《2010h3ct培训—h3c安全解决方案》由会员分享,可在线阅读,更多相关《2010h3ct培训—h3c安全解决方案(68页珍藏版)》请在金锄头文库上搜索。
1、2010H3CT自学辅助资料: H3C安全解决方案,杭州华三通信技术有限公司,远程安全接入 SRA,边界防护 NBP,安全统一管理平台,内网控制 INC,行为监管 BSC,数据中心保护 DCP,H3C安全整体解决方案,H3C远程安全接入解决方案设计原则,设计原则 满足不同用户接入需求,满足随时随地可连通 安全第一,充分考虑公网传输的威胁 注重管理需求,降低维护成本 以业务为导向,保护业务的持续可靠运行 满足对用户各种组网兼容性的需求,H3C远程安全接入解决方案( SRA:Security Remote Access),SecCenter,大型分支,SecPath 防火墙,中小型分支,IPSec
2、 VPN,IPSec+GRE VPN,移动用户,BIMS,SSL VPN,合作伙伴,IPSec VPN,VPN Manager,SecPath 防火墙,SecPath 防火墙,SecPath 防火墙,SecPath 防火墙,安全管理平台,VPN是成本最低、应用最广泛的接入技术,预计2008年中国VPN空间14亿人民币 - 计世资讯,大型分支接入,SecPath,大型分支,SecPath,IPSec+GRE VPN,SecPath,功能: 连通:GRE + IPSec,安全又可靠 安全:防火墙攻击防范保证内容安全,IPSec保证传输安全 管理:SecCenter集中管理,VPN Manager监
3、控VPN隧道 可靠性:总部双出口+双机热备+L3 Monitor,关键时刻不掉链子。 兼容性:GRE+OSPF,实现跨internet的全网动态路由,国内唯一安全产品。 兼容总部MPLS情况,实现分支对总部MPLS VPN的映射,SecCenter,BIMS,VPN Manager,中小分支合作伙伴接入,SecPath,SecPath,IPSec VPN,SecPath,功能: 连通:IPSec VPN 安全:防火墙攻击防范保证内容安全,IPSec保证传输安全 管理:BIMS,业界最适合多分支接入的管理工具 可靠性:总部双出口+双机热备+L3 Monitor,关键时刻不掉链子 兼容性:兼容多种
4、接入方式,例如ADSL、以太网接入,中小型分支,合作伙伴,SecPath,IPSec VPN,SecCenter,BIMS,VPN Manager,移动用户接入,SecPath,SSL VPN,SecPath,SSL VPN,功能: 连通:SSL VPN 安全:防火墙安全防范,SSL加密,多种安全认证 管理:移动用户接入时无需客户端,方便 可靠性:总部双出口+双机热备 兼容性:支持密码、证书、LDAP、Radius、Domain等多种方式认证 支持多种接入方式,移动用户,移动用户,SecCenter,BIMS,VPN Manager,H3C远程安全接入解决方案特色,统一接入 SecPath集成
5、IPSec 、GRE 、SSL 、MPLS VPN技术,一台设备满足用户所有接入需求 高安全性 SecPath集成专业防火墙功能,网关处防攻击 支持多种认证方式,保证接入安全 易管理性 SecCenter对全网安全事件的集中采集、智能分析 BIMS对分支智能管理 高可靠性 双机热备、双出口链路备份 L3 Monitor可侦测整条链路状态 QoS保障关键业务优先 OSPF动态路由保障,中石油加油站联网 10000点VPN接入,远程安全接入解决方案案例,电信internet,网通internet,Secpath10F,2台Secpath1000,交换机,路由器,服务器区,VPN接入区,分支网点,B
6、IMS,双机热备,Secpath10F,Secpath10F,典型案例 1、平安保险(3000个分支) 2、甘肃工商(800个分支) 3、中国石油(700个加油站) 4、中国人寿(全国各省分建) 5、交通部全国骨干网 6、武汉地税 7、山西证券 8、上海银联 ,平安保险,远程安全接入 SRA,边界防护 NBP,安全统一管理平台,内网控制 INC,行为监管 BSC,数据中心保护 DCP,H3C安全整体解决方案,划分安全区域 将物理位置相近,并具有相同安全策略的安全资产划分为同一安全区域。 不同信任级别的安全区域之间形成网络边界 常规有以下安全区域 数据中心区 DMZ区 广域网区 远程接入区 内部
7、办公区 管理区,如何应对层出不穷的DDoS、病毒、蠕虫、页面篡改等攻击? 设备在不断增多,人员不断增加,如何解决安全的统一管理问题?,网络中的边界在哪里?,为什么需要边界安全防护?,开放的互联网使服务器长时间暴露,黑客轻易就可以找到想攻击的目标; 各种病毒、蠕虫的泛滥,带来的危害和应用规模成正比。 很轻易能够找到攻击工具,攻击变得非常简单 网络边界是攻击者必经之路,边界设防,御敌于国门之外!,边界防护主要关注点,DDoS、蠕虫、病毒、页面篡改等攻击类型层出不穷,如何防御? 设备在不断增多,人员不断增加,网络结构日益复杂,安全需要统一管理,如何解决?,H3C边界防护解决方案(NBP: Netwo
8、rk Border Protection),安全管理平台,SecCenter,SecPath 防火墙/UTM,交换机,DMZ,SecPath IPS,SecPath 防火墙/UTM,数据中心,SecBlade FW/IPS,边界安全防护最佳方案!,方案描述,SecPath/SecBlade防火墙提供2-4层包过滤、状态检测等技术实现边界隔离 SecPath/SecBlade IPS提供4-7层安全防护 SecPath UTM统一威胁管理产品提供“所想即所得”的安全功能 通过安全管理平台对部署的防火墙、IPS以及网络产品进行统一安全管理。,外联单位,SecPath IPS,SecPath IPS
