免疫网络解决方案

中国诚通集团免疫网络解决方案第10页免疫网络解决方案方案提供：北京欣全向科技有限公司

目录前言 2第一章 现状与需求分析 3第二章 方案设计原理 4一、实用性与先进性 4二、开放性与标准化 5三、可靠性与安全性 5四、经济性和扩充性 5第三章 方案说明 5一、 方案选型 5二、 方案拓扑结构 6三、 免疫网络解决方案的组成 6四、 方案详细描述 74.1方案部署描述 74.2方案实施后对现有网络的改善 74.3方案实施后对企业的价值体现 9第四章方案报价和售后服务前言二十世纪末，“信息革命”引发全球范围内科学技术的日常生活的深刻变革。随着网络技术的突飞猛进，电脑和互联网的广泛应用，单位内部网络规模日益庞大，网络拓扑结构日趋复杂，网络安全性要求也变得越来越高，这使得网络管理和网络安全问题开始逐渐重要起来，日益引起网络管理人员、单位领导、甚至政府的高度重视。怎样保证网络的安全和业务安全呢？首先要有一个可靠的网络，其次就是要有强有力的网络管理和网络安全手段。目前许多网络管理员凭借自己的学识和经验进行网络和安全和管理，但随着单位网络规模的日益壮大，这种管理方法已经不能适应当前的需求。因此，我们必须借助一些完整的技术方案对整个网络进行安全管理。网络无处不在，并且随着科技的发展、建设投入的加大，越来越深入到每一个人的生活、工作、学习、娱乐等活动中。网络如同一把双刃剑，给我们提供各种便利和帮助的同时，也给我们自身的网络安全带来挑战。用得好将大大方便于我们的各种需求，用得不好，也可能给自己带来安全的隐患。我们需要在充分利用网络便利性的同时，又要保证自身的网络和信息安全。在讨论网络安全管理时，我们将网络分为内网和外网两个部分，其中外网又包括国际互联网和与本单位相联的外单位相联的外单位网络。通常情况下，在各网络之间，我们通常采用诸如firewall过滤、CA认证、VPN加密或隔离卡物理隔离等安全技术措施来防范“黑客”的攻击。而内网的安全性问题，较上述内外网间的安全性问题，更为复杂棘手。IT象一把锐利的武器，运用得当使使用者获利，运用不当会让使用者业务流失。而IT应用管理中的“效率”与“效益”仍是永远的主题，也只有抓住这个核心，才能在管理思想层出不穷的今天实现形式和内容的完美结合。随着网络规模的不断扩大，所应用服务的日益增多，以及对Internet应用需求的与日俱增，在网络信息化安全管理方面，针对交换网络的安全管理提出了更多的实在而迫切的要求。在目前复杂的网络环境中，由老三样（防火墙、入侵监测和病毒防范）为主要构成的传统信息安全系统，是以防外为重点，而与目前信息安全主要“威胁”源自内部的实际状况不相符合。内部容易产生问题的根本就是交换网络不可管不可控，那么真正可以实现企业信息化建设前提就是让交换网络变的可管可控。现状与需求分析公司的大部分业务都依赖于网络，所以一直非常重视网络信息的安全管理与运作。但是在信息化应用多样化的现阶段，对网络依赖非常高的一个信息网络，网络安全存在一块很大的空白，就是针对交换网络的安全和管理。由于目前没有在交换网络上去做安全管控，因此对企业产生了一些“致命”的安全隐患隐患：缺乏完整的内部安全防护体系。一个大型计算机网络的整体安全体系包括网络边界安全、网络内部安全和人为因素等多个方面，通过在网络边界部署接入控制、入侵检测等系统可以有效地将内部网络与外部网络进行隔绝。但是对内而言还处于基本不设防的状况，内部安全管理工作缺乏有效的技术手段。内网基层设施齐全，但是缺少统一管理机制和实现统一管理的方案，不能及时发现网络中存在的问题，更不能监控到网络的使用情况，带宽的使用情况。在出现带宽堵塞的情况下，（如：病毒爆发或其中的一台终端机中毒，发出大量的TCP和UDP的数据包），大量的异常网络流量全部会聚到核心层交换机，但因地理位置等原因管理人员无法即时控制病毒的蔓延，从而导致网络工程师们在出现问题时来不及补救，使整个网络系统成瘫痪状态。导致公司的重要业务平台无法使用，造成重大的经济损失！网络安全管理的基础工作较薄弱，各类网络基础信息采集不全。大型计算机网络的管理应该以基础网络的管理为核心，信息管理中心如果对所管辖网络的用户状况难以掌握的话，对整个网络的管理工作也就无从谈起，在发生网络违规事件时也很难及时将问题定位到具体的用户。依靠IP地址作为网络上的身份标识，很容易造成混乱。IP地址是网络连接协议TCP/IP的基础，是一个逻辑地址，可以任意更改。如果身份相同导致了冲突的现象，造成无法正常使用网络连接，就会影响正常业务工作的开展。难以监控外来用户的计算机接入内网。内网的计算机，应该是专门用于完成业务工作且经过认可的计算机。但是存在着用户利用这些计算机设备进行其他活动，或使用未经确认许可的计算机接入内网的可能性，管理人员对这些情况难以进行监视和控制。网管人员缺少利器，出现问题很多情况下都需要利用传统手段去排查，即使查到又缺乏技术手段去控制，所以效率和业绩都会大打折扣依赖共享的局域网，毫无隐私可谈，企业聊天、网银交易、邮件收发、等内容，在局域网里可以被任意一个终端所嗅探窃取，企业利益将受重创。上述隐患的存在，可能会造成机密信息外泄、影响正常业务进行等多种严重的后果。究其根本原因，是交换网络的不可管不可控。因此，建立一整完整的交换网络安全管理手段，对于提高全网的安全性和稳定可靠性具有重要意义。需求：对以太网通信协议进行深入管理：发生在以太网2、3层的协议攻击，大量消耗网络设备资源，甚至导致网络设备瘫痪。无论多高性能的以太网设备，都不可能有效应付。所以首先要保证对协议进行深入管理防止被攻击导致设备瘫痪。对网络成员进行严格身份控制：以IP、MAC为基础的网络身份，能够被轻易伪造和篡改，对网络安全和管理形成危害。所以要求有基因式的管理确定身份的唯一性，才可以保证网络稳定全网数据流量和流向的带宽管理：以太网是基于共享的网络，对数据通信的流量和流向没有做严格管理，网络的安全稳定不可控制。现有的带宽管理设备，多数是针对IP的带宽管理，而且部署在紧靠接入的位置，无法实现在交换网络内部，各终端和各节点之间精细的带宽管理。