园区边界安全部署

日期：2007.07杭州华三通信技术有限公司H3C安全部署最佳部署解决方案目录企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署企业网整体安全部署Internet/WAN①端点准入防御 ②汇聚交换机安全 ③核心交换机集成安全④数据中心安全 ⑤外部服务器安全 ⑥安全管理中心⑦园区边界出口安全 ⑧专网分支机构安全 ⑨Internet分支机构安全

PrivateWAN③②

①

⑤⑦

④

⑧

⑨

⑩

⑥

①端点准入防御EAD

②汇聚交换机集成安全设备防攻击、SSH、SFTP、基于用户级别的管理、DHCPoption82安全特性、DHCPsnooping防止IP仿冒、DHCPsnooping防止ARP仿冒、Portsecurity实现MAC地址flooding防御、802.1x认证、STP边缘端口和bpdu保护、组播源抑制、端口环回检测、ARP限速汇聚交换机L3＋板和Xlog配合对园区进行流量分析

③核心交换机集成安全设备防攻击、SSH、SFTP、基于用户级别的管理、端口镜像、端口流量抑制、路由协议验证、SecBladeFW

④

数据中心安全ACL包过滤、ASPF状态防火墙、攻击防范（DoS、DDoS）、异常流量监控、深度检测、L4-L7层的安全、病毒防范、木马攻击防范、BT等业务管理、防火墙NSM板对数据中心流量进行分析及安全监控⑤外部服务器安全DMZ区、IPS深度检测防御、设备防攻击、SSH、SFTP

⑥管理中心安全SecCenter安全事件管理中心，XLOG日志中心⑦园区边界出口安全ACL访问控制、ASPF状态防火墙、防DDOS攻击、邮件内容过滤、拥塞管理、安全日志

防火墙NSM板对园区出口进行流量分析及安全监控

⑧专网分支机构安全L2TP、GRE、IPSec/IKE、L2TP/GREOverIPSec、IPSecOverL2TP/GRE

⑨Internet分支机构安全L2TP、GRE、IPSec/IKE、L2TP/GREOverIPSec、IPSecOverL2TP/GRE

企业网整体安全Internet/WANPrivateWAN③②

①

⑤⑦

④

⑧

⑨

⑩

⑥

H3C园区安全最佳部署对应解决方案局域网安全企业网安全数据中心安全终端安全远程用户安全分支机构安全园区出口安全安全局域网解决方案数据中心安全解决方案EAD解决方案综合VPN接入解决方案综合VPN接入解决方案边界安全解决方案安全管理智能安全管理解决方案虚拟安全服务/综合防病毒目录企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署不区分安全区域的园区网不区分信任域的园区网网络中的所有用户共在一个开放的网络环境中每个用户的接入控制单独完成内部、外部服务器，内网用户等不同安全级别的区域暴露在Internet等非信任区域下内部服务器外部服务器内网用户管理员InternetWAN/VPN安全区域划分安全区域划分方法：横向划分：将物理位置相近，并具有相同网络安全策略的安全资产划分进入同一个安全区域。安全区域划分安全区域划分方法：

纵向划分：根据网络业务和用户访问权限对具有相同访问需求的用户划分进入同一安全区域。目录企业整体安全部署园区边界之安全分区园区边界之安全网关部署园区边界之流量分析部署园区边界之病毒防护部署园区边界之日志管理部署在园区区网的的设计计中按按照区区域的的划分分会产产生多多个边边界网网络边界网网络的的定义义是园园区网网连接接到广广域网网/Internet等等外部部网络络的边边缘区区域通常对对于园园区的的边界界有以以下几几种定定义广域网网出口口公共服服务器器区域域分支结结构VPN远程用用户VPNPSTN拨拨号用用户Internet出出口园区网网络边边界定定义单设备备园区区出口口边界界安全全园区网网络Internet出口路路由器器(可选选)公共服服务器器路由器器/安安全全网关关/VPN网关关园区边边界设备MSR50/30/20AR28/46SecPath系列列单设备备园区区出口口边界界安全全园区网网络Internet出口路路由器器(可选选)公共服服务器器路由器器/安安全全网关关/VPN网关关园区边边界设备AR系系列MSR系列列SecPathF100VPN网关关IPSecVPNGREoverIPSecL2TPoverIPSecSSLVPNInternet出出口路路由器器L2TP/GRE/IPSecNATACL访问问控制制ASPF深度业业务监监控防病毒毒/防防DoS攻攻击SSH异常流流量监监控流量分分析监监控专业安安全设设备园园区出出口边边界安安全Internet公共服服务器器防火墙墙园区边边界VPN网关关出口路路由器器分支机机构VPN网关关移动用用户分支机机构IPS园区网网WAN专业安安全设设备园园区出出口边边界安安全总部VPN网关关SecPathV100-SSecPathV1000-A分支机机构VPN网关关SecPathV100-S防火墙墙SecPathF1000-SSecPathF1000-AIPSTippingPoint-50TippingPoint-200E出口路路由器器MSR50/30/20AR28/46流量监监控NSMNAMInternet公共服服务器器防火墙墙园区边边界VPN网关关出口路路由器器分支机机构VPN网关关移动用用户分支机机构IPS园区网网WAN专业安安全设设备园园区出出口边边界安安全部部署Internet公共服服务器器防火墙墙园区边边界VPN网关关出口路路由器器分支机机构VPN网关关分支机机构IPSInternet/WAN园区网网移动用用户VPN网关关IPSecVPNGREoverIPSecL2TPoverIPSecSSLVPN防火墙墙ACL访问问控制制ASFP状状态检检测防DoS攻攻击DMZ区NATIPS深度检检测防防御防病毒毒攻击击防DoS攻攻击防蠕虫虫病毒毒防木马马病毒毒出口路路由器器L2TP/GRE/IPSecNATACL访问问控制制ASPF深度业业务监监控防病毒毒/防防DoS攻攻击SSH异常流流量监监控流量分分析监监控Internet公共服服务器器防火墙墙园区边边界Internet出出口路由由器专网WAN

