1、 企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)方案目 錄 TOC o 1-2 h z u HYPERLINK l _Toc46866182 第一部分 項(xiàng)目背景 PAGEREF _Toc46866182 h 2 HYPERLINK l _Toc46866183 1.1 項(xiàng)目概述 PAGEREF _Toc46866183 h 2 HYPERLINK l _Toc46866184 1.2 設(shè)計(jì)依據(jù) PAGEREF _Toc46866184 h 2 HYPERLINK l _Toc46866185 1.3 設(shè)計(jì)原則 PAGEREF _Toc46866185 h 3 HYPERLINK l _Toc46866186 第二部分

2、整體需求分析 PAGEREF _Toc46866186 h 6 HYPERLINK l _Toc46866187 2.1 需求分析 PAGEREF _Toc46866187 h 6 HYPERLINK l _Toc46866188 2.2 拓?fù)湟?guī)劃 PAGEREF _Toc46866188 h 7 HYPERLINK l _Toc46866189 2.3 設(shè)計(jì)思想 PAGEREF _Toc46866189 h 7 HYPERLINK l _Toc46866190 第三部分 網(wǎng)絡(luò)安全設(shè)計(jì) PAGEREF _Toc46866190 h 9 HYPERLINK l _Toc46866191 3.1

3、網(wǎng)絡(luò)安全部署思路 PAGEREF _Toc46866191 h 9 HYPERLINK l _Toc46866192 3.2 網(wǎng)絡(luò)設(shè)備級(jí)安全 PAGEREF _Toc46866192 h 11 HYPERLINK l _Toc46866193 3.3 網(wǎng)絡(luò)級(jí)安全 PAGEREF _Toc46866193 h 15 HYPERLINK l _Toc46866194 3.4 網(wǎng)絡(luò)的智能主動(dòng)防御 PAGEREF _Toc46866194 h 19 HYPERLINK l _Toc46866195 3.5 網(wǎng)絡(luò)安全設(shè)備選型 PAGEREF _Toc46866195 h 29項(xiàng)目背景項(xiàng)目概述公司成立于1

4、983年，是一家在全球范圍內(nèi)提供顯示解決方案和快速服務(wù)支持的創(chuàng)新型科技企業(yè)。公司制造基地分布在深圳、上海、成都、武漢等全國(guó)各地，同時(shí)，在美國(guó)、德國(guó)、韓國(guó)、臺(tái)灣、香港等主要發(fā)達(dá)國(guó)家與地區(qū)設(shè)有全球營(yíng)銷網(wǎng)絡(luò)和技術(shù)服務(wù)支持平臺(tái)。而目前建設(shè)中的廈門天馬項(xiàng)目是廈門高新區(qū)著力打造千億元光電產(chǎn)業(yè)集群、強(qiáng)化全國(guó)的光電顯示產(chǎn)業(yè)集群試點(diǎn)基地的又一力作。針對(duì)其生產(chǎn)要求，結(jié)合我公司對(duì)于網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的理念和多年來在網(wǎng)絡(luò)工程建設(shè)中的經(jīng)驗(yàn)，以實(shí)現(xiàn)高可靠、高性能、可擴(kuò)充為前提，遵循開放、標(biāo)準(zhǔn)、安全和實(shí)用的原則，追求網(wǎng)絡(luò)性能的最佳化、合理化、節(jié)省費(fèi)用，技術(shù)上的先進(jìn)性與成熟性、實(shí)用性相結(jié)合，為廈門G6網(wǎng)絡(luò)系統(tǒng)提供合理有效的解決方案

