3解决方案新一代园区网安全解决方案彩页VWord文件下载.doc

1、 网络入口已部署了防病毒网关，蠕虫、攻击、间谍软件、木马等攻击依然泛滥。 网络的带宽利用率居高不下、应用系统的响应速度越来越慢。 不同部门、不同区域之间如何安全防护？ 如何识别从内网发起的攻击并加以控制。 如何对攻击趋势和目前网络薄弱环节进行分析，得出整改策略和下一步建设方案。日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护，不断追求多层次、立体化的安全防御体系，逐步引入了防病毒、防火墙、IPS/IDS、VPN等大量异构的单点安全防御技术，再加上交换机、路由器等网络设备，网络结构日益复杂。然而，现有网络安全防御体系还是以孤立的单点防御为主，彼此间缺乏有效的协作，不同的设备之间的信息也无

2、法共享，从而形成了一个个安全的“信息孤岛”。解决方案H3C新一代园区网解决方案能彻底解决上述问题，给用户带来了立体化、智能化的安全解决方案。首先，根据业务类型或物理位置对园区网进行安全域划分。然后，各安全域面临的安全威胁不同，因此会在核心业务区、外联区和互联网区等关键路径可进行深入检测防护。此外，提供对外访问业务的互联网区不仅仅面临安全威胁问题，同时还面临带宽滥用和如何高效提升链路等问题，因此在互联网区域可根据实际业务需要部署应用层流控设备和链路负载均衡设备。最后需要部署统一安全管理系统，对整网的安全事件统一收集，形成安全事件报告输出，有效的帮助管理员了解网络中的安全现状与风险，从而为决策提供

3、有效依据。l 以安全为核心划分区域针对园区网安全实际情况，可划分出不同的安全分区，如：DMZ区、互联网服务区、远程接入区、广域网分区、数据中心区、网络管理区、内部办公区等，不同区域进行针对性的安全策略部署。l 用防火墙隔离各安全区域防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙在网络间实现访问控制，比如一个是用户的安全网络，称之为被信任应受保护的网络，另外一个是其它的非安全网络称为某个不被信任并且不需要保护的网络。防火墙位于一个受信任的网络和一个不受信任的网络之间，通过一

4、系列的安全手段来保护受信任网络上的信息。l 对关键路径进行深入检测防护在关键路径上部署独立的具有深度检测防御的IPS（入侵防御系统）就显得非常重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有： 入侵非法用户的违规行为； 滥用用户的违规行为；深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击，减少入侵攻击所造成的损失。l 对互联网出口的链路带宽优化在多链路的互联网出口部署链路负载均衡设备来优化多出口链路的效率。l 对全网设备进行统一安全

5、管理通过统一安全管理平台，可以对网络中的网络设备、安全设备、服务器等进行统一管理，收集相关信息，进行关联分析，形成安全事件报告输出，有效的帮助管理员了解网络中的安全现状与风险，从而为决策提供有效依据。l 根据实际需要部署其他安全系统部署EAD终端准入控制系统，确保每一个接入端点的安全，预防内网病毒、蠕虫的泛滥，并与防火墙、IPS等安全设备、管理平台实现智能联动，从源头上阻断安全威胁，实现对接入网络终端的事前准入认证和安全性检查、事中控制和事后审计功能。方案特点l 基于用户的内网控制安全设计由于移动办公、WLAN接入的普及，如何既保障终端的灵活便捷接入，同时又确保安全策略可以及时迁移，所需而动，

6、成为当前局域网安全建设的一个重点。H3C通过基于用户的内网控制设计，实现了全网基于统一用户的事前准入、策略下发、事中防护以及事后审计。一个用户采用唯一的用户名接入网络后，通过EAD系统对其进行网络身份认证、接入网络终端安全性检查、下发粗粒度安全策略、事后审计；通过嵌入式FW模块，实现安全区域的划分和细粒度访问控制策略，减轻核心交换机的访问控制压力；通过IPS完成不同安全区域间病毒传播和非法入侵/攻击行为的监测和过滤；最终通过网络安全统一管理中心，可以实现基于用户的安全策略下发、安全事件联动、事后内容审计。l 全面的、立体的、纵深的互联网出口安全设计针对大型园区网多链路出口，通过部署LB链路负载

