企业网络系统安全设计方案

1、 企业网络系统安全设计方案目 录 TOC o 1-2 h z u HYPERLINK l _Toc46866182 第一部分 项目背景 PAGEREF _Toc46866182 h 2 HYPERLINK l _Toc46866183 1.1 项目概述 PAGEREF _Toc46866183 h 2 HYPERLINK l _Toc46866184 1.2 设计依据 PAGEREF _Toc46866184 h 2 HYPERLINK l _Toc46866185 1.3 设计原则 PAGEREF _Toc46866185 h 3 HYPERLINK l _Toc46866186 第二部分

2、整体需求分析 PAGEREF _Toc46866186 h 6 HYPERLINK l _Toc46866187 2.1 需求分析 PAGEREF _Toc46866187 h 6 HYPERLINK l _Toc46866188 2.2 拓扑规划 PAGEREF _Toc46866188 h 7 HYPERLINK l _Toc46866189 2.3 设计思想 PAGEREF _Toc46866189 h 7 HYPERLINK l _Toc46866190 第三部分 网络安全设计 PAGEREF _Toc46866190 h 9 HYPERLINK l _Toc46866191 3.1

3、网络安全部署思路 PAGEREF _Toc46866191 h 9 HYPERLINK l _Toc46866192 3.2 网络设备级安全 PAGEREF _Toc46866192 h 11 HYPERLINK l _Toc46866193 3.3 网络级安全 PAGEREF _Toc46866193 h 15 HYPERLINK l _Toc46866194 3.4 网络的智能主动防御 PAGEREF _Toc46866194 h 19 HYPERLINK l _Toc46866195 3.5 网络安全设备选型 PAGEREF _Toc46866195 h 29项目背景项目概述公司成立于1

4、983年，是一家在全球范围内提供显示解决方案和快速服务支持的创新型科技企业。公司制造基地分布在深圳、上海、成都、武汉等全国各地，同时，在美国、德国、韩国、台湾、香港等主要发达国家与地区设有全球营销网络和技术服务支持平台。而目前建设中的厦门天马项目是厦门高新区着力打造千亿元光电产业集群、强化全国的光电显示产业集群试点基地的又一力作。针对其生产要求，结合我公司对于网络系统设计的理念和多年来在网络工程建设中的经验，以实现高可靠、高性能、可扩充为前提，遵循开放、标准、安全和实用的原则，追求网络性能的最佳化、合理化、节省费用，技术上的先进性与成熟性、实用性相结合，为厦门G6网络系统提供合理有效的解决方案

5、，满足其办公需求，保证在未来的信息化建设中高效稳定运行。设计依据数据中心由于其特殊性，需严格遵循国家GB标准所定义的电子信息系统机房设计等相关规范数据中心设计规范GB/T50174-2014电子信息系统机房设计规范GB50174-2008智能建筑设计标准GB/T50314-2006民用建筑设计通则GB50352-2005电力装置的继电保护和自动装置设计规范GB50062-92高层民用建筑设计防火规范GB50045-95民用建筑电气设计规范JGJ/T16-92建筑与建筑群综合布线工程设计规范GB/T50311-2000弱电系统技术要求GA/T367-2001(2005年版)公共安全工程技术规范G

6、B50348-2004电子计算机房设计规范GB50174-93建筑物防雷设计规范GB50057-94建筑物电子信息系统防雷技术规范GB50343-2004工业与民用电力装置的接地设计规范GBJ65-83工业企业通信接地设计规范GBJ79-85通信管道工程施工及验收规范GB50374-2006设计原则以安全、实用、冗余、先进、适应发展为总建设原则。1、实用性原则：以现行需求为基础，充分考虑发展的需要来确定规模。2、冗余性原则：特别注重网络硬件系统自身在突发事件时的可用性，以冗余备份的设计方式加以保障。在核心位置提供设备级冗余，在主干设备与汇聚设备之间提供可靠的线路及模块冗余，当其中一个部件因故障

7、停止工作时，另一部件自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性和可靠性。3、安全性原则：安全性是信息化建设的基础保障。出于安全及保密因素，现在信息化建设工程对安全性有很高的要求。设计的过程中必须依据国家各种有关安全法规政策，对硬件支撑平台的访问控制、在线监视、信息加密等方面进行完善考虑，在网络建构上根据功能划分相应的区域，使用如防火墙、入侵检测、信息过滤等手段，防止非法用户、非法信息及病毒的入侵和泄密事件的发生。同时还要在企业内部建立健全各种相关安全管理制度，确保全网的安全。4、先进性原则：系统采用国际上先进的前沿网络技术，满足今后一段时期的需要。5、可靠性原则：

8、要保证系统运行可靠，极高的平均无故障时间和极短的设备修复时间。网络的运行必须保证相当高的可靠性，以满足工作及信息的安全与稳定。防止局部故障引起整个网络系统的瘫痪，避免网络出现单点故障。6、易维护原则：系统要易于管理、易于维护。网络需要很高的可管理性，特别是在数据、视频等多业务的网络系统里，要使用可管理的网络设备，可以识别关键资源，根据流量状况以及网络性能配置阈值并为不同的应用提供不同的带宽，使所有的服务能够顺利完成。随着系统的投入运行和系统资源的不断增加，网络系统应具有很好的易维护性，使管理人员易于维护，减少不必要的额外劳动，提高工作效率。7、易扩展原则：设计过程中应当保证在用户业务量和业务类