5、，滿足其辦公需求，保證在未來的信息化建設(shè)中高效穩(wěn)定運(yùn)行。設(shè)計(jì)依據(jù)數(shù)據(jù)中心由于其特殊性，需嚴(yán)格遵循國(guó)家GB標(biāo)準(zhǔn)所定義的電子信息系統(tǒng)機(jī)房設(shè)計(jì)等相關(guān)規(guī)范數(shù)據(jù)中心設(shè)計(jì)規(guī)范GB/T50174-2014電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范GB50174-2008智能建筑設(shè)計(jì)標(biāo)準(zhǔn)GB/T50314-2006民用建筑設(shè)計(jì)通則GB50352-2005電力裝置的繼電保護(hù)和自動(dòng)裝置設(shè)計(jì)規(guī)范GB50062-92高層民用建筑設(shè)計(jì)防火規(guī)范GB50045-95民用建筑電氣設(shè)計(jì)規(guī)范JGJ/T16-92建筑與建筑群綜合布線工程設(shè)計(jì)規(guī)范GB/T50311-2000弱電系統(tǒng)技術(shù)要求GA/T367-2001(2005年版)公共安全工程技術(shù)規(guī)范G

6、B50348-2004電子計(jì)算機(jī)房設(shè)計(jì)規(guī)范GB50174-93建筑物防雷設(shè)計(jì)規(guī)范GB50057-94建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范GB50343-2004工業(yè)與民用電力裝置的接地設(shè)計(jì)規(guī)范GBJ65-83工業(yè)企業(yè)通信接地設(shè)計(jì)規(guī)范GBJ79-85通信管道工程施工及驗(yàn)收規(guī)范GB50374-2006設(shè)計(jì)原則以安全、實(shí)用、冗余、先進(jìn)、適應(yīng)發(fā)展為總建設(shè)原則。1、實(shí)用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定規(guī)模。2、冗余性原則：特別注重網(wǎng)絡(luò)硬件系統(tǒng)自身在突發(fā)事件時(shí)的可用性，以冗余備份的設(shè)計(jì)方式加以保障。在核心位置提供設(shè)備級(jí)冗余，在主干設(shè)備與匯聚設(shè)備之間提供可靠的線路及模塊冗余，當(dāng)其中一個(gè)部件因故障

7、停止工作時(shí)，另一部件自動(dòng)接替其工作，并且不引起其他節(jié)點(diǎn)的路由表重新計(jì)算，從而提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性。3、安全性原則：安全性是信息化建設(shè)的基礎(chǔ)保障。出于安全及保密因素，現(xiàn)在信息化建設(shè)工程對(duì)安全性有很高的要求。設(shè)計(jì)的過程中必須依據(jù)國(guó)家各種有關(guān)安全法規(guī)政策，對(duì)硬件支撐平臺(tái)的訪問控制、在線監(jiān)視、信息加密等方面進(jìn)行完善考慮，在網(wǎng)絡(luò)建構(gòu)上根據(jù)功能劃分相應(yīng)的區(qū)域，使用如防火墻、入侵檢測(cè)、信息過濾等手段，防止非法用戶、非法信息及病毒的入侵和泄密事件的發(fā)生。同時(shí)還要在企業(yè)內(nèi)部建立健全各種相關(guān)安全管理制度，確保全網(wǎng)的安全。4、先進(jìn)性原則：系統(tǒng)采用國(guó)際上先進(jìn)的前沿網(wǎng)絡(luò)技術(shù)，滿足今后一段時(shí)期的需要。5、可靠性原則：

8、要保證系統(tǒng)運(yùn)行可靠，極高的平均無故障時(shí)間和極短的設(shè)備修復(fù)時(shí)間。網(wǎng)絡(luò)的運(yùn)行必須保證相當(dāng)高的可靠性，以滿足工作及信息的安全與穩(wěn)定。防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，避免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障。6、易維護(hù)原則：系統(tǒng)要易于管理、易于維護(hù)。網(wǎng)絡(luò)需要很高的可管理性，特別是在數(shù)據(jù)、視頻等多業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)里，要使用可管理的網(wǎng)絡(luò)設(shè)備，可以識(shí)別關(guān)鍵資源，根據(jù)流量狀況以及網(wǎng)絡(luò)性能配置閾值并為不同的應(yīng)用提供不同的帶寬，使所有的服務(wù)能夠順利完成。隨著系統(tǒng)的投入運(yùn)行和系統(tǒng)資源的不斷增加，網(wǎng)絡(luò)系統(tǒng)應(yīng)具有很好的易維護(hù)性，使管理人員易于維護(hù)，減少不必要的額外勞動(dòng)，提高工作效率。7、易擴(kuò)展原則：設(shè)計(jì)過程中應(yīng)當(dāng)保證在用戶業(yè)務(wù)量和業(yè)務(wù)類