9、,边界防护解决方案描述,什么是网络边界?网络划分安全区域后,在不同信任级别的安全区域之间就形成了网络边界。H3C提出边界防护解决方案,有效的解决了来自边界的安全问题。 本方案由安全网关、入侵防御系统和安全管理平台组成。 安全网关: 包括盒式的SecPath系列防火墙和应用于S95/75E核心交换机的SecBlade防火墙模块; 防火墙集成了2-4层包过滤和状态检测技术,对不同信任级别的安全区域制定相应安全策略,防止非授权访问; SecPath防火墙支持H3C OAA开放应用架构,可在设备上部署防病毒、网流分析等业务模块; 入侵防御系统(IPS) 包括盒式的SecPath系列IPS和应用于S95
10、/75E核心交换机的SecBlade IPS模块; 是业界唯一集成漏洞库、专业病毒库、协议库的IPS产品,特征库数量已达上万种,并保持不断更新; 精确实时地识别并防御蠕虫、病毒、木马等网络攻击; 统一威胁管理产品(UTM) 集防火墙、VPN、NAT地址转换、防病毒、防垃圾邮件、行为审计、漏洞等功能于一体; 安全管理平台 通过安全管理平台对安全网关、入侵防御系统以及网络设备进行统一安全管理,包括防火墙、IPS/IDS、路由器、交换机等多种类型的产品。,边界防护解决方案的卖点,最全面的边界安全防护 1、是业界唯一能提供同时万兆安全模块和盒式设备的厂商; 2、支持OAA架构,可与第三方厂商合作定制(
11、目前已有ASM、NSM)或根据用户需求定制开发; 3、实现2-7层全面安全防护,有效的抵御非法访问、DDoS、病毒、蠕虫、页面篡改等攻击; 业界唯一的万兆插卡式防火墙,安全与网络深度融合 支持S95/S75E核心交换机中的万兆防火墙/IPS模块,是业界唯一的万兆插卡式防火墙 虚拟化安全服务 支持虚拟防火墙/IPS功能,便于管理,简化网络结构,降低建设成本,国家税务总局(2008),双链路出口,SecPath T200,办公大楼 局域网,终端工作站,Web服务器,文件服务器,邮件服务器,H3C SecCenter(试用),外网服务器区域,党政案例江苏地税(2006),网络管理区,13个地市地税局
12、 2个直属局,核心交换机,省地税局,路由器,应用服务器区,市局核心交换机,市局路由器,市局核心交换机,市局路由器,市局核心交换机,市局路由器,SecPath F1000-S,SecPath F1000-S,SecPath F1000-S,SecPath F1000-S,国家海洋局“数字海洋”项目, ,服务器区,SecPath F100-E,办公区,SecPath T200-A,服务器区,SecPath F100-E,办公区,SecPath T200-A,21个海洋局接入单位,外联接入单位,SecPath T200-A,SecBlade FW,边界防护解决方案的一次完美体现,党政案例贵州地税,S
13、7510E+FW插卡,省局,9个地市局,国家税务 总局,国家骨干网设备,应用服务器,IMC智能 管理中心,F100-E 防火墙,S3600-28TP 接入交换机,MSR50-40,SR8805,SR6608,数据中心,T1000-A,SR8805,F100-M 防火墙,98个区县分局,F100-E 防火墙,S3600-28TP 接入交换机,MSR50-40,F100-M 防火墙,S7503地市核心交换机,S7503地市核心交换机,2M E1,CPOS,CPOS,CPOS,E1,5500-28C-EI,SR6608,远程安全接入 SRA,边界防护 NBP,安全统一管理平台,内网控制 INC,行为
14、监管 BSC,数据中心保护 DCP,H3C安全整体解决方案,内网安全建设的烦恼,内部病毒泛滥,事故屡禁不止,整网安全状况 无法掌控,用户接入随意,H3C内网控制解决方案设计思路,Protection(预防): 缺陷扫描、访问控制、防病毒/ARP攻击 Detection (检测): 入侵检测/防御、网络流量检测、异常行为监控 Response (响应): 告警分析、安全联动、安全审计 Recovery (恢复): 安全事件统一处理、漏洞补丁升级、防御手段更新,PDRR模型,安全策略,Protection,Detection,Response,Recovery,什么是内网控制解决方案,两个片面认识
15、: 内网控制解决方案就是EAD方案 内网控制解决方案就是安全联动,内网控制解决方案(INC:Internal Network Control),SecPath 防火墙,EAD,EAD,EAD,SecPath IPS,安全管理中心SecCenter,智能网管中心iMC,安全管理平台,预防: 防火墙进行安全区域划分 EAD进行用户接入控制 检测: 防火墙+IPS+NetStream进行27层深度检测,保护重点区域 响应: 安全设备与网络设备和终端软件以及网管中心的联动,共同防御攻击 恢复: 漏洞、补丁升级;根据安全管理平台分析的安全事件,重新调整、下发安全策略,SecBlade FW/IPS/NetStream,有效解决:内网病毒防护、内网用户控制、安全区域隔离,应用模式,内网控制 解决方案,区域隔离,病毒防护,统一管理,网流分析,接入控制,安全联动,预防:安全区域划分,办公区,研发区,生产区,将物理位置相近,并具有相同安全策略的节点划分进入同一个安全区域 通过安全区域划分,可以最小化攻击扩散范围和病毒传染区,你是谁?,你安全吗?,你可以做什么?,预防:终端安全接入,检测:27层深度业务感知,网络层次越高 资产价值越大,L5-L7: Application Layer,L4: Transport Layer,