9、型的变化增长的情况下，硬件支撑平台能够方便的升级并扩展，网络可以自如地扩充容量，支持更多的用户及应用。网络平台设计时必须按照各种国际通用标准进行，以保证各种设备、网络的兼容通用，将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。网络结构与网络技术的选择，要具有相当的前瞻性，以确保随着网络技术的不断发展，网络能够平滑地过渡到更先进的技术和设备，充分保障用户现有的投资和利益。整体需求分析需求分析根据前期和客户沟通汇总的需求，本次项目规划涉及网络包括：园区有线网络、园区无线网络、数据中心网络、管理控制网络、外联网络、互联网络等网络。按照模块化、层次化、区域化、可扩展的规划原则，厦门G6总体网

10、络可进行以下模块化划分：园区网核心交换区域：VSS系统架构，高可靠性和提升网络性能;部署冗余无线控制器，实现无线快速切换园区网络接入区域：万兆光纤主干，通过VSS实现链路的捆绑，提高链路利用率，包括有线和无线接入方式.数据中心核心交换区域：VPC+系统架构，高性能高扩展性数据中心主机接入区域：公司办公业务系统的各种服务器外联区域：双机SSL VPN终结设备，提供外联及接入的高可靠架构员工上网区域：链路负载均衡、防火墙设备整合应用。管理控制区域：管理控制区域，主要都由各种服务器系统组成，是整个网络运维管理的核心区域，网络管理系统、网络安全审计及授权系统、无线覆盖的管理系统、移动终端的认证管理系统

11、等网络运维的管理系统均部署于该区域拓扑规划设计思想园区有线采用两种方案： 方案一：针对M3区采用两层架构，核心采用Cat6807交换机，接入层采用Cat6800ia交换机,实现即时接入。该接入交换机可提供48端口接入且最大24端口802.3at 30W供电能力。通过VSS+IA技术实现园区简化架构、提高转发效率的要求。 方案二：针对M4厂区由于受限于光纤等资源情况，需在M4楼部署汇聚设备；即采用传统三层架构方式园区无线采用CT5520作为无线控制器，接入层AP采用支持802.11ac的1700/2700系列。无线AP2702E可实现高密度无线接入。方案中采用FlaxConnect集中认证、本地

12、转发模式。管理控制层使用Cisco ISE作为整网管理控制平台，Cisco ISE支持有线无线准入控制一体化。将无线访客网络通过Cat6807的VRF特性进行流量隔离，并指定网关至深信服AC。深信服AC上对此网段进行Portal认证，实现对无线访客的Portal认证。网络安全设计网络安全部署思路网络安全整体架构目前大多数的安全解决方案从本质上来看是孤立的，没有形成一个完整的安全体系的概念，虽然已经存在很多的安全防护技术，如防火墙、入侵检测系统、防病毒、主机加固等，但是各个厂家鉴于各自的技术优势，往往厚此薄彼。必须从全局体系架构层次进行总体的安全规划和部署。本次信息建设虽然仅包括数据中心、园区有

13、线部分和园区无线部分的建设，但也必须从全局和架构的高度进行统一的设计。建议采用目前国际最新的“信息保障技术框架（IATF）”安全体系结构，其明确提出需要考虑3个主要的因素：人、操作和技术。本技术方案着重讨论技术因素，人和操作则需要在非技术领域（比如安全规章制度）方面进行解决。技术因素方面IATF提出了一个通用的框架，将信息系统的信息保障技术层面分为了四个技术框架域：网络和基础设施：网络和基础设施的防护边界保护：解决边界保护问题局域计算环境：主机的计算环境的保护支撑性基础设施：安全的信息环境所需要的支撑平台并提出纵深防御的IA原则，即人、技术、操作相结合的多样性、多层叠的保护原则。我们在本次网络

14、建设改造中需要考虑的安全问题就是上图中的“网络和基础设施保护”、“边界保护”两个方面，而“计算机环境（主机）”、“支撑平台”则是在系统主机建设和业务应用建设中需要重点考虑的安全问题。网络平台建设所必须考虑的安全问题 高速发达的网络平台衍生现代的网络病毒、蠕虫、DDoS攻击和黑客入侵等等攻击手段，如果我们的防护手段依然停留在对计算环境和信息资产的保护，将处于被动。需要从网络底层平台的建设开始，将安全防护的特性内置于其中。因此在SODC架构中，安全是一个智能网络应当对上层业务提供的基本服务之一。网络从平台安全角度的安全设计分为以下三个层次：设备级的安全：需要保证设备本身的安全，因为设备本身也越来越

15、可能成为攻击的最终目标； 网络级的安全：网络作为信息传输的平台，有第一时间保护信息资源的能力和机会，包括进行用户接入认证、授权和审计以防止非法的接入，进行传输加密以防止信息的泄漏和窥测，进行安全划分和隔离以防止为授权的访问等等；系统级的主动安全：智能的防御网络必须能够实现所谓“先知先觉”，在潜在威胁演变为安全攻击之前加以措施，包括通过准入控制来使“健康”的机器才能接入网络，通过事前探测即时分流来防止大规模DDoS攻击，进行全局的安全管理等。应在上述三个方面逐步实施。网络设备级安全网络设备自身安全包括设备本身对病毒和蠕虫的防御以及网络协议本身的防范措施。有以下是本项目所涉及的网络设备和协议环境面

16、临的威胁和相应的解决方案：防蠕虫病毒的等Dos攻击数据中心虽然没有直接连接Internet，但内部专网中很多计算机并无法保证在整个使用周期内不会接触互联网和各种移动存储介质，仍然会较多的面临大量网络蠕虫病毒的威胁，比如Red Code，SQL Slammer等等，由于它们经常变换特征，防火墙也不能完全对其进行过滤，它们一般发作的机理如下：利用Microdsoft OS或应用的缓冲区溢出的漏洞获得此主机的控制权获得此主机的控制权后，安装病毒软件，病毒软件随机生成大量的IP地址，并向这些IP地址发送大量的IP包。有此安全漏洞的MS OS会受到感染，也随机生成大量IP地址，并向这些IP地址发送大量的