9、型的變化增長(zhǎng)的情況下，硬件支撐平臺(tái)能夠方便的升級(jí)并擴(kuò)展，網(wǎng)絡(luò)可以自如地?cái)U(kuò)充容量，支持更多的用戶及應(yīng)用。網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)時(shí)必須按照各種國(guó)際通用標(biāo)準(zhǔn)進(jìn)行，以保證各種設(shè)備、網(wǎng)絡(luò)的兼容通用，將來網(wǎng)絡(luò)在實(shí)現(xiàn)擴(kuò)容、升級(jí)時(shí)不會(huì)受到某些廠家專有標(biāo)準(zhǔn)的限制。網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)技術(shù)的選擇，要具有相當(dāng)?shù)那罢靶?，以確保隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)能夠平滑地過渡到更先進(jìn)的技術(shù)和設(shè)備，充分保障用戶現(xiàn)有的投資和利益。整體需求分析需求分析根據(jù)前期和客戶溝通匯總的需求，本次項(xiàng)目規(guī)劃涉及網(wǎng)絡(luò)包括：園區(qū)有線網(wǎng)絡(luò)、園區(qū)無線網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、管理控制網(wǎng)絡(luò)、外聯(lián)網(wǎng)絡(luò)、互聯(lián)網(wǎng)絡(luò)等網(wǎng)絡(luò)。按照模塊化、層次化、區(qū)域化、可擴(kuò)展的規(guī)劃原則，廈門G6總體網(wǎng)

10、絡(luò)可進(jìn)行以下模塊化劃分：園區(qū)網(wǎng)核心交換區(qū)域：VSS系統(tǒng)架構(gòu)，高可靠性和提升網(wǎng)絡(luò)性能;部署冗余無線控制器，實(shí)現(xiàn)無線快速切換園區(qū)網(wǎng)絡(luò)接入?yún)^(qū)域：萬兆光纖主干，通過VSS實(shí)現(xiàn)鏈路的捆綁，提高鏈路利用率，包括有線和無線接入方式.數(shù)據(jù)中心核心交換區(qū)域：VPC+系統(tǒng)架構(gòu)，高性能高擴(kuò)展性數(shù)據(jù)中心主機(jī)接入?yún)^(qū)域：公司辦公業(yè)務(wù)系統(tǒng)的各種服務(wù)器外聯(lián)區(qū)域：雙機(jī)SSL VPN終結(jié)設(shè)備，提供外聯(lián)及接入的高可靠架構(gòu)員工上網(wǎng)區(qū)域：鏈路負(fù)載均衡、防火墻設(shè)備整合應(yīng)用。管理控制區(qū)域：管理控制區(qū)域，主要都由各種服務(wù)器系統(tǒng)組成，是整個(gè)網(wǎng)絡(luò)運(yùn)維管理的核心區(qū)域，網(wǎng)絡(luò)管理系統(tǒng)、網(wǎng)絡(luò)安全審計(jì)及授權(quán)系統(tǒng)、無線覆蓋的管理系統(tǒng)、移動(dòng)終端的認(rèn)證管理系統(tǒng)

