中石油客户终端安全与行为审计j解决方案

中石油客户终端安全与行为审计解决方案H3C技术有限公司安全产品行销部劲2006年愚07月28迈日挂中石油尸安全解决方奸案斗一、细致压入微的个人纯终端防护倘税4浊1.1.屯卖中石油进行免安全终端防尼护刻不容缓匙满4坝蒜.凳毛萨班斯法案兵与上市企业侵需求概述帽释4较黑.缩驶中石油终端改安全现状贝享5毁1.2.位汽“目终端接入安光全体系姻”掘解决方案的赤组成部分遮双6轧宗.障挪CAMS跪安全策略服阳务器旁宽7仅蛛.矿败修复服务器滑(锯与防病毒系残统联动叮)纷傻8站陆.吧兴安全联动设遣备抹联8清胁.虹浪安全客户端斗齐8认昌.鼠臣“撞终端接入安或全体系宽”尾与微软彼SMS例联动方案来哀9受1.3.欠柴应用模型急香11川撑.狡水安全准入应奔用模型坏抵11绪摄.邻求安全准入工韵作流程狗尝12芽1.4.素载功能特点侮党14粉匆.要掀安全状态评末估药狮14权介.辈婶用户权限管压理音组15良与.野反用户行为监役控范屑15绑1.5.隐耳“库终端接入安验全体系宁”搭解决方案的璃部署静凯16钩将.碍赛接入层准入筹控制炼何16姓次.迈字汇聚层准入汇控制饿丧18诞味.酿乔Porta误l团（辣Web绘）认证准入赖控制胡范20毕塔.任望“布终端接入安渐全体系辱”能应用模式谢游21恢1.6.榴窄XLOG言日常行为审振计跪敬22玻朋.办头XLOG陕技术特点爽鸟23促亲.烂造全面的日志半收集命变23费饼.伶跌强大的日志塔审计功能彩坛23详处.良顿组网应用具珍24览1.7.构钱终端安全防谷护与行为监锦控总结垮私25薪二、全面帖的应用体系孙防护还IPS柄联27黑2.1.岂捞中石油网络竞应用防护体旷系概述狼亚27糊2.2.箭税IPS曾产品部署方奇案朗辫27离2.3.代旺IPS扭产品技术特炎色执弃28系销.天识虚拟软件补肥丁峰杆28券名.扛速威胁抑制引葱擎（摆TSE宰）背乳29悦盆.你峰无处不在的韵安全保护毛摊30镇三、防火石墙部署需求蝶分析看答32德3.1.泼贼防火墙部署宫解决方案揉渗32辱恋.扬致数据中心防柄火墙部署胜琴33禽劳.才梢Inte兴rnet训边界安全防屿护帜箱35疾锤.卖爹大型网络内淡部隔离凤保38准3.2.孕辛防火墙部署坦方案特点责戒41吵细致入微的吉个人终端防梢护畅中石油进行舱安全终端防牧护刻不容缓啄基于萨班斯狭法案的严格当限制，以及局结合中石油尸的独特特点伯，我们认为聚在中石油内伯部实施内部趟控制体系，课刻不容缓。惨中国石化从余2002年液下半年开始清调研、准备吓工作，编制莫内控制度，负建立统一的侨内控体系。肯2004年气10月，中月国石化《内全部控制手册屈》由公司董设事会正式审骂议通过，2絮005年1哗月开始在股星份公司全面邀实施。该手宣册依照萨班静斯法案所推写荐和要求对燃照的美国C爽OSO（反践虚假财务报星告委员会的下赞助组织委桂员会）报告服的理论体系狼建立内部控视制体系，内崇容涉及共1肿3大类业务技、43个流计程、862门个控制点。追总部专门召朽开电视电话旋会议推行该仆手册，要求秤各企业根据贱实际情况制邪定实施细则辰，在组织多跟层次培训的绞同时，派出益检查小组，古对65家企舒业内控制度蒙的执行情况区进行全面检谈查。针对萨拉班斯法案不映断细化的规虏则和新出台锈的指引、准这则，中国石男化对《内部龄控制手册》锯进行更新，倦修订了20惠06年版的蒙《内部控制拜手册》，经系董事会审议算通过，于猎2006年节1月1日起位正式下发执张行。吧萨班斯法案透与上市企业禾需求此概述是中石油郊跨全球企业搭萨班斯法案杂在美国的中巧国上市公司还开始生效烤各国相关法住规都将越来击越严格，加可强公司治理壶尤其是IT切治理将是企私业的根本之刘道。抛加强企业内确部控制和风楼险管理将是测全球的趋势浸完目前大量的这网络应用已耕经贯穿升中石油睁的日常业务俱模型，对于稍网络绢应用窃我们把它理劫解为一个请唯求、连接到裙交互的过程竞，然后到完粪，这是会话柳的过程，这台是双向的。鄙所谓会话行震为就是做的输一种操作类尚型，比方说躲访问网页，廊首发邮件、代传送邮件、令即时通讯和矮文件传输等饼，这属于网兰络行为，会跌话内容就是拣网页的内容椅、邮件的内鉴容、文件的卷内容，即时吼通讯的内容亚。对于安全吴审计类要求佩是会话行为央审计，扭对于网络行岩为的审计实茫际上也是萨超班斯法案的国一部分，为犁了避免因为霉信息而造成计的经济损失取，日常行为承审计成为了注企业尤其是门上市公司信序息化建设的彼重要组成部宰分肉对法规不熟拴悉、时间短剩促、内控基洒础薄弱是中谦国上市公司稀面临的最大哪问题。赢中石油站也不例外，来直到200瓶5萍年年初，泻中石油贱才开始着手性布置萨班斯酷法案项目。潮但是在实施虎过程中，大泳量的问题和桐矛盾暴露出怜来，涉及制战度完善、流燃程改造、企楼业文化等各箭方面。短时按间内完全建嘉立完善的内努控环境是不贡可能的。但僻从根本上来监说，公司治敞理和IT治傍理的问题迟浑早需要去面章对和解决。任中石油乌终端安全现焦状唉鸟终端安全是腊个入手简单苍，想做好却顶很难的典工程，这也吃是这么多年场中石油芒没有着手建吹设这方面的蛾一个重要原帜因毙。本次安全掘体系建设证中石油贝考虑的很周府全，除了我远们经常能够统想到的安全罗管理制度以惜外、终端的夜认证问题、减终端的安全差监控、日后时审计等均在朱考虑范围内饭。皱辆中石油之终端安全管湖理问题比较遭复杂，除了广前面提到的管地域分散意萝外，还有技粱术水平不高顽，难于监管挖等问题，这熄些都构成了伟终端安全难亮以实现的重挪要因素，基套于上述原因终，本次安全桑方案设计主冶要着中的是慧通过安全产义品的监控实谎现对员工日腥常行为的监能控筋，并通过技占术手段实现听对安全管理浇制度的补充虑，以及强化规，通过技术浓手段保障安方全管理制度线的执行。贷辫在终端防护职方面我司有棋专门的安全乘解决方案反“律端点准入防蛛御痰”支能够提供一纳个全程的安担全解决方案辉。浅“终端接入恭安全体系”婶端点准入防竹御方案包括神两个重要功眨能：安全防慧护和安全监掌控觉。涛安全防护主餐要是对终端途接入网络进护行认证，保考证只有安全宅的终端才能宾接入网络，缴对达不到安延全要求的终丽端可以进行贿修复，保障嫁终端和网络学的安全；安薪全监控是指钻在上网过程重中，系统实挥时监控用户桂终端的安全侨状态，并针准对用户终端腰的安全事件排采取相应的碑应对措施，妄实时保障网加络安全。往“凳终端接入安束全体系吃”渔解决方案的挨组成部分取“终端接入勺安全体系”备解决方案的缓实现思路，丧是通过将网滩络接入控制永和用户终端组安全策略控谣制相结合，到以用户终端比对企业安全廉策略的符合盈度为条件，腾控制用户访佩问网络的接跑入权限，从不而降低病毒跑、非法访问草等安全威胁智对企业网络源带来的危害廉。为达到以虾上目的，提计出了包括检常查——隔离猾——修复—奔—监控的整风体解决思路幸。检查：稳检查网络接丘入用户的身楚份；概检查网络接忘入用户的访什问权限；肠检查网络接喉入用户终端置的安全状态可；隔离：滔隔离非法用书户终端和越较权访问；毫隔离存在重明大安全问题用或安全隐患读的用户终端父；修复：洋帮助存在安殊全问题或安红全隐患的用告户终端进行兴安全修复，探以便能够正友常使用网络棒；监控：诸实时监控在携线用户的终贱端安全状态赵，及时获取察终端安全信数息阻对非法用户精、越权访问渔和存在安全隆问题的网络类终端进行定您位统计，为午网络安全管艳理提供依据战；泛通过制定新型的安全策略躬，持续保障谜网络的安全么。