園區(qū)邊界安全部署

1、日期：2007.07杭州華三通信技術(shù)有限公司H3C安全部署最佳部署解決方案目錄企業(yè)整體安全部署園區(qū)邊界之安全分區(qū)園區(qū)邊界之安全網(wǎng)關(guān)部署園區(qū)邊界之流量分析部署園區(qū)邊界之病毒防護(hù)部署園區(qū)邊界之日志管理部署企業(yè)網(wǎng)整體安全部署Internet/WAN 端點(diǎn)準(zhǔn)入防御 匯聚交換機(jī)安全 核心交換機(jī)集成安全 數(shù)據(jù)中心安全 外部服務(wù)器安全 安全管理中心 園區(qū)邊界出口安全 專網(wǎng)分支機(jī)構(gòu)安全 Internet分支機(jī)構(gòu)安全 Private WAN 端點(diǎn)準(zhǔn)入防御EAD 匯聚交換機(jī)集成安全設(shè)備防攻擊、SSH、SFTP、基于用戶級別的管理、DHCP option 82安全特性、DHCP snooping防止IP仿冒、DHC

2、P snooping防止ARP仿冒、Port security 實(shí)現(xiàn)MAC地址 flooding防御、802.1x認(rèn)證、STP邊緣端口和bpdu保護(hù)、組播源抑制、端口環(huán)回檢測、ARP限速 匯聚交換機(jī)L3板和Xlog配合對園區(qū)進(jìn)行流量分析 核心交換機(jī)集成安全設(shè)備防攻擊、SSH、SFTP、基于用戶級別的管理、端口鏡像、端口流量抑制、路由協(xié)議驗(yàn)證、SecBlade FW 數(shù)據(jù)中心安全ACL包過濾、ASPF狀態(tài)防火墻、攻擊防范（DoS、DDoS）、異常流量監(jiān)控、深度檢測、L4-L7層的安全、病毒防范、木馬攻擊防范、BT等業(yè)務(wù)管理、防火墻NSM板對數(shù)據(jù)中心流量進(jìn)行分析及安全監(jiān)控 外部服務(wù)器安全DMZ區(qū)、

3、IPS深度檢測防御、設(shè)備防攻擊、SSH、SFTP 管理中心安全SecCenter安全事件管理中心， XLOG日志中心 園區(qū)邊界出口安全ACL訪問控制、ASPF狀態(tài)防火墻、防DDOS攻擊、郵件內(nèi)容過濾、擁塞管理、安全日志 防火墻NSM板對園區(qū)出口進(jìn)行流量分析及安全監(jiān)控 專網(wǎng)分支機(jī)構(gòu)安全L2TP、GRE、IPSec/IKE、L2TP/GRE Over IPSec、IPSec Over L2TP/GRE Internet分支機(jī)構(gòu)安全L2TP、GRE、IPSec/IKE、L2TP/GRE Over IPSec、IPSec Over L2TP/GRE 企業(yè)網(wǎng)整體安全I(xiàn)nternet/WANPrivate

4、 WAN H3C園區(qū)安全最佳部署對應(yīng)解決方案局域網(wǎng)安全企業(yè)網(wǎng)安全數(shù)據(jù)中心安全終端安全遠(yuǎn)程用戶安全分支機(jī)構(gòu)安全園區(qū)出口安全安全局域網(wǎng)解決方案數(shù)據(jù)中心安全解決方案EAD解決方案綜合VPN接入解決方案綜合VPN接入解決方案邊界安全解決方案安全管理智能安全管理解決方案虛擬安全服務(wù)/綜合防病毒目錄企業(yè)整體安全部署園區(qū)邊界之安全分區(qū)園區(qū)邊界之安全網(wǎng)關(guān)部署園區(qū)邊界之流量分析部署園區(qū)邊界之病毒防護(hù)部署園區(qū)邊界之日志管理部署不區(qū)分安全區(qū)域的園區(qū)網(wǎng)不區(qū)分信任域的園區(qū)網(wǎng)網(wǎng)絡(luò)中的所有用戶共在一個(gè)開放的網(wǎng)絡(luò)環(huán)境中每個(gè)用戶的接入控制單獨(dú)完成內(nèi)部、外部服務(wù)器，內(nèi)網(wǎng)用戶等不同安全級別的區(qū)域暴露在Internet等非信任區(qū)域下