11、等網(wǎng)絡(luò)運(yùn)維的管理系統(tǒng)均部署于該區(qū)域拓?fù)湟?guī)劃設(shè)計(jì)思想園區(qū)有線采用兩種方案： 方案一：針對(duì)M3區(qū)采用兩層架構(gòu)，核心采用Cat6807交換機(jī)，接入層采用Cat6800ia交換機(jī),實(shí)現(xiàn)即時(shí)接入。該接入交換機(jī)可提供48端口接入且最大24端口802.3at 30W供電能力。通過VSS+IA技術(shù)實(shí)現(xiàn)園區(qū)簡(jiǎn)化架構(gòu)、提高轉(zhuǎn)發(fā)效率的要求。 方案二：針對(duì)M4廠區(qū)由于受限于光纖等資源情況，需在M4樓部署匯聚設(shè)備；即采用傳統(tǒng)三層架構(gòu)方式園區(qū)無線采用CT5520作為無線控制器，接入層AP采用支持802.11ac的1700/2700系列。無線AP2702E可實(shí)現(xiàn)高密度無線接入。方案中采用FlaxConnect集中認(rèn)證、本地

12、轉(zhuǎn)發(fā)模式。管理控制層使用Cisco ISE作為整網(wǎng)管理控制平臺(tái)，Cisco ISE支持有線無線準(zhǔn)入控制一體化。將無線訪客網(wǎng)絡(luò)通過Cat6807的VRF特性進(jìn)行流量隔離，并指定網(wǎng)關(guān)至深信服AC。深信服AC上對(duì)此網(wǎng)段進(jìn)行Portal認(rèn)證，實(shí)現(xiàn)對(duì)無線訪客的Portal認(rèn)證。網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全部署思路網(wǎng)絡(luò)安全整體架構(gòu)目前大多數(shù)的安全解決方案從本質(zhì)上來看是孤立的，沒有形成一個(gè)完整的安全體系的概念，雖然已經(jīng)存在很多的安全防護(hù)技術(shù)，如防火墻、入侵檢測(cè)系統(tǒng)、防病毒、主機(jī)加固等，但是各個(gè)廠家鑒于各自的技術(shù)優(yōu)勢(shì)，往往厚此薄彼。必須從全局體系架構(gòu)層次進(jìn)行總體的安全規(guī)劃和部署。本次信息建設(shè)雖然僅包括數(shù)據(jù)中心、園區(qū)有

13、線部分和園區(qū)無線部分的建設(shè)，但也必須從全局和架構(gòu)的高度進(jìn)行統(tǒng)一的設(shè)計(jì)。建議采用目前國(guó)際最新的“信息保障技術(shù)框架（IATF）”安全體系結(jié)構(gòu)，其明確提出需要考慮3個(gè)主要的因素：人、操作和技術(shù)。本技術(shù)方案著重討論技術(shù)因素，人和操作則需要在非技術(shù)領(lǐng)域（比如安全規(guī)章制度）方面進(jìn)行解決。技術(shù)因素方面IATF提出了一個(gè)通用的框架，將信息系統(tǒng)的信息保障技術(shù)層面分為了四個(gè)技術(shù)框架域：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護(hù)邊界保護(hù)：解決邊界保護(hù)問題局域計(jì)算環(huán)境：主機(jī)的計(jì)算環(huán)境的保護(hù)支撐性基礎(chǔ)設(shè)施：安全的信息環(huán)境所需要的支撐平臺(tái)并提出縱深防御的IA原則，即人、技術(shù)、操作相結(jié)合的多樣性、多層疊的保護(hù)原則。我們?cè)诒敬尉W(wǎng)絡(luò)

