园区边界安全部署.ppt

日期 2007 07 杭州华三通信技术有限公司 H3C安全部署最佳部署解决方案 目录 企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署 企业网整体安全部署 Internet WAN 端点准入防御 汇聚交换机安全 核心交换机集成安全 数据中心安全 外部服务器安全 安全管理中心 园区边界出口安全 专网分支机构安全 Internet分支机构安全 PrivateWAN 端点准入防御EAD 汇聚交换机集成安全设备防攻击 SSH SFTP 基于用户级别的管理 DHCPoption82安全特性 DHCPsnooping防止IP仿冒 DHCPsnooping防止ARP仿冒 Portsecurity实现MAC地址flooding防御 802 1x认证 STP边缘端口和bpdu保护 组播源抑制 端口环回检测 ARP限速汇聚交换机L3 板和Xlog配合对园区进行流量分析 核心交换机集成安全设备防攻击 SSH SFTP 基于用户级别的管理 端口镜像 端口流量抑制 路由协议验证 SecBladeFW 数据中心安全ACL包过滤 ASPF状态防火墙 攻击防范 DoS DDoS 异常流量监控 深度检测 L4 L7层的安全 病毒防范 木马攻击防范 BT等业务管理 防火墙NSM板对数据中心流量进行分析及安全监控 外部服务器安全DMZ区 IPS深度检测防御 设备防攻击 SSH SFTP 管理中心安全SecCenter安全事件管理中心 XLOG日志中心 园区边界出口安全ACL访问控制 ASPF状态防火墙 防DDOS攻击 邮件内容过滤 拥塞管理 安全日志防火墙NSM板对园区出口进行流量分析及安全监控 专网分支机构安全L2TP GRE IPSec IKE L2TP GREOverIPSec IPSecOverL2TP GRE Internet分支机构安全L2TP GRE IPSec IKE L2TP GREOverIPSec IPSecOverL2TP GRE 企业网整体安全 Internet WAN PrivateWAN H3C园区安全最佳部署 对应解决方案 局域网安全 企业网安全 数据中心安全 终端安全 远程用户安全 分支机构安全 园区出口安全 安全局域网解决方案 数据中心安全解决方案 EAD解决方案 综合VPN接入解决方案 综合VPN接入解决方案 边界安全解决方案 安全管理 智能安全管理解决方案 虚拟安全服务 综合防病毒 目录 企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署 不区分安全区域的园区网 不区分信任域的园区网网络中的所有用户共在一个开放的网络环境中每个用户的接入控制单独完成内部 外部服务器 内网用户等不同安全级别的区域暴露在Internet等非信任区域下 内部服务器 外部服务器 内网用户 管理员 Internet WAN VPN 安全区域划分 安全区域划分方法 横向划分 将物理位置相近 并具有相同网络安全策略的安全资产划分进入同一个安全区域 安全区域划分 安全区域划分方法 纵向划分 根据网络业务和用户访问权限对具有相同访问需求的用户划分进入同一安全区域 目录 企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署 在园区网的设计中按照区域的划分会产生多个边界网络边界网络的定义是园区网连接到广域网 Internet等外部网络的边缘区域通常对于园区的边界有以下几种定义广域网出口公共服务器区域分支结构VPN远程用户VPNPSTN拨号用户Internet出口 园区网络边界定义 单设备园区出口边界安全 园区网络 Internet 出口路由器 可选 公共服务器 路由器 安全网关 VPN网关 园区边界 典型的单设备园区网出口仅有Internet一个边界出口与外部网络互连有一个公共服务器区对外部提供WWW E MAIL等服务远程用户 包括移动接入用户和小型分支节点 通过Internet建立VPN隧道接入到园区网络内边界安全设计要求设备成本低 通常将出口路由器和VPN安全网关 防火墙集成在一台出口设备上通过在路由器上配置NAM板实现出口流量监控 设备MSR50 30 20AR28 46SecPath系列 单设备园区出口边界安全 园区网络 Internet 出口路由器 可选 公共服务器 路由器 安全网关 VPN网关 园区边界 设备AR系列MSR系列SecPathF100 VPN网关IPSecVPNGREoverIPSecL2TPoverIPSecSSLVPN Internet出口路由器L2TP GRE IPSecNATACL访问控制ASPF深度业务监控防病毒 防DoS攻击SSH异常流量监控流量分析监控 园区网与外界网络互连出口包括Internet WAN几部分公共服务器对外部提供WWW E MAIL等服务移动用户可以通过Internet建立VPN接入园区网远程分支机构可以通过Internet建立VPN接入园区网 也可以通过私有的WAN网络接入园区网部署专业的防火墙 VPN和IPS等设备增加边界安全性通过在防火墙上配置NAM板实现出口流量监控 专业安全设备园区出口边界安全 Internet 