出口路路由器远程分支机机构专网分支机机构VPN网关关IPSIPSInternet/WAN移动用户园区网专业安全设设备园区出出口边界安安全部署总部VPN网关SecPathV1000-A分支机构VPN网关关SecPathV100-S防火墙SecPathF1800-ASecPathF1000-AIPSTippingPoint-400TippingPoint-1200ETippingPoint-2400E出口路由器器MSR50/30/20AR28/46流量监控NSMNAMInternet公共服务器器防火墙园区边界Internet出出口路由由器专网WAN

出口路路由器远程分支机机构专网分支机机构VPN网关关IPSIPSInternet/WAN移动用户园区网专业安全设设备园区出出口边界安安全部署Internet公共服务器器防火墙Internet出出口路由由器专网WAN

出口路路由器远程分支机机构专网分支机机构VPN网关关IPSIPSInternet/WAN移动用户园区网Internet出出口路由器器ACL访问问控制路由协议认认证设备访问安安全SSH防火墙ACL访问问控制ASFP状状态检测防DoS攻攻击DMZ区状态热备NATIPS深度检测防防御防病毒攻击击防DoS攻攻击防蠕虫病毒毒防木马病毒毒VPN网关关VRRP+IPSecGREoverIPSEC+VRRPL2TPoverIPSec+VRRPWAN出口口路由器L2TP/GRE/IPSecNATACL访问问控制ASPF深度业务监监控防病毒/防防DoS攻攻击SSH异常流量监监控流量分析监监控专业安全设设备园区出出口边界安安全部署园区网Internet公共服务器器防火墙/VPN/NATInternet出出口路由由器专网WAN

出口路路由器远程分支机机构远程拨号用用户专网分支机机构IPSIPSInternet/WAN移动用户园区多出口口网关集成成边界安全全部署总部防火墙墙/VPN网网关SecPathF100/F1000分支机构VPN网关关SecPathV100-SIPSTippingPoint-400TippingPoint-1200ETippingPoint-2400E出口路由器器MSR50/30/20AR28/46流量监控NSMNAM园区网Internet公共服务器器防火墙/VPN/NATInternet出出口路由由器专网WAN

出口路路由器远程分支机机构远程拨号用用户专网分支机机构IPSIPSInternet/WAN移动用户园区多出口口网关集成成边界安全全部署园区网Internet公共服务器器防火墙/VPN/NATInternet出出口路由由器专网WAN