繁为了有效实晓现用户终端振安全准入控撒制，需要实乞现终端安全析信息采集点较、终端安全敲信息决策点房和终端安全规信息执行点玻的分离，同协时还需要提懂供有效的技梁术手段，对挥用户终端存得在的安全问渡题进行修复陷，使之符合旁企业终端安燃全策略，顺秤利接入网络台进行工作。避”终端接入锐安全体系”挤解决方案的肺组成部分见缩下图：娱CAMS安领全策略服务疏器旨“终端接入遵安全体系”籍方案的核心纵是整合与联链动，而CA简MS安全策败略服务器是嗽”终端接入钥安全体系”文方案中的管望理与控制中俊心，兼具用衰户管理、安复全策略管理狮、安全状态套评估、安全努联动控制以越及安全事件留审计等功能驼。此安全策略管踢理。安全策欢略服务器定连义了对用户慰终端进行准我入控制的一越系列策略，机包括用户终受端安全状态还评估配置、鬼补丁检查项质配置、安全铁策略配置、营终端修复配盆置以及对终巡端用户的隔持离方式配置热等。伸用户管理。降企业网中，瓣不同的用户外、不同类型院的接入终端置可能要求不臂同级别的安沉全检查和控款制。安全策队略服务器可阅以为不同用宝户提供基于写身份的个性嗓化安全配置捧和网络服务筒等级，方便幅管理员对网脊络用户制定柱差异化的安竹全策略。冒安全联动控赵制。安全策痕略服务器负农责评估安全根客户端上报脂的安全状态首，控制安全般联动设备对斯用户的隔离浑与开放，下脉发用户终端谢的修复方式众与安全策略骗。通过安全堆策略服务器扫的控制，安震全客户端、极安全联动设汽备与缺修复扛服务器才可底以协同工作鹰，配合完成在端到端的安霜全准入控制称。泄日志审计。畜安全策略服拌务器收集由伞安全客户端总上报的安全梯事件，并形葬成安全日志旷，可以为管睡理员追踪和堂监控网络的像整个网络的划安全状态提丛供依据。套修复服务器本(与防病毒梦系统联动)击在扯”终端接入猫安全体系”梨方案中，修见复服务器可栋以是第三方豪厂商提供的刮防廉病毒服务器闯、补丁服务陶器或用户自剖行架设的文朱件服务器。嫌此类服务器错通常放置于申网络隔离区洒中，用于终刻端进行自我览修复操作。五网络版的防蝇病毒服务器孩提供病毒库育升级服务，赏允许防病毒不客户端进行狸在线升级；滥补丁服务器季则提供系统势补丁升级服已务，在用户季终端的系统吊补丁不能满动足安全要求模时，用户终迫端可连接至疫补丁服务器厚进行补丁下盟载和升级。巩目前的池”映终端接入安蚁全体系维”尝解决方案中唐，我们的认斧证体系可以雨和瑞星、金讽山、江民、蚊Syman调tec等国哪内外大型防他病毒厂商产僚品实现联动欣，泉同时由于开击发式的系统蛾设计，我们跨可以很方便说的整合其他接的防病毒产迹品实现全网翻认证与防病默毒体系的完结美结合。持安全联动设影备茂安全联动设庭备是企业网俩络中安全策践略的实施点轿，起到强制哲用户准入认转证、隔离不侍合格终端、属为合法用户摇提供网络服伴务的作用。毁根据应用场喂合的不同，私安全联动设补备可以是交毕换机或BA禾S设备，分历别实现不同与认证方式（活如802.疏1x或Po锦rtal）贵的端点准入乌控制。不论岭是哪种接入钞设备或采用汗哪种认证方玉式，安全联环动设备均具较有以下功能括：尝强制网络接贯入终端进行珍身份认证和烈安全状态评绞估。色隔离不符合古安全策略的抵用户终端。馒联动设备接次收到安全策杰略服务器下陪发的隔离指挡令后，目前高可以通过动缎态ACL方贷式限制用户纸的访问权限扫；同样，收值到解除用户扛隔离的指令钱后也可以在断线解除对用青户终端的隔汤离。较提供基于身振份的网络服谱务。安全联间动设备可以眉根据安全策靠略服务器下怒发的策略，顽为用户提供酱个性化的网租络服务，如笛提供不同的凳QoS、A惊CL、VL逗AN等。安全客户端伍H圾3C肉寨客户端是安俗装在用户终照端系统上的测软件，是对馅用户终端进兼行身份认证搭、安全状态迅评估以及安亭全策略实施糕的主体，其瞒主要功能包倾括：鹊提供802炸.1附X朴、怜P如ortal肤等多种认证计方式，可以缎与巧缝S3000扯、S35续00后、S500劝0、S39姨00犁、S56朴00鸭等系列交换园机、华为M偏A絮5200F伶等设备配合阁实现接入层连、汇聚层的闹端点准入控枕制。孝检查用户终出端的安全状穗态，包括操邪作系统版本握、系统补丁扔、共享目录阻、已安装的盟软件、已启逐动的服务等宾用户终端信搂息；同时提珠供与防病毒校客户端联动技的接口，实骂现与第三方肥防病毒舍软件产品累客户端的联煤动，检查用情户终端的防纯病毒软件版视本、病毒库仅版本、以及回病毒查杀信俯息。这些信剂息将被传递挺到CAMS断安全策略服陶务器，执行贡端点准入的去判断与控制抓。慧安全策略实瓜施，接收安烘全策略服务五器下发的安惩全策略并强绢制用户终端优执行，包括饥设置安全策隐略（是否监拜控邮件、注伞册表）、系牺统修复通知神与实施（自扇动或手工升出级补丁和病蹄毒库）等功柄能。不按要贪求实施安全冲策略的用户盾终端将被限燥制在隔离区毫。热实时监控系如统安全状态遮，包括是否伪更改安全设哗置、是否发徐现新病毒等凭，并将安全珍事件定时上蛛报到安全策徐略服务器，油用于事后进垫行安全审计灾。胆“遮终端接入安躁全体系浊”京与微软SM婚S联动方案特性简介腊端点准入防吓御（搭”雨终端接入安闭全体系忧”还）解决方案拼从网络用户未终端准入控仆制入手，整族合网络接入恒控制与终端烫安全产品，续通过安全客喜户端、安全丑策略服务器救、网络设备殖以及第三方场软件的联动砍，可以对接箱入网络的用拐户终端强制句实施企业安璃全策略，严红格控制终端孕用户的网络汁使用行为，牲加强网络用仰户终端的主习动防御能力裳，保护网络务安全。妙企业网中，餐对系统补丁步的管理问题搏一直难以解散决。我们经届常见到的情搭况是，新的厌补丁发布，拘却无人理会碌，任由系统修漏洞的存在醋。即使采用光了微软的W想SUS、S辣MS等补丁筒管理工具，帐此类工具也第无法强制用瞎户进行系统罩补丁升级，罗给企业网络燕安全带来诸饮多隐患；更丽严重的情况绸是，用户刚柜装好操作系双统，还没来确得及打补丁龙就被病毒感战染或受到攻欢击。如果能伤将微软的补首丁管理系统残与的村”教终端接入安亲全体系歌”闲端点准入防卵御方案集成元，就可以彻警底解决系统至补丁管理的丛问题。振这个集成方犁案就被称为框补丁联动方恨案，该方案党需要哈”哄终端接入安丹全体系图”仪与软件补丁袜更新服务器陆协同工作：躁软件补丁更嘉新服务器负骄责对端点用效户的计算机天进行补丁状熊态检查、判吓断是否合格析以及不合格朗时自动更新挽所缺少的补拆丁，佳”惨终端接入安距全体系读”顽则负责决定押何时发起补当丁状态检查狸操作，并负肌责控制补丁奥状态检查不样合格的端点采用户只能访线问隔离区内冷的资源，待享端点用户的贡计算机的补揪丁状态检查县合格后才解谨除对该用户饺计算机的隔免离。含注1：敬隔离区举是指端点用逃户在通过安奖全认证之前辱允许访问的哄一组主机的龄集合。一般站地，隔离区供可能包含防条病毒软件安航装升级服务缠器（防病毒坚管理中心）演、软件补丁横更新服务器端和抖”洗终端接入安宇全体系违”汇管理代理服臭务器。隔离鬼区具体包含网哪些主机一月般在接入设境备上配置。肯注2：洋补丁状态检券查政是指对接入翻用户/端点泛用户的计算寄机进行软件口补丁是否符铅合安全要求裂的检查，检坏查不合格时议列举出所有妄缺少的软件乎补丁。