安全部署主打胶片.ppt
- 文档编号:18433053
- 上传时间:2023-08-17
- 格式:PPT
- 页数:59
- 大小:7.67MB
安全部署主打胶片.ppt
《安全部署主打胶片.ppt》由会员分享,可在线阅读,更多相关《安全部署主打胶片.ppt(59页珍藏版)》请在冰点文库上搜索。
日期:
2007.04.18,杭州华三通信技术有限公司,H3C安全部署最佳部署解决方案,企业整体安全部署安全部署之安全分区安全部署之边界安全安全部署之安全管理,目录,企业网整体安全部署,Internet/WAN,端点准入防御汇聚交换机安全核心交换机集成安全数据中心安全外部服务器安全安全管理中心园区边界出口安全专网分支机构安全Internet分支机构安全,PrivateWAN,端点准入防御EAD,汇聚交换机集成安全设备防攻击、SSH、SFTP、基于用户级别的管理、DHCPoption82安全特性、DHCPsnooping防止IP仿冒、DHCPsnooping防止ARP仿冒、Portsecurity实现MAC地址flooding防御、802.1x认证、STP边缘端口和bpdu保护、组播源抑制、端口环回检测、ARP限速汇聚交换机L3板和Xlog配合对园区进行流量分析,核心交换机集成安全设备防攻击、SSH、SFTP、基于用户级别的管理、端口镜像、端口流量抑制、路由协议验证、SecBladeFW,数据中心安全ACL包过滤、ASPF状态防火墙、攻击防范(DoS、DDoS)、异常流量监控、深度检测、L4-L7层的安全、病毒防范、木马攻击防范、BT等业务管理、防火墙NSM板对数据中心流量进行分析及安全监控,外部服务器安全DMZ区、IPS深度检测防御、设备防攻击、SSH、SFTP,管理中心安全SecCenter安全事件管理中心,XLOG日志中心,园区边界出口安全ACL访问控制、ASPF状态防火墙、防DDOS攻击、邮件内容过滤、拥塞管理、安全日志防火墙NSM板对园区出口进行流量分析及安全监控,专网分支机构安全L2TP、GRE、IPSec/IKE、L2TP/GREOverIPSec、IPSecOverL2TP/GRE,Internet分支机构安全L2TP、GRE、IPSec/IKE、L2TP/GREOverIPSec、IPSecOverL2TP/GRE,企业网整体安全,Internet/WAN,PrivateWAN,H3C园区安全最佳部署,对应解决方案,局域网安全,企业网安全,数据中心安全,终端安全,远程用户安全,分支机构安全,园区出口安全,安全局域网解决方案,数据中心安全解决方案,EAD解决方案,综合VPN接入解决方案,综合VPN接入解决方案,边界安全解决方案,安全管理,智能安全管理解决方案,虚拟安全服务/综合防病毒,目录,企业整体安全部署安全部署之安全分区安全部署之边界安全安全部署之安全管理,不区分安全区域的园区网,不区分信任域的园区网网络中的所有用户共在一个开放的网络环境中每个用户的接入控制单独完成内部、外部服务器,内网用户等不同安全级别的区域暴露在Internet等非信任区域下,内部服务器,外部服务器,内网用户,管理员,Internet,WAN/VPN,安全区域划分,安全区域划分方法:
横向划分:
将物理位置相近,并具有相同网络安全策略的安全资产划分进入同一个安全区域。
安全区域划分,安全区域划分方法:
纵向划分:
根据网络业务和用户访问权限对具有相同访问需求的用户划分进入同一安全区域。
目录,企业整体安全部署安全部署之安全分区安全部署之边界安全安全部署之安全管理,在园区网的设计中按照区域的划分会产生多个边界网络边界网络的定义是园区网连接到广域网/Internet等外部网络的边缘区域通常对于园区的边界有以下几种定义广域网出口公共服务器区域分支结构VPN远程用户VPNPSTN拨号用户Internet出口,园区网络边界定义,单设备园区出口边界安全,园区网络,Internet,出口路由器(可选),公共服务器,路由器/安全网关/VPN网关,ISP路由器,园区边界,典型的单设备园区网出口仅有Internet一个边界出口与外部网络互连有一个公共服务器区对