5、內(nèi)部服務(wù)器外部服務(wù)器內(nèi)網(wǎng)用戶管理員InternetWAN/VPN安全區(qū)域劃分安全區(qū)域劃分方法：橫向劃分：將物理位置相近，并具有相同網(wǎng)絡(luò)安全策略的安全資產(chǎn)劃分進(jìn)入同一個(gè)安全區(qū)域。安全區(qū)域劃分 安全區(qū)域劃分方法： 縱向劃分：根據(jù)網(wǎng)絡(luò)業(yè)務(wù)和用戶訪問權(quán)限對具有相同訪問需求的用戶劃分進(jìn)入同 一安全區(qū)域。目錄企業(yè)整體安全部署園區(qū)邊界之安全分區(qū)園區(qū)邊界之安全網(wǎng)關(guān)部署園區(qū)邊界之流量分析部署園區(qū)邊界之病毒防護(hù)部署園區(qū)邊界之日志管理部署在園區(qū)網(wǎng)的設(shè)計(jì)中按照區(qū)域的劃分會產(chǎn)生多個(gè)邊界網(wǎng)絡(luò)邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/Internet等外部網(wǎng)絡(luò)的邊緣區(qū)域通常對于園區(qū)的邊界有以下幾種定義廣域網(wǎng)出口公共服務(wù)器區(qū)域分支

6、結(jié)構(gòu)VPN遠(yuǎn)程用戶VPNPSTN撥號用戶Internet出口園區(qū)網(wǎng)絡(luò)邊界定義單設(shè)備園區(qū)出口邊界安全園區(qū)網(wǎng)絡(luò)Internet出口路由器(可選)公共服務(wù)器路由器/安全網(wǎng)關(guān)/VPN網(wǎng)關(guān)園區(qū)邊界設(shè)備MSR50/30/20AR28/46SecPath系列單設(shè)備園區(qū)出口邊界安全園區(qū)網(wǎng)絡(luò)Internet出口路由器(可選)公共服務(wù)器路由器/安全網(wǎng)關(guān)/VPN網(wǎng)關(guān)園區(qū)邊界設(shè)備AR系列MSR系列SecPathF100VPN網(wǎng)關(guān)IPSec VPNGRE over IPSecL2TP over IPSecSSL VPNInternet出口路由器L2TP/GRE/IPSecNATACL訪問控制ASPF深度業(yè)務(wù)監(jiān)控防病毒/

7、防DoS攻擊SSH異常流量監(jiān)控流量分析監(jiān)控專業(yè)安全設(shè)備園區(qū)出口邊界安全I(xiàn)nternet公共服務(wù)器防火墻園區(qū)邊界VPN網(wǎng)關(guān)出口路由器分支機(jī)構(gòu)VPN網(wǎng)關(guān)移動用戶分支機(jī)構(gòu)IPS園區(qū)網(wǎng)WAN專業(yè)安全設(shè)備園區(qū)出口邊界安全總部VPN網(wǎng)關(guān)SecPath V100-SSecPath V1000-A分支機(jī)構(gòu)VPN網(wǎng)關(guān)SecPath V100-S防火墻SecPath F1000-SSecPath F1000-AIPSTippingPoint-50TippingPoint-200E出口路由器MSR50/30/20AR28/46 流量監(jiān)控NSMNAMInternet公共服務(wù)器防火墻園區(qū)邊界VPN網(wǎng)關(guān)出口路由器分支機(jī)構(gòu)

8、VPN網(wǎng)關(guān)移動用戶分支機(jī)構(gòu)IPS園區(qū)網(wǎng)WAN專業(yè)安全設(shè)備園區(qū)出口邊界安全部署Internet公共服務(wù)器防火墻園區(qū)邊界VPN網(wǎng)關(guān)出口路由器分支機(jī)構(gòu)VPN網(wǎng)關(guān)分支機(jī)構(gòu)IPSInternet/WAN園區(qū)網(wǎng)移動用戶VPN網(wǎng)關(guān)IPSec VPNGRE over IPSecL2TP over IPSecSSL VPN防火墻ACL訪問控制ASFP狀態(tài)檢測防DoS攻擊DMZ區(qū)NATIPS深度檢測防御防病毒攻擊防DoS攻擊防蠕蟲病毒防木馬病毒出口路由器L2TP/GRE/IPSecNATACL訪問控制ASPF深度業(yè)務(wù)監(jiān)控防病毒/防DoS攻擊SSH異常流量監(jiān)控流量分析監(jiān)控Internet公共服務(wù)器防火墻園區(qū)邊界In