7、均衡设备实现基于链路健康状况的智能动态负载和基于用户访问IP实现动态访问加速，有效的提升互联网出口带宽的利用率。在大型园区网或校园网，同时在线用户数一般都在万人级别以上，互联网出口部署高性能万兆防火墙F5000，实现外网、内网、DMZ区之间访问控制，提供高达400万的NAT会话，并提供24层的安全防护功能。在出口部署万兆IPS T5000，防护来自互联网的病毒、蠕虫和DDoS攻击，提供47层的安全防护功能。在出口部署万兆流控设备ACG8800，通过内置各类常见应用程序的特征码识别出应用，如P2P类应用、游戏类、流媒体、炒股类等上千种应用，并对不同的应用进行限速或阻断，实现互联网出口流量的精细化

8、管理。ACG还可满足公安部82号令要求的互联网行为审计功能，从而规避法规风险。l 智能安全统一管理和安全威胁智能联动不同厂商、不同种类的网络和安全设备之间缺乏信息交互，容易形成信息孤岛。H3C采用端点准入控制及安全事件分析机制，将网络中的终端、网络安全设备、应用服务器等IT资源都纳入安全防护的范畴内，在统一安全策略下，利用各组件间的协同联动，保证了网络各端点的安全性与可控性；同时在统一的管理平台上进行安全事件的收集、整理、分析，可以作到整网安全风险的前提预防和及时控制。安全防御设备包含防火墙和IPS，融合了包过滤、状态检测、入侵防御和防病毒等多种技术，可以发现和阻断蠕虫、病毒以及恶意入侵行为，

9、同时将安全事件上报安全管理平台。SecCenter进行智能分析后联动iMC，对造成威胁的内网用户采取在线提醒、强制下线、关闭交换机端口、加入黑名单等控制手段，从源头上制止威胁的发生。典型行业安全解决方案1. 校园网出口综合安全防护解决方案 F5000防火墙做出口NAT网关，工作在路由模式，并通过虚拟化技术虚拟出多台防火墙，每台虚拟防火墙接一条出口链路。F5000防火墙在万兆流量下，同时开启NAT和策略路由时性能不下降。同时支持完备的路由协议，可以简化客户出口网络部署。此外，F5000支持高性能抗DDoS攻击等安全特性，构建高校出口的安全屏障。 在防火墙后侧部署应用优化网关，实现链路负载均衡和带

10、宽管理，高校业务流量从以前的简单的、静态的策略路由分配流量模式转换为精细化、立体化出口流量管控。 LB业务卡支持灵活链路负载均衡功能，通过对链路工作状态的实时检测，可以第一时间发现链路故障，进行负载动态调整，大大提高了出口可靠性。对于访问高校服务器的流量，LB可以通过优化算法，使用户不必绕行教育网，以最快的速度访问高校资源。 ACG能精确识别各种应用层流量，并根据客户策略进行细粒度的带宽控制，有效解决出口P2P下载等造成的带宽滥用。该产品同时支持用户上网行为审计功能，为规范学生的上网行为提供技术保障。相关参考案例：中南大学、郑州大学、华南理工、南京大学、深圳大学等等。2. 大型企业综合安全防护

11、解决方案 大企业的安全防护首先需进行安全域划分，如出口区域、核心生产数据服务器区、不同业务部门办公区和安全管理区。安全域通过在核心交换机上部署防火墙模块，每个安全区域利用虚拟防火墙制定不同的安全策略，方便安全域的更改和策略的调整。 出口区域部署防火墙、负载均衡等，进行边界安全防护和链路负载均衡，对于服务器区的核心生产数据，需要进行47层的安全防护，可部署IPS设备进行防护，可有效保护核心生产数据免受攻击。 为了在不同的业务安全域实施更加精细化的安全策略，可在各业务汇聚交换机上部署防火墙板卡做细粒度安全控制。 SecCenter对整网络安全设备的统一管理、网络安全相联动；SecCenter的精细化报表实现安全事件的可视化。重庆钢铁、安阳钢铁、西山煤电、中国科技馆、华润集团、黑龙江烟草、珠江烟草城等等。杭州华三通信技术有限公司 第8页, 共8页