《2010H3CT培训—H3C安全解决方案》由会员分享,可在线阅读,更多相关《2010H3CT培训—H3C安全解决方案(68页珍藏版)》请在金锄头文库上搜索。
1、2010H3CT自学辅助资料 H3C安全解决方案 远程安全接入SRA 边界防护NBP 安全统一管理平台 内网控制INC 行为监管BSC 数据中心保护DCP H3C安全整体解决方案 H3C远程安全接入解决方案设计原则 设计原则满足不同用户接入需求 满足随时随地可连通安全第一 充分考虑公网传输的威胁注重管理需求 降低维护成本以业务为导向 保护业务的持续可靠运行满足对用户各种组网兼容性的需求 H3C远程安全接入解决方案 SRA SecurityRemoteAccess SecCenter 大型分支 SecPath防火墙 中小型分支 IPSecVPN IPSec GREVPN 移动用户 BIMS SS
2、LVPN 合作伙伴 IPSecVPN VPNManager SecPath防火墙 SecPath防火墙 SecPath防火墙 SecPath防火墙 安全管理平台 VPN是成本最低 应用最广泛的接入技术 预计2008年中国VPN空间14亿人民币 计世资讯 大型分支接入 SecPath 大型分支 SecPath IPSec GREVPN SecPath 功能 连通 GRE IPSec 安全又可靠安全 防火墙攻击防范保证内容安全 IPSec保证传输安全管理 SecCenter集中管理 VPNManager监控VPN隧道可靠性 总部双出口 双机热备 L3Monitor 关键时刻不掉链子 兼容性 GRE
3、 OSPF 实现跨internet的全网动态路由 国内唯一安全产品 兼容总部MPLS情况 实现分支对总部MPLSVPN的映射 SecCenter BIMS VPNManager 中小分支合作伙伴接入 SecPath SecPath IPSecVPN SecPath 功能 连通 IPSecVPN安全 防火墙攻击防范保证内容安全 IPSec保证传输安全管理 BIMS 业界最适合多分支接入的管理工具可靠性 总部双出口 双机热备 L3Monitor 关键时刻不掉链子兼容性 兼容多种接入方式 例如ADSL 以太网接入 中小型分支 合作伙伴 SecPath IPSecVPN SecCenter BIMS
4、VPNManager 移动用户接入 SecPath SSLVPN SecPath SSLVPN 功能 连通 SSLVPN安全 防火墙安全防范 SSL加密 多种安全认证管理 移动用户接入时无需客户端 方便可靠性 总部双出口 双机热备兼容性 支持密码 证书 LDAP Radius Domain等多种方式认证支持多种接入方式 移动用户 移动用户 SecCenter BIMS VPNManager H3C远程安全接入解决方案特色 统一接入SecPath集成IPSec GRE SSL MPLSVPN技术 一台设备满足用户所有接入需求高安全性SecPath集成专业防火墙功能 网关处防攻击支持多种认证方式
5、保证接入安全易管理性SecCenter对全网安全事件的集中采集 智能分析BIMS对分支智能管理高可靠性双机热备 双出口链路备份L3Monitor可侦测整条链路状态QoS保障关键业务优先OSPF动态路由保障 中石油加油站联网10000点VPN接入 远程安全接入解决方案案例 电信internet 网通internet Secpath10F 2台Secpath1000 交换机 路由器 服务器区 VPN接入区 分支网点 BIMS 双机热备 Secpath10F Secpath10F 典型案例1 平安保险 3000个分支 2 甘肃工商 800个分支 3 中国石油 700个加油站 4 中国人寿 全国各省分
