数据中心保护解决方案技术建议书

文档名称第页数据中心保护解决方案技术建议书某某通信技术有限公司

目录1 项目概述 41.1 项目背景（请根据项目情况做修改） 42 数据中心面对的安全挑战 42.1 数据中心安全威胁的层次划分 42.2 面向应用层的攻击 52.3 面向网络层的攻击 52.4 对网络基础设施的攻击 53 H3C安全解决方案理念 53.1 智能安全渗透网络——局部安全 63.2 智能安全渗透网络——全局安全 73.3 智能安全渗透网络——智能安全 74 XXX数据中心整体安全规划 84.1 三重保护，多层防御 84.2 分区规划，分层部署 94.3 统一管理、智能联动 105 基础网络安全设计 115.1 交换机安全部署 111) 数据中心网络架构安全技术 112) 基于VLAN的端口隔离 123) STPRoot/BPDUGuard 134) 端口安全 135) 防IP伪装 146) 路由协议认证 155.2 端点准入安全部署 151) 认证需求 152) 组网部署 163) 功能描述 176 网络层安全设计 186.1 边界安全防火墙 181) 状态防火墙 182) 防火墙安全区域管理 203) 防火墙在数据中心的部署 216.2 异常流量清洗 211) DoS/DdoS攻击 212) DoS/DdoS攻击防范描述 223) AFC在数据中心的部署 237 应用层安全设计 237.1 深度入侵防御IPS 231) 数据中心应用的威胁 232) 应用程序防护 253) 高精度、高效率的入侵检测引擎 254) 全面、及时的攻击特征库 264) IPS在数据中心的部署 277.2 应用加速ASE 271) 数据中心面临的可用性威胁 272) 解决方案介绍 285) ASE在数据中心的部署 328 统一安全管理 338.1 全局安全管理解决方案 331) 全局安全管理解决方案概述： 332) H3C全局安全管理解决方案的突出特点： 353) H3CSecCenter部署方案： 36

项目概述项目背景（请根据项目情况做修改）安全是所有IT建设最核心的元素之一，对所有的网络来说都是一个主要的考虑事项，它对于XXX来说至关重要，XXX做为一个核心信息交流平台并存储敏感数据，因此会成为来自外部或内部的恶意攻击的目标。安全性的破坏可以源自小范围的侵入，层层渗透后成为严重的、代价高昂且损失惨重的事件。安全性是XXX解决方案中最重要的方面之一。如果没有完善的安全保护，那么内部的机密信息将受到威胁，包括被窃取、篡改、删除的威胁，而可能导致灾难性的后果。数据中心安全解决方案必须为数据中心提供能够全方面保护数据中心业务的安全解决之道。不但需要保护数据中心中关键应用和保密数据；并需要增强数据中心的运营效率，增强业务竞争力，而且具有扩展性以支持随时可能出现的新业务流程。以下讨论主要讨论数据中心会面临的安全威胁以及对应的保护措施，最终目标都是保护数据中心所承载的业务。数据中心面对的安全挑战数据中心安全威胁的层次划分从安全角度看，数据中心可以被划分为三个主要的层次，通过对层次的划分以及所有安全威胁在层次上的对应，组织可以对安全威胁采用对应的安全解决方案，并对这些解决方案进行统一规划。当在每一层次部署对应安全解决方案时，也非常清晰的定义和确定了将被包含或影响到的业务。数据中心安全性的三个主要的层次是：IT基础设施和物理安全性：这一层泛指整个IT基础设施，企业需要IT基础设施来运行有效的业务操作，IT基础设施的弹性将决定业务操作的总体效率和可用性。它也存储所有的数据，这些数据是业务事务和应用处理所生成的结果。企业安全性这一层的安全性解决方案主要集中于保护技术设施不受物理和逻辑上的攻击，其他主要集中方面是基础设施和应用的监控和管理。 应用和数据安全性：这一层是指业务应用的安全性，业务应用被内部和外部终端用户实际访问，是处理业务事务的资产，并提供电子商务。企业安全性这一层的安全性解决方案主要集中于提供对应用的受控访问、验证用户身份、用户的provisioning和授权、审查用户操作，并通过加密来保护数据。管理安全性这一层是指业务流程和操作的安全性，当管理团队作出高级策略决定时，管理安全性主要进行基础设施和应用的安全性的实现和配置。企业策略和标准的成功与否取决于如何在这一层上实现和实施级别，这使组织能够运行业务，而不会有意或无意的违背企业策略，并防止业务遇到合法的或其他类型的安全问题。这一层的安全性解决方案主要包括一些方案或服务，这些方案或服务帮助组织实施并自动操作安全策略和流程，最终用户了解规划并完成企业级安全性的管理和报告。面向应用层的攻击常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等，最典型的应用攻击莫过于“蠕虫”。应用攻击的共同特点是利用了软件系统在设计上的缺陷，其传播都基于现有的业务端口，因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。面向网络层的攻击除了由于系统漏洞造成的应用攻击外，数据中心还要面对拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS/DDOS是一种传统的网络攻击方式，然而其破坏力却十分强劲。常见的DDOS攻击方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已发现的DOS攻击程序有ICMPSmurf、UDP反弹，而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo和Stacheldraht等。