鹊注3：班补丁更新程是指从补丁姑服务器下载师软件补丁到馆客户机，并叮进行安装与砌生效处理的得全过程。谱系统架构与会基本交互流拉程系统架构耳“惯终端接入安疫全体系穴”薪是一个融合湿网络设备、皱用户终端和倦第三方安全卸产品的客户豪端准入安全枣框架，与补虫丁管理服务勺器的联动主孟要通过口”对终端接入安游全体系谣”僵客户端与补益丁升级客户洗端之间的A拆PI接口实句现，其部署属图如下：系统结构图堆在接入用户哥的终端需要迫同时安装秒”泰终端接入安睡全体系冬”孙客户端和补态丁客户端。垃”滋终端接入安阵全体系秒”把客户端负责撕完成与拆”俩终端接入安喂全体系核”可策略服务器气的交互；补笼丁客户端是更微软发布的辅与相应的补绑丁服务器配思合的SUS妻（WSUS祸）或SMS艰客户端。摧”替终端接入安缎全体系爪”棉客户端与补垃丁客户端通炸过微软提供柳的API接些口完成补丁废检查与安全联准入的融合贯。务这种方式下桃，灰”摇终端接入安监全体系字”岭系统与微软生补丁系统是水相互独立的灶，可以不依法赖于对方而怖完成自有功旺能。但可以汽通过API碗来实现两个巴系统之间的王联动，弥补挨各自的不足译，完善补丁毅管理和安全站准入方案。特性的优点没联动的松散穴耦合性：充废分利用微软互成熟的补丁烦管理工具，势”巧终端接入安蔑全体系昨”浸不需要管理李各种Win班dows环垮境的用户机么器缺少哪些嫂补丁等繁琐究事务；议补丁更新的纳安全性：用什户机器的补练丁状态不符棚合安全要求夹时，其访问漏范围控制在旧隔离区，即伴补丁更新是昨在隔离区进志行的；成补丁更新的弟自动性：补式丁更新过程到是自动完成档的（机器需才要重启时会旱提示用户确症认），无需遵用户手工下捷载和安装补盗丁程序；脊补丁更新的电即时性：用妻户机器的补垮丁状态检查筐不合格后马技上转入补丁馋自动更新过枯程；玉补丁更新的先强制性：不价完成补丁更食新的用户机暖器只能访问所隔离区内的凭网络资源，滩要访问更多体资源，只有萌完成补丁更下新。应用模型刻安全准入应框用模型妙“终端接入炎安全体系”软解决方案安封全准入主要袭是通过身份亚认证和安全碗策略检查的封方式，对未叉通过身份认叼证或不符合土安全策略的穗用户终端进月行网络隔离巷，并帮助终瓶端进行安全田修复，以达参到防范不安增全网络用户暑终端给安全裳网络带来安地全威胁的目秀的。界安全准入工话作流程遭身份验证：适用户终端接女入网络时，宋首先进行用辅户身份认证如，非法用户盖将被拒绝接晨入网络。目订前导”终端接入录安全体系”贷解决方案支物持802.私1x和Po烈rtal认朝证。极安全检查：航身份认证通药过后进行终日端安全检查离，由CAM贯S安全策略咏服务器验证怀用户终端的滥安全状态（狂包括补丁版剖本、病毒库姻版本、软件蹦安装等）是蠢否合格。笨安全隔离：危不合格的终味端将被安全义联动设备通括过ACL策晚略限制在隔醋离区进行安爆全修复。麦安全修复：记进入隔离区挽的用户可以望进行补丁、循病毒库的升妻级、卸载非尿法软件和停豪止非法服务塌等操作，直区到安全状态吸合格。谦动态授权：灶如果用户身渔份验证、安列全检查都通下过，则CA缎MS安全策颤略服务器将吵预先配置的渠该用户的权省限信息（包练括网络访问剪权限、用户股带宽限制参勤数、用户优竭先级等QO慈S参数、用陈户组播权限锣等等）下发驰给安全联动董设备，由安惨全联动设备治实现按用户叔身份的权限音控制。它实时监控：够在用户网络渠使用过程捉中啊，安全客户尊端根据安全皇策略服务器奶下发的监控站策略，实时宏监控用户终棋端的安全状言态，一旦发乌现用户终端百安全状态不辰符合企业安膀全策略，则她向CAMS株安全策略服稠务器上报安头全事件，由男CAMS安稳全策略服务示器按照预定副义的安全策宣略，采取相骡应的控制措晓施，比如通卧知安全联动殖设备隔离用迷户。惹具体部署方本式如下：秋在区域二中厘部署中心认晴证服务器一丽台，推荐中国石油使用基呢于CA证书辛的认证系统碍，这样在安糠全性会把比简单的用振户名密码要打高；板在服务器与题客户端上均额部署终端安或全认证体系插客户端，保窜证服务器系桑统能够强制简进行系统补险丁和病毒库待的升级；终点端客户端进叫行强制病毒鉴库、系统补乘丁的升级，打在用户接入乏网络的同时件对其日常网索络使用行为幸进行监控；使在终端部署赛支持802邀.1x认证尸的交换设备储与择终端用户认庄证体系进行惩联动；倡在区域二部刘署日志服务促器XLOG扁一台，进行裳日常用户行菌为访问的记搏录；鸡通过用户终霜端行为记录束以及网络行纠为监控，记验录用户日常叛网络使用行括为，并作为助日后审计的多依据。吓在中心认证揭服务器上部魔署安全策略表，对违规行畜为进行定义查，下发到客间户端，提高股客户端对于井重要安全策狠略的响应，木最大限度的纽减少误操作或给中石油带子来的经济、绞信息损失。功能特点系“终端接入拾安全体系”慈解决方案已前实现以下功袜能规格，在心具体应用部距署时，可根为据用户网络靠的实际使用退需求，确定夜”终端接入飞安全体系”还的应用模式耳和部署方案术。桥安全状态评均估胡终端补丁检君测：映评估客户端冰的补丁安装阿是否合格，济可以检测的片补丁包括：佣操作系统(洗Windo谊ws20事00/XP妻等，不包括颂Windo症ws98魔)等符合微利软补丁规范丰的热补丁讽。队安全客户端否版本检测：山可以检测安缩全客户端地H霜3C咏Clie利nt皱的版本，防僵止使用不具啊备安全检测颈能力的客户辱端接入网络抓。同时支持置客户端自动除升级。杂安全状态定亡时评估：票安全客户端弓可以定时检脚测用户安全绣状态,防止解用户上网过侮程中因安全绍状态发生变吊化而造成的饶与安全策略雕的不一致圾。奸自动补丁管次理：畏提供与微软赔WSUS/钉SMS（全辱称：Win袄dows昌Serve蹈rUpd供ateS大ervic内es/Sy浩stem佣Manag唤ement知Serv事er）协同鸽的自动补丁臂管理，当用晒户补丁不合文格时，自动卸安装补丁谎。满终端运行状闷态实时检测暴：迷可以对上线遮用户终端的鄙系统信息进侵行实时检测威，包括已安蔬装程序列表障、已安装补混丁列表、已赖运行进程列觉表、共享目螺录信息、分方区表、屏保丰设置和已启岂动服务列表箱等。咬防病毒联动害：椅主要包含两障个方面，一薯是端点用户准接入网络时刃，检查其计弦算机上防病边毒软件的安龄装运行情况冠以及病毒库四和扫描引擎婆版本是否符度合安全要求盖等，不符合就安全要求可具以根据策略展阻止用户接劈入网络或将挥其访问限制白在隔离区；忧二是端点用哲户接入网络桶后，抚”终端接入拾安全体系”陕定期检查防充病毒软件的者运行状态，嫌如果发现不亚符合安全要参求可以根据民策略强制让禁用户下线或第将其访问限音制在隔离区营。落联动方式目轮前包括强A灶V联动和弱防AV联动，户强AV联动铁需要防病毒卵软件厂商提渔供联动插件往，泊”终端接入蹦安全体系”锋客户端通过榴该联动插件暮完成对防病附毒软件的运哑行状态检查暂以及行为控仰制。弱AV满联动不需要辉防病毒厂商每提供联动插舅件，专”终端接入边安全体系”奸客户端通过森其他方式实碗现对防病毒客软件的运行秩状态检查以藏及行为控制归。当前支持窝的强AV联桂动支持的防貌病毒软件有款：瑞星、金盖山和江民。砖当前支持的担弱AV联动堆支持的防病均毒软件有：甲诺顿、趋势僚、McAf破ee仁和安包博士。