17、IP包。导致阻塞网络带宽，CPU利用率升高等直接对网络设备发出错包，让网络设备CPU占用率升高直至引发协议错误甚至宕机因此需要在设备一级保证受到攻击时本身的健壮性。此次的核心交换机Nexus 9000、智能服务机箱Catalyst 6800均支持硬件化的控制平面流量管制功能，可以自主限制必须由CPU亲自进行处理的信息流速，要求能将包速管制阈值设定在CPU可健康工作的范围内，从根本上解决病毒包对CPU资源占用的问题，同时不影响由数据平面正常的数据交换。特别是Nexus 9000的控制平面保护机制是在板卡一级分布式处理的，具备在大型IDC中对大规模DDoS的防护能力。另外所有此类的蠕虫和病毒都会利

18、用伪造源IP地址进行泛滥，局域网核心交换机和广域网骨干路由器都应当支持对转发的包进行源地址检查，只有源地址合法的IP包才会被转发，这种技术称为Unicast Reverse Forwarding（uRPF，单播反转路径转发）。该技术如果通过CPU实现，则在千兆以上的网络中将不具备实用性，而本次网络中在万兆一级的三层端口支持通过硬件完成的uRPF功能。防VLAN的脆弱性配置在数据中心的不同安全域进行防火墙访问控制隔离时，存在多个VLAN，虽然广泛采用端口捆绑、vPC等技术使正常工作中拓扑简化甚至完全避免环路，但由于网络VLAN多且关系复杂，无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环

19、路，因此有必要运行生成树协议作为二层网络中增加稳定性的措施。但是，当前有许多软件都具有STP 功能，恶意用户在它的PC上安装STP软件与一个Switch相连，引起STP重新计算，它有可能成为STP Root, 因此所有流量都会流向恶意软件主机, 恶意用户可做包分析。局域网交换机应具有Root guard（根桥监控）功能，可以有效防止其它Switch成为STP Root。本项目我们在所有允许二层生成树协议的设备上，特别是接入层中都将启动Root Guard特性，另外Nexus3000/2000还支持BPDU filters, Bridge Assurance等生成树特性以保证生成树的安全和稳定。

20、还有一些恶意用户编制特定的STP软件向各个Vlan加入，会引起大量的STP的重新计算，引起网络抖动，CPU占用升高。本期所有接入层交换机的所有端口都将设置BPDU Guard功能，一旦从某端口接收到恶意用户发来的STP BPDU，则禁止此端口。（三）防止ARP表的攻击的有效手段本项目大量使用了三层交换机，在发送数据前其工作方式同路由器一样先查找ARP，找到目的端的MAC地址，再把信息发往目的。很多病毒可以向三层交换机发一个冒充的ARP，将目的端的IP地址和恶意用户主机的MAC对应，因此发往目的端的包就会发往恶意用户，以此实现包窃听。在Host上配置静态ARP是一种防止方式，但是有管理负担加重，

21、维护困难，并当通信双方经常更换时，几乎不能及时更新。本期所使用的所有三层交换机都支持动态ARP Inspection功能，可动态识别DHCP，记忆MAC地址和IP地址的正确对应关系，有效防止ARP的欺骗。实际配置中，主要配置对Server和网络设备实施的ARP欺骗，也可静态人为设定，由于数量不多，管理也较简单。防止DHCP相关攻击本项目中的楼层网段会采用DHCP Server服务器提供用户端地址，但是却面临着几种与DHCP服务相关的攻击方式，它们是：DHCP Server 冒用：当某一个恶意用户再同一网段内也放一个DHCP 服务器时，PC很容易得到这个DHCP server的分配的IP地址而导

22、致不能上网。恶意客户端发起大量DHCP请求的DDos 攻击：恶意客户端发起大量DHCP请求的DDos 攻击，则会使DHCP Server性能耗尽、CPU利用率升高。恶意客户端伪造大量的MAC地址恶意耗尽IP地址池应采用如下技术应对以上常见攻击：防DHCP Server 冒用：此次新采购的用户端接入交换机应当支持DHCP Snooping VACL, 只允许指定DHCP Server的服务通过，其它的DHCP Server的服务不能通过Switch。防止恶意客户端发起大量DHCP请求的DDos 攻击：此次新采购的用户端接入交换机应当支持对DHCP请求作流量限速，防止恶意客户端发起大量DHCP请求

23、的DDos 攻击，防止DHCP Server的CPU利用率升高。恶意客户端伪造大量的MAC地址恶意耗尽IP地址池：此次新采购的用户端接入交换机应当支持DHCP option 82 字段插入，可以截断客户端DHCP的请求，插入交换机的标识、接口的标识等发送给DHCP Server；另外DHCP服务软件应支持针对此标识来的请求进行限量的IP地址分配，或者其它附加的安全分配策略和条件。网络级安全网络级安全是网络基础设施在提供连通性服务的基础上所增值的安全服务，在网络平台上直接实现这些安全功能比采用独立的物理主机实现具有更为强的灵活性、更好的性能和更方便的管理。在本次数据中心的设计范围内主要是访问控制