对网络基础设施的攻击数据中心象一座拥有巨大财富的城堡，然而坚固的堡垒最容易从内部被攻破，来自数据中心内部的攻击也更具破坏性。数据中心的安全防护体系不能仅依靠单独的某个安全产品，还要依托整个网络中各部件的安全特性。H3C安全解决方案理念在这种咄咄逼人的安全形势下，数据中心需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯倡导的“智能安全渗透理念”，将安全部署渗透到整个数据中心的设计、部署、运维中，为数据中心搭建起一个立体的、无缝的安全平台，真正做到了使安全贯穿数据链路层到网络应用层的目标，使安全保护无处不在。智能安全渗透网络（iSPN）提出了一个整体安全架构，从局部安全、全局安全、智能安全三个层面，为用户提供一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁；全局安全利用安全策略完成产品间的分工协作，达到协同防御的目的；智能安全在统一的安全管理平台基础上，借助于开放融合的大安全模型，将网络安全变为从感知到响应的智能实体。智能安全渗透网络结构智能安全渗透网络——局部安全网络安全最基础的防护方式是关键点安全，即对出现问题的薄弱环节或有可能出现问题的节点部署安全产品，进行2～7层的威胁防范，当前企业绝大部分采用的都是这种单点威胁防御方式。这种局部安全方式简单有效并有极强的针对性，适合网络建设已经比较完善而安全因素考虑不足的情况。在这种方式下，H3C强调通过“集成”来提供最佳的防御效果，即通过在网络产品上集成安全技术、在安全产品上集成网络技术以及网络与安全的插卡集成等方式，实现了安全技术和网络技术在无缝融合上做出的第一步最佳实践。智能安全渗透网络——全局安全由于安全产品种类的不断丰富，使得局部安全可以应对企业的大部分基础网络安全问题。然而此时用户意识到，局部安全的防护手段相对比较孤立，只有将产品的相互协作作为安全规划的必备因素，形成整网的安全保护才能抵御日趋严重的混合型安全威胁。为此，H3C推出了全局安全理念，借助于IToIP的网络优势，通过技术和产品的协作，将网络中的多个网络设备、安全设备和各组件联动起来，并通过多层次的安全策略和流程控制，向用户提供端到端的安全解决方案。以H3C的端点准入防御及安全事件分析机制为例，它将计算机网络、网络上的通用操作系统、主机应用系统等企业资源都纳入到安全保护的范畴内。在统一的安全策略下，利用各部分组件的协同联动，保证网络各端点的安全性与可控性；同时，在统一的平台上进行安全事件的收集、整理、分析，可以做到整网安全风险的提前预防与及时控制。智能安全渗透网络——智能安全随着网络建设的日趋完善，面向业务的安全已经成为新的发展方向。只有理解企业业务，将企业的业务需求及流程建设充分融合到网络安全建设中来，从信息的计算、通信及存储等信息安全状态出发，以面向应用的统一安全平台为基础，通过安全事件的实时感知、安全策略的动态部署、网络安全设备的自动响应，将智能的安全融入企业业务流程中，形成开放融合、相互渗透的安全实体，才能实现真正的网络安全智能化。帮助企业将业务信息的所有状态都控制在安全管理的范围内，这样的需求正是智能安全产生的原动力。完善的安全管理体制是加强信息系统安全防范的组织保证。iSPN全局安全管理平台可以对全网的安全信息做到统一管理、统一下发安全策略以及统一分析安全数据，保证企业信息系统的安全运行。iSPN全局安全管理平台以开放的安全管理中心和智能管理中心为框架，将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高企业网络的整体安全防御能力。H3C全局安全管理平台由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。高效的安全解决方案不仅仅在于当安全事件发生时，我们能够迅速察觉、准确定位，更重要的是我们能够及时制定合理的、一致的、完备的安全策略，并最大限度的利用现有网络安全资源，通过智能分析和协同响应及时应对各种真正的网络攻击。在局部安全、全局安全的基础上，H3CiSPN为实现这一目标而构建了专业安全服务、开放应用架构和可持续演进的全局安全管理平台，通过对防护、检测和响应等不同生命周期的各个安全环节进行基于策略的管理，将各种异构的安全产品、网络设备、用户终端和管理员有机的连接起来，构成了一个智能的、联动的闭环响应体系，可在保护现有网络基础设施投资的基础上有效应对新的安全威胁、大幅提升对企业基础业务的安全保障。H3C将以全新的iSPN理念配合先进的产品技术与日趋完善的面向应用解决方案，为企业打造一个领先的、全面的、可信赖的IP安全平台。XXX数据中心整体安全规划H3C数据中心安全解决方案的技术特色可用十二个字概括：三重保护、多层防御分区规划，分层部署统一管理、智能联动三重保护，多层防御图数据中心三重安全保护以数据中心服务器资源为核心向外延伸有三重保护功能。依托具有丰富安全特性的交换机构成数据中心网络的第一重保护；以ASIC、FPGA和NP技术组成的具有高性能精确检测引擎的IPS提供对网络报文深度检测，构成对数据中心网络的第二重保护；第三重保护是凭借高性能硬件防火墙构成的数据中心网络边界。图数据中心多层安全防御三重保护的同时为数据中心网络提供了从链路层到应用层的多层防御体系，如图。