外部提供WWW/E-MAIL等服务远程用户(包括移动接入用户和小型分支节点)通过Internet建立VPN隧道接入到园区网络内边界安全设计要求设备成本低,通常将出口路由器和VPN安全网关/防火墙集成在一台出口设备上通过在路由器上配置NAM板实现出口流量监控,设备MSR50/30/20AR28/46SecPath系列,单设备园区出口边界安全,园区网络,Internet,出口路由器(可选),公共服务器,路由器/安全网关/VPN网关,ISP路由器,园区边界,设备AR系列MSR系列SecPathF100,VPN网关IPSecVPNGREoverIPSecL2TPoverIPSec,Internet出口路由器L2TP/GRE/IPSecNATACL访问控制ASPF深度业务监控防病毒/防DoS攻击SSH异常流量监控流量分析监控,园区网与外界网络互连出口包括Internet/PSTN和WAN几部分公共服务器对外部提供WWW/E-MAIL等服务移动用户可以通过Internet建立VPN接入园区网远程分支机构可以通过Internet建立VPN接入园区网,也可以通过私有的WAN网络接入园区网部署专业的防火墙、VPN和IPS等设备增加边界安全性通过在防火墙/路由器上配置NSM/NAM板实现出口流量监控,专业安全设备园区出口边界安全,Internet,公共服务器,防火墙,园区边界,Internet出口路由器,VPN网关,出口路由器,分支机构VPN网关,移动用户,分支机构,IPS,园区网,WAN,专业安全设备园区出口边界安全,总部VPN网关SecPathV100-SSecPathV1000-A分支机构VPN网关SecPathV100-S防火墙SecPathF1000-SSecPathF1000-AIPSTippingPoint-50TippingPoint-200E出口路由器MSR50/30/20AR28/46流量监控NSMNAM,Internet,公共服务器,防火墙,园区边界,Internet出口路由器,VPN网关,出口路由器,分支机构VPN网关,分支机构,IPS,WAN,园区网,移动用户,专业安全设备园区出口边界安全部署,Internet,公共服务器,防火墙,园区边界,Internet出口路由器,VPN网关,出口路由器,分支机构VPN网关,分支机构,IPS,Internet/WAN,园区网,移动用户,Internet出口路由器ACL访问控制路由协议认证设备访问安全SSH,VPN网关IPSecVPNGREoverIPSecL2TPoverIPSec,防火墙ACL访问控制ASFP状态检测防DoS攻击DMZ区NAT,IPS深度检测防御防病毒攻击防DoS攻击防蠕虫病毒防木马病毒,出口路由器L2TP/GRE/IPSecNATACL访问控制ASPF深度业务监控防病毒/防DoS攻击SSH异常流量监控流量分析监控,园区网与外界网络互连出口包括Internet/PSTN和WAN几部分公共服务器对外部提供WWW/E-MAIL等服务移动用户可以通过Internet建立VPN接入园区网远程分支机构可以通过Internet建立VPN接入园区网,也可以通过私有的WAN网络接入园区网部署专业的防火墙、VPN和IPS等设备增加边界安全性园区出口部署双VPN网关实现负载均衡和备份,部署双防火墙实现状态热备,提供高可靠性通过在防火墙/路由器上配置NSM/NAM板实现出口流量监控,园区网络多出口边界安全,Internet,公共服务器,防火墙,园区边界,Internet出口路由器,专网WAN出口路由器,远程分支机构,专网分支机构,VPN网关,IPS,IPS,Internet/WAN,移动用户,园区网,园区网络多出口边界安全,总部VPN网关SecPathV1000-A分支机构VPN网关SecPathV100-S防火墙SecPathF1800-ASecPathF1000-AIPSTippingPoint-400TippingPoint-1200ETippingPoint-2400E出口路由器MSR50/30/20AR28/46流量监控NSMNAM,Internet,公共服务器,防火墙,园区边