24、和隔离。从全网看，集团网络、各地机构广域网、互联网、内部楼层、内部数据中心等都是具备明显不同安全要求的网络，按边界保护部署规则，都需要有防火墙进行隔离。本文档仅讨论数据中心部分内部的防火墙安全控制设计。防火墙规划 园区安全域的划分需要建立在对园区应用业务的分析基础之上，本项目主要有两个区域设计（分别是办公人员互联网区和外链区）；设计具体原则如下：同一业务一定要在一个安全域内有必要进行安全审计和访问控制的区域必须使用安全域划分需要进行虚拟机迁移的虚拟主机要在一个安全域中划分不宜过细，安全等级一致的业务可以在安全域上进行归并，建议一期不超过5个安全域 在每个区域的防火墙角色功能不尽相同，如本项目办

25、公区域互联网区主要是承担内外网安全隔离问题，那么在外联区域除了内外防护问题外还承担着办公人员出差拨入的服务器功能即SSL VPN ；根据办公人员出差比例本期项目初步规划使用思科下一代防火墙ASA5525 提供最多750条 SSL VPN 隧道。防火墙部署设计 各个安全域的流量既需要互访、又必须经过严格的访问控制和隔离，而且还要保证设备可靠性；故本项目每个区的一对防火墙可以利用思科cluster技术将多台逻辑上形成一台。整体上 也提高了防火墙性能。 同样我们此系列防火墙支持虚拟化技术，这里的虚拟防火墙功能是指物理的防火墙可以被虚拟的划分为多个独立的防火墙。每个虚拟防火墙有完全独立的配置界面、策略

26、执行、策略显示等等，所有操作就象在一个单独的防火墙那样。而且虚拟防火墙还应当具有独立的可由管理员分配的资源，比如连接数、内存数、策略数、带宽等等，防止一个虚拟防火墙由于病毒或其它意外而过多占用资源。仅仅用VLAN一类的技术划分防火墙是无法起到策略独立性和资源独立性的目的的，不属于这里所指的虚拟防火墙。 虚拟防火墙还应当配合虚拟三层交换机来使用。每一个安全域可能内部存在多个IP子网，它们之间需要有三层交换机进行路由。但不同安全域之间这样的路由不应当被混同在一个路由表中，而应当每个安全域有自己的路由表，可以配置自己的静态和动态路由协议，就好像有自己独立使用的一个路由器一样。不同安全域相互之间仅通过

27、虚拟防火墙互相连接。最终应当达到虚拟化数据交换中心的使用效果。即交换机的任何物理端口或VLAN端口都能够充当防火墙端口，同时每个安全域有自己独立虚拟路由器，自己独立的路由表和独立的动态路由协议。每个安全域对应有一个自己专用的虚拟防火墙，每个虚拟防火墙拥有独立的管理员权限定义安全策略和使用资源。不同安全域的管理员只负责本区域虚拟防火墙的策略控制管理，而不用关心其它虚拟防火墙的配置工作，避免了单一区域安全策略配置错误而对其它区域可能造成的影响，从根本上简化大型数据中心管理维护的难度。防火墙策略设计不同安全域之间的访问控制策略由于虚拟化设计而只需考虑各个安全域内出方向策略和入方向策略即可。建议初始策

28、略依据如下原则设定，然后根据业务需求不断调整：出方向上不进行策略限制，全部打开入方向上按“最小授权原则”打开必要的服务允许发自内部地址的双方向的ICMP，但对ICMP进行应用检查（Inspect）允许发自内部地址的Trace Route，便于网络诊断关闭双方向的TCP Seq Randomization，在数据中心内的防火墙可以去除该功能以提高转发效率减少或者不进行NAT，保证数据中心内的地址透明性，便于ACE提供服务关闭nat-control（此为默认），关闭xlate记录，以保证并发连接数对每个虚拟防火墙的资源进行最大限定：总连接数，策略数，吞吐量基于每个虚拟防火墙设定最大未完成连接数（E

29、mbryonic Connection），将来升级到定义每客户端的最大未完成连接数防火墙性能和扩展性设计本期项目建议采用的防火墙模块是具有3Gbps吞吐量、75万并发连接数、每秒3万新建连接数能力的高端防火墙系统。 在园区大数据量交互中，最占据防火墙处理开销的不是黑客攻击、越权访问等这些被拒绝的流，而是存储、备份、文件传输、虚拟机映像加载、内存同步等等大带宽消耗的正常应用的可信任流，它们的特点是在持续稳定的TCP连接或UDP会话中以最大的可传送能力（Best Effort）进行数据传送，往往可以侵占巨大的带宽，传统的防火墙对这类流量都会逐包进行检查处理，将导致防火墙内部处理的拥塞。思科的新一代

30、防火墙模块可以实现“借用”交换机的资源提高防火墙模块自身的吞吐性能。实际上防火墙可以对一个流的前几个包进行处理，当得到这个流是可以通过的信任流的结论后，将这个流的特征提取出来送给交换机，交换机就用这个特征对流的后续包进行识别和处理，相当于这个流的后续部分交给交换机来完成了，这样交换机的资源和防火墙的资源实现真正的融合，大大提高的安全访问控制的处理速度，以前单个防火墙模块可以实现实测的5Gbps的吞吐量，而在使用资源整合技术之后，这个数值实测已经达到32Gbps，而且可以软件升级到300Gbps以上的防火墙模块。这正是面向服务的数据中心对资源整合化的典型技术实现，也为客户带来的资源融合的益处。