14、建設(shè)改造中需要考慮的安全問題就是上圖中的“網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護(hù)”、“邊界保護(hù)”兩個(gè)方面，而“計(jì)算機(jī)環(huán)境（主機(jī)）”、“支撐平臺(tái)”則是在系統(tǒng)主機(jī)建設(shè)和業(yè)務(wù)應(yīng)用建設(shè)中需要重點(diǎn)考慮的安全問題。網(wǎng)絡(luò)平臺(tái)建設(shè)所必須考慮的安全問題 高速發(fā)達(dá)的網(wǎng)絡(luò)平臺(tái)衍生現(xiàn)代的網(wǎng)絡(luò)病毒、蠕蟲、DDoS攻擊和黑客入侵等等攻擊手段，如果我們的防護(hù)手段依然停留在對(duì)計(jì)算環(huán)境和信息資產(chǎn)的保護(hù)，將處于被動(dòng)。需要從網(wǎng)絡(luò)底層平臺(tái)的建設(shè)開始，將安全防護(hù)的特性內(nèi)置于其中。因此在SODC架構(gòu)中，安全是一個(gè)智能網(wǎng)絡(luò)應(yīng)當(dāng)對(duì)上層業(yè)務(wù)提供的基本服務(wù)之一。網(wǎng)絡(luò)從平臺(tái)安全角度的安全設(shè)計(jì)分為以下三個(gè)層次：設(shè)備級(jí)的安全：需要保證設(shè)備本身的安全，因?yàn)樵O(shè)備本身也越來越

15、可能成為攻擊的最終目標(biāo)； 網(wǎng)絡(luò)級(jí)的安全：網(wǎng)絡(luò)作為信息傳輸?shù)钠脚_(tái)，有第一時(shí)間保護(hù)信息資源的能力和機(jī)會(huì)，包括進(jìn)行用戶接入認(rèn)證、授權(quán)和審計(jì)以防止非法的接入，進(jìn)行傳輸加密以防止信息的泄漏和窺測(cè)，進(jìn)行安全劃分和隔離以防止為授權(quán)的訪問等等；系統(tǒng)級(jí)的主動(dòng)安全：智能的防御網(wǎng)絡(luò)必須能夠?qū)崿F(xiàn)所謂“先知先覺”，在潛在威脅演變?yōu)榘踩糁凹右源胧?，包括通過準(zhǔn)入控制來使“健康”的機(jī)器才能接入網(wǎng)絡(luò)，通過事前探測(cè)即時(shí)分流來防止大規(guī)模DDoS攻擊，進(jìn)行全局的安全管理等。應(yīng)在上述三個(gè)方面逐步實(shí)施。網(wǎng)絡(luò)設(shè)備級(jí)安全網(wǎng)絡(luò)設(shè)備自身安全包括設(shè)備本身對(duì)病毒和蠕蟲的防御以及網(wǎng)絡(luò)協(xié)議本身的防范措施。有以下是本項(xiàng)目所涉及的網(wǎng)絡(luò)設(shè)備和協(xié)議環(huán)境面

16、臨的威脅和相應(yīng)的解決方案：防蠕蟲病毒的等Dos攻擊數(shù)據(jù)中心雖然沒有直接連接Internet，但內(nèi)部專網(wǎng)中很多計(jì)算機(jī)并無法保證在整個(gè)使用周期內(nèi)不會(huì)接觸互聯(lián)網(wǎng)和各種移動(dòng)存儲(chǔ)介質(zhì)，仍然會(huì)較多的面臨大量網(wǎng)絡(luò)蠕蟲病毒的威脅，比如Red Code，SQL Slammer等等，由于它們經(jīng)常變換特征，防火墻也不能完全對(duì)其進(jìn)行過濾，它們一般發(fā)作的機(jī)理如下：利用Microdsoft OS或應(yīng)用的緩沖區(qū)溢出的漏洞獲得此主機(jī)的控制權(quán)獲得此主機(jī)的控制權(quán)后，安裝病毒軟件，病毒軟件隨機(jī)生成大量的IP地址，并向這些IP地址發(fā)送大量的IP包。有此安全漏洞的MS OS會(huì)受到感染，也隨機(jī)生成大量IP地址，并向這些IP地址發(fā)送大量的