界,Internet出口路由器,专网WAN出口路由器,远程分支机构,专网分支机构,VPN网关,IPS,IPS,Internet/WAN,移动用户,园区网,园区网络多出口边界安全部署,Internet,公共服务器,防火墙,Internet出口路由器,专网WAN出口路由器,远程分支机构,专网分支机构,VPN网关,IPS,IPS,Internet/WAN,移动用户,园区网,Internet出口路由器ACL访问控制路由协议认证设备访问安全SSH,防火墙ACL访问控制ASFP状态检测防DoS攻击DMZ区状态热备NAT,IPS深度检测防御防病毒攻击防DoS攻击防蠕虫病毒防木马病毒,VPN网关VRRP+IPSecGREoverIPSEC+VRRPL2TPoverIPSec+VRRP,WAN出口路由器L2TP/GRE/IPSecNATACL访问控制ASPF深度业务监控防病毒/防DoS攻击SSH异常流量监控流量分析监控,园区网络多出口边界安全,园区网与外界网络互连出口包括Internet/PSTN和WAN几部分公共服务器对外部提供WWW/E-MAIL等服务移动用户可以通过Internet建立VPN接入园区网远程分支机构可以通过Internet建立VPN接入园区网,也可以通过私有的WAN网络接入园区网通过一台设备支持防火墙&VPN功能,降低组网成本园区出口部署高可靠方案实现负载分担和冗余备份通过在防火墙/路由器上配置NSM/NAM板实现出口流量监控,园区网,Internet,公共服务器,防火墙/VPN/NAT,Internet出口路由器,专网WAN出口路由器,远程分支机构,远程拨号用户,专网分支机构,IPS,IPS,Internet/WAN,移动用户,园区网络多出口边界安全,总部防火墙/VPN网关SecPathF100/F1000分支机构VPN网关SecPathV100-SIPSTippingPoint-400TippingPoint-1200ETippingPoint-2400E出口路由器MSR50/30/20AR28/46流量监控NSMNAM,园区网,Internet,公共服务器,防火墙/VPN/NAT,Internet出口路由器,专网WAN出口路由器,远程分支机构,远程拨号用户,专网分支机构,IPS,IPS,Internet/WAN,移动用户,园区网,Internet,公共服务器,防火墙/VPN/NAT,Internet出口路由器,专网WAN出口路由器,远程分支机构,远程拨号用户,专网分支机构,IPS,IPS,Internet/WAN,移动用户,园区网络多出口边界安全,园区网,Internet出口路由器基本ACL访问控制路由协议认证设备访问安全SSH,VPN网关&防火墙GREoverIPSEC+VRRP实现安全网关冗余备份。
ACL访问控制ASFP状态检测防DoS攻击DMZ区,IPS深度检测防御防病毒攻击防DoS攻击防蠕虫病毒防木马病毒,WAN出口路由器L2TP/GRE/IPSecNATACL访问控制ASPF深度业务监控防病毒/防DoS攻击SSH异常流量监控流量分析监控,目录,企业整体安全部署安全部署之安全分区安全部署之边界安全安全部署之安全管理,网络管理中心的基础功能,OSI网络管理标准中定义了网络管理中心的5大基础功能,配置管理,故障管理,性能管理,计费管理,安全管理,包括网元配置、业务配置、网元控制、业务控制等管理;构造和维护网络系统的配置;对配置的一致性进行严格检验。
包括故障检测、故障诊断、故障隔离、故障恢复等;有效发现、定位网络故障,给出排错建议与排错工具;形成整套的故障发现、告警与处理机制。
包括网络性能分析、流量分析等;分析网络服务质量分析,统计网络运行状态;对网络的使用发展作出评估,为网络规划与调整提供依据。
包括时长、流量等多种计费方式;产生多种信息统计报告及流量对比,并提供网络计费工具,以便用户根据自定义的要求实施网络计费,用户认证与授权数据传输及访问控制管理安全流量与行为识别安全事件智能分析、响应,统一威胁与策略管理;,HOT,安全管理是IToIP的重要组成部分,安全管理是H3C端到端安全保障的重要组成部分,HOT,安全管理中心是H3C端到端安全保障的重要组成部分,配置,响应,监控,分析,安全管理,监控:
全网安全事件统一监控可视化显示安全威胁和网络状况,分析:
跨平台安全数据智能关联安全记录审计,响应:
全网安全事件统一监控各种安全管理技术协同工作,配置:
安全策略集中管理安全业务集中部署,安全管理四步奏和目标,安全管理中心四大关键组成,边界安全,接入安全,流量分析与识别,全网安全事件管理,安全业务及策略部署,用户认证与授权,网络,安全业务及策略部署:
IMCACLManagerIMCVPNManager,安全事件管理及威胁响应联动:
SecCenterIMC,流量分析与行为识别:
XlogNAM、NSM,用户认证与访问权限管理:
EADIMCACLManager,桌面安全,安全管理安全策略及业务部署,安全策略及业务部署目标:
实现对安全策略的集中控制和快速部署实现对安全业务的快速部署运行效果监控,安全策略及业务部署目的:
提高管理效率,降低维护成本保障全网安全策略的正确性,轻松部署安全网络提供配置向导功能,指导用户构建各种应用类型的IPSecVPN网络,IPSECVPNManager,IPSecVPN部署组件,全方位监控网络性能监视VPN网络中各项重要性能指标,全方位监控VPN网络运行状态,IPSecVPN监视组件,灵活展示VPN拓扑VPN拓扑自动发现,直观显示VPN通道、流量情况、VPN设备运行情况等,快速定位网络故障实时接收IPSecVPN设备的告警,VPN拓扑及时响应VPN告警,直观反映最新的网络状态,IPSECVPNManager,应用场景:
需要部署VPN业务保障数据传输及接入安全的企业网络。
IPSECVPNManager组成:
VPN管理区,网管,IPSECVPNManager,LSW,VPNserver,VPNClient,VPNClient,分支节点1,分支节点2,IPSECVPNManager,IPSECVPNManager,部署,监控,报告,IPsecVPNManage为用户提供针对IPSECVPN的全面管理,从部署监控报告,用户可根据为用户节省大量的维护工作量。
大量设备引起的配置、管理困难,病毒爆发、黑客攻击引起的业务中断,总部、出差、SOHO带来的安全隐患,多个设备需要有统一便利的管理,需要有快速响应和变更策略的能力,无论何时何地,都能自动下发用户权限,ACLManager,ACLManager,采用ACLManager自动下发策略,用户,设备,1、身份验证信息,6、通知设备要应用的ACL,3、检测策略或动态配置,IMCACLManager,2、下发ACL号,4、设备回应ACLM,5、ACLM回应CAMS,ACLManager可以实现自动的用户ACL下发,即使设备上原本没有配置ACL,ACLManager作为策略库,存放大量的用户策略CAMS基于用户信息下发ACL或策略给ACLManagerACLManager执行ACL或策略的配置任务,相当于“配置器”,用户认证及访问控制管理,用户认证及访问控制管理目标:
实现基于角色的用户访问级别控制网络终端用户主机安全控制网络终端用户行为控制对于安全威胁能进行主动防御并有效缓解,用户认证及访问控制管理目的:
保障企业资产的完整性、保密性和可用性防止病毒对网络的侵害快速查找并隔离受影响的用户终端,边界安全,接入安全,流量分析与识别,全网安全事件管理,安全业务及策略部署,用户认证与授权,网络,安全业务及策略部署:
IMCACLManagerIMCVPNManager,安全事件管理及威胁响应联动:
SecCenterIMC,流量分析与行为识别:
XlogNAM、NSM,用户认证与访问权限管理:
EADIMCACLManager,桌面安全,用户认证及访问控制管理EAD,EAD专注于用户端点准入控制,通过加强网络终端的合法性、安全性提升网络的主动防御能力;采取与网络设备联动,将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害;为网络建立起自我防御、自我安全加固的安全系统,大幅度提高企业网络系统的整体安全水平;,你是谁?