9、ternet出口路由器專網(wǎng)WAN出口路由器遠(yuǎn)程分支機(jī)構(gòu)專網(wǎng)分支機(jī)構(gòu)VPN網(wǎng)關(guān)IPSIPSInternet/WAN移動用戶園區(qū)網(wǎng)專業(yè)安全設(shè)備園區(qū)出口邊界安全部署總部VPN網(wǎng)關(guān)SecPath V1000-A分支機(jī)構(gòu)VPN網(wǎng)關(guān)SecPath V100-S防火墻SecPath F1800-ASecPath F1000-AIPSTippingPoint-400TippingPoint-1200ETippingPoint-2400E出口路由器MSR50/30/20AR28/46流量監(jiān)控NSMNAMInternet公共服務(wù)器防火墻園區(qū)邊界Internet出口路由器專網(wǎng)WAN出口路由器遠(yuǎn)程分支機(jī)構(gòu)專網(wǎng)分支機(jī)構(gòu)

10、VPN網(wǎng)關(guān)IPSIPSInternet/WAN移動用戶園區(qū)網(wǎng)專業(yè)安全設(shè)備園區(qū)出口邊界安全部署Internet公共服務(wù)器防火墻Internet出口路由器專網(wǎng)WAN出口路由器遠(yuǎn)程分支機(jī)構(gòu)專網(wǎng)分支機(jī)構(gòu)VPN網(wǎng)關(guān)IPSIPSInternet/WAN移動用戶園區(qū)網(wǎng)Internet出口路由器ACL訪問控制路由協(xié)議認(rèn)證設(shè)備訪問安全SSH防火墻ACL訪問控制ASFP狀態(tài)檢測防DoS攻擊DMZ區(qū)狀態(tài)熱備NATIPS深度檢測防御防病毒攻擊防DoS攻擊防蠕蟲病毒防木馬病毒VPN網(wǎng)關(guān)VRRP+ IPSecGREoverIPSEC+VRRPL2TP over IPSec+VRRPWAN出口路由器L2TP/GRE/IPS

11、ecNATACL訪問控制ASPF深度業(yè)務(wù)監(jiān)控防病毒/防DoS攻擊SSH異常流量監(jiān)控流量分析監(jiān)控專業(yè)安全設(shè)備園區(qū)出口邊界安全部署園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInternet出口路由器專網(wǎng)WAN出口路由器遠(yuǎn)程分支機(jī)構(gòu)遠(yuǎn)程撥號用戶專網(wǎng)分支機(jī)構(gòu)IPSIPSInternet/WAN移動用戶園區(qū)多出口網(wǎng)關(guān)集成邊界安全部署總部防火墻 /VPN網(wǎng)關(guān)SecPath F100/F1000分支機(jī)構(gòu)VPN網(wǎng)關(guān)SecPath V100-SIPSTippingPoint-400TippingPoint-1200ETippingPoint-2400E出口路由器MSR50/30/20AR28/46流

12、量監(jiān)控NSMNAM園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInternet出口路由器專網(wǎng)WAN出口路由器遠(yuǎn)程分支機(jī)構(gòu)遠(yuǎn)程撥號用戶專網(wǎng)分支機(jī)構(gòu)IPSIPSInternet/WAN移動用戶園區(qū)多出口網(wǎng)關(guān)集成邊界安全部署園區(qū)網(wǎng)Internet公共服務(wù)器防火墻/VPN/NATInternet出口路由器專網(wǎng)WAN出口路由器遠(yuǎn)程分支機(jī)構(gòu)遠(yuǎn)程撥號用戶專網(wǎng)分支機(jī)構(gòu)IPSIPSInternet/WAN移動用戶園區(qū)網(wǎng)Internet出口路由器基本ACL訪問控制路由協(xié)議認(rèn)證設(shè)備訪問安全SSHVPN網(wǎng)關(guān)&防火墻GREoverIPSEC+VRRP實(shí)現(xiàn)安全網(wǎng)關(guān)冗余備份。ACL訪問控制ASFP狀態(tài)檢測防DoS