因此，交换网络内部依然充斥大量无效数据，降低网络通信效能。所以技术要求对每一台终端、服务器、交换机级联口、子网连接、接入网关、关键访问节点等进行带宽的管理，对他们之间的数据流量流向做设定。从而实现对网络传输全面化、精细化、智能化的管理，构造纯净的交换网络环境。全网实时中心监控：可以监控底层协议、终端身份、实时流量等网络信息并且能做到故障点精准定位，灵活的安全策略定制与分发：2、3层协议的管控力度、终端流量流向的设定、干预条件、执行方式等等，都可以按需进行设定和组合。全面的网络审计、统计和分析功能：对流量历史、访问记录、带宽使用效率、故障事件直至每一个IP的访问痕迹等，都进行完整的记录统计。调阅分析记录，可以帮助管理员对网络规划作出判断，作出合理有效的调整。保证企业重要业务平台能正常运行。禁止或只允许浏览的指定网站方案设计原理一、实用性与先进性在网络安全系统的设计中，首先要考虑的是实用性和易于操作性、易于管理和维护，易于操作人员掌握和学习使用。采用技术成熟的网络、通信技术和设备，同时要考虑对现有设备和资源的充分利用，保护原有投资。当前计算机技术发展迅速，新的设备不断涌现并趋于成熟，在满足实用性的基础上，起点要高，应尽量选用先进的技术及设备，将网络安全系统的技术水平定位在一个较高的层次上，以适应新世纪的需要。二、开放性与标准化在总体设计中，应采用开放式的结构，使网络易于扩充。使相对独立的分系统易于组合调整。当外界环境改变时，系统可不作修改或小量修改就能在新的环境下运行。选用的通信协议和设备要符合国际标准或工业标准，使网络的硬件环境、通讯环境、软件环境、操作平台之间的依赖减至最小，同时，要保证网络的互联，为信息的互通和应用创造有利的条件。三、可靠性与安全性系统安全可靠是整个系统建设的基础。整个系统要求有较高的可靠性，各级子系统应有相应的监督和管理能力，要适当考虑关键设备和线路的冗余，能够进行在线修复、更换和扩充。要确保系统和数据传输的正确性，以及异常情况所必须的保护性设施。四、经济性和扩充性IT信息中心系统的建设，要从经济性着眼，在完成系统目标的基础上，力争用最少的钱办最多的事。建成的系统必须具有良好的可扩充性和升级能力，为整个系统以后的发展打好基础。方案说明方案选型结合公司的网络情况，由于交换网络的不可管不可控，导致的网络问题只有免疫墙技术可以解决，此方案是唯一可以做到利用免疫墙技术把交换网络实现可管可控的最佳方案，是保障企业网络信息化建设稳定发展的有力技术后盾。方案拓扑结构免疫网络解决方案的组成免疫网络解决方案不是一个单独的产品，而是一套由软硬件、内网安全协议、安全策略构成的完整组件。主要组件包括：终端驱动：中间层驱动和CWALL，他负责为欲发送的数据包加入免疫标记，并计算校验和，重新封装；负责抓取本终端真实的物理信息，申告到运营中心；负责对网内的关键身份进行基因式绑定；负责免疫策略的执行；负责免疫通信协议的应答和策略接受，等等工作。接入网关：在接入和转发过程中，要核查每一个请求的发起者的免疫身份，并按照免疫策略的要求进行动作。在数据的收发过程中，要对发起和回复做数据请求和身份的一一核对，实现先天免疫。要与免疫墙服务器实时数据交互，对免疫策略做出反应。免疫墙服务器：免疫墙服务器由运行服务器、配置中心、监控中心、WEB服务器等组成。WEB服务器为非免疫身份成员提供免疫驱动下载安装，发送公告；配置中心维护安全策略并分发给各免疫单元；监控中心进行全网监控、显示、告警和允许人工干预，并形成日志审计和记录；运营中心24小时不间断统筹全网，指挥调度。免疫通信协议：由基于SSH的连接协议、基于TCP\UDP的心跳握手协议、数据接口协议等一整套协议组成。免疫通信协议是一个加密的协议，命令格式、内容、协议过程等都是不开放的，属于私有的协议。这是出自安全的需要。方案详细描述4.1方案部署描述部署方式极为灵活，无需改变公司的网络结构，在原有的网络结构上可以直接部署，首先接入层部署免疫墙网关，免疫墙网关支持nat、路由、桥、旁路等模式，内网的pc机和服务器可以执行强制自动安装免疫上网驱动，也可以根据特殊需求手动安装免疫上网驱动，控制方式可以直接通过web界面去管控，极为简单，完全人性化的操作界面，操作几遍就可以灵活掌握，便于网络管理人员管理。4.2方案实施后对现有网络的改善1、网络扩展性强，未来增加外线可以实现接入带宽汇聚，线路备援；采用第四代多WAN技术和身份绑定技术，全面进行接入部分的多线带宽汇聚，一台电脑上网同时使用多条接入线路带宽，互联网应用访问速度大幅提高。多条接入线路的策略使用使得当某一条线路出现问题时，能及时选择其它正常线路进行网络访问，网络带宽有了多条安全备援，接入稳定性大幅提高。2、全网终端（业务访问终端和公网访问终端）网络攻击防御和拦截（ITP）；对已知攻击验证有效的种类：ARP欺骗、ARP洪水、骷髅头、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDoS攻击、超大Ping包、格式错误数据、发包频率超标等等。3、全网终端免疫安全策略（IASP）执行，全面的深度防御做到源头抑制（DDSC）；基于二层、三层及四层的现有策略组合，能够根据协议行为的规范以及与接入网关、运营中心的联动，应付未知攻击或攻击组合，具有主动防御能力。通过对免疫四、安全策略的调整定制，还能够有效针应对未来的攻击；4、策略可灵活定制便于网管人员灵活管理：免疫安全策略、行为管理策略、访问控制策略、上网时间策略、流量管理策略、内网防火墙策略。网络接入部分、网络传输过程、终端电脑通过免疫安全协议全网设备安全联动（APC）；欣全向专有的内网安全协议，能够使接入网关、终端群、运营中心、监控中心等各种安全部件紧密配合，策略制定和策略下发、运行监控、异常通报、策略执行、人机互动等安全联动功能保证应对各种网络突发事件。5、网关接入部分ARP先天免疫(IIAA)，杜绝ARP攻击对网络接入设备的影响；