31、我们在全球多个大型数据中心的实际使用环境中通过调查发现，除去这些“可信任流”，其余流量使用防火墙本身的5Gbps处理能力都是绰绰有余的，因此在本项目中一期工程中即使不采用双活的智能服务机箱，也足以保证防火墙环节的无瓶颈。未来还可以通过2个防火墙模块的双活，甚至使用虚拟ACE实现4个防火墙模块的双向负载均衡。网络的智能主动防御传统的不停的打补丁和进行特征码升级的被动防御手段已经无法适应安全防御的要求，必须由网络主动的智能的感知网络中的行为和事件，在发生严重后果之前及时通知安全网络管理人员，甚至直接联动相关的安全设备，进行提早措施，才能有效减缓危害。要实现这种智能的主动防御系统，需要网络中进行如下

32、部署：对桌面用户的接入进行感知和相应措施对桌面用户的行为进行分析和感知对全网安全事件、流量和拓扑进行智能的分析、关联和感知对各种信息进行综合分析然后进行准确的报告在报告的同时进行网络的联动以提早抑制威胁以上整个过程需要多个产品进行部署才能实现。以下对这些产品的部署进行简述。网络准入控制网络准入控制技术Network Access Control（NAC），就是一种由网络智能对终端进行感知，而判断其威胁性，从而减少由终端发起的攻击的一种技术。NAC类似于前面提到的身份识别安全接入控制技术，只不过它对主机、网络设备等接入的判别标准不仅仅是基于用户身份的，而是基于该设备的“网络健康状态”。NAC允许

33、各机构实施主机补救策略，将不符合安全策略要求及可疑的系统放置到隔离环境中（比如一个特定的专用于软件升级的VLAN），限制或禁止其访问生产网络，等威胁消除后，再回到生产网络。通过将端点安全状态信息与网络准入控制的执行标准结合在一起， NAC使各机构能够大幅度提高其计算基础设施的安全性。在实施的准入控制，需要能够实现以下要求：一体化的准入控制：不仅仅是有线端的准入控制，而且要实现包括无线、VPN接入在内的准入控制，而且应当是统一的一个系统下的准入控制，这就需要以太网交换机、无线AP设备、无线控制器、VPN集中器都可以支持统一的准入控制；支持多种准入控制形式：包括能够支持基于Infrastructu

34、re的准入控制，比如对于有线局域网、无线局域网可基于实现IEEE 802.1x和动态VLAN的准入控制，对于路由器、防火墙、VPN集中器等等可实施基于过滤机制的准入控制，也可以支持基于网络专用设备的准入控制，比如对于网络交换机、路由器是由不同厂商品牌设备构成的异构网络也可以实施基于专用在线设备的准入控制；与身份标识相结合：准入控制机制应当与身份标识是一体化的，不同身份标识的用户可以有相应的准入控制策略，即对身份的识别和对健康的检查可以进行联系；独立对客户机健康状态进行评估：能够结合其它病毒厂商软件进行安全状态检查，更可以独立对客户端行为进行检查，包括操作系统补丁、病毒软件版本等，还应当包括检查

35、注册表可疑记录、非法修改等等，能够通过对客户机状态进行深度判断，而基本上脱离复杂的第三方厂商病毒软件的部署而独立对健康状态进行准确评估。提供自动修复：准入控制系统应包括提供在线的自动修复能力，包括各种策略的软件分发和链接推送等。能够发现和自动识别打印机、IP电话等非常规NAC客户端本期将主要以数据中心的建设为主，建议在以后的楼层接入的完善化建设中考虑对桌面的准入控制解决方案。桌面安全管理准入控制是一种网络对接入主机的智能判断，但一般只能在接入的瞬间进行检查和动作，用户在接入后进行的操作、收发的信息，准入控制系统不再干预。而网络各种病毒、蠕虫和黑客软件的泛滥与每个客户机本身的上网行为是分不开的。

36、一个大型企业网的管理员无法真正控制用户端的行为，是网络变得脆弱和事故频发的主要祸首，也是管理员最头痛的问题。随着将来IT业务的深化发展，需要这样的桌面安全管理软件基于行为特征来保护终端的技术。客户端软件是基于行为而不是基于特征码标记的，即不管这个病毒是不是我识别库里的，只要其行为危害了系统，就可以被阻止，客户端软件看行为进行专家级的分析，这样可以减少频繁的对客户端软件的升级，更重要的是能够防止终端免受所谓“零日攻击”，即那些还未被人们所了解的病毒、蠕虫、间谍软件、恶意代码以及最新的变种的危害，另外还能基于应用程序、行为实施各种安全策略，对用户本人进行的有意或无意的系统危害进行管理和控制。具体应

37、当有如下功能：识别恶意或无意的不安全行为：对各种威胁行为，比如不支持的注册表修改、不正常的内存访问、收到对本机端口不正常的扫描、对邮件系统不正常的后台调用等等，无论是病毒还是用户有意或无意造成的，都可以即时提示用户进行阻止，也可以不提示用户，而是作为一条Log信息报告给后台的安全智能网管。自动统计PC上安装了哪些应用程序：能统计客户机器上都安装了哪些应用程序，以及安装的版本。如是否安装了BT等软件。然后向后台安全智能网管报告。调查应用程序的运行情况：能统计哪些应用程序在运行，并生成相应的报表报告给后台智能网管。禁止安装和运行管理员指定的应用程序：能够禁止客户机安装和运行不符合公司策略的应用程序

38、，比如BT，钓鱼软件等。保护敏感数据，不允许复制、拷贝：被保护的文件可以打开阅读，但是不能复制，无论是复制文件或文件夹，都不允许，也不能从文件中拷贝、粘贴内容出来，所以是非常好的防止机密信息泄漏的方法。禁用USB等移动设备：USB、光驱等各种可移动设备，常常是引入病毒、风险的入口。客户端管理软件应当可以设定不允许特定的客户机上的这些设备，或者只能看设备上有什么内容，但是不允许读。只有当管理员授权时，才能使用和访问。统计并能够控制应用程序对网络使用：可以统计应用程序对网络的使用情况，提供对应用程序使用网络的控制，比如可以让制订应用的IP包打上QoS标记，禁止访问指定的网段，禁止邮件附带机密文件等

