局域网安全解决方案.docx
- 文档编号:13994177
- 上传时间:2023-06-19
- 格式:DOCX
- 页数:10
- 大小:21.48KB
局域网安全解决方案.docx
《局域网安全解决方案.docx》由会员分享,可在线阅读,更多相关《局域网安全解决方案.docx(10页珍藏版)》请在冰点文库上搜索。
局域网安全解决方案
局域网安全解决方案
篇一:
内网安全解决方案
内网安全解决方案
前言
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。
因此内网安全一直是网络安全建设关注的重点,但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因,一直以来也都是安全建设的难点。
一般说来,内网安全应该考虑以下问题:
?
终端安全策略部署
终端安全是内网安全的核心问题,终端安全策略的部署也就是内网安全的最主要部分。
但是受限于终端用户安全应用水平,如何确保网络中的终端安全状态符合企业安全策略,却是每一个网络管理员不得不面对的挑战。
管理员查找、隔离、修复不符合安全策略的终端,是一项费时费力的工作,往往造成企业安全策略与终端安全实施之间存在巨大的差距。
?
内网访问控制部署
传统上,在内网是通过划分VLAN,配合ACL进行访问控制,这虽然可以在一定程度上实现内网访问控制,却难以做到比较精细的安全控制,同时也可能会影响到VLAN间用户的访问,从而影响网络的使用效率。
对于部分交换机,ACL数量的增加会导致严重的性能下降。
如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。
?
网络自身安全保障
目前在内网安全事件中,出现从攻击主机转为攻击网络资源的趋势,而传统的以太网交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。
方案概述
H3C的内网安全解决方案考虑到内网安全的方方面面,针对上述内网安全的主要问题都提出了有针对性的技术,这些技术相互关联、相互配合,形成完善的内网安全解决方案。
?
端点准入防御解决终端合规性问题
为了解决现有安全防御体系中存在的不足,H3C推出了端点准入防御(EAD),旨在整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业安全策略,提高网络终端的主动抵抗能力。
EAD将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
EAD方案通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务器的相互配合,可以将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。
其主要功能包括:
?
检查——检查用户终端的安全状态,配合不同方式的身份验证技术(、VPN、
Portal等),可以确保接入终端的合法与安全。
?
隔离——隔离违规终端。
不符合企业安全策略的终端,将被限制访问权限,只能
访问“隔离区”内的病毒库/补丁服务器等用于系统修复的网络资源。
?
修复——强制安装系统补丁、升级防病毒软件。
?
管理与监控——EAD提供了集接入策略、安全策略、服务策略、安全事件监控于
一体的用户管理平台,可以帮助网络管理员定制基于用户身份的、个性化的网络
安全策略。
同时EAD可以通过安全策略服务器与安全客户端的配合,强制实施终
端安全配置(如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等),
监控用户终端的安全事件(如查杀病毒、修改安全设置等)。
?
以防火墙为核心的内网访问控制
为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,H3C提出了以防火墙为核心的内网访问控制解决方案。
其核心是可以插入交换机中的SecBlade防火墙模块,通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。
同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。
SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起,使得交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务。
防火墙模块主要实现对企业网络的监控和业务的约束,插入交换机中实现企业网络和园区网络的安全隔离。
SecBlade防火墙模块主要对需要保护的区域进行策略定制和控制,可以支持所有报文的安全检测,同时SecBlade防火墙模块支持多安全区域的设置,支持SECUREVLAN,对于需要防火墙隔离或保护的VLAN区域,用户可以将SECUREVLAN绑缚到其中的一个SecBlade防火墙插卡模块上,这样可以通过设置SECUREVLAN支持对交换机内网之间(不同VLAN之间)访问的策略定制和安全检测。
此外,端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。
隔离后这两个端口在本设备内不能实现二、三层互通。
当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。
这样可以更好的保证相同安全区域内主机之间的安全。
即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。
并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。
?
交换机安全特性实现网络自身安全保障
以太网在设计时没有考虑安全性的要求,这造成了以太网自身存在很多的安全隐患,正是这种原因,目前出现了从攻击主机向攻击网络资源转变的趋势。
基于H3C在以太网安全领域积累的大量经验,在H3C交换机产品中提供了大量的安全特性,可以充分保障以太网的安全。
这些安全特性同时也是内网安全解决方案中很多功能实现的基础,例如在EAD解决方案中就使用到了接入交换机的PortSecurity特性。
这些安全特性包括:
?
接入控制技术——PortSecurity
?
接入安全技术——防IP伪装
?
防中间人攻击——STPRoot/BPDU保护
?
防ARP欺骗
?
DHCPserver保护
?
路由协议攻击防护能力
以上特性的详细信息可参考H3C交换机操作手册。
典型部署
内网安全解决方案的典型部署如下图所示:
内网安全解决方案典型组网
全网都要部署具有丰富安全特性的交换机产品,这是内网安全实现的基础。
根据内网应用的要求设计VLAN,并通过SecBlade防火墙安全插卡实现VLAN之间的访问控制,结合交换机的端口隔离特性实心VLAN内的访问限制。
在所有的终端上部署EAD解决方案所需的iNode客户端,对终端的安全策略进行检查,检查的结果将送至部署于网络管理区域的CAMS安全策略服务器,在同样部署于网络管理区的病毒库服务器和补丁服务器的配合下,结合交换机的PortSecurity安全特性,实现检查、隔离、修复以及管理监控的端点准入防御功能。
方案特点
H3C内网安全解决方案具有以下特点:
?
