《销售指导H3C内网控制解决方案V11》由会员分享,可在线阅读,更多相关《销售指导H3C内网控制解决方案V11(5页珍藏版)》请在金锄头文库上搜索。
1、内网控制解决方案销售指导书H3C安全产品部2008-02-21 一、方案解决问题通过在内部网络部署H3C内网控制解决方案,可以帮助用户解决如下问题:1、 通过控制与预防相结合的手段,彻底解决内网病毒泛滥问题;2、 拒绝非法用户接入,控制非授权访问,及时阻断内部用户的非法行为,并通过安全联动等手段,制止攻击来源3、 通过安全管理中心对内网安全事件的收集、过滤和智能分析,下发对应的安全策略,并自动生成审计报告,对内网威胁追根溯源,杜绝安全事故的屡禁不止,实现内网真正可控;4、 通过对不同厂家、不同设备安全事件的收集、分析和管理,对H3C网络、安全设备和终端软件的统一配置,全面实时掌握内网安全状况。
2、二、解决方案描述1、方案组成H3C内网控制解决方案由安全管理平台、安全防护设备和终端软件组成。2、工作原理 病毒预防与控制通过终端软件对终端的补丁、病毒库升级状态进行检查,确保每一个终端健康接入,预防病毒感染;防火墙进行安全域分割,最小化可能的病毒扩散范围;防火墙/IPS对内网数据流进行监控,根据特征识别病毒,并且通过与网络设备和终端软件的联动,直接控制病毒爆发点。 用户控制与联动:1) 终端软件进行身份认证,杜绝非法用户接入。2) 终端软件收集终端用户的安全状态,上报给安全管理平台,对用户终端安全状态进行检查,拒绝不符合安全策略的用户登陆。3) 防火墙、IPS对内网数据流进行监控,及时阻断攻
3、击的同时,将安全事件上报安全管理平台。4) SecCenter收集、分析后,通知iMC,5) iMC向网络、安全设备和终端软件统一下发安全管理策略,精确控制攻击源头。 威胁响应与追溯SecCenter采集网络设备、安全设备和服务器的安全日志,结合H3C EAD客户端上报的用户上网过程、安全状态、病毒查杀事件,进行统一分析,实时输出审计报告。当发生安全事故后,可以根据记录的信息对用户既往行为进行分析和追根朔源。同时,安全管理员可以按照法律法规(如SOX法案)和标准中的规定,定制相应的审计报告。 统一管理与防御基于先进的深度挖掘及分析技术,SecCenter能对H3C上百个厂商的各种类型设备和部分
4、业界主流网络和安全产品进行管理,通过对海量信息的采集、分析、关联、汇聚和统一处理,协助管理员实时监控内网安全状况,及时发现安全隐患。三、解决方案拓展要素1、卖点 1: 统一管理:安全管理中心可以对100多个厂家的上千种H3C的各种类型设备和业界主流网络和安全产品的日志信息进行收集、分析和处理。智能网管中心可以对H3C的网络、安全设备、终端安全软件进行统一配置,联动下发安全策略。 2: 安全和网络二者有机融合:SecBlade插卡将防火墙和IPS等安全设备直接集成在交换机插卡上,全面过滤所有经过交换机的流量;防火墙/IPS与终端软件和交换机联动,协同保障内网安全;安全管理平台统一管理安全和网络设
5、备。 3: 点、线、面立体防御:终端安全软件进行用户身份认证和安全状态检验;防火墙/IPS阻断安全威胁,联动网络设备和终端软件,上报安全事件;安全管理平台汇总、分析整网安全事件,统一下发安全策略。 4: 四方联动:以SecCenter为核心,通过安全设备、网络设备和终端软件的相互联动(安全设备发现攻击行为,联动网络设备和终端软件对攻击源进行处理;终端软件发现用户的威胁行为,联动防火墙、IPS切断用户对网络的访问),将网络内部安全威胁抑制在萌芽状态,变传统的被动防范为主动预防。2、竞争分析 Cisco 无中文界面 没有IPS与终端安全软件联动的方案 按需定制开发能力差 Juniper 无中文界面
6、 无法与交换机联动 没有IPS与终端安全软件联动的方案 按需定制开发能力差 无本地化特征库 天融信 无法与网络设备联动 无法与终端软件联动 没有插卡系列:没有安全插卡,无法与网络设备无逢融合四、典型案例 办公区、炼铁、炼钢、H型钢、中心化验室电厂、棒材厂、码头、带钢厂、120转炉高线厂SecBladeVPN网关H3C IPSSecPath防火墙EAD终端控制软件EAD安全策略管理中心网管中心ERP服务器区100M 双绞线100M单模1000M双绞线1000M单模网通电信日照钢铁集团内网安全采用了H3C 防火墙、IPS、SecBlade插卡和EAD。SecBlade防火墙对不同业务区域进行安全域分割;EAD结合安全设备进行用户接入控制;SecPath防火墙保证内网重要数据的访问安全;IPS保护内网不受外来攻击侵害,同时控制内部用户的非法外联。4