浊用户权限管凳理经强身份认证糠：炮在用户身份姿认证时，可者绑定用户接沉入IP、M谈AC、接入野设备IP、子端口和VL瞧AN等信息闷，进行强身蛾份认证，防榜止帐号盗用帖、限定帐号易所使用的终涉端，确保接察入用户的身株份安全。伸“危险”用青户隔离：写对于安全状难态评估不合道格的用户，于可以限制其领访问权限（但通过ACL肝隔离），使雾其只能访问钱防展病毒服务器编、补丁服务联器等用于系么统修复的网魂络资源。汽“危险”用霜户在线隔离轧：陷用户上网过狗程中安全状上态发生变化差造成与安全手策略不一致灌时(如感染凳不能杀除的对病毒)，C夹AMS可以护在线隔离并武通知用户。事软件安装和乔运行检测：间检测终端软则件的安装和烫运行状态。斥可以限制接缸入网络的用父户必须安装岔、运行或禁庸止安装、运随行其中某些馒软件。对于膀不符合安全蔑策略的用户初可以记录日剥志、提醒或浑隔离。谢支持匿名认岗证：赠安全客户端填和CAMS适提供匿名认暖证用户，用狐户不需要输译入用户名、巾密码即可完友成身份认证果和安全认证眠。骑接入时间、染区域控制：茂可以限制用守户只能在允嘴许的时间和弟地点（接入掌设备和端口辣）上网应。丹限制终端用魂户使用多网步卡和拨号网鼠络：雨防止用户终缘端成为内外颂网互访的桥斥梁瞒，荷避免因此可盾能造成的信贫息安全问题亦。疗代理限制：歼可以限制用应户使用和设踢置代理服务假器平。届用户行为监届控前终端强制或燕提醒修复：建强制或提醒获不符合安全倦策略的终端震用户主机进僻行防病毒软授件升级，病锐毒库升级，梯补丁安装；奶目前只支持臂手工方式（解金山的客户很端可以与系踩统中心做自北动升级）。芦安全状态监镰控：丸定时监控终失端用户的安狮全状态，发竞现感染病毒呀后根据安全君策略可将其奋限制到隔离姑区。基安全日志审灌计：驾定时收集客市户端的实时杰安全状态并奶记录日志；凤查询用户的樱安全状态日梦志、安全事苦件日志以及左在线用户的幕安全状态。沟强制用户下锹线：悦管理员可以仇强制行为“豪可疑”的用燃户下线德。填“驾终端接入安寇全体系浴”削解决方案的克部署澡接入层准入韵控制摄将鸭接入层青设备作为安拔全准入控制命点，对试图盖接入网络的总用户终端进宫行安全检查抽，强制用户时终端进行防脉病毒、操作滚系统补丁等么企业定义的臂安全策略检虾查，防止非舰法用户和不针符合企业安骑全策略的终滔端接入网络香，降低病毒雾、蠕虫等安盏全威胁在企棋业扩散的风冰险。组网图示拍图表SEQ图表\*ARABIC纪5婶接入层绸”终端接入悉安全体系”自应用组网组网设备逃目前S30绘00以上系洽列接入层交怠换机多款交歉换机支持术”终端接入户安全体系”裕解决方案，滚主要包括：观S裂3050C泰S3026劲E/C/G脸/T誓S5012谈/24得S3900朋系列方案说明财用户终端必问须安装H冈3C山客户端，在破上网前首先交要进行樱802.1开X澡和安全认证惠，否则将不掠能接入网络损或者只能访道问隔离区的踩资源。其中因，隔离区是壶指在S30阿/50系列月交换机中配工置的一组A列CL，一般堤包括眯CAMS笛安全代理充服务器槐、补丁服务朗器、怨防加病毒服务器滨、DNS、扶DHCP等林服务器的I严P地址。音在辫接入下交换机（球S好30/39涉/50系列望交换机）中蒜要部署惩802.1货X石认证和安全泊认证，强制语进行基于用猪户的露802.1尼X睛认证剃和动态AC仆L、VLA构N控制。即CAMS中判配置用户的扫服务策略、毅接入策略、纳安全策略，俘用户进行居802.1治X询认证时，C壶AMS验证设用户身份的庆合法性，并眨基于用户角乐色（服务）组向安全客户茧端下发安全洗评估策略（团如检查病毒摇库版本、补左丁安装情况茎等），完成仰身份和安全罩评估后，由劳CAMS确屋定用户的A冠CL、VL因AN以及病怠毒监控策略踢等。锦CAMS自顶助服务器（螺可选）可以廉为用户提供棒基于WEB译的自助服务容，如修改密公码、查看上寸网明细等，聚建议部署于辩隔离区。法CAMS安沙全代理服务劳器必须部署孝于隔离区，柜可以与CA抚MS自助服蚕务器共用一吉台主机。客补丁服务器市（可选）必沸须部署于隔税离区，可以皇与CAMS够安全代理共架用一台主机劲。纺防病毒服务塘器（可选）骨必须部署于欢隔离区，可浙以与补丁服朱务器、CA睡MS安全代处理共用一台摄主机，可以伐选择瑞星杀果毒软件20概05网络版毙、金山毒霸宁2005企株业版以及江求民KV2烧005网络页版。流程说明治“终端接入吧安全体系”渠方案可以依膨据角色对网偷络接入用户描实施不同的目安全检查策弃略并授予不四同的网络访戏问权限。其摆原理性的流柄程如下：常用户上网前类必须首先进惹行身份认证着，确认是合寄法用户后，旷安全客户端料还要检测病谜毒软件和补给丁安装情况症，上报CA讽MS。瓶CAMS检时测补丁安装贤、病毒库版烫本等是否合岗格，如果合学格进入步骤协7，如果不牧合格壮，进入步骤摊3。刚CAMS通裹知接入设备洋（S30/母39/50康系列或其他墨支持大”终端接入放安全体系”纷解决方案研的交换机）悦，将该用户渗的访问权限汁限制到隔离寺区内。此时倒，用户只能肿访问补丁服塞务器、竹防垂病毒服务器乏等安全资源枣，因此不会困受到外部病影毒和攻击的俗威胁。彻安全客户端蕉通知用户进慕行补丁和病截毒库的升级欧操作。堆用户升级完械成后，可重超新进行安全亿认证。如果狐合格则解除拍隔离，进入鸦步骤7。鱼如果用户补游丁升级不成监功，用户仍嗓然无法访问晒其他网络资性源，回到步奉骤4谊用户可以正唱常访问其他驾授权（AC窑L、VLA桂N）的网络缠资源。实施效果词由于需S疼30/39巡/50系列荣接入层交换达机对端口部耀署了802句.1x认证云，所有非法艘用户将不能首访问企业内胞部网络。并夜且认证通过消前，用户终摆端之间无法汇实现互访。天合法用户接虫入网络后，闲其访问权限列受叶S泄30/39瞧/50系列籍交换机中的朝ACL控制熟。特定的服糕务器只能由丛被授权的用猫户访问。忽合法用户接孟入网络后，砖其互访权限诚受赤S悔30/39猛/50系列步交换机中的鬼VLAN控壤制。不同角谅色的用户分称属不同的V价LAN，跨疗VLAN的纪用户不能互响访（受组网烈方式限制）载。储用户正常接园入网络前，侍必须通过安青全客户端的吨安全检查，零确保没有感讨染病毒且病腹毒库版本和渐补丁得到及革时升级。降悦低了病毒和搏远程攻击对造企业网带来削的安全风险阳。粗通过使用H烈3C廊客户端，可胸对用户的终努端使用行为贵进行严格管魄理，比如禁吵止设置代理流服务器、禁炕用双网卡、逆禁止拨号等亏。扣汇聚层准入束控制翅当网络中接劣入层设备不优支持航”家终端接入安际全体系尿”垃特性时，可揭以脉将汇聚层设患备作为安全巧准入控制点式，实施懒”终端接入血安全体系”偏解决方案，面这样冰可简化短”终端接入义安全体系”黄解决方案的烫应用部署。境尤其是在对壤用户原有企臣业网络进行掩改造，实施居”终端接入液安全体系”订解决方案时周，可以将原歪有汇聚层设瓦备替换为支端持敏”终端接入怖安全体系”能解决方案的叫汇聚层设备淡，实现浪”终端接入慧安全体系”捕解决方案的植应用。组网图示肃图表SEQ图表\*ARABIC恢6硬汇聚层健”终端接入临安全体系”稀应用组网组网设备独实际上没有购严格的接入冶层和汇聚层蚁设备之分，夺通常用于汇娇聚的仔交换机均实耐现了对势”终端接入混安全体系”厚解决方案的六支持，包括寿以下设备络：紧S3526组E/C系列抱S3528雾/52系列俯S5600震系列挣S6500馆系列扒根据网络规博模不同，这慌些设备通常叙也可以作为王接入层设备扛使用。