企业级安全策略实施
本方案不仅仅可以在网络设备上实施统一的安全策略,还可以实施终端安全策略,以达到企业级安全策略统一实施的目的。
?
可扩展的安全解决方案
本方案是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。
在现有企业网中,只需对网络设备进行简单升级,即可实现。
?
灵活方便的部署与维护
SecBlade防火墙模块在提供精细化的VLAN间访问控制的同时,也简化了整个系统的部署与维护。
而EAD方案则可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。
篇二:
内网安全解决方案
内网安全解决方案
目录
第一章方案概况................................................................................................................4
概述..................................................................................................................................4
需求分析..........................................................................................................................4
客户需求...........................................................................(转载于:
小龙文档网:
局域网安全解决方案).............................4
需求分析........................................................................................................5
第二章方案原则、依据及目标......................................................................................10
方案原则.........................................................................................................................10
方案依据.........................................................................................................................11
方案目标.........................................................................................................................12
第三章系统架构..............................................................................................................12
安全策略规划.................................................................................................................12
内网安全系统的建设.....................................................................................................13
智能安全网管................................................................................................14
内网审计........................................................................................................15
内网监控........................................................................................................16
详细的审计、分析与报告............................................................................16
技术特色........................................................................................................17
网络拓扑自动生成........................................................................................19
领先的安全监控和管理技术........................................................................20
第四章系统应用部署和安全策略..................................................................................21
系统部署.........................................................................................................................21
集中式部署....................................................................................................21
分布式管理部署............................................................................................21
安全策略.........................................................................................................................22
安全技术........................................................................................................23
安全管理策略................................................................................................24
第五章内网安全管理系统解决方案设计..........................................................................25
简述.................................................................................................................................25
内网安全管理系统设计思路.........................................................................................25
内网安全管理系统工作模块功能分析.........................................................................27
监控管理控制中心功能实现描述..............................................................27
客户端管理模块功能实现描述..................................................................29
客户端工作引擎的功能实现描述..............................................................30
第六章系统技术和选型原则............................................................................................34
系统性能参数.................................................................................................................34
产品选型原则.................................................................................................................36
第七章项目实施................................................................................................................37
项目实施组织机构........................................................................................................37
项目实施计划................................................................................................................39
项目实施前期..............................................................................................39
项目实施中期..............................................................................................42
项目实施后期..............................................................................................45
服务体系........................................................................................................................45
培训体系........................................................................................................45
售后服务........................................................................................................46
第一章方案概况
概述
随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们的生活和工作方式,也改变现行企事业单位的管理模式。
作为信息的管理部门,必须考虑当前技术的发展给我们的工作所带来的利益和威胁.如何利用信息网络进行安全的通信,同时保护计算机自身信息的安全性,成为当前网络安全和信息安全迫在眉睫的问题。
针对日益严重的内部信息泄漏问题,FBI对484家公司调查显示。
面对来自于公司内部的安全威胁,85%的安全损失是由企业内部原因造成的。
对于很多国内企业来说,这可能有点耸人听闻,但是,他们肯定遇到过类似的事情,由于某一员工误操作造成公司服务器上重要文档丢失;由于没有定义每位员工在系统内的访问权限,使本该由一定级别的人员才能掌握的业务秘密泄露给竞争对手?
?
对于这些来自公司内部的安全问题,不是靠单纯安装杀毒软件或防火墙就能解决的。
需求分析
客户需求
此处为真正的客户的需求.要描述出当前客户的具体的需求情况.
XXX大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安全。
针对网络系统安全方面,机构需要防止网络系统遭到没有授权访问及非法入侵;在数据安全方面机构则需要防止机要、敏感数据被窃取或非法复制、使用等。
各类计算机病毒、系统陷阱(Trapdoors)、隐蔽访问通道、黑客攻击等造成敏感数据泄密、Web站点瘫痪等等问题,都是机构实现网络化面临的外部威胁。
如何搭建安全的网络架构,如何将非法入侵者拒之门外、如何防止内部信息外泄,这些都是企业/机构在进行网络化过程中必须解决的问题。
目前,机构仅仅利用Firewall在网络的边缘设置了快速有效的网络防火墙及IDS/IPS系统,可以对网络入侵进行监控和防护,抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用。
这种解决方案是针对外部入侵的防范,对于机构内部信息保密安全管理却无任何作用。
对于一个大型机构特别是政府机关,保密单位信息保密安全防范尤为重要。
以往人为控制的教育加监督(人工填写日志)的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密(如利用EMAIL,FTP,笔记本,光盘,可移动硬盘等)的,这是每一个安全管理人员必须认真对待的问题。
Internet是一个开放的网络,同其高速发展相关的负面结果就是严重的网络安全问题。
特别是日益严重的内部信息泄漏问题。
面对来自于公司内部的安全威胁,必要的安全措施对企业是如何重要。
当前,国内的企业用重金购置防火墙,防病毒软件来防止外界威胁的同时,往往忽视了对内部安全威胁的对策。
需求分析
XXXXXX单位的内部网络安全本质上是一种管理需求,目的是使XXXXXXX的各项生产任务在信息化工作模式下能够安全的进行,管理是主要方式。
信息化工作模式建立在技术含量较高的计算机及网络技术之上,在管理过程中仅仅依靠人力不能够满足网络安全管理的需要,也不能够面对今后随着技术发展带来的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 局域网 安全 解决方案