公共服务器 防火墙 园区边界 VPN网关 出口路由器 分支机构VPN网关 移动用户 分支机构 IPS 园区网 WAN 专业安全设备园区出口边界安全 总部VPN网关SecPathV100 SSecPathV1000 A分支机构VPN网关SecPathV100 S防火墙SecPathF1000 SSecPathF1000 AIPSTippingPoint 50TippingPoint 200E出口路由器MSR50 30 20AR28 46流量监控NSMNAM Internet 公共服务器 防火墙 园区边界 VPN网关 出口路由器 分支机构VPN网关 移动用户 分支机构 IPS 园区网 WAN 专业安全设备园区出口边界安全部署 Internet 公共服务器 防火墙 园区边界 VPN网关 出口路由器 分支机构VPN网关 分支机构 IPS Internet WAN 园区网 移动用户 VPN网关IPSecVPNGREoverIPSecL2TPoverIPSecSSLVPN 防火墙ACL访问控制ASFP状态检测防DoS攻击DMZ区NAT IPS深度检测防御防病毒攻击防DoS攻击防蠕虫病毒防木马病毒 出口路由器L2TP GRE IPSecNATACL访问控制ASPF深度业务监控防病毒 防DoS攻击SSH异常流量监控流量分析监控 园区网与外界网络互连出口包括Internet PSTN和WAN几部分公共服务器对外部提供WWW E MAIL等服务移动用户可以通过Internet建立VPN接入园区网远程分支机构可以通过Internet建立VPN接入园区网 也可以通过私有的WAN网络接入园区网部署专业的防火墙 VPN和IPS等设备增加边界安全性园区出口部署双VPN网关实现负载均衡和备份 部署双防火墙实现状态热备 提供高可靠性通过在防火墙 路由器上配置NSM NAM板实现出口流量监控 Internet 公共服务器 防火墙 园区边界 Internet出口路由器 专网WAN出口路由器 远程分支机构 专网分支机构 VPN网关 IPS IPS Internet WAN 移动用户 园区网 专业安全设备园区出口边界安全部署 总部VPN网关SecPathV1000 A分支机构VPN网关SecPathV100 S防火墙SecPathF1800 ASecPathF1000 AIPSTippingPoint 400TippingPoint 1200ETippingPoint 2400E出口路由器MSR50 30 20AR28 46流量监控NSMNAM Internet 公共服务器 防火墙 园区边界 Internet出口路由器 专网WAN出口路由器 远程分支机构 专网分支机构 VPN网关 IPS IPS Internet WAN 移动用户 园区网 专业安全设备园区出口边界安全部署 Internet 公共服务器 防火墙 Internet出口路由器 专网WAN出口路由器 远程分支机构 专网分支机构 VPN网关 IPS IPS Internet WAN 移动用户 园区网 Internet出口路由器ACL访问控制路由协议认证设备访问安全SSH 防火墙ACL访问控制ASFP状态检测防DoS攻击DMZ区状态热备NAT IPS深度检测防御防病毒攻击防DoS攻击防蠕虫病毒防木马病毒 VPN网关VRRP IPSecGREoverIPSEC VRRPL2TPoverIPSec VRRP WAN出口路由器L2TP GRE IPSecNATACL访问控制ASPF深度业务监控防病毒 防DoS攻击SSH异常流量监控流量分析监控 专业安全设备园区出口边界安全部署 园区网与外界网络互连出口包括Internet PSTN和WAN几部分公共服务器对外部提供WWW E MAIL等服务移动用户可以通过Internet建立VPN接入园区网远程分支机构可以通过Internet建立VPN接入园区网 也可以通过私有的WAN网络接入园区网通过一台设备支持防火墙 VPN功能 降低组网成本园区出口部署高可靠方案实现负载分担和冗余备份通过在防火墙 路由器上配置NSM NAM板实现出口流量监控 园区网 Internet 公共服务器 防火墙 VPN NAT Internet出口路由器 专网WAN出口路由器 远程分支机构 远程拨号用户 专网分支机构 IPS IPS Internet WAN 移动用户 园区多出口网关集成边界安全部署 总部防火墙 VPN网关SecPathF100 F1000分支机构VPN网关SecPathV100 SIPSTippingPoint 400TippingPoint 1200ETippingPoint 2400E出口路由器MSR50 30 20AR28 46流量监控NSMNAM 园区网 Internet 公共服务器 防火墙 VPN NAT Internet出口路由器 专网WAN出口路由器 远程分支机构 远程拨号用户 专网分支机构 IPS IPS Internet WAN 移动用户 园区多出口网关集成边界安全部署 园区网 Internet 公共服务器 防火墙 VPN NAT Internet出口路由器 专网WAN出口路由器 远程分支机构 远程拨号用户 专网分支机构 IPS IPS Internet WAN 移动用户 