在网关NAT过程中融合ARP先天免疫，无需绑定IP-MAC，确保网络正常通信数据不受任何ARP欺骗攻击干扰破坏。这是欣全向接入网关的独有专利技术。终端ARP看守式绑定(HAAB)，保证了公网应用和业务电脑HIS系统等的稳定连通；

终端免疫驱动拦截ARP欺骗信息，从运营服务器获取正确的网关信息并执行看守式绑定，锁定真实网关。与网关配合能够探测并防范7种ARP攻击。6、基因式终端身份管理(RHIC)，杜绝内网身份伪造，保障公网和业务的身份可信；

通过对终端真实IP、物理MAC以及免疫封装，对每一台终端进行严格的基因式身份管理。有效解决私改IP上网、二级路由下的终端侦测和管理、IP-MAC完全克隆，对终端身份控制从系统到封包等其他方案解决不了或解决不彻底的问题。强制安装免疫驱动(IDIE)，公网访问强制安全驱动安装，保障终端安全；

终端除非被列入豁免名单，否则不安装免疫驱动就不能上网。驱动的安装过程完全自动化，免疫服务器提供下载，由终端用户一键完成。它是一套对系统安全的驱动，有微软认证和数字签名。7、分组策略(GP)，基于不同的分组进行安全策略和带宽策略的管理；

对全网终端实施分组管理，允许创建10个分组，可分别赋予不同的控制策略。策略实时调整、即时生效。8、全网监测评估(WNSM)，随时掌握公司网络状态、运行状况；

全网工作状况一目了然、尽收眼底。实时图表直观显示带宽的使用情况、终端详细信息、终端网络流量、网络异常报警信息、网关运行日志等。9、攻击源定位（取证）(NAD)，实时监控报警和历史日志记录相结合；

通过实时流量、报警信息、运行日志及各终端运行状态信息，实时了解网络异常原因，准确定位攻击源。10、内网终端集中控制(IHM)，细化到每一个终端的策略和网络访问管控；

网络维护人员可在监控中心的控制台灵活调整每台终端的安全策略，对异常终端可封锁其网卡通信。11、全网终端（业务访问终端和公网访问终端）流量控制和统计；可对内、外网的上、下载带