方案说明阻在州汇聚摩交换机中要唤部署巧802.联1x认证和唉安全认证，层强制进行基管于用户的鱼802.1江X袄和动态AC置L控制。液其余同接入杏层准入控制流程说明暑同接入层准厕入控制方案妄用户认证流舟程。实施效果辅实施效果促同接入层准现入控制超相同固，但是网络彻改造费用降浊低、系统部浪署简单。汇叠聚层巧”终端接入昌安全体系”禾应用组网模横式下，认证个设备下挂接批入层设备，郊如果接入层怒设备缝端口不作V墨LAN划分比，用户终端叨之间将可实圣现互访。建萝议在严格控酸制用户之间渡互访的情况词下，接入层晕设备在不同找端口之间划伏分不同的V皱LAN。夺Porta仍l（Web价）富认证准入控题制泡“终端接入列安全体系”迟解决方案俯也支持We保b认证方式毅下的端点准诞入控制。W相eb认证同轮802.1洗x认证相比办，具有应用巧简单的优势垦。许多企业卸对于企业网诞络用户访问酬外网的安全喊非常关注，讽要求在网络有用户访问外宝网时，进行论严格的身份恩认证和终端功安全检查，漏保证只有授柜权的用户才捷能访问外网待，并且用户脚终端不存在够系统漏洞，辫安装并运行瓜了企业要求抓的防病毒软章件，不致成叉为网络黑客叠、非法访问胶者攻击企业引内部网络的拳跳板。在企少业网络的核黄心层部署钩”终端接入氧安全体系”山应用，并且架使用Web腰认证方式，慧能够很好的袖满足此类需璃求。组网图示责图表SEQ图表\*ARABIC各7深核心层竟”终端接入熟安全体系”蚂应用组网组网设备诚支持Web法认证，并支钩持橡”终端接入铅安全体系”藏解决方案的泄设备包括以泥下系列：编S3528裕/盈52G石/P系列话MA坛5200F访/G系列方案说明裹使用S35疼28/52符系列设备配并合组网，设津备通常放置劲在网络汇聚龟层，并在S效3528/骄52设备上乓开启Por剥tal认证是。管使用MA礼5200F援/G系列设涨备配合组网泳，设备通常欧放置在网络长出口，并在骡设备上开启父Porta记l认证功能柏。在用户希艳望对原有网由络改动最小亿的情况下，屋可以将MA躬5200旁拼挂在网络出剂口核心设备带上，提供用甜户接入控制寻功能。庙CAMS服延务器需要安徒装Port眼al认证组技件，柔P纽ortal痰认证页面上喂，提供安全雾客户端的下汁载链接。用反户可下载并染安装H污3莲C初客户端后，千发起认证请翼求。箭隔离区的设杠置、第三方桶服务器的设弯置、CAM公S自助服务拒器和CAM缠S安全代理析服务器的设羽置等信息同羞接入层准入花控制。流程说明作在Web认傍证方式下，竹用户的身份野认证、访问纤控制和安全大认证流程同洪接入层准入撒控制基本相逆同。区别在芝于：景用户进行网珠络登录认证琴之前，可以走访问Por障tal服务叙器等URL生。包H流3C悉安全认证客厚户端可以在扁认证前从P伶ortal吩认证页面下船载并安装。柜简化了客户毫端分发工作钥。实施效果删由于在网络剪出口设备上尘部署了Po筛rtal认割证，所有非屑授权用户将洒不能访问外田网。划合法用户通划过身份认证夸、安全认证雨后，其访问战权限受接入霸设备的AC巾L控制。用姥户的外部访森问权限受控鞋。早其余同接入扣层准入控制识。不“终端接入吧安全体系”烘应用模式菊“终端接入串安全体系”配解决方案按汽照应用模式厉可分为隔离圆模式、警告昼模式、监控这模式，三种扔模式对于实闸现的终端安余全状态监控蜂功能各有不还同，对安全塑设备的要求膝也不相同。隔离模式两对于需要严牙格控制用户浮终端安全状烘态的应用环测境，比如银挥行系统的生腾产网，可以误采用隔离模计式来应用府”终端接入享安全体系”柏解决方案。删具体来说，移就是一旦用退户终端安全小状态不合格楼，就限制其谨网络访问区遭域为隔离区跨，在进行修羞复操作，满这足企业终端春安全策略要踩求后，才能洗重新发起认姓证，正常接拘入网络。隔法离模式要求场安全联动设缠备必须支持我动态ACL析特性，能够欲实时应用C旗AMS安全弓策略服务器借下发的AC矩L规格，并冒应用于用户斑连接。警告模式毁某些应用环数境下，不需路要根据用户饼终端的安全莲状态严格控填制用户终端幕的访问权限嫩，可以采用希警告模式部容署局”终端接入扔安全体系”哪解决方案的乘应用。在警蒸告模式下，欺安全客户端侧检查用户终撕端的安全状小态信息，并症将不合格项烟以弹出窗口卫的形式提供搏给终端用户渔，同时提供瓣修复指导和此相关链接。燕用户的网络鞠访问权限不绘因终端安全连状态不合格斥而被更改。监控模式视监控模式同盖警告模式的饱实现流程基篇本相同，区极别在于监控顷模式下，安西全客户端不蝴会雾弹出窗口，咽向用户提示绞终端的不合母格项。网络扬管理员可在俱CAMS安餐全策略服务组器的管理界精面中实现对德用户终端安创全状态的监午控，了解用陶户终端的安陵全信息。在亮某些对用户恩终端进行集勿中管理、不婶允许终端用液户进行软件政安装等操作建的应用场景劈下，可使用姥监控模式。碑同时，对于廉重要的网络需用户，比如明公司老板，高管理员对其除网络访问的反管理也可应炉用监控模式张。袋XLOG日蜜常行为审计散XLog用最户行为审计率系统是公司案推出的一种吉高性能、可永扩展的网络政分析系统，西通过与多种缓网络设备共壳同组网，用红来对终端用籍户的上网行衡为进行事后赔审计，追查包用户的非法异网络行为，蛮满足相关部盯门对用户网英络访问日志弯进行审计的倘硬性要求。木XLog用届户行为审计同系统提供N字AT1.0啊日志，FL甚OW1.0险日志，Ne抽tStre毫amV5日告志，DIG敬流日志以及运DIG摘要生日志的查询送审计功能，盲网络管理员纲可以根据网砌络日志对上主网用户的网石络行为进行阿审计。核XLOG技青术特点袜全面的日志咬收集横用户行为审投计系统可支趋持多种网络笛日志的采集逝（包括NA跌T1.0、亭FlOW1葡.0、Ne杆tStre赴amV5责），对于不翠支持上述日同志的设备，描可以通过设北备的镜像端狂口或TAP填分流器采集赏网络流量生攻成DIG1间.0格式的鹿日志。珍同时用户行夏为审计系统悠采用分布式威的体系结构揭，支持多点现采集，可以哀同时采集多敲个设备的日盆志信息，为翻网络管理员莲监控网络提炸供了灵活有牲效的支持。厅强大的日志猪审计功能般用户行为审脑计系统可根泽据用户需要例，通过各种巾条件的组合医对网络日志征进行快速分核析。针对不哲同的日志类雀型，管理员滴可以获得不豆同的用户行痕为审计信息闭：肆NAT1.紧0日志：包哗括经过NA欣T转换前的贩源IP地址给、源端口，刺经过NAT欧转换后的源蜓IP地址、症源端口，所谜访问的目的呆IP、目的符端口、协议伴号、开始时街间、结束时鸭间等关键信草息。辟FLOW1货.0日志：庭包括源IP普、目的IP虽、源端口、遍目的端口、债流起始时间看、结束时间勿等关键信息喷。狂DIG1.罚0日志：探偏针型采集器披直接从交换滤机的镜像端禁口采集用户拣的上网信息菜，对用户访舅问外部网络疯的流进行分而类统计，并瞧生成探针（卖DIG）日回志记录。粪DIG1.晨0日志包含针两种格式日票志，DIG行FLOW1迫.0和DI村GEST1辱.0。DI静GFLOW术1.0日志扮内容为IP珠层数据报文龙信息，其中养包含数据报聋文的流量信倍息和协议类办型信息，而娱DIGES通T1.0日禽志内容为应坏用层协议数筋据报文信息补，包含数据罢报文的摘要枕信息。两种画格式的DI液G1.0日臂志在采集器寺进行日志采特集时同时生川成。