你安全吗?
你可以做什么?
你在做什么?
流量分析与行为识别,流量分析及行为识别目标:
以直观的分析图形和报表展示网络运行的流量分布情况发现网络瓶颈,保障网络高效运行通过异常流量分析可进行DOS攻击、病毒检测。
终端用户网络使用行为识别,及时抑制非法带宽占用,流量分析及行为识别目的:
流量监控就好比网络摄像头,网络流量能最迅速的发现网络安全问题。
为安全管理提供证明安全管理参考流量分析数据及用户行为识别采取相应缓解动作,园区出口NSM/NAM流量分析模块应用场景,Internet,FE/GE,路由器/防火墙,园区,边界,外网,NSM/NAM,通过路由器或防火墙的流量被镜像到NSM/NAM板上,NSM板对通过路由器或防火墙的流量进行分析并输出分析结果对园区出口流量进行监控对原始镜像数据进行分析,可提供2-7层分析,识别BT等应用。
园区出口NSM/NAM流量分析模块应用场景,Internet,路由器/防火墙,使能Netstream,使能Netflow/Sflow,友商交换机,FE/GE,园区,边界,外网,Netstream数据流,Netflow数据流,h3c交换机,NSM/NAM,园区网交换机使能Netstream、Netflow,交换机生成的各种日志数据被指定发送到NSM板进行分析并输出结果可对园区内交换机的三层转发流量进行分析此方式流量分析数据源为Netflow、Netstream,主要提供2-4层流量分析,NSM/NAM流量分析展示,网络负载流量图,网络协议统计图,NSM可提供对网络协议的使用情况统计。
并根据统计信息来发现网络错误配置,如上图:
显示结果表明192.168.0.65发送了一定量的DNS报文,查看ReceivedOnly链接,结果表明192.168.0.65没有接受到DNS报文,192.168.0.65的发送的DNS字节数为590字节,接收的DNS字节数为0,说明用户A无法正常使用DNS服务,排除DNS服务器本身的问题后,网络管理员确定用户A的DNS服务器地址配置错误。
在企业网中,各种网络异常情况发生在各个时间段中。
网络管理员可以实时查看网络流量来定位分析各种异常情况,也需要通过查看历史数据来定位分析问题。
同时,历史数据可以直观的反映网络使用情况的趋势和各种网络应用的分布,有助于网络管理员对网络进行综合评价。
NSM/NAM流量分析展示,各种P2P协议所占流量的百分比,各种P2P协议的比例图和历史信息,按照Gnutella流量排序,按照BT流量排序,网络管理员希望发现和监控网络中的P2P流量,以便在适当的时候采取必要的措施。
NSM可识别应用层流量并显示出各种P2P协议占用网络流量的百分比,各种P2P协议的比例图和历史信息,并按照应用流量对主机进行排序,还可以通过钻取功能定位出相应主机的详细信息。
主机详细信息,XlogNTAS(网络流量分析系统),Packet,NTE,园区内网NTA流量分析解决方案,网络设备,Netstream,端口镜像流量,XLogNTAS网络流量分析系统是NTA解决方案的核心部件,NTA局域网流量监控最佳部署,S95/75,S95/75,S95/75,S7500,S7500,S7500,S95/75,S95/75,S95/75,S7500,S7500,S7500,NTE,NTE,Server群,Server群,部署:
部署方式根据应用服务器群放置的不同层面进行选择,以实现对各种应用流量的监控。
NetStream,NetStream,XLogNTAS,XLogNTAS,NTA探针方式流量监控最佳部署方案,XLogNTAS,S75,S75,S75,S3026,S3026,S3026,流量信息,镜像流量,DIG探针型采集器,不支持NetStram设备,部署:
网络中部署一套DIG探针采集器,在局域网出口设备配置端口镜像,镜像广域网出口流量到DIG探针型采集器;并在网络中部署一套NTAS实现对广域网出口应用流量分析和大流量节点监视。
适用场景:
局域网出口通过租用运营商155MPOS线路接入广域网,出口设备不支持NetStream技术,需要对广域网链路带宽进行流量监控。
NTA应用场景网络优化,LAN,Internet,及时掌握网络负载、网内应用资源使用情况,尽早发现网络结构的不合理,或是网络性能瓶颈,作出网络优化方面的决断,使网络带宽分配最优化,为用户提供高品质的网络服务,避免网络带宽和服务器瓶颈问题。
网络流量、应用趋势图各类Top应用百分比对比使用各类应用的网内用户流量趋势使用各类应用的服务器流量趋势,利用某段时间内的流量、应用趋势分析,可直观的看到网络流量是否突然增长或突然下降,分析出是哪些用户产生了最多的流量、使用了哪些应用以至网络运转出现性能问题。
根据最终分析结果,网络管理员可快速解决掉网络异常问题,保证网络正常运行!
NTA应用场景网络流量异常监测,NTC&NTP,LAN,Internet,可进一步对异常流量进行监控,NTA报表展示,谁在使用带宽,访问那些目的?
源节点IP列表,目的节点IP列表,应用协议列表,应用占用带宽趋势报表,哪些业务在被频繁使用?
谁在使用?
访问哪里?
应用协议列表,源节点IP列表,目的节点IP列表,未定义应用深度挖掘报表,NTA报表展示,流量会话报表,掌握哪些特定的主机对耗尽了大量带宽,深入分析通信的主机之间使用了哪些应用。
洞察网络链路用户使用状况,制定相应的策略合理利用带宽,NTA报表展示,安全事件管理及威胁响应,安全事件管理及威胁响应目标:
全网安全事件统一搜集获取并分析筛选网络威胁及时响应,安全事件及时联动控制提供报表及审计功能,提供法规遵从报告与其他安全方案协同控制,安全事件管理及威胁响应目的:
各产品安全事件统一管理,避免信息孤岛帮助网络管理员摆脱海量信息,快速定位问题,降低人力成本提高企业安全及方案的投资回报可降低企业安全方案部署的复杂性,提高工作效率,Seccenter安全事件管理系统,初始事件,标准化,规则过滤,场景匹配,支持近100多家主流厂家设备的管理,可支持多厂家设备组网支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交换机、Unix、Linux、Windows等各类IT资源的安全事件进行管理支持强大的信息统计分析和过滤能力。
按网络中各种应用场景将这些信息分类统计并排序输出。
提供了丰富的报表和报告,并支持数据保存及审计功能。
Seccenter的部署,Internet,Seccenter,支持近100多家主流厂家设备,防火墙,IPS,路由器,安全事件实时监视功能展示,网络安全信息仪表盘Dashboard是SecCenterA1000的主监视界面,可集中显示系统中最常用的监视画面。
Dashboard的监视内容可定制,可以在系统预定义的监视器(Monitor)和报告(Report)中任意选择;,70种预定义监视器,近千种预定义报告,安全分析中心的视图(Views)功能可将系统提供的70种预定义监视器和近千种报告组合成视图,在一个显示画面中集中显示监视器和报告。
系统提供了13种预定义的视图;,视图(Views)列表,提供13种预定义视图,用户可根据需要自定义视图;,选择监视(Monitoring)页面,被选中视图(View)的显示输出。
与单独的监视器和报告不同,视图中可显示多个独立分割的画
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 部署 主打 胶片