交换机提供的安全特性构成安全数据中心的网络基础，提供数据链路层的攻击防御。数据中心网络边界安全定位在传输层与网络层的安全上，通过状态防火墙可以把安全信任网络和非安全网络进行隔离，并提供对DDOS和多种畸形报文攻击的防御。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络应用层的保护。分区规划，分层部署在网络中存在不同价值和易受攻击程度不同的设备，按照这些设备的情况制定不同的安全策略和信任模型，将网络划分为不同区域。图5.3数据中心分区规划思想多层思想（n-Tier）不仅体现在传统的网络三层部署（接入－汇聚－核心）上，更应该关注数据中心服务器区的设计部署上。服务器资源是数据中心的核心，多层架构把应用服务器分解成可管理的、安全的层次。按照功能分层打破了将所有功能都驻留在单一服务器时带来的安全隐患，增强了扩展性和高可用性。统一管理、智能联动当前，数据中心系统安全管理中遇到的问题包括：对实时安全信息不了解，无法及时发出预警报告。各种安全设备是孤立的，无法相互关联，信息共享。安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。网络安全专家匮乏，没有足够的人员去监控、分析、解决问题。在此背景下，H3C提出用SecCenter（安全管理中心）和iMC（智能管理中心）组合，来满足数据中心系统全局安全管理的需求，将安全体系中各层次的安全产品、网络设备、用户终端等纳入一个紧密的“全局安全管理平台”中，通过安全策略的集中部署、安全事件的深度感知与关联分析以及安全部件的协同响应，在现有安全设施的基础上构建一个智能安全防御体系，大幅度提高数据中心系统的整体安全防御能力。H3C“全局安全管理平台”由策略管理、事件采集、分析决策、协同响应四个组件构成，与网络中的安全设备、网络设备、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系（见下图）。H3C基于SecCenter和iMC的智能防御体系H3C全局安全管理平台旨在集中部署网络安全防护策略，简化对安全部件的管理，确保网络安全策略的统一；广泛采集与分析来自于计算机、网络、存储、安全等设施的告警事件，通过关联来自于不同地点、不同层次、不同类型的安全事件，发现真正的安全风险，提高安全报警的信噪比；准确的、实时的评估当前的网络安全态势和风险，并根据预先制定的策略做出快速响应。基础网络安全设计网络基础架构的安全特性是数据中心中各部件产品基本安全特性的通称。架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备，部署点多、覆盖面大，是构成整个安全数据中心的基石。交换机安全部署数据中心网络架构安全技术网络基础架构的安全特性是数据中心中各部件产品基本安全特性的通称。架构安全特性涉及服务器、接入交换机、负载均衡器、汇聚交换机、核心交换机等设备，部署点多、覆盖面大，是构成整个安全数据中心的基石。H3C凭借基于COMWARE的具有丰富安全特性全系列智能交换机为数据中心打造坚实的基础构架。COMWARE是由H3C推出的支持多种网络设备的网络操作系统，它以强大的IP转发引擎为核心，通过完善的体系结构设计，把实时操作系统和网络管理、网络应用、网络安全等技术完美的结合在一起。作为一个不断发展、可持续升级的平台，它具有开放的接口，可灵活支持大量的网络协议和安全特性。COMWARE可应用在分布式或集中式的网络设备构架之上，也就是说，不仅可以运行在高端的交换机/路由器上，而且也可以运行在中低端的交换机/路由器上，不向其它厂商，不同的软件运行在不同的设备上。COMWARE的这一特性可使网络中各节点设备得到同一的安全特性，彻底避免了由于部件产品安全特性不一致、不统一造成的安全“短木板效应”。数据中心基础架构安全相关架构基于VLAN的端口隔离交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的服务器之间完全没有互访要求时，可以设置各自连接的端口为隔离端口，如图。这样可以更好的保证相同安全区域内的服务器之间的安全：图交换机IsolatedVlan技术STPRoot/BPDUGuard基于Root/BPDUGuard方式的二层连接保护保证STP/RSTP稳定,防止攻击,保障可靠的二层连接。如图。图交换机RootGuard/BPDUGuard技术端口安全端口安全（PortSecurity）的主要功能就是通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。对于不能通过安全模式学习到源MAC地址的报文或802.1x认证失败的设备，当发现非法报文后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。端口安全的特性包括：NTK：NTK（NeedToKnow）特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧只能被发送到已经通过认证的设备上，从而防止非法设备窃听网络数据。IntrusionProtection：该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤此MAC地址的报文，保证了端口的安全性。DeviceTracking：该特性是指当端口有特定的数据包（由非法入侵，用户不正常上下线等原因引起）传送时，设备将会发送Trap信息，便于网络管理员对这些特殊的行为进行监控。