39、等。能够和准入控制相结合：能够和准入控制无缝结合，比如准入控制对终端健康的识别包括了是否安装了客户端安全管理软件，是否制订了相应安全级别的策略；反过来，客户端安全管理软件也可以根据准入控制的结果（是隔离还是已被允许进入网络）来提供不同的安全保护策略。中央集中控管：客户端管理软件由中心进行软件分发，由中心网管进行统一策略设置、维护和升级，集中控管，维护简单。后台报警、报表：所有以上功能都即时跳出窗口，让用户了解安全威胁，询问用户是否阻止，也可以让用户在使用时完全无知，而把详细的使用情况报表、报警等通过后台传送给集中控管的智能安全网管控制台，使管理员对整个用户网络使用情况一目了然，而提早采取措施。

40、以上的功能由一个集中控管的服务器端管理软件和分布在各个用户主机上的客户端软件构成。通过中心策略设置，将客户端软件分发到各个客户端主机，将工作模式设为后台告警和报表模式，减少对前端用户正常工作的干扰，而让管理员了解所有计算机的安全运作情况，再根据这些信息确定安全预防措施。建议在以后逐步实施的楼层网络优化和改造项目中再实施类似对客户端桌面的管理和控制。智能的监控、分析和威胁响应系统已经部署、而且还将部署大量的各种安全设备，它们的使用都需要人来去参与，这形成了巨大的安全管理挑战。当一个常见的蠕虫早期发生时，相关的网络设备、防火墙、IDS/IPS都会有异常记录产生，而这些都会淹没数以万计的日志和告警之

41、中，管理员很难发现，往往等待其爆发、形成损失再去调查。而即使我们能够把爆发过程所有信息都拿到，也难以从如此多的设备、如此多的记录中分析其爆发的源头。网管中心需要一个智能的安全管理系统，它应当象一个精通所有网络安全设施的专家，由他来帮助我们进行早期预警、源头跟踪、措施建议等等。安全监控、分析和威胁响应系统”（Monitor, Analysis and Response System，MARS）具体应当包括这样的功能：监控安全设备：MARS系统能够监控所有安全设备形成了日志、记录和告警，进行收集；监控网络拓扑形态：MARS系统能够了解整个网络拓扑、设备类型和路由表、地址表等等信息；监控网络流量：M

42、ARS系统能够监控网络中的各种流量，比如某个特定TCP/UDP端口号的流量变化，能够采集设备的Netflow 信息，进行统计、形成日常基线，从而能够识别异常流量；监控网络设备：MARS系统能够监控各种厂商的网络设备的记录，包括路由器、交换机、VPN设备、NAT等等；统一进行分析功能：MARS把以上的所有监控信息统一进行分析，特别是和网络的拓扑和异常流量相关联，从而将各种看似分离的事件相关联，把各种重复的、错误的报告删除，最后把浩如烟海的问题报告浓缩成少量的安全事故报告，供管理员参考。往往数十万个告警最后仅剩下十几个高中低不同优先级的事故报告。形象的呈现：最后的事故报告可以向管理员清晰的描述攻击

43、的源、路径、目标，攻击次数等等，并且在网络拓扑图中将上述信息标识处理，供管理员参考。智能专家建议：根据发生的安全事故，MARS可以向管理员进行智能建议，比如对拓扑和路径智能分析后告诉管理员应在何处最佳位置进行过滤，过滤应采用的访问控制列表的具体命令等等。远程修复：通常MARS可以自动形成多个措施建议，供管理员选择，一旦管理员同意某个措施，这个措施，比如写一个访问控制列表或关闭一个端口，就会自动被发向目标设备，自动完成修复。兼容各厂商设备：MARS应当可以对各个主流网络设备厂商、安全设备厂商的设备都能予以支持，对于少量非主流的厂商设备MARS可以经过简单的定制予以支持。MARS必须有别于上一代的

44、安全信息管理系统（SIMS），需要增强如下功能：信息收集和关联的方式：MARS监控的内容不仅仅是安全设备的记录，还包括网络的拓扑和流量信息，把这些与安全事件相关联所进行的判断更准确；信息报告的方式：MARS可以显示整个网络的拓扑，能够把攻击形象的标识在拓扑图上，管理员可以清晰的掌握网络安全威胁波及的源头和范围，从而主动的进行防御；修复的智能化和自动化：MARS可以直接建议安全措施，甚至将安全措施具体表现在命令一级，管理员只需要按一个按钮，就直接进行远程设置和修复。建议将来在考虑全局网络运营管理时应部署MARS系统，而且在部署MARS时应同时部署与MARS兼容的网络状态监控设施，这些设施包括ID

45、S/IPS、防火墙、网络设备、流量监控设备等。建议在未来部署网络状态监控设施时应当考虑如下部署原则，以保证MARS系统作用的充分实现：IDS/IPS要求：作为MARS信息的主要来源，的楼层局域网应部署硬件IDS以监控核心局域网，一二级网络之间应部署硬件IDS以监控国家级主干和省级的接入，IDS应当为内置或至少1G连接带宽的外部IDS；广域网的接入路由器应支持内置或外部IPS，但要保证一定性能。防火墙要求：按前面安全域隔离方案部署防火墙，防火墙应有完整Log记录和NAT记录，能够和MARS兼容。（目前推进的数据中心防火墙方案满足此要求）网络设备要求：网络主干设备应当具有硬件化的流量华能芯片或模块