6、建 5 交通部全国骨干网6 武汉地税7 山西证券8 上海银联 平安保险 远程安全接入SRA 边界防护NBP 安全统一管理平台 内网控制INC 行为监管BSC 数据中心保护DCP H3C安全整体解决方案 划分安全区域将物理位置相近 并具有相同安全策略的安全资产划分为同一安全区域 不同信任级别的安全区域之间形成网络边界常规有以下安全区域数据中心区DMZ区广域网区远程接入区内部办公区管理区 如何应对层出不穷的DDoS 病毒 蠕虫 页面篡改等攻击 设备在不断增多 人员不断增加 如何解决安全的统一管理问题 网络中的边界在哪里 为什么需要边界安全防护 开放的互联网使服务器长时间暴露 黑客轻易就可以找到想攻
7、击的目标 各种病毒 蠕虫的泛滥 带来的危害和应用规模成正比 很轻易能够找到攻击工具 攻击变得非常简单网络边界是攻击者必经之路 边界设防 御敌于国门之外 边界防护主要关注点 DDoS 蠕虫 病毒 页面篡改等攻击类型层出不穷 如何防御 设备在不断增多 人员不断增加 网络结构日益复杂 安全需要统一管理 如何解决 H3C边界防护解决方案 NBP NetworkBorderProtection 安全管理平台 SecCenter SecPath防火墙 UTM 交换机 DMZ SecPathIPS SecPath防火墙 UTM 数据中心 SecBladeFW IPS 边界安全防护最佳方案 方案描述 SecP
8、ath SecBlade防火墙提供2 4层包过滤 状态检测等技术实现边界隔离SecPath SecBladeIPS提供4 7层安全防护SecPathUTM统一威胁管理产品提供 所想即所得 的安全功能通过安全管理平台对部署的防火墙 IPS以及网络产品进行统一安全管理 外联单位 SecPathIPS SecPathIPS 边界防护解决方案描述 什么是网络边界 网络划分安全区域后 在不同信任级别的安全区域之间就形成了网络边界 H3C提出边界防护解决方案 有效的解决了来自边界的安全问题 本方案由安全网关 入侵防御系统和安全管理平台组成 安全网关 包括盒式的SecPath系列防火墙和应用于S95 75E
9、核心交换机的SecBlade防火墙模块 防火墙集成了2 4层包过滤和状态检测技术 对不同信任级别的安全区域制定相应安全策略 防止非授权访问 SecPath防火墙支持H3COAA开放应用架构 可在设备上部署防病毒 网流分析等业务模块 入侵防御系统 IPS 包括盒式的SecPath系列IPS和应用于S95 75E核心交换机的SecBladeIPS模块 是业界唯一集成漏洞库 专业病毒库 协议库的IPS产品 特征库数量已达上万种 并保持不断更新 精确实时地识别并防御蠕虫 病毒 木马等网络攻击 统一威胁管理产品 UTM 集防火墙 VPN NAT地址转换 防病毒 防垃圾邮件 行为审计 漏洞等功能于一体 安
10、全管理平台通过安全管理平台对安全网关 入侵防御系统以及网络设备进行统一安全管理 包括防火墙 IPS IDS 路由器 交换机等多种类型的产品 边界防护解决方案的卖点 最全面的边界安全防护1 是业界唯一能提供同时万兆安全模块和盒式设备的厂商 2 支持OAA架构 可与第三方厂商合作定制 目前已有ASM NSM 或根据用户需求定制开发 3 实现2 7层全面安全防护 有效的抵御非法访问 DDoS 病毒 蠕虫 页面篡改等攻击 业界唯一的万兆插卡式防火墙 安全与网络深度融合支持S95 S75E核心交换机中的万兆防火墙 IPS模块 是业界唯一的万兆插卡式防火墙虚拟化安全服务支持虚拟防火墙 IPS功能 便于管理
11、 简化网络结构 降低建设成本 国家税务总局 2008 双链路出口 SecPathT200 办公大楼局域网 终端工作站 Web服务器 文件服务器 邮件服务器 H3CSecCenter 试用 外网服务器区域 党政案例 江苏地税 2006 网络管理区 13个地市地税局2个直属局 核心交换机 省地税局 路由器 应用服务器区 市局核心交换机 市局路由器 市局核心交换机 市局路由器 市局核心交换机 市局路由器 SecPathF1000 S SecPathF1000 S SecPathF1000 S SecPathF1000 S 国家海洋局 数字海洋 项目 服务器区 SecPathF100 E 办公区 Se