防IP伪装病毒和非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处：本身就是攻击的直接功能体。比如smurf攻击。麻痹网络中的安全设施。比如绕过利用源IP做的接入控制。隐藏攻击源设备防止IP伪装的关键在于如何判定设备接收到的报文的源IP是经过伪装的。这种判定的方式有三种。分别在内网和内外网的边界使用。在internet出口处过滤RFC3330和RFC1918所描述的不可能在内外网之间互访的IP地址。利用IP和MAC的绑定关系网关防御利用DHCPrelay特性，网关可以形成本网段下主机的IP、MAC映射表。当网关收到一个ARP报文时，会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习，否则不学习该ARP。这样伪装IP的设备没有办法进行正常的跨网段通信。接入设备防御利用DHCPSNOOPING特性，接入设备通过监控其端口接收到的DHCPrequest、ACK、release报文，也可以形成一张端口下IP、MAC的映射表。设备可以根据IP、MAC、端口的对应关系，下发ACL规则限制从该端口通过的报文源IP必须为其从DHCP服务器获取的IP地址。UPRFUPRF会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。其实现机制如下：设备接收到报文后，UPRF会比较该报文的源地址在路由表中对应的出接口是否和接收该报文的接口一致。如果两者不一致，则将报文丢弃。路由协议认证攻击者也可以向网络中的设备发送错误的路由更新报文，使路由表中出现错误的路由，从而引导用户的流量流向攻击者的设备。为了防止这种攻击最有效的方法就是使用局域网常用路由协议时，必须启用路由协议的认证。另外，在不应该出现路由信息的端口过滤掉所有路由报文也是解决方法之一。但这种方法会消耗掉许多ACL资源。端点准入安全部署在XXX的局域网接入上，需要采用严格的用户认证和授权控制策略，避免网络的非法接入和越级访问，保证核心数据和业务的安全性和高度机密。同时，对不同的接入用户要做到动态的分配不同的权限，使之归属于不同的VPN，访问授权的资源。此外，需要对接入终端的安全性进行检查，避免病毒的传播对网络造成的不可预知的破坏。这就需要一套完整的端点准入防御（EAD，EndpointAdmissionDefense）解决方案。EAD从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。认证需求对于要接入安全网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示：组网部署如下图所示，EAD组网模型图中包括安全客户端、安全联动设备、CAMS安全策略服务器和第三方服务器。安全客户端：是指安装了H3CiNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。安全联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。CAMS安全策略服务器：它要求和安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直到满足安全策略要求。功能描述严格的身份认证除基于用户名和密码的身份认证外，EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。完备的安全状态评估根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等；为了更好的满足客户的需求，EAD客户端支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用，支持和瑞星、江民、金山、Symantec、MacAfee、TrendMicro、安博士、卡巴斯基等国内外主流病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具，由SMS实现各种Windows环境下用户的桌面管理需求：资产管理、补丁管理、软件分发和安装等。基于角色的网络授权在用户终端通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。扩展开放的解决方案EAD解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范，易于互联互通。灵活方便的部署方式EAD方案部署灵活，维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式；此外，EAD还支持灵活的旧网改造方案和客户端静默安装等特性。网络层安全设计边界安全防火墙边界安全的一项主要功能是实现网络隔离，通过防火墙可以把安全信任网络和非安全网络进行隔离。防火墙以其高效可靠的防攻击手段，和灵活多变的安全区域配置策略担负起是守护数据中心边界安全的重任。状态防火墙业界防火墙设备主要包括如下四个类型： 包过滤防火墙 应用层网关，也被称作代理服务器 电路层网关 状态防火墙包过滤防火墙包过滤防火墙必须明确定义允许通过设备的流量。这意味着为了能够成功通信，都需在包过滤防火墙上定义每一种类型的连接。