17、IP包。導(dǎo)致阻塞網(wǎng)絡(luò)帶寬，CPU利用率升高等直接對(duì)網(wǎng)絡(luò)設(shè)備發(fā)出錯(cuò)包，讓網(wǎng)絡(luò)設(shè)備CPU占用率升高直至引發(fā)協(xié)議錯(cuò)誤甚至宕機(jī)因此需要在設(shè)備一級(jí)保證受到攻擊時(shí)本身的健壯性。此次的核心交換機(jī)Nexus 9000、智能服務(wù)機(jī)箱Catalyst 6800均支持硬件化的控制平面流量管制功能，可以自主限制必須由CPU親自進(jìn)行處理的信息流速，要求能將包速管制閾值設(shè)定在CPU可健康工作的范圍內(nèi)，從根本上解決病毒包對(duì)CPU資源占用的問題，同時(shí)不影響由數(shù)據(jù)平面正常的數(shù)據(jù)交換。特別是Nexus 9000的控制平面保護(hù)機(jī)制是在板卡一級(jí)分布式處理的，具備在大型IDC中對(duì)大規(guī)模DDoS的防護(hù)能力。另外所有此類的蠕蟲和病毒都會(huì)利

18、用偽造源IP地址進(jìn)行泛濫，局域網(wǎng)核心交換機(jī)和廣域網(wǎng)骨干路由器都應(yīng)當(dāng)支持對(duì)轉(zhuǎn)發(fā)的包進(jìn)行源地址檢查，只有源地址合法的IP包才會(huì)被轉(zhuǎn)發(fā)，這種技術(shù)稱為Unicast Reverse Forwarding（uRPF，單播反轉(zhuǎn)路徑轉(zhuǎn)發(fā)）。該技術(shù)如果通過CPU實(shí)現(xiàn)，則在千兆以上的網(wǎng)絡(luò)中將不具備實(shí)用性，而本次網(wǎng)絡(luò)中在萬兆一級(jí)的三層端口支持通過硬件完成的uRPF功能。防VLAN的脆弱性配置在數(shù)據(jù)中心的不同安全域進(jìn)行防火墻訪問控制隔離時(shí)，存在多個(gè)VLAN，雖然廣泛采用端口捆綁、vPC等技術(shù)使正常工作中拓?fù)浜?jiǎn)化甚至完全避免環(huán)路，但由于網(wǎng)絡(luò)VLAN多且關(guān)系復(fù)雜，無法在工程上完全杜絕諸如網(wǎng)絡(luò)故障切換、誤操作造成的臨時(shí)環(huán)

19、路，因此有必要運(yùn)行生成樹協(xié)議作為二層網(wǎng)絡(luò)中增加穩(wěn)定性的措施。但是，當(dāng)前有許多軟件都具有STP 功能，惡意用戶在它的PC上安裝STP軟件與一個(gè)Switch相連，引起STP重新計(jì)算，它有可能成為STP Root, 因此所有流量都會(huì)流向惡意軟件主機(jī), 惡意用戶可做包分析。局域網(wǎng)交換機(jī)應(yīng)具有Root guard（根橋監(jiān)控）功能，可以有效防止其它Switch成為STP Root。本項(xiàng)目我們?cè)谒性试S二層生成樹協(xié)議的設(shè)備上，特別是接入層中都將啟動(dòng)Root Guard特性，另外Nexus3000/2000還支持BPDU filters, Bridge Assurance等生成樹特性以保證生成樹的安全和穩(wěn)定。

20、還有一些惡意用戶編制特定的STP軟件向各個(gè)Vlan加入，會(huì)引起大量的STP的重新計(jì)算，引起網(wǎng)絡(luò)抖動(dòng)，CPU占用升高。本期所有接入層交換機(jī)的所有端口都將設(shè)置BPDU Guard功能，一旦從某端口接收到惡意用戶發(fā)來的STP BPDU，則禁止此端口。（三）防止ARP表的攻擊的有效手段本項(xiàng)目大量使用了三層交換機(jī)，在發(fā)送數(shù)據(jù)前其工作方式同路由器一樣先查找ARP，找到目的端的MAC地址，再把信息發(fā)往目的。很多病毒可以向三層交換機(jī)發(fā)一個(gè)冒充的ARP，將目的端的IP地址和惡意用戶主機(jī)的MAC對(duì)應(yīng)，因此發(fā)往目的端的包就會(huì)發(fā)往惡意用戶，以此實(shí)現(xiàn)包竊聽。在Host上配置靜態(tài)ARP是一種防止方式，但是有管理負(fù)擔(dān)加重，