46、，能够支持Netflow硬件化采集，并能够在万兆核心交换板卡上提供1：1的取样（Sampling）能力。网络设备还应当对主要的安全事件（如ACL过滤、NAT等）提供Log和审计。（目前Nexus 9000完全满足此要求）兼容性要求：主要网络设备（IDS、防火墙、中高档路由器和交换机等）应当能与MARS系统兼容，其监控信息报告无须定制即可被MARS系统直接使用，也可以接受MARS系统的控制以实现安全响应。对于其它少量不兼容设备，MARS系统应可以支持通过定制化方式监控和管理。（目前Cisco设备、主流国外厂商设备可以满足此要求，国内厂商设备需要定制）分布式威胁抑制系统已通过广域网连接远程分支机构

47、，对于这样多点分布式的网络，就更难于在中心总部来控制远程各点的安全接入，而广域网对于蠕虫、病毒等威胁又更敏感，只有一种病毒爆发，广域网线路就可轻易被塞满，公司领导的视频会议、乃至各类业务都将无法正常传输。必须考虑在分布的各个广域网点都进行有力的遏制，即实现“分布式威胁抑制”。在各地孤立的部署防火墙和IDS/IPS是一种解决办法，但会有管理、成本和性能功能相互矛盾的问题，即要有效的抑制，就需要在各地有较完善的IDS/IPS和防火墙系统，但管理难度、成本将非常高。可以考虑形成以MARS系统为管理核心、各个网络设备内置安全防御系统的分布式威胁抑制系统。 其主要实现特征如下：管理：在中心使用MARS系

48、统，可以管到所有分布在地方节点的安全设施，而且MARS的拓扑发现、报警收集、事件分析报告、直观的威胁路径图形、远程自动修补等等的功能，可以保证分散的安全设施的有效管理；成本：MARS可以配合内置有IPS、防火墙功能的路由器，可以节省单独购买IPS、防火墙系统的经费；性能和功能：这是MARS分布式攻击抑制解决方案的核心。网络设备内置有IPS、防火墙等功能，如果通过软件由CPU来完成，其性能和功能肯定不具备实用性，如果内置专门的IDS/IPS硬件模块，则对大规模的分散节点将形成极高的成本投入，而MARS是这样解决这个矛盾的：通过路由器软件完成的IPS会有性能和功能问题的主要原因是IPS是基于状态的

49、特征码识别系统，需要在高速数据流中提取特定识别信息，与一个巨大的病毒特征码数据库进行匹配。如果由CPU去完成，其性能可想而知。因此内置的软件IPS功能只能开启很少的特征识别码。实际上一个企业在一段时期内只会被一种或少数病毒所困扰，不可能在一个网络中同时发生着历史跨度极大的数百种病毒，因此路由器对每个数据包逐一去匹配一个完整的病毒特征数据库是没有必要的。放在省级节点的MARS可以具有这样的功能，就是它从本地网络中心的硬件IDS/IPS中探知当前正在发作的几种病毒，然后将其特征码收集后推送到各下级单位节点的路由器上，这些路由器的IPS仅仅装载这几种特征码，然后进行高效率的识别匹配，这种按需进行匹配

50、的IPS可以成功的解决低端路由器病毒过滤的性能问题，而且还自动完成了特征码的升级和维护。MARS系统为中心的分布式威胁抑制系统要求：中心总部配置MARS系统中心总部配置高性能的硬件IDS/IPS模块或单元设备分布在各个下属单位的中低端路由器支持内置IDS/IPS功能（软件硬件皆可），并与MARS特征码推送功能兼容建议在未来实现全国网络规划改造时，可以考虑实施这种经济简单同时又能最大限度的保证广域网线路稳定可靠的远程分布式威胁抑制解决方案。网络安全设备选型Cisco ASA 5545-X 防火墙Cisco ASA 5500-X 系列下一代防火墙集成了全球最成熟的状态检测防火墙与下一代防火墙服务综

51、合套件，适用于 各种规模的网络，从拥有一个或多个办公场所的中小型企业到大型企业、运营商，再到任务关键型数据中心，均可 使用。Cisco ASA 5500-X 系列下一代防火墙可提供 MultiScale 性能，具有行业领先的服务灵活性、模块化可扩展 性、功能可扩展性，以及较低的部署和运营成本。 功能和优势 Cisco ASA 5500-X 系列下一代防火墙既能满足小型办公室对网络、预算和性能的需求，又能提供企业级安全强 度。此产品系列具有多种规格，所有型号都提供高级别安全保护，可与世界上一些规模最大、最具安全意识的公 司的网络安全级别相媲美。它们还提供下一代防火墙服务，如思科应用可视性与可控性

52、、网络安全、僵尸网络过 滤和入侵防御，因此，您可以在不影响安全性的前提下使用新应用和新设备。 适用于小型办公室和分支机构的 Cisco ASA 5500-X 系列下一代防火墙，可通过以下功能保护关键资产： 出色的下一代防火墙服务，为企业安全地利用新应用和新设备提供所需的可视性与可控性 思科应用可视性与可控性 (AVC)，控制所允许微应用内的特定行为 思科网络安全基本版 (WSE)，根据网站的信誉限制网络和网络应用的使用 广泛而深入的网络安全服务，通过一系列基于云和基于软件的集成下一代防火墙服务提供，这些防火墙服务 以思科安全智能运营中心 (SIO) 为后盾 高效的入侵防御系统 (IPS)，通过