包过滤器可以基于协议类型（例如GRE、UDP、TCP或ICMP），IP源/目的地址或IP网络（IP地址集合），源/目的端口或这些参数的组合来定义防火墙的转发策略。下面是包过滤防火墙的一些优点： 管理费用比状态防火墙（后面讨论）少 成本低 流量控制粒度小包过滤防火墙的一些缺点： 无用户认证 可见性无法超出协议/端口 容易遭受IP欺诈代理服务器应用网关要求客户端将所有访问外部资源的请求提交到代理服务器，服务器将“代理”这些对Internet资源的请求。显然，客户应用为利用代理功能，它们必须了解“代理”，这样才知道将它们的请求发送到什么地方。最常见的应用网关是Web代理。绝大多数流行的Web浏览器都知道代理，因此能够利用这种架构。由于代理服务器代理所有的流量，这就提供了更强的安全性。注意，每类请求Internet资源的连接都会建立两个连接：一个是从客户端到代理，另一个是从代理到Internet资源。这意味着客户端绝不会直接与Internet资源通信。下面是代理服务器的一些优点： 架构固有的更高的安全性 基于用户或组的授权与访问控制 流量日志 缓存代理服务器的一些缺点： 应用需要知道代理 需要在客户端配置代理 不是所有的Internet应用都知道代理电路层网关虽然代理服务器能够提供更强的安全性，但是它的主要缺点是缺乏透明度。这对于那些设计良好的应用不是一个问题，但还是有一些应用不支持代理，因此将无法工作。对于这类情况，电路层代理能提供解决方案。正如名称所暗示的，电路层代理的功能不是建立在代理服务器对不同协议的理解，以及如何处理这些协议的基础上的。电路层代理代表客户为其建立与Internet主机的连接。与应用代理功能一样，电路层代理也需要建立两个连接。然而，这只发生在连接层而不是应用层。电路层代理的一个例子是WIN32平台上的WINSOCK实现。如果应用要兼容电路层网关，它们需要使用平台相关API建立连接。对于Windows应用，需要使用WINSOCK应用编程接口（API）建立外部连接。电路层网关功能也要求部属客户端软件。下面是电路层网关的一些优点： 与任何使用WINSOCKAPI的应用兼容–这包含许多WIN32应用 架构固有的更高的安全性 基于用户或组的授权与访问控制 流量日志 支持更复杂的通信需求（如回调等）电路层网关的一些缺点： 需要客户端部署应用 与没有使用特定平台API的应用不兼容 允许更复杂的应用访问网关，因此要求更复杂的安全性基于状态的包检查防火墙较新的一类防火墙设备支持基于状态的包检查。正如其名称所示，SPI防火墙的主要优点就是更智能的基于状态的包检查。下面是状态防火墙两个主要的优点： 通过建立连接表增强了对连接状态的理解，从而减少了包欺诈的可能性 能够在对通用协议（如SMTP或NNTP）详细理解的基础上进行包检测状态防火墙设备将状态检测技术应用在ACL技术上，通过对连接状态的检测，动态的发现应该打开的端口，保证在通信的过程中动态的决定哪些数据包可以通过防火墙。状态防火墙还采用基于流的状态检测技术可以提供更高的转发性能，可以根据流的信息决定数据包是否可以通过防火墙，这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。状态防火墙具有更高的智能，提供更高的安全性。防火墙安全区域管理边界安全的一项主要功能是网络隔离，并且这种网络隔离技术不是简单的依靠网络接口来划分的，因为网络的实际拓扑是千差万别的，使用固定接口来进行网络隔离不能适应网络的实际要求。SecPath防火墙提供了基于安全区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意的接口，因此SecPath的安全管理模型是不会受到网络拓扑的影响。业界很多防火墙一般都提供受信安全区域（trust）、非受信安全区域（untrust）、非军事化区域（DMZ）三个独立的安全区域，这样的保护模型可以适应大部分的组网要求，但是在一些安全策略要求较高的场合，这样的保护模型还是不能满足要求。SecPath防火墙默认提供四个安全区域：trust、untrust、DMZ、local，在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域，本地安全区域可以定义到防火墙本身的报文，保证了防火墙本身的安全防护，使得对防火墙本身的安全保护得到加强。例如，通过对本地安全区域的报文控制，可以很容易的防止不安全区域对防火墙本身的Telnet、ftp等访问。SecPath防火墙还提供自定义安全区域，可以最大定义16个安全区域，每个安全区域都可以加入独立的接口。防火墙在数据中心的部署在XXX中，在各个区域边界都要部署防火墙，实现对访问的控制，只有合法的报文才可以通过。在互联网出口上，在防火墙上启用NAT（网络地址转换），确保内部网络的安全，并对外隐藏内网结构，避免恶意攻击和嗅探。异常流量清洗DoS/DdoS攻击Dos（Denyofservice）是一类攻击方式的统称（DDos也是Dos的一种），其攻击的基本原理就是通过发送各种垃圾报文导致网络的阻塞、服务的瘫痪。Dos攻击方式其利用IP无连接的特点，可以制造各种不同的攻击手段，而且攻击方式非常简单，在Internet上非常流行，对企业网、甚至电信骨干网都造成了非常严重的影响，导致严重的网络事故，因此优秀的Dos攻击防范功能是防火墙的必备功能。一个优秀的Dos攻击防御体系，应该具有如下最基本的特征：防御手段的健全和丰富。因为Dos攻击手段种类比较多，因此必须具有丰富的防御手段，才可以保证真正的抵御Dos攻击。