出口路路由器远程分支机机构远程拨号用用户专网分支机机构IPSIPSInternet/WAN移动用户园区网Internet出出口路由器器基本ACL访问控制制路由协议认认证设备访问安安全SSHVPN网关关&防火墙墙GREoverIPSEC+VRRP实现安全全网关冗余余备份。ACL访问问控制ASFP状状态检测防DoS攻攻击DMZ区IPS深度检测防防御防病毒攻击击防DoS攻攻击防蠕虫病毒毒防木马病毒毒WAN出口口路由器L2TP/GRE/IPSecNATACL访问问控制ASPF深度业务监监控防病毒/防防DoS攻攻击SSH异常流量监监控流量分析监监控园区多出口口网关集成成边界安全全部署目录企业整体安安全部署园区边界之之安全分区区园区边界之之安全网关关部署园区边界之之流量分析析部署园区边界之之病毒防护护部署园区边界之之日志管理理部署园区出口NSM/NAM流量量分析模块块应用场景景InternetFE/GE路由器/防防火墙园区边界外网NSM/NAM通过路由器器或防火墙墙的流量被被镜像到NSM/NAM板上上，NSM板对通过过路由器或或防火墙的的流量进行行分析并输输出分析结结果对园区出口口流量进行行监控对原始镜像像数据进行行分析，可可提供2-7层分析析，识别BT等应用用。园区出口NSM/NAM流量量分析模块块应用场景景Internet路由器/防防火墙使能Netstream使能Netflow/Sflow友商交换机机FE/GE园区边界外网Netstream数据流Netflow数据据流h3c交换换机NSM/NAM园区网交换换机使能Netstream、Netflow，交换机机生成的各各种日志数数据被指定定发送到NSM板进进行分析并并输出结果果可对园区内内交换机的的三层转发发流量进行行分析此方式流量量分析数据据源为Netflow、Netstream，，主要提供供2-4层层流量分析析NSM/NAM流量量分析展示示网络负载流流量图网络协议统统计图NSM可提提供对网络络协议的使使用情况统统计。并根根据统计信信息来发现现网络错误误配置，如如上图：显示结果表表明5发送了了一定量的的DNS报报文，查看看ReceivedOnly链接，，结果表明明5没有接受受到DNS报文，5的的发送的DNS字节节数为590字节，，接收的DNS字节节数为0，，说明用户户A无法正正常使用DNS服务务，排除DNS服务务器本身的的问题后，，网络管理理员确定用用户A的DNS服务务器地址配配置错误。。在企业网中中，各种网网络异常情情况发生在在各个时间间段中。网网络管理员员可以实时时查看网络络流量来定定位分析各各种异常情情况，也需需要通过查查看历史数数据来定位位分析问题题。同时，，历史数据可可以直观的的反映网络络使用情况况的趋势和和各种网络络应用的分分布，有助助于网络管管理员对网网络进行综综合评价。。NSM/NAM流量量分析展示示各种P2P协议所占占流量的百百分比各种P2P协议的比比例图和历历史信息按照Gnutella流量排排序按照BT流流量排序网络管理员员希望发现现和监控网网络中的P2P流量量，以便在在适当的时时候采取必必要的措施施。NSM可识识别应用层层流量并显显示出各种种P2P协协议占用网网络流量的的百分比，，各种P2P协议的的比例图和和历史信息息，并按照应用用流量对主主机进行排排序，还可可以通过钻钻取功能定定位出相应应主机的详详细信息。。主机详细细信息目录企业整体体安全部部署园区边界界之安全全分区园区边界界之安全全网关部部署园区边界界之流量量分析部部署园区边界界之病毒毒防护部部署园区边界界之日志志管理部部署ASM概概述ASM防防病毒卡卡—网络络防病毒毒尖兵独立计算算和处理理能力业界领先先的防病病毒引擎擎/病毒毒库实时时更新专利技术术实现对对未知病病毒防御御图形化界界面管理理，配置置灵活强大日志志审计、、告警功功能高效的流流引擎，，优异的的流处理理能力灵活升级级模式，，保障系系统高度度安全与防病毒毒网关相相比的优优势：防防病毒卡卡是防火火墙或路路由器的的一个模模块，性性能高、、可靠性性高；具具备断电电保护、、可以实现冗余余备份，，负荷分分担，并并可以对对VPN流量进进行查杀杀ASM在线检测病毒top6ASM检测含病毒网站top6ASM典典型组网网ASM防防病毒卡卡—部署署在互联联网出口口网关设备备网关设备备分支机构构公司总部部公司总部部：性能高、、运行可可靠、可可以实现现负荷分分担和线线路备份份分支机构构：接入灵活活，使用用方便，，成本低低，适于于VPN方式接接入总部部网络ASM防防病毒模模块支持设备备型号：：SecPathF100-MSecPathF100-ASecPathF1000-SSecPathF1000-AMSR30系系列MSR50系系列目录企业整体体安全部部署园区边界界之安全全分区园区边界界之安全全网关部部署园区边界界之流量量分析部部署园区边界界之病毒毒防护部部署园区边界界之日志志管理部部署Seccenter安安全事件件管理系系统初始事件件标准化规则过滤滤场景匹配配支持近100多多家主流流厂家设设备的管管理，可可支持多厂厂家设备备组网支持对防防火墙、、IDS、IPS、UTM、、Anti-Virus、Anti-Spam、、路由器器、交换换机、Unix、Linux、Windows等等各类IT资源源的安全全事件进进行管理理支持强大大的信息息统计分分析和过过滤能力力。按网网络中各各种应用用场景将将这些信信息分类类统计并并排序输输出。提供了丰丰富的报报表和报报告，并并支持数数据保存存及审计计功能。。