园区网 Internet出口路由器基本ACL访问控制路由协议认证设备访问安全SSH VPN网关 防火墙GREoverIPSEC VRRP实现安全网关冗余备份 ACL访问控制ASFP状态检测防DoS攻击DMZ区 IPS深度检测防御防病毒攻击防DoS攻击防蠕虫病毒防木马病毒 WAN出口路由器L2TP GRE IPSecNATACL访问控制ASPF深度业务监控防病毒 防DoS攻击SSH异常流量监控流量分析监控 园区多出口网关集成边界安全部署 目录 企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署 园区出口NSM NAM流量分析模块应用场景 Internet FE GE 路由器 防火墙 园区 边界 外网 NSM NAM 通过路由器或防火墙的流量被镜像到NSM NAM板上 NSM板对通过路由器或防火墙的流量进行分析并输出分析结果对园区出口流量进行监控对原始镜像数据进行分析 可提供2 7层分析 识别BT等应用 园区出口NSM NAM流量分析模块应用场景 Internet 路由器 防火墙 使能Netstream 使能Netflow Sflow 友商交换机 FE GE 园区 边界 外网 Netstream数据流 Netflow数据流 h3c交换机 NSM NAM 园区网交换机使能Netstream Netflow 交换机生成的各种日志数据被指定发送到NSM板进行分析并输出结果可对园区内交换机的三层转发流量进行分析此方式流量分析数据源为Netflow Netstream 主要提供2 4层流量分析 NSM NAM流量分析展示 网络负载流量图 网络协议统计图 NSM可提供对网络协议的使用情况统计 并根据统计信息来发现网络错误配置 如上图 显示结果表明192 168 0 65发送了一定量的DNS报文 查看ReceivedOnly链接 结果表明192 168 0 65没有接受到DNS报文 192 168 0 65的发送的DNS字节数为590字节 接收的DNS字节数为0 说明用户A无法正常使用DNS服务 排除DNS服务器本身的问题后 网络管理员确定用户A的DNS服务器地址配置错误 在企业网中 各种网络异常情况发生在各个时间段中 网络管理员可以实时查看网络流量来定位分析各种异常情况 也需要通过查看历史数据来定位分析问题 同时 历史数据可以直观的反映网络使用情况的趋势和各种网络应用的分布 有助于网络管理员对网络进行综合评价 NSM NAM流量分析展示 各种P2P协议所占流量的百分比 各种P2P协议的比例图和历史信息 按照Gnutella流量排序 按照BT流量排序 网络管理员希望发现和监控网络中的P2P流量 以便在适当的时候采取必要的措施 NSM可识别应用层流量并显示出各种P2P协议占用网络流量的百分比 各种P2P协议的比例图和历史信息 并按照应用流量对主机进行排序 还可以通过钻取功能定位出相应主机的详细信息 主机详细信息 目录 企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署 ASM概述 ASM防病毒卡 网络防病毒尖兵 独立计算和处理能力业界领先的防病毒引擎 病毒库实时更新专利技术实现对未知病毒防御图形化界面管理 配置灵活强大日志审计 告警功能高效的流引擎 优异的流处理能力灵活升级模式 保障系统高度安全 与防病毒网关相比的优势 防病毒卡是防火墙或路由器的一个模块 性能高 可靠性高 具备断电保护 可以实现冗余备份 负荷分担 并可以对VPN流量进行查杀 ASM在线检测病毒top6 ASM检测含病毒网站top6 ASM典型组网 ASM防病毒卡 部署在互联网出口 网关设备 网关设备 分支机构 公司总部 公司总部 性能高 运行可靠 可以实现负荷分担和线路备份分支机构 接入灵活 使用方便 成本低 适于VPN方式接入总部网络 ASM防病毒模块 支持设备型号 SecPathF100 MSecPathF100 ASecPathF1000 SSecPathF1000 AMSR30系列MSR50系列 目录 企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署 Seccenter安全事件管理系统 初始事件 标准化 规则过滤 场景匹配 支持近100多家主流厂家设备的管理 可支持多厂家设备组网支持对防火墙 IDS IPS UTM Anti Virus Anti Spam 路由器 交换机 Unix Linux Windows等各类IT资源的安全事件进行管理支持强大的信息统计分析和过滤能力 按网络中各种应用场景将这些信息分类统计并排序输出 提供了丰富的报表和报告 并支持数据保存及审计功能 Seccenter的部署 Internet Seccenter 支持近100多家主流厂家设备 防火墙 IPS 路由器 安全事件实时监视功能展示 网络安全信息仪表盘Dashboard是SecCenterA1000的主监视界面 可集中显示系统中最常用的监视画面 Dashboard的监视内容可定制 可以在系统预定义的监视器 Monitor 和报告 Report 中任意选择 70种预定义监视器 近千种预定义报告 安全分析中心的视图 Views 功能可