53、思科全球互联提供 高性能 VPN 和无间断远程访问 能够快速轻松地启用更多安全服务，响应不断变化的需求 Cisco ASA 5500-X 系列下一代防火墙将业界部署最广泛的状态检测防火墙与下 一代网络安全服务综合套件相结合，可提供不打折扣的全面安全性。这些产品提供多种安全服务和冗余电源，并能 够在组织内实现一致的安全实施。除了全面的状态检测防火墙功能，可选功能还包括基于云和基于软件的集成安全 服务，如思科应用可视性与可控性 (AVC)、思科网络安全基本版 (WSE)、思科云网络安全 (CWS) 和 IPS。思科下一 代防火墙由 Cisco Prime 安全管理器管理。这些型号不仅在硬件平台上具

54、有不同的性能和吞吐量，而且各个型号所 支持的服务和用户数量也各不相同。根据客户要求和性能需求，可部署到小型办公室、互联网边缘，甚至数据中心 等位置。此系列的下一代防火墙与其他 ASA 系列防火墙均基于相同的成熟安全平台而构建，可以提供出色的应用可视性与 可控性，以及卓越的性能和运营效率。这些防火墙提供的下一代服务让您可以在不影响安全性的前提下，使用新应 用和新设备。不同于其他防火墙，Cisco ASA 5500-X 系列可将本地流量的可视性与深入的全球网络智能相结合， 提供端到端网络智能，以满足快速发展的需求。Cisco ASA 5500-X 系列由以下技术和服务提供支持： Cisco Tru

55、stSec 技术 具备独特的移动客户端洞察力的 Cisco AnyConnect 安全移动解决方案 可提供近实时威胁信息和主动防护的 Cisco SIO Cisco ASA 下一代防火墙服务Cisco FirePOWER增强服务具备 FirePOWER 服务的 Cisco ASA 将独特的、注重威胁防护的下一代安全服务带到 Cisco ASA 5500-X 系列下一 代防火墙及 Cisco ASA 5585-X 自适应安全设备防火墙之中。它可针对已知的高级威胁提供综合防护，包括对针对性 恶意软件攻击与持续性恶意软件攻击的防护（图 1）。具备 FirePOWER 服务的 Cisco ASA 具有

56、以下综合功能： Cisco ASA 是全世界部署最为广泛的企业级状态化防火墙，具有远程接入 VPN 及高级群集功能，可实现高度 安全性、高性能接入及高可用性，确保业务连续性。 精细的应用可视性与控制 (AVC) 支持超过 3,000 项基于应用层和风险的控制，这些控制可调用定制的入侵防 御系统 (IPS) 威胁检测策略，从而优化安全效力。 业内领先的具备 FirePOWER 下一代 IPS (NGIPS) 的 Cisco ASA 可提供高效的威胁防护以及对用户、基础设 施、应用及内容的完全情景感知，从而能够检测多途径威胁并实现防御响应的自动化。 基于信誉和类别的 URL 过滤功能可提供针对可疑

57、网络流量的综合报警和控制功能，并可对超过 80 个种类中 的数亿个 URL 执行策略。 高级恶意软件防护可提供业内领先的漏洞检测效力、低总拥有成本及一流的保护价值，从而帮助您发现、了 解并制止其他安全层遗漏的恶意软件和新兴威胁。前所未有的网络可视性 具备 FirePOWER 服务的 Cisco ASA 由 Cisco FireSIGHT 管理中心进行集中管理。Cisco FireSIGHT 管理中心可为 安全团队提供对网络中活动的全面可视性与可控性。此类可视性包括用户、设备、虚拟机之间的通信、漏洞、威胁、 客户端应用、文件和网站。整体的可执行危害表现 (IoC) 与详细的网络和终端设备事件信息

58、相关联，可提供针对恶意 软件感染的进一步可视性。 Cisco FireSIGHT 管理中心还可提供包含恶意软件文件轨迹的内容感知功能，可帮助确定感染范围并确定根本原因， 从而加快补救速度。 思科安全管理器可提供可扩展的集中网络运营工作流管理。该管理器集成了一整套强大的功能，包括策略和对象管 理、事件管理、报告以及针对 Cisco ASA 防火墙功能的故障排除。对于小规模的简单部署而言，思科自适应安全设 备管理器 (ASDM) 可用于提供设备上的基于 GUI 的防火墙网络运营管理。 通过对整个 NGFW 部署无可匹敌的可视性与可控性，思科的企业级管理工具可帮助管理员降低复杂性。Cisco Fir

59、eSIGHT 管理中心：直观的概括性控制面板和详细的细分控制面板更低的成本和复杂性 具备 FirePOWER 服务的 Cisco ASA 采用集成的防范进行威胁防御，从而降低了资本和运营成本以及管理复杂性。 它可以流畅地与现有 IT 环境、工作流和网络交换矩阵相集成。以特定目的而设计的系列设备具有高度可扩展性，最 高速度可达多千兆，并能在物理和虚拟环境中的分支机构、互联网边缘和数据中心之间实现统一、强劲的安全防护。 借助 Cisco FireSIGHT 管理中心，管理员可简化运营，以关联威胁、评估其影响、自动化调整安全策略并轻松地将 用户身份归于安全事件。Cisco FireSIGHT 管理中心可持续监控网络的实时变化。它能够自动评估新威胁，以确定哪 些威胁会对您的企业造成影响。然后，它能够重点围绕补救做出响应，并根据变化的状况改变网络防御措施。它还 能自动执行策略调整等关键安全活动，为您节省时间和精力，并确保