利用D至IG1.0罗日志的记录耻信息，可以伟实现对用户效网络行为的煌监控，审查形用户的访问违信息、使用此的应用信息虑等，全面审腥查用户的网辣络使用行为袄。待DIGFL留OW1.0蜜日志记录包状含以下内容因：开始时间洋、结束时间殃、源IP地欺址、目的I球P地址、源式端口号、目吹的端口号、调协议类型（曲目前区分T舍CP、UD桂P和ICM墙P三种协议剪）、输入包累个数、输出掉包个数、输淘入字节数、传输出字节数盈；些DIGES蹦T1.0日馒志记录包含袖以下内容：浪开始时间、霞结束时间、原源IP地址齿、目的IP站地址、目的各端口号、摘乖要信息（目隆前支持HT洪TP协议、雀FTP协议滴、SMTP蜘协议报文）跑。岂NetSt废ream景V5日志：冠包括日志的浑开始时间、记结束时间、元协议类型、存源IP地址悦、目的IP抹地址、服务叙类型、入接寿口、出接口扯、报文数、肉字节数、流扶数、总激活巾时间、操作混字、日志类腊型等信息。典通过Net文Strea阳m日志的分绿析，可以使衡网络管理员昼深入地了解狸当前数据网摧络中的报文查所包含的各截种有价值的雄信息，可以舒实现网络监费控、应用监话控、用户监梦控等功能，翠并为网络规暂划提供重要罩参考。谊通过用户行奇为审计系统困网络管理员礼可以从海量劲的网络日志恩中精确审计雁终端用户的普上网行为。凭终端用户何白时访问了某客网站、何时柳访问了某网尾页、发送了候哪些Ema摔il、向外纠发送了哪些例文件等信息径均可通过日稍志审计得出菌结果。组网应用仰NetSt李ream/慕NAT/F钢LOW日志够审计组网方病式醒该组网可以逼为且中石油内网吩用户提供倦网络日志审悟计功能，以抬便于跟踪访呼问非法站点弃的用户行为抓。该组网方晶式非常灵活述，可以根据柄运营商或教只育网等不同震的运营特点毫，实现多种每方式的日志瞎记录与审计邪能力。例如残，如果在I拥ntern僻et出口需饶要作NAT够转换，并且茫使用了设备识的NAT功参能，用户行帽为审计系统建就可以接收垄NAT日志粪进行处理。熊如果在In怜terne朗t出口不需屠要做NAT摸转换，则可夏以通过FL令OW格式或颂NetSt巷ream辨V5格式的助日志记录用盆户的上网行租为。该组网莲方式下，需密要配套设备四支持NAT侧、FLOW转或NetS躲tream浪日志输出。信DIG探针猾组网方式积探针式采集吊器能够与任轧何支持端口麦镜象功能的弱交换机或集滔线器配合，幕采集网络中惰的报文信息陶，并为用户纸行为审计提急供统计信息裳。该组网方语式最大的优处点在于不依肆赖于具体设迟备，从而可紫以更有效的趣保护用户的神已有投资，鸦主要面向出纲口容量不大茄的教育或行宏业用户。裁终端安全防冒护与行为监予控未总结泪在针对萨班近斯法案而进聪行的网络行臭为监控系统登中，我们可颜以通过产品侮的组合实现骤对用户行为象审计的功能烟，包括的系欢统组件如下难：妻身份认证系傅统：CAM垮ES(可以望视同认证中式间件服务器撕，同内网的手域认证、C袜A认证结合邪使用)早联动服务器孟：防病毒厂值商病毒库升迟级服务器(鼠瑞星、金山坟、江民、S性ymant聪ec)河系统补丁服园务器：微软假SMS负日志服务器丙：Xlog佳网流信息获羽取组件：N外etscr对eem蓬通过上述组晨件的集合，滚可以实现针睁对用户日常宫上网安全性键的保障，同萝时对于系统裕内部用户的驾网络行为进暂行审计，监象控其访问内孤容，以及访悦问方式等，臭并通过强认披证体系将网秋络设备，主欢机设备与个牛人的网络使穿用行为相结测合，保证审香计信息的正轿确性。遥最后通过策匀略的配置实砌现对网络中诱应用层数据隶信息的过滤姥与审计。屋全面的应用摩体系防护柜IPS惜中石油淋网络应用防赛护体系概述绪这里提到的上应用体系防觉护指的是针概对网络4～烂7层的攻击搅，这些攻击纯主要集中在服WEB、O惜A、Mai性l、ERP棚等系统，这酷些系统都有芬一个共同的嫩特性就是要股为全网的用平户提供服务提，这些用户变既包括总部爹，还包括下养属单位局域煤网，PST辞N接入用户含，总部、银女行、税务的关接入等。锐目前网络上蝇针对应用的挪攻击可谓层赌出不穷，包返括流行很久曾的DOS/穿DDOS攻兔击、后门/罢木马攻击、劣蠕虫攻击，液还包括近几要年刚刚兴起犯的网络钓鱼警、垃圾邮件捞、带宽占用乓等问题，因盗此应用层的汗防护可谓重回中之重。蝇在针对应用平层的防护我逼司采用的是陪国际领先的绵IPS产品先来实现。申IPS较之好IDS有非丽常大的应用触优势，其强杰大的数据处婆理能力，在执线部署的方住式和非常小虹的漏报、误拍报率，使得孝IPS产品燕迅速在国内逢的政府、银伤行、企业中抓推广开来。咱IPS产品快部署方案籍在IPS的填部署上痒我们主要考谱虑两个部分电，一个是针薯对服务器的币防护，另一垒个是针对网驰络接入的防无护，在产品产部署的时候斯我们考虑到响几个因素：腊网络接入点首虽然多，但怎是流量都不殃大，可以利湿用这个特性叔使用一台I更PS设备完宴成对多个接闸入的应用防界护；脖针对应用服盘务器带宽大技，数量多的截特点，部署膜多台设备进央行保护，尤询其是主要的芝两台服务器共；辱目前规划如啊下，在具体夕的部署中可滔以根据服务韵器部署的方夕式、带宽，许数量等灵活序调整产品部赖署的方式列具体部署如霸图所示：淘IPS产品径技术特色扬虚拟软件补沸丁过IPS却下实现了基于窜漏洞的过滤队器，以抵御两针对忧MS03-仁026虹缓冲溢出漏鄙洞的攻击，扶这几个过滤域器可以覆盖翼几个不同的筝攻击方式（评不同的端口做、接口、协斧议）。随着括时间的推移鱼，黑客开发牲出不同的攻遣击漏洞的方芦法，甚至开枕发出多种蠕柜虫病毒，但趋全部这些攻胁击都能被这沙一组漏洞过袋滤器阻挡。赢请注意，很小多均IPS鉴的客户网络队上都使用了边Micro哑soft厨RPCD煎COM协议火，所有的客醉户都可以通踢过这一组过鞭滤器来阻挡鲁这种类型的串攻击，没有瑞误报，并且亏不需要管理杆员进行任何演参数的调整岔。眉高性能的入卷侵防御系统务能作为虚拟召软件补丁，苗保护网络中鼻尚未安装补其丁、具有漏欠洞的计算机姓免于遭受侵聪害。在恶意炮程序对预定轰目标进行攻宴击时，虚拟彼补丁程序就扩会立即悦“秒现身刘”陵—勉确定并阻挡班发送来的恶信意通讯。这撤种虚拟补丁马程序之所以狠如此有效，被是因为它采面用了高精确屋的漏洞过滤擦器技术。这泊种专门设计居的过滤器可着应对最大范伤围的攻击和余应对最大弹察性的规避。昨赵为使蔬IPS神提供实用的弊虚拟软件补盲丁解决方案枝，它必须能恒同时完成多抗个前端工作竭。特别是，糕IPS映必须能实现运高精度的漏答洞过滤器，钱在全部过滤络器都启用的些情况下正常是处理高负载廊千兆网络（装无数据包丢杀失），在不陡需要管理员剧进行繁琐的暂调整和配置瓜工作，就能柳有效执行的咏虚拟补丁功语能。到目前攻为止，政IPS港催是唯一能实补现这些基本旅要求的冶IPS圾产品稠威胁抑制引尤擎（TSE芹）绍IPS背基于ASI度C、FPG翼A和NP技风术开发的脂威胁抑制引所擎（TSE逃，Thre婶atSu敬ppres爬sion疼Engin摇e）术是高性能和蹈精确检测的矛基础。TS仿E的核心架掀构由以下部痛件有机融合贼而成：叠定制的AS舒IC理FPGA(坟现场可编程满门阵列)躺20G违高带宽背板说高性能网络恢处理器聋该核心架构幻提供的大规致模并行处理绩机制，使得舞IPS靠对一个报文便从2层到7牢层所有信息飞的检测可以普在215微葱秒内完成，挡并且保证处怒理时间与检枣测特征数量倡无线性关系轨。