13、攻擊DMZ區(qū)IPS深度檢測防御防病毒攻擊防DoS攻擊防蠕蟲病毒防木馬病毒W(wǎng)AN出口路由器L2TP/GRE/IPSecNATACL訪問控制ASPF深度業(yè)務(wù)監(jiān)控防病毒/防DoS攻擊SSH異常流量監(jiān)控流量分析監(jiān)控園區(qū)多出口網(wǎng)關(guān)集成邊界安全部署目錄企業(yè)整體安全部署園區(qū)邊界之安全分區(qū)園區(qū)邊界之安全網(wǎng)關(guān)部署園區(qū)邊界之流量分析部署園區(qū)邊界之病毒防護(hù)部署園區(qū)邊界之日志管理部署園區(qū)出口NSM/NAM流量分析模塊應(yīng)用場景InternetFE/GE路由器/防火墻園區(qū)邊界外網(wǎng)NSM/NAM通過路由器或防火墻的流量被鏡像到NSM/NAM板上，NSM板對通過路由器或防火墻的流量進(jìn)行分析并輸出分析結(jié)果對園區(qū)出口流量進(jìn)行監(jiān)控

14、對原始鏡像數(shù)據(jù)進(jìn)行分析，可提供2-7層分析，識別BT等應(yīng)用。園區(qū)出口NSM/NAM流量分析模塊應(yīng)用場景Internet路由器/防火墻使能Netstream使能Netflow/Sflow友商交換機(jī)FE/GE園區(qū)邊界外網(wǎng)Netstream數(shù)據(jù)流Netflow數(shù)據(jù)流h3c交換機(jī)NSM/NAM園區(qū)網(wǎng)交換機(jī)使能Netstream、Netflow，交換機(jī)生成的各種日志數(shù)據(jù)被指定發(fā)送到NSM板進(jìn)行分析并輸出結(jié)果可對園區(qū)內(nèi)交換機(jī)的三層轉(zhuǎn)發(fā)流量進(jìn)行分析此方式流量分析數(shù)據(jù)源為Netflow、Netstream，主要提供2-4層流量分析NSM/NAM流量分析展示網(wǎng)絡(luò)負(fù)載流量圖網(wǎng)絡(luò)協(xié)議統(tǒng)計(jì)圖NSM可提供對網(wǎng)絡(luò)協(xié)議的使

15、用情況統(tǒng)計(jì)。并根據(jù)統(tǒng)計(jì)信息來發(fā)現(xiàn)網(wǎng)絡(luò)錯(cuò)誤配置，如上圖：顯示結(jié)果表明5發(fā)送了一定量的DNS報(bào)文，查看Received Only鏈接，結(jié)果表明5沒有接受到DNS報(bào)文，5的發(fā)送的DNS字節(jié)數(shù)為590字節(jié)，接收的DNS字節(jié)數(shù)為0，說明用戶A無法正常使用DNS服務(wù)，排除DNS服務(wù)器本身的問題后，網(wǎng)絡(luò)管理員確定用戶A的DNS服務(wù)器地址配置錯(cuò)誤。在企業(yè)網(wǎng)中，各種網(wǎng)絡(luò)異常情況發(fā)生在各個(gè)時(shí)間段中。網(wǎng)絡(luò)管理員可以實(shí)時(shí)查看網(wǎng)絡(luò)流量來定位分析各種異常情況，也需要通過查看歷史數(shù)據(jù)來定位分析問題。同時(shí)，歷史數(shù)據(jù)可以直觀的反映網(wǎng)絡(luò)使用情況的趨勢和各種網(wǎng)絡(luò)應(yīng)用的分布，有助于網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)進(jìn)行綜合評價(jià)。NSM/NAM流量分析