优秀的处理性能。因为Dos攻击伴随这一个重要特征就是网络流量突然增大，如果防火墙本身不具有优秀的处理能力，则防火墙在处理Dos攻击的同时本身就成为了网络的瓶颈，根本就不可能抵御Dos攻击准确的识别攻击能力。DDoS攻击会导致用于输入、输出和内联网通信的带宽达到饱和；超出目标路由器、服务器甚至防火墙的承受能力，导致它们无法提供合法流量；阻止对特定应用或者主机的访问；攻击其他网络资源，例如软交换机、核心路由器和域名系统（DNS）服务器；对网络中没有直接遭受攻击的部分造成间接破坏。让这个日益加剧的问题变得更为复杂的是DDoS攻击往往很难发现，因为非法分组与合法分组的区分并不是很容易。要应对DDoS的攻击，必须采用一个全面的保护系统，它应当可以在攻击开始时及时发现攻击，转移或者“清理”受到攻击的数据流（即所谓的管道），再将合法流量发回到网络。DoS/DdoS攻击防范描述H3C安全宽带解决方案通过在IDC网络中部署高性能的流量清洗AFC设备，与iMC管理平台联动，实现对异常攻击流量、邮件病毒的检测与过滤，从而构建安全可靠的高性能网络，保障带宽，降低服务器的负载，节约CPU和内存资源，提升业务处理能力。IPS安全宽带解决方案的工作流程图如下：流量通过镜像功能到AFC设备上进行异常检测；AFC发现异常流量时，向业务管理软件平台进行告警；业务管理平台通知防御设备，开启攻击防御；防御系统对流量进行牵引，改变流量转发路径，对流量进行清洗，只有正常的流量被回注到服务器进行业务的处理，异常流量被清洗掉；当攻击结束后，解除防御，流量恢复正常；AFC在数据中心的部署在XXX中，每个数据中心区域的入口处部署AFC流量清洗，对于外部的DDoS攻击流量进行清洗，保证服务器接受的流量都是干净的。应用层安全设计深度入侵防御IPS数据中心应用的威胁今天，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，使威胁更加危险和难以抵御。这些威胁直接攻击IDC核心服务器和应用，给业务带来了重大损失；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，宝贵的带宽资源被业务无关流量浪费，形成巨大的资源损失。面对这些问题，传统解决方案最大的问题是，防火墙工作在TCP/IP3～4层上，根本就“看”不到这些威胁的存在，而IDS作为一个旁路设备，对这些威胁又“看而不阻”，因此我们需要一个全新的安全解决方案。常见应用层威胁恶意网页蠕虫病毒后门木马间谍软件DoS/DDoSBT、eMule等P2P带宽滥用Skype、MSN等IM软件应用垃圾邮件网络钓鱼系统漏洞……入侵防护系统(IPS)倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。IPS可以针对应用流量做深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。应用程序防护H3CIPST1000提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护，如：病毒、蠕虫与木马程序。利用深层检测应用层数据包的技术，H3CIPST1000可以分辨出合法与有害的封包内容。最新型的攻击可以透过伪装成合法应用的技术，轻易的穿透防火墙。而H3CIPST1000运用重组TCP流量以检视应用层数据包内容的方式，以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御，然而H3CIPST1000运用漏洞基础的过滤机制，可以防范所有已知与未知形式的攻击。H3CIPS还支持以下检测机制：1）基于访问控制列表（ACL）的检测2）基于统计的检测3）基于协议跟踪的检测4）基于应用异常的检测5）报文规范检测（Normalization）6）IP报文重组7）TCP流恢复高精度、高效率的入侵检测引擎入侵检测引擎是IPS设备最核心的功能之一，入侵检测引擎直接关系到IPS设备的两个重要功能指标：漏报率和误报率，也直接关系到IPS设备的两个重要性能指标：吞吐量和时延。H3CSecPathT系列产品采用某某公司自主知识产权的FIRST（注：FIRST，FullInspectionwithRigorousStateTest，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，全面提高了入侵检测的精确度；同时，FIRST引擎采用了并行检测技术，并且可软、硬件灵活适配，硬件可采用ASIC、FPGA、NP等技术，大大提高了入侵检测的性能。FIRST引擎架构如图2-1所示。FIRST引擎架构如上图所示，FIRST引擎创新性地将协议识别与特征匹配紧密地结合起来，利用特征匹配精确地识别出应用层协议，并精确地分析出协议异常进行阻断，同时，将特征匹配与协议识别的结果结合起来，只有关联了特定应用层协议上下文的攻击特征成功匹配了才被判断为一次有效攻击，从而，大大提高了检测精度，显著降低了误报率和漏报率。FIRST引擎独创了软、硬件灵活适配的设计机制，在高端的H3CSecPathT系列产品中，集成专有的硬件检测芯片，利用专有的ASIC芯片实现硬件加速功能。同时，不论是软、硬件实现，FIRST引擎都采用了流水线与大规模并行处理机制，保证检测效率与检测特征数量无线性关系，可以对一个报文流同时进行几千种攻击特征和几千种协议特征的并行匹配检测，从而将整体的处理性能提高到空前水平。