采用流水阔线与大规模看并行处理融净合技术的T冤SE可以对羞一个报文同朽时进行几千熊种检测，从轨而将整体的拘处理性能提芦高到空前水窗平。役在具备高速伏检测功能的繁同时，TS法E还提供增语值的流量分纸类、流量管贿理和流量整铺形功能。T桂SE可以自慕动统计和计纪算正常状况笨下网络内各艰种应用流量错的分布，并客且基于该统艳计形成流量附框架模型；键当DoS/乌DDoS攻吨击发生，或撕者短时间内舍大规模爆发溜的病毒导致敬网络内流量矿发生异常时班，TSE将戏根据已经建补立的流量框唐架模型限制犬或者丢弃异逐常流量，保爸证关键业务鞠的可达性和别通畅性。此耗外，为防止倍大量的P2药P、IM流帆量侵占带宽跌，TSE还驱支持对10洗0多种点到专点应用的限缝速功能，保峡证关键应用厚所需的带宽疑。鸡无处不在的趁安全保护王IPS腹在跟踪流状黄态的基础上溉，对报文进挣行2层到7球层信息的深庄度检测，可肝以在蠕虫、腊病毒、木马教、DoS/占DDoS、腾后门、Wa粥lk-in榨蠕虫、连接秀劫持、带宽沃滥用等威胁目发生前成功前地检测并阻桃断，而且，掠IPS哥也能够有效存防御针对路楚由器、交换迟机、DNS动服务器等网煤络重要基础知设施的攻击召。清IPS悲还支持以下漫检测机制：演基于访问控漏制列表（A庆CL）的检孕测沿基于统计的弯检测助基于协议跟指踪的检测识基于应用异飞常的检测悉报文规范检订测苦（Norm姿aliza芝tion）忆IP报文重押组绘TCP流恢脆复担以上机制协斩同工作，滩IPS泽可以对流量裙进行细微粒意度的识别与递控制，有效奴检测流量激薄增、缓冲区敌溢出、漏洞判探测、IP茧S规避等一基些已知的、漆甚至未知的手攻击。撕检测攻击的真数量目前超叮过2200句条。购IPS旅实时更新、浩发布的数字询疫苗（DV养，Digi丢talV搭accin妨e）是网络降免疫的保障纪与基础。在砍撰写SAN境S@Ri忽sk公告的糟同时，煎IPS钢的专业团队得同时跟踪其大它知名安全牌组织和厂商倾发布的安全怖公告；经过斤跟踪、分析钉、验证所有行这些威胁，鸟生成供刻IPS沉使用的可以深保护这些漏楚洞的特征知牙识库读–码数字疫苗倘，它针对漏羽洞的本质进弟行保护，而品不是根据特逝定的攻击特拢征进行防御挥。数字疫苗冤以定期（每置周）和紧急闭（当重大安好全漏洞被发角现）两种方售式发布，并夸且能够通过旱内容发布网危络自动地分予发到用户驻或地的IPS冷设备中，从慈而使得用户衫的IPS设榜备在漏洞被困公布的同时浙立刻具备防巩御零时差攻花击的能力。商IPS薄还与全球著腊名的系统软阅件厂商，如钥Micro拿soft、虾Oracl羊e等，保持乏了良好的合逢作关系。在伤某个漏洞被蝶发现后，就IPS亏能够在第一滚时间（即厂李商公布安全活公告之前）宵获得该漏洞梢的详细信息质，并且利用饲这一时间差滋及时制作可委以防御该漏出洞的数字疫鱼苗，使得用软户的网络免涌遭这种师“前零时差攻击袍”滑（Zero拼-day毒Attac券k）。蚁图员7村、平IPS词提供数字疫从苗服务错因此，具备距的的超高性税能与精确阻诊断能力的桃IPS生产品，彻底致重新定义了括网络安全的搏内涵，并且伶从根本上改喜变了保护网传络的方式，习可以帮助客姥户实现持续水降低IT成裕本，持续提稠高IT生产责率的目标。圆防火墙部署柿需求分析搁随着网络技兽术不断的发拐展以及网络垂建设的复杂理化，需要加乘强对的有效饺管理和控制堵，这些管理跪和控制的需页求主要体现澡在以下几个贺方面：亿网络隔离的哄需求：明主要是指能颜够对网络区悼域进行分割林，对不同区蜘域之间的流阅量进行控制握，控制的参尽数应该包括础：数据包的更源地址、目去的地址、源巴端口、目的班端口、网络鲁协议等，通甲过这些参数张，可以实现须对网络流量浑的惊喜控制岔，把可能的江安全风险控嘉制在相对独跳立的区域内屋，避免安全宁风险的大规晋模扩散。沿攻击防范的升能力：蠢由于TCP误/IP协议猫的开放特性厌，尤其是I造PV4，险缺少足够的蔬安全特性的塘考虑，带来晶了非常大的温安全风险，胃常见的IP叉地址窃取、析IP地址假角冒，网络端劈口扫描以及港危害非常大低的拒绝服务论攻击（DO下S、DDO帅S）等，必执须能够提供展对这些攻击民行为有效的蜜检测和防范炒能力的措施虾。叹流量管理的普需求：仙对于用户应泉用网络，必创须提供灵活榜的流量管理墓能力，保证塞关键用户和纯关键应用的泉网络带宽，却同时应该提颈供完善的Q嘴OS机制，遣保证数据传忆输的质量。钟另外，应该虚能够对一些泳常见的高层军协议，提供艳细粒度的控而制和过滤能辉力，比如可葱以支持WE睡B和MAI疮L的过滤，株可以支持B昌T识别并限吨流等能力；雷用户管理的摊需求：砖内部网络用竹户接入局域肺网、接入广部域网或者接摘入Inte毁rnet，语都需要对这重些用户的网处络应用行为奉进行管理，继包括对用户滋进行身份认隆证，对用户蹦的访问资源启进行限制，弱对用户的网泰络访问行为技进行控制等肚；廊防火墙部署修解决方案井防火墙是网俯络系统的核埋心基础防护拔措施，它可社以对整个网彻络进行网络夜区域分割，季提供基于I智P地址和T握CP/IP各服务端口等县的访问控制盯；对常见的民网络攻击方存式，如拒绝固服务攻击（脆ping垄ofde惑ath,卵land,播syn女flood替ing,口ping亚flood拼ing,初tear仆drop,词竿…泪）、端口扫率描（por爹tsca肾nning赖）、IP欺舞骗(ip蜘spoof棒ing)、女IP盗用等怖进行有效防挠护；并提供肥NAT地址羊转换、流量亲限制、用户促认证、IP者与MAC绑薯定等安全增伐强措施。选根据不同的寻网络结构、养不同的网络酬规模、以及菠网络中的不妇同位置的安潜全防护需求惜，防火墙一烘般存在以下已几种部署模骄式：似数据中心防随火墙部署益防火墙可以貌部署在网络探内部数据中恋心的前面，艳实现对所有受访问数据中出心服务器的密网络流量进辈行控制，提艳供对数据中年心服务器的屑保护，其基颂本部署模式全如下图所示赵：夹除了完善的估隔离控制能肿力和安全防躁范能力，数当据中心防火春墙的部署还剩需要考虑两岂个关键特性匹：尊高性能：千数据中心部向署大量的服舱务器，是整疼个网络的数芳据流量的汇膜集点，因此旅要求防火墙卫必须具备非推常高的性能勿，保证部署袋防火墙后不足会影响这些赴大流量的数优据传输，不宾能成为性能党的瓶颈；软高可靠：浅大部分的应适用系统服务石器都部署在拜数据中心，墙这些服务器订是整个企业企或者单位运秩行的关键支计撑，必须要贫严格的保证侄这些服务器湾可靠性与可今用性，因此角，部署防火序墙以后，不发能对网络传史输的可靠性饿造成影响，某不能形成单含点故障。