产品部2008-02-21 一、方案解决问题通过在内部网络部署H3C内网控制解决方案，可以帮助用户解决如下问题：1、 通过控制与预防相结合的手段，彻底解决内网病毒泛滥问题；2、 拒绝非法用户接入，控制非授权访问，及时阻断内部用户的非法行为，并通过安全联动等手段，制止攻击来源3、 通过安全管理中心对内网安全事件的收集、过滤和智能分析，下发对应的安全策略，并自动生成审计报告，对内网威胁追根溯源，杜绝安全事故的屡禁不止，实现内网真正可控；4、 通过对不同厂家、不同设备安全事件的收集、分析和管理，对H3C网络、安全设备和终端软件的统一配置，全面实时掌握内网安全状况。二、解决方案描述1、方案组成H3C内网控制解决方案由安全管理平台、安全防护设备和终端软件组成。2、工作原理 病毒预防与控制通过终端软件对终端的补丁、病毒库升级状态进行检查，确保每一个终端健康接入，预防病毒感染；防火墙进行安全域分割，最小化可能的病毒扩散范围；防火墙/IPS对内网数据流进行监控，根据特征识别病毒，并且通过与网络设备和终端软件的联动，直接控制病毒爆发点。 用户控制与联动：1) 终端软件进行身份认证，杜绝非法用户接入。2) 终端软件收集终端用户的安全状态，上报给安全管理平台，对用户终端安全状态进行检查，拒绝不符合安全策略的用户登陆。3) 防火墙、IPS对内网数据流进行监控，及时阻断攻击的同时，将安全事件上报安全管理平台。4) SecCenter收集、分析后，通知iMC，5) iMC向网络、安全设备和终端软件统一下发安全管理策略，精确控制攻击源头。 威胁响应与追溯SecCenter采集网络设备、安全设备和服务器的安全日志，结合H3C EAD客户端上报的用户上网过程、安全状态、病毒查杀事件，进行统一分析，实时输出审计报告。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源。同时，安全管理员可以按照法律法规（如SOX法案）和标准中的规定，定制相应的审计报告。 统一管理与防御基于先进的深度挖掘及分析技术，SecCenter能对H3C上百个厂商的各种类型设备和部分业界主流网络和安全产品进行管理，通过对海量信息的采集、分析、关联、汇聚和统一处理，协助管理员实时监控内网安全状况，及时发现安全隐患。三、解决方案拓展要素1、卖点 1: 统一管理：安全管理中心可以对100多个厂家的上千种H3C的各种类型设备和业界主流网络和安全产品的日志信息进行收集、分析和处理。智能网管中心可以对H3C的网络、安全设备、终端安全软件进行统一配置，联动下发安全策略。 2: 安全和网络二者有机融合：SecBlade插卡将防火墙和IPS等安全设备直接集成在交换机插卡上，全面过滤所有经过交换机的流量；防火墙/IPS与终端软件和交换机联动，协同保障内网安全；安全管理平台统一管理安全和网络设备。 3: 点、线、面立体防御：终端安全软件进行用户身份认证和安全状态检验；防火墙/IPS阻断安全威胁，联动网络设备和终端软件，上报安全事件；安全管理平台汇总、分析整网安全事件，统一下发安全策略。 4: 四方联动：以SecCenter为核心，通过安全设备、网络设备和终端软件的相互联动(安全设备发现攻击行为，联动网络设备和终端软件对攻击源进行处理；终端软件发现用户的威胁行为，联动防火墙、IPS切断用户对网络的访问)，将网络内部安全威胁抑制在萌芽状态，变传统的被动防范为主动预防。2、竞争分析 Cisco 无中文界面 没有IPS与终端安全软件联动的方案 按需定制开发能力差 Juniper 无中文界面 无法与交换机联动 没有IPS与终端安全软件联动的方案 按需定制开发能力差 无本地化特征库 天融信 无法与网络设备联动 无法与终端软件联动 没有插卡系列：没有安全插卡，无法与网络设备无逢融合四、典型案例 办公区、炼铁、炼钢、H型钢、中心化验室电厂、棒材厂、码头、带钢厂、120转炉高线厂SecBladeVPN网关H3C IPSSecPath防火墙EAD终端控制软件EAD安全策略管理中心网管中心ERP服务器区100M 双绞线100M单模1000M双绞线1000M单模网通电信日照钢铁集团内网安全采用了H3C 防火墙、IPS、SecBlade插卡和EAD。SecBl