12、cPathT200 A 服务器区 SecPathF100 E 办公区 SecPathT200 A 21个海洋局接入单位 外联接入单位 SecPathT200 A SecBladeFW 边界防护解决方案的一次完美体现 党政案例 贵州地税 S7510E FW插卡 省局 9个地市局 国家税务总局 国家骨干网设备 应用服务器 IMC智能管理中心 F100 E防火墙 S3600 28TP接入交换机 MSR50 40 SR8805 SR6608 数据中心 T1000 A SR8805 F100 M防火墙 98个区县分局 F100 E防火墙 S3600 28TP接入交换机 MSR50 40 F100 M防火
13、墙 S7503地市核心交换机 S7503地市核心交换机 2ME1 CPOS CPOS CPOS E1 5500 28C EI SR6608 远程安全接入SRA 边界防护NBP 安全统一管理平台 内网控制INC 行为监管BSC 数据中心保护DCP H3C安全整体解决方案 内网安全建设的烦恼 内部病毒泛滥 事故屡禁不止 整网安全状况无法掌控 用户接入随意 H3C内网控制解决方案设计思路 Protection 预防 缺陷扫描 访问控制 防病毒 ARP攻击Detection 检测 入侵检测 防御 网络流量检测 异常行为监控Response 响应 告警分析 安全联动 安全审计Recovery 恢复 安全
14、事件统一处理 漏洞补丁升级 防御手段更新 PDRR模型 安全策略 Protection Detection Response Recovery 什么是内网控制解决方案 两个片面认识 内网控制解决方案就是EAD方案内网控制解决方案就是安全联动 内网控制解决方案 INC InternalNetworkControl SecPath防火墙 EAD EAD EAD SecPathIPS 安全管理中心SecCenter 智能网管中心iMC 安全管理平台 预防 防火墙进行安全区域划分EAD进行用户接入控制检测 防火墙 IPS NetStream进行2 7层深度检测 保护重点区域响应 安全设备与网络设备和终
15、端软件以及网管中心的联动 共同防御攻击恢复 漏洞 补丁升级 根据安全管理平台分析的安全事件 重新调整 下发安全策略 SecBladeFW IPS NetStream 有效解决 内网病毒防护 内网用户控制 安全区域隔离 应用模式 内网控制解决方案 区域隔离 病毒防护 统一管理 网流分析 接入控制 安全联动 预防 安全区域划分 办公区 研发区 生产区 将物理位置相近 并具有相同安全策略的节点划分进入同一个安全区域通过安全区域划分 可以最小化攻击扩散范围和病毒传染区 你是谁 你安全吗 你可以做什么 预防 终端安全接入 检测 2 7层深度业务感知 网络层次越高资产价值越大 L5 L7 Applicat
16、ionLayer L4 TransportLayer L3 NetworkLayer L2 LnkLayer L1 Phy Layer TCP IPStack NIC OSes WebServers WebApplicationFrameworks Applications 风险越高越迫切需要被保护 ApplicationData SessionID HTTPRequest Respond TCPConnection IPPacket EthernetPacket BitonWire 防火墙 NetStream IPS 多数据源采集信息 多维度整理分析 检测 全面的网络流量分析 时间 应用 IP 趋势 异常 TopN 网络流量分析模块 响应 安全事件联动 设备之间沟通不畅 对攻击事件只能孤岛防御 安全管理平台联动安全设备 网络设备和终端软件共同防御威胁 响应 安全事件联动 核心交换机 安全管理中心SecCenter 智能网管中心iMC 安全管理平台 2 设备自动处理后 同时将日志上报给安全管理平台 4 iMC对该用户进行告警 下线等处理 EAD EAD EAD 1 用户进行非法或非授权