视霸基于上述两斤个的关键特值性，我们建锦议进行以下茅设备部署模京式和配置策食略的建议：前设备部署模备式：爱如上图所示袜，我们建议奇在两台核心治交换机与两庙台数据中心催交换机之间舍配置两台防哪火墙，两台斗防火墙与两般台核心交换滴机以及两台够数据中心交环换机之间采姐取全冗余连瓶接；医为了保证系促统的可靠性羽，我们建议即配置两台防斗火墙为双机绵热备方式，骂在实现安全唤控制的同时陷保证线路的眉可靠性，同吗时可以与动坦态路由策略愚组合，实现冒流量负载分炉担；脆安全控制策删略：唇防火墙设置贯为默认拒绝灶工作方式，母保证所有的赴数据包，如即果没有明确脆的规则允许粒通过，全部隙拒绝以保证挺安全；燕建议在两台超防火墙上设秘定严格的访光问控制规则瞧，配置只有搏规则允许的幸IP地址或稠者用户能够颜访问数据中温心中的指定然的资源，严颠格限制网络赞用户对数据助中心服务器鸟的资源，以亚避免网络用赶户可能会对找数据中心的告攻击、非授谈权访问以及勿病毒的传播丛，保护数据题中心的核心疮数据信息资出产；扫配置防火墙污防DOS/殿DDOS功懂能，对峰Land框、镇Smurf求、畏Fragg残le黑、博Ping睛ofDe妇ath炸、虫Tear课Drop弟、增SYNF胶lood与、调ICMP逆Flood兄、绝UDPF箭lood笨等拒绝服务中攻击进行防谜范，可以实切现对各种拒宁绝服务攻击蠢的有效防范算，保证网络保带宽；胡配置防火墙冠全面攻击防刺范能力，包次括轿ARP畅欺骗攻击的在防范，提供北ARP亲主动反向查柔询、离TCP导报文标志位传不合法攻击爱防范、超大揪ICMP还报文攻击防战范、地址胃/辅端口扫描的辟防范、梯ICMP嗓重定向或不译可达报文控妨制功能、T断racer泳t之报文控制功炸能、带路由末记录选项例IP津报文控制功训能等，全面利防范各种网渐络层的攻击孩行为；住根据需要，畅配置IP/庆MAC绑定延功能，对能玉够识别MA忠C地址的主蒜机进行链路剧层控制，实耐现只有IP握/MAC匹臣配的用户才庆能访问数据菊中心的服务鼠器；福其他可选策绢略：给可以启动防牌火墙身份认悄证功能，通府过内置数据赢库或者标准填Radiu糕s点属性认证，以实现对用户速身份认证后稳进行资源访果问的授权，聪进行更细粒毒度的用户识适别和控制；虽根据需要，在在两台防火跌墙上设置流搜量控制规则冬，实现对服斯务器访问流检量的有效管妻理，有效的阁避免网络带批宽的浪费和剩滥用，保护承关键服务器祸的网络带宽膛；逢根据应用和即管理的需要烂，设置有效宅工作时间段变规则，实现淹基于时间的闪访问控制，茫可以组合时枯间特性，实筋现更加灵活伪的访问控制径能力；命在防火墙上砍进行设置告荡警策略，利腐用灵活多样刷的告警响应尽手段（E-俊mail、客日志、SN防MP陷阱饮等），实现贵攻击行为的嗽告警，有效回监控网络应唱用；纪启动防火墙察日志功能，各利用防火墙基的日志记录晃能力，详细糠完整的记录貌日志和统计暂报表等资料丢，实现对网利络访问行为负的有效的记清录和统计分虫析；傍设备选型建犁议：答我们建议选真择狡1800F数防火墙，详班细的产品介捏绍见附件；译Inter揉net边界异安全防护掠在Inte粪rnet边警界部署防火杯墙是防火墙陆最主要的应杏用模式，绝陡大部分网络停都会接入I眯ntern勉et，因此佩会面临非常竭大的来自I投ntern干et的攻击踪的风险，需可要一种简易镰有效的安全岸防护手段，杜Inter蝶net边界灿防火墙有多胶种部署模式我，基本部署捉模式如下图鲁所示：横通过在In捞terne锯t边界部署熊防火墙，主牛要目的是实墓现以下三大舰功能：趣来自Int孤ernet恭攻击的防范缸：瓣随着网络技室术不断的发粉展，Int乎ernet蛾上的现成的亏攻击工具越疤来越多，而逢且可以通过些Inter堡net广泛蛋传播，由此而导致Int鞋ernet筑上的攻击行相为也越来越旅多，而且越眼来越复杂，译防火墙必须济可以有效的桂阻挡来自I织ntern路et的各种懂攻击行为；与Inter蜜net服务迹器安全防护花：角企业接入I雾ntern左et后，大蓄都会利用I胀ntern怎et这个大惹网络平台进缝行信息发布已和企业宣传河，需要在I赠ntern晴et边界部鬼署服务器，奔因此，必须瓦在能够提供巾Inter律net上的永公众访问这询些服务器的那同时，保证处这些服务器宴的安全；业内部用户访尝问Inte太rnet管脸理：臣必须对内部山用户访问I棍ntern惊et行为进脑行细致的管割理，比如能饱够支持WE住B、邮件、袄以及BT等斤应用模式的贤内容过滤，永避免网络资下源的滥用，缩也避免通过锦Inter姑net引入阻各种安全风冒险；北基于上述需尚求，我们建您议在Int闪ernet很边界，采取堪以下防火墙率部署策略：鄙设备部署模服式：芦如上图所示垦，我们建议犯在核心交换蚀机与Int帖ernet餐路由器之间方配置两台防酬火墙，两台雄防火墙与核绑心交换机以厚及Inte贿rnet路匙由器之间采匹取全冗余连宁接，保证系思统的可靠性绢，言为了保证系随统的可靠性灶，我们建议遍配置两台防迫火墙为双机案热备方式，蚕在实现安全底控制同时保派证线路的可蔽靠性，同时紫可以与内网句动态路由策近略组合，实叼现流量负载顶分担；陷安全控制策浸略：仿防火墙设置漫为默认拒绝捉工作方式，袄保证所有的庆数据包，如公果没有明确晌的规则允许廊通过，全部慕拒绝以保证样安全；岛配置防火墙脂防DOS/筋DDOS功关能，对膜Land黄、抹Smurf董、训Fragg叙le做、另Ping缩ofDe达ath恋、捎Tear素Drop舅、联SYNF巩lood蹦、屯ICMP怎Flood姨、沾UDPF吧lood货等拒绝服务宁攻击进行防衫范；粗配置防火墙壳全面安全防抵范能力，包探括雁ARP凉欺骗攻击的忆防范，提供终ARP搞主动反向查柿询、求TCP截报文标志位遵不合法攻击仰防范、超大轮ICMP辅报文攻击防漠范、地址测/灶端口扫描的彩防范、最ICMP泛重定向或不薯可达报文控泼制功能、T安racer牢t对报文控制功惨能、带路由摆记录选项姜IP停报文控制功缝能等；央由外往内的隆访问控制规想则：滋通过防火墙苍的访问控制辉策略，拒绝棚任何来自I种ntern受et对内网崇的访问数据艰，保证任何对Inter浊net数据播都不能主动雨进入内部网标，屏蔽所有傲来自Int比ernet呜的攻击行为炊；帜由外往DM窄Z的访问控涉制规则：陕通过防火墙矿的访问控制常策略，控制膛来自Int般ernet略用户只能访活问DMZ区冤服务器的特烤定端口，比过如WWW服好务器80端潜口、Mai腐l服务器的诵25/11渗0端口等，丘其他通信端律口一律拒绝待访问，保证畏部属在DM梯Z区的服务录器在安全的谊前提下，有低效提供所需陷的服务；因由内往外的弱访问控制规衔则：刮通过防火墙拴的访问控制挺策略，对内割部用户访问糖Inter刑net进行乘基于IP地真址的控制，贞初步实现控泼制内部用户店能否访问I好ntern失et，能够股访问什么样甩的Iner粮tnet资下源；拨通过配置防专火墙提供的盛IP/MA里C地址绑定磁功能，以及薄身份认证功盲能，提供对见内部用户访撕问Inte忌rnet的绕更严格有效吐的控制能力流，加强内部灾用户访问I定ntern敬et控制能键力；赠通过配置防何火墙提供的闻SMTP厨邮件过滤功猜能和怪HTTP引内容过滤，巧实现对用户糟访问Int裂ernet捐的细粒度的毫访问控制能要力，实现基鸣本的用户访警问Inte氧rnet的俗行为管理；秀由内往DM缩Z的访问控语制规则：被通过防火墙律的访问控制谢策略，控制凶来自内部用录户只能访问乞DMZ区服带务器的特定渴端口，比如丧WWW服务涉器80端口印、Mail截服务器的2构5/110志端口等，其挠他通信端口耀一律拒绝访伪问，保证部当属在DMZ叫区的服务器洲在安全的前惊提下，有效到提供所需的摇服务；幕对于服务器岁管理员，通哄过防火墙策提略设置，进弹行严格的身盛份认证等措撕施后，可以铲进行比较宽跟的访问权限吹的授予，在贡安