16、展示各種P2P協(xié)議所占流量的百分比各種P2P協(xié)議的比例圖和歷史信息按照Gnutella流量排序按照BT流量排序網(wǎng)絡(luò)管理員希望發(fā)現(xiàn)和監(jiān)控網(wǎng)絡(luò)中的P2P流量，以便在適當(dāng)?shù)臅r(shí)候采取必要的措施。NSM可識別應(yīng)用層流量并顯示出各種P2P協(xié)議占用網(wǎng)絡(luò)流量的百分比，各種P2P協(xié)議的比例圖和歷史信息，并按照應(yīng)用流量對主機(jī)進(jìn)行排序，還可以通過鉆取功能定位出相應(yīng)主機(jī)的詳細(xì)信息。主機(jī)詳細(xì)信息目錄企業(yè)整體安全部署園區(qū)邊界之安全分區(qū)園區(qū)邊界之安全網(wǎng)關(guān)部署園區(qū)邊界之流量分析部署園區(qū)邊界之病毒防護(hù)部署園區(qū)邊界之日志管理部署ASM概述ASM防病毒卡網(wǎng)絡(luò)防病毒尖兵獨(dú)立計(jì)算和處理能力業(yè)界領(lǐng)先的防病毒引擎/病毒庫實(shí)時(shí)更新專利技術(shù)實(shí)

17、現(xiàn)對未知病毒防御圖形化界面管理，配置靈活強(qiáng)大日志審計(jì)、告警功能高效的流引擎，優(yōu)異的流處理能力靈活升級模式，保障系統(tǒng)高度安全與防病毒網(wǎng)關(guān)相比的優(yōu)勢：防病毒卡是防火墻或路由器的一個(gè)模塊，性能高、可靠性高；具備斷電保護(hù)、可以實(shí)現(xiàn)冗余備份，負(fù)荷分擔(dān)，并可以對VPN流量進(jìn)行查殺ASM在線檢測病毒top6ASM檢測含病毒網(wǎng)站top6ASM典型組網(wǎng)ASM防病毒卡部署在互聯(lián)網(wǎng)出口網(wǎng)關(guān)設(shè)備網(wǎng)關(guān)設(shè)備分支機(jī)構(gòu)公司總部公司總部：性能高、運(yùn)行可靠、可以實(shí)現(xiàn)負(fù)荷分擔(dān)和線路備份分支機(jī)構(gòu)：接入靈活，使用方便，成本低，適于VPN方式接入總部網(wǎng)絡(luò)ASM防病毒模塊支持設(shè)備型號：SecPath F100-MSecPath F100-

18、ASecPath F1000-SSecPath F1000-AMSR 30系列MSR 50系列目錄企業(yè)整體安全部署園區(qū)邊界之安全分區(qū)園區(qū)邊界之安全網(wǎng)關(guān)部署園區(qū)邊界之流量分析部署園區(qū)邊界之病毒防護(hù)部署園區(qū)邊界之日志管理部署Seccenter安全事件管理系統(tǒng)初始事件標(biāo)準(zhǔn)化規(guī)則過濾場景匹配支持近100多家主流廠家設(shè)備的管理，可 支持多廠家設(shè)備組網(wǎng)支持對防火墻、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交換機(jī)、Unix、Linux、Windows等各類IT資源的安全事件進(jìn)行管理支持強(qiáng)大的信息統(tǒng)計(jì)分析和過濾能力。按網(wǎng)絡(luò)中各種應(yīng)用場景將這些信息分類統(tǒng)計(jì)并排序輸出。提供了豐富

19、的報(bào)表和報(bào)告，并支持?jǐn)?shù)據(jù)保存及審計(jì)功能。Seccenter的部署InternetSeccenter支持近100多家主流廠家設(shè)備防火墻IPS路由器安全事件實(shí)時(shí)監(jiān)視功能展示網(wǎng)絡(luò)安全信息儀表盤Dashboard是SecCenter A1000的主監(jiān)視界面，可集中顯示系統(tǒng)中最常用的監(jiān)視畫面。Dashboard的監(jiān)視內(nèi)容可定制，可以在系統(tǒng)預(yù)定義的監(jiān)視器（Monitor）和報(bào)告（Report）中任意選擇；70種預(yù)定義監(jiān)視器近千種預(yù)定義報(bào)告安全分析中心的視圖（Views）功能可將系統(tǒng)提供的70種預(yù)定義監(jiān)視器和近千種報(bào)告組合成視圖，在一個(gè)顯示畫面中集中顯示監(jiān)視器和報(bào)告。系統(tǒng)提供了13種預(yù)定義的視圖；視圖（Views）列表，提供13種