全面、及时的攻击特征库攻击特征库是FIRST检测引擎进行攻击检测的依据，没有完善的攻击特征库，再强大的检测引擎也无法发挥作用，就象动力强劲的发动机没有合适的、足够的燃油一样。某某公司多年的网络技术与安全技术积累，造就了资深的攻击特征库团队和安全服务团队，建有攻防实验室，紧跟网络技术与安全技术的发展前沿和网络攻防的最新动态，定期更新并发布攻击特征库升级包，源源不断地为强大的检测引擎注入高质量的燃油。某某公司的攻击特征库具有如下特点：1、覆盖全面，包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征，同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征；2、更新及时，常规情况下每周进行攻击特征库更新，紧急情况下24小时内提供更新的攻击特征库；3、攻击特征库与国际权威的漏洞库CVE兼容；4、攻击特征库虽然兼容国际，但仍根植中国，更多关注国内特有的网络安全状况，及时对国内特有的攻击提供防御；5、攻击特征库包含了与该攻击相关的详细描述，包括攻击的目标系统信息、攻击的危害程度、攻击的解决方法等；6、攻击特征分类合理、细致，易于查询、易于归类操作。IPS在数据中心的部署在XXX中，每个数据中心区域的入口处部署一台IPS进行应用层防护，部署方式采用旁挂方式，保证内部服务器免疫外部应用层攻击，同时保证高可靠性。同时，在互联网出口区部署两台IPS防止来自外部internet的应用层攻击。数据中心每个区域的IPS部署：应用加速ASE数据中心面临的可用性威胁应用加速是在局域网或广域网上，利用各种技术加快服务器应用传递到客户端的速度，使客户体验到比原先快得多（也稳定得多）的服务器应用的一个过程。随着信息化的迅速发展，企业的信息中心已经从分立的“计算中心＋网络中心”模式发展成计算与网络集成一体的数据中心。作为企业信息化的基础核心，数据中心将汇集高性能计算、数据通讯、语音通讯等功能于一体，成为支撑企业未来业务发展的平台。但是，作为企业网络的心脏，数据中心面临着众多的挑战。扩展性、灵活性、高性能、可靠性和安全性，无一不是对数据中心的要求。尤其重要的一点是：在访问请求急剧增长的时候，服务器仍要保证快速、稳定的传送应用到客户端。很难想象用户会在屡次遇到“服务器忙！”后还愿意再次访问这个网站；更难以想象正在进行信用卡支付时遇到掉线会有多么严重的后果。显然，仅靠不断增加带宽是不能满足上述需求的，想提高服务器应用的用户满意度，就需要在现有网络结构中专门增加一层，以专门用于提高服务器应用的传递速度。解决方案介绍H3CSecPathASE系列产品是采用全硬件架构（NP＋FPGA）设计的，通过不同的内置硬件模块实现TCP优化、内容压缩、负载均衡、SSL加速等技术，达到应用加速的目的。使用ASE，可以为目前不堪重负的数据中心减轻过重的负载，同时ASE可以根据数据中心的具体需要，与其它产品配合形成一体化解决方案。SecPathASE产品的一般应用场景如下图所示：图SecPathASE一般应用场景在图中，ASE部署在服务器前端，为服务器截取、处理用户请求，并为服务器提供各种优化功能，大大提高服务器性能，缩短客户端响应时间，降低带宽占用。SecPathASE采用的主要技术包括：TCP优化、内容压缩，可以实现高峰负荷保护等附加功能。各项功能均采用专门的硬件芯片处理，因此混合使用各种功能时，对设备的性能、功能没有影响。TCP优化随着Internet的不断发展，Web应用已经成为服务器主要的数据处理任务。HTTP协议用于在服务器和客户端之间传输基于Web的数据。TCP协议则为HTTP提供有保障的连接和纠错功能。TCP虽然是非常理想的传输机制，但它也存在缺点，在传输Web数据时，TCP协议消耗了大量的资源，导致服务器性能不佳。ASE系列产品的TCP优化技术有2种：连接合并和快速TCP。连接合并连接合并是将服务器的TCP连接最小化，然后将服务器资源释放并集中到对象交付中去。如图2、3所示：图2Web服务器通过TCP处理HTTP图3连接合并图2中，服务器需要维护大量的TCP连接，同时为每个连接进行一个或多个对象处理。图3则在同样的场景中，使用了ASE作为中介，进行了连接合并。ASE在客户端和服务器中间扮演了双重角色，面对客户端时，ASE表现为一个服务器；而在面对服务器时，它表现为一个客户端。面对客户端时，ASE的职责是处理所有的客户端连接，它专注于处理由客户端发起的连接请求并维护这些连接；面对服务器时，ASE创建了少量但长期的连接到服务器，并重复利用这些连接不断传递新的对象数据。ASE使用各种算法来判断何时需要建立一个新的连接到服务器，或已有的连接何时需要延续。使用ASE后，连接合并的优势就体现出来了：ASE处理了所有客户端的连接，服务器不再需要创建和释放连接；连接合并后，服务器只需要处理少量的TCP会话；ASE屏蔽了各种方式的客户端WAN接入，避免了服务器受到延迟、冲突、丢包等客户端因素的影响；ASE与服务器建立少量连接，传输大量对象，达到了最大资源利用。同时ASE与服务器在一个局域网中，大大降低了客户端到服务器的延时，就好像将客户端搬到服务器的局域网中一样；快速TCP快速TCP是SecPathASE系列产品中优化客户端TCP连接的技术。快速TCP可以有效提升TCP机制，使得客户端TCP连接充分发挥其潜力并减少丢包。快速TCP技术包括两个主要方面，慢启动避免和高级拥塞避免算法。