Seccenter的的部署InternetSeccenter支持近100多多家主流流厂家设设备防火墙IPS路由器安全事件件实时监监视功能能展示网络安全全信息仪仪表盘Dashboard是是SecCenterA1000的主监监视界面面，可集集中显示示系统中中最常用用的监视视画面。。Dashboard的的监视内内容可定定制，可可以在系系统预定定义的监监视器（（Monitor）和和报告（（Report）中任任意选择择；70种预预定义监监视器近千种预预定义报报告安全分析析中心的的视图（（Views））功能可可将系统统提供的的70种种预定义义监视器器和近千千种报告告组合成成视图，，在一个个显示画画面中集集中显示示监视器器和报告告。系统统提供了了13种种预定义义的视图图；视图（Views）列列表，提提供13种预定定义视图图，用户户可根据据需要自自定义视视图；选择监视视（Monitoring））页面被选中视视图（View）的显显示输出出。与单单独的监监视器和和报告不不同，视视图中可可显示多多个独立立分割的的画面；；安全事件件实时监监视功能能展示按事件级级别生成成的TopN统统计报告告事件级别别事件代码码及描述述各级别事事件所占占比例事件的TopN统计信信息通过该报报告可了了解系统统中各级级别安全全事件的的TopN信息息，包括括当前及及近期的的统计信信息攻击源地地址TopN统统计报告告攻击源地地址攻击事件件代码及及描述信信息攻击事件件的TopN统统计信息息图形显示示的发出出攻击最最多的源源地址通过该报报告可了了解网络络中发出出攻击次次数最多多的IP地址被攻击目目标地址址TopN统计计报告攻击目标标地址攻击事件件代码及及描述信信息攻击事件件的TopN统统计信息息图形显示示的被攻攻击次数数最多的的目标地地址通过该报报告可了了解网络络中被攻攻击次数数最多的的目标IP地址址主机名/IP地地址通过该报报告可了了解被监监视主机机每天中中各时间间段内的的进程资资源使用用情况日期和时时间主机上运运行的进进程名和和进程ID主机上运运行的进进程资源源使用信信息主机资源源使用情情况报告告园区边界界安全部部署总结结边界安全全部署需需要包括括防火墙墙、路由由器、IPS、、出口流流量分析析、防病病毒、日日志分析析等多种种安全组组件及其其之间的的协同工工作，优优势互补补各部件产产品的安安全日志志关联分分析汇总总，避免免信息孤孤岛，实实现统一一安全管管理在组网上上要充分分考虑冗冗余备份份和负载载分担等等各项要要素。一个完整整的边界界安全部部署需要要考虑哪哪些方面面呢？单个的安安全部件件仅仅依依靠各自自自身的的力量是是无法提提供完整整的网络络安全的的，只有有这些部部件协同同工作、、功能互互补才能能形成——个完整整的防御御结构！！9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Wednesday,December28,202210、雨中中黄叶叶树，，灯下下白头头人。。。20:42:0020:42:0020:4212/28/20228:42:00PM11、以我独独沈久，，愧君相相见频。。。12月-2220:42:0020:42Dec-2228-Dec-2212、故人江海别别，几度隔山山川。。20:42:0020:42:0020:42Wednesday,December28,202213、乍乍见见翻翻疑疑梦梦，，相相悲悲各各问问年年。。。。12月月-2212月月-2220:42:0020:42:00December28,202214、他乡乡生白白发，，旧国国见青青山。。。28十十二二月20228:42:00下下午20:42:0012月月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月228:42下下午12月-2220:42December28,202216、行动出出成果，，工作出出财富。。。2022/12/2820:42:0020:42:0028December202217、做前，能够够环视四周；；做时，你只只能或者最好好沿着以脚为为起点的射线线向前。。8:42:00下午8:42下下午20:42:0012月-229、没没有有失失败败，，只只有有暂暂时时停停止止成成功功！！。。12月月-2212月月-22Wednesday,December28,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。20:42:0020:42:0020:4212/28/20228:42:00PM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。。12月-2220:42:0020:42Dec-2228-Dec-2212、世间成成事，不不求其绝绝对圆满满，留一一份不足足，可得得无限完完美。。。20:42:0020:42:0020:42Wednesday,December28,202213、不不知知香香积积寺寺，，数数里里入入云云峰峰。。。。12月月-2212月月-2220:42:0020:42:00December28,202214、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。28十十二月20228:42:00下午午20:42:0012月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月228:42下午午12月-2220:42December28,202216、少年十十五二十十时，步步行夺得得胡马骑骑。。2022/12/28