慢启动避免：TCP在首次建立连接时通常有一个慢启动的过程，TCP连接的两端缓慢增加传输数据量，以免突发大流量超出对方的传输能力。但对于生命周期较短的TCP连接而言，慢启动造成连接缓慢，不能发挥潜力。ASE采用两种办法解决此问题：ASE长时间保持与客户端的连接。客户端连接尽可能保持开放状态，甚至在服务器希望断开连接时也保持开放状态。这种保持可以促使客户端尽可能使用已有的连接，不再创建新连接。这样，客户端TCP会话被最大限度的利用，达到了带宽最佳利用率，同时由于一个会话的使用率增加，导致不再需要大量创建新的会话连接，因此也减少了慢启动的次数，大大降低了慢启动带来的浪费。ASE采用比标准TCP协议更快的一种慢启动算法。这种算法允许TCP连接能够快速完成慢启动，在此期间产生的拥塞由下面介绍的高级拥塞避免方法解决。高级拥塞避免算法：标准的TCP协议仅仅采取了最基本的拥塞避免方式，那就是缓慢增加传输的数据量，直至数据被丢弃，数据丢弃后，TCP连接的终端就减少发送的数据量，直至再次被丢弃。这种动作不断重复直至达到连接可用最大带宽并不再丢包为止。这种反复失败尝试的方法不利于TCP连接的快速建立，相比较而言，ASE的高级拥塞避免算法观测实际可用带宽，并根据带宽分配给每个TCP连接，通过持续的观测，这种算法在标准TCP拥塞避免算法上实现了两方面的增强：完全避免丢包，使得TCP连接最优操作。从ASE到客户端的流量可以快速达到最大可利用带宽。图4简单比较了快速TCP和标准TCP之间的区别：图4快速TCP和标准TCP之间的区别如图4所示，快速TCP大大缩短了慢启动周期，快速达到最大可用带宽。慢启动之后，拥塞避免开始发挥作用。按照标准TCP处理方式，将会不断变化连接带宽，导致数据量超过带宽后被丢弃、重传，相比较，快速TCP评估带宽后根据最优带宽建立连接，这避免了超出、丢弃、重传的过程，将数据丢包降到最低。内容压缩当今的Web应用包含了大量各种不同类型的内容，当一个客户端连接到一个Web应用，它需要从服务器请求许多不同类型的对象，包括纯文本、图像、甚至是应用执行文件。但问题是，有的文件类型大得没有必要，例如，一些经常出现在Web中的基于文本的文件，由于内嵌编码而变得异常庞大。一个有效解决该问题的办法就是内容压缩。将Web应用中的大量对象进行压缩，可以急剧减小需要传输的对象大小，缩短传输时间，增加带宽利用。另一方面，几乎所有的流行浏览器都支持接收压缩格式的文件，因此采用压缩格式传输对象是可行的。但是，压缩也有它不利的一面，即会增加服务器的工作负担，所以最好能将内容压缩工作从服务器中剥离出来。ASE采用专用的硬件器件在线、实时处理压缩工作，哪些文件何时将被压缩可由配置文件决定。同时还可以配置决定哪些终端浏览器可以接收压缩文件，ASE将根据配置，自动识别客户端浏览器并决定是否传输压缩文件。同时，ASE在与服务器维护的持久连接上，请求需要传送的对象，并实时对对象进行压缩传输，整个过程如下图所示。图5ASE内容压缩整个压缩过程如下：客户端发送请求到服务器，经过ASE，请求信息中带有是否可以接受压缩文件的标识。ASE通过与服务器建立的持久连接，将客户端的请求发送到服务器，服务器根据请求内容，将需要的对象传送给ASE。ASE检测响应内容是否符合压缩规则，如果符合，ASE将实时、在线压缩对象。压缩后的对象被ASE发送到客户端，并在相应的HTTP字段标明所携带的内容是压缩对象。对于不支持压缩对象的客户端，ASE直接将从服务器获取的原对象传送给客户端。同样的，如果服务器响应不匹配ASE上配置的压缩规则，那么原对象也将被直接传送给客户端。总之，ASE提供了强大的、基于硬件专用器件的内容压缩模块，极大地提高了客户端响应时间、提高了带宽利用率、节省了服务器资源。同时，压缩功能与设备的其他功能可以同时运行，不影响设备的其他模块功能、整机性能。ASE在数据中心的部署在XXX中，每个数据中心区域的入口处部署两台ASE进行加速并实现备份，部署方式采用旁挂方式，保护业务的可靠性：统一安全管理全局安全管理解决方案H3C参与了大量网络安全建设实践后认为，除了在信息传输流程中实施安全解决方案之外，还需要进行全局安全管理，这种管理涉及到网络上的设备、使用者以及业务，只有对这3者实现闭环管理，才能对网络安全状况了如指掌。因此，在XXX系统建设一个“全局安全管理平台”是必要的。对于网络系统来说，安全入侵经常将网络作为一个整体而不仅是针对某一个子系统。一个安全攻击事件可能是独立的，也可能是一个较大规模协同攻击的一部分。对于所有的安全检测点，如果没有一个集中的分析视角，你可能低估某个安全攻击的真正威胁，相应采取的安全措施也可能无法解决真正的问题。因此，对系统所记录和存储的审计数据进行综合分析及处理至关重要。这些审计数据可能来自防火墙、路由器、入侵防御系统、主机系统、防病毒系统和桌面安全系统。对上述审计数据的统一和集中的分析将能帮助更好地管理安全事件，从而描绘出整个系统当前安全情况的更清晰和准确的图画。同时，通过集中管理，一个企业可以最大程度地减少重复工作从而提高安全事件管理的效率。全局安全管理解决方案概述：当前，XXX系统安全管理中遇到的问题包括：对实时安全信息不了解，无法及时发出预警报告。各种安全设备是孤立的，无法相互关联，信息共享。安全事件发生以后，无法及时诊断网络故障的原因，恢复困难。网络安全专家匮乏，没有足够的人员去监控、分析、解决问题。在此背景下，H3C提出用SecCenter（安全管理中心）和iMC（智能管理中心）组合，来满足XXX系统全局安全管理的