21、維護(hù)困難，并當(dāng)通信雙方經(jīng)常更換時(shí)，幾乎不能及時(shí)更新。本期所使用的所有三層交換機(jī)都支持動(dòng)態(tài)ARP Inspection功能，可動(dòng)態(tài)識(shí)別DHCP，記憶MAC地址和IP地址的正確對(duì)應(yīng)關(guān)系，有效防止ARP的欺騙。實(shí)際配置中，主要配置對(duì)Server和網(wǎng)絡(luò)設(shè)備實(shí)施的ARP欺騙，也可靜態(tài)人為設(shè)定，由于數(shù)量不多，管理也較簡(jiǎn)單。防止DHCP相關(guān)攻擊本項(xiàng)目中的樓層網(wǎng)段會(huì)采用DHCP Server服務(wù)器提供用戶端地址，但是卻面臨著幾種與DHCP服務(wù)相關(guān)的攻擊方式，它們是：DHCP Server 冒用：當(dāng)某一個(gè)惡意用戶再同一網(wǎng)段內(nèi)也放一個(gè)DHCP 服務(wù)器時(shí)，PC很容易得到這個(gè)DHCP server的分配的IP地址而導(dǎo)

22、致不能上網(wǎng)。惡意客戶端發(fā)起大量DHCP請(qǐng)求的DDos 攻擊：惡意客戶端發(fā)起大量DHCP請(qǐng)求的DDos 攻擊，則會(huì)使DHCP Server性能耗盡、CPU利用率升高。惡意客戶端偽造大量的MAC地址惡意耗盡IP地址池應(yīng)采用如下技術(shù)應(yīng)對(duì)以上常見攻擊：防DHCP Server 冒用：此次新采購(gòu)的用戶端接入交換機(jī)應(yīng)當(dāng)支持DHCP Snooping VACL, 只允許指定DHCP Server的服務(wù)通過，其它的DHCP Server的服務(wù)不能通過Switch。防止惡意客戶端發(fā)起大量DHCP請(qǐng)求的DDos 攻擊：此次新采購(gòu)的用戶端接入交換機(jī)應(yīng)當(dāng)支持對(duì)DHCP請(qǐng)求作流量限速，防止惡意客戶端發(fā)起大量DHCP請(qǐng)求

23、的DDos 攻擊，防止DHCP Server的CPU利用率升高。惡意客戶端偽造大量的MAC地址惡意耗盡IP地址池：此次新采購(gòu)的用戶端接入交換機(jī)應(yīng)當(dāng)支持DHCP option 82 字段插入，可以截?cái)嗫蛻舳薉HCP的請(qǐng)求，插入交換機(jī)的標(biāo)識(shí)、接口的標(biāo)識(shí)等發(fā)送給DHCP Server；另外DHCP服務(wù)軟件應(yīng)支持針對(duì)此標(biāo)識(shí)來的請(qǐng)求進(jìn)行限量的IP地址分配，或者其它附加的安全分配策略和條件。網(wǎng)絡(luò)級(jí)安全網(wǎng)絡(luò)級(jí)安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提供連通性服務(wù)的基礎(chǔ)上所增值的安全服務(wù)，在網(wǎng)絡(luò)平臺(tái)上直接實(shí)現(xiàn)這些安全功能比采用獨(dú)立的物理主機(jī)實(shí)現(xiàn)具有更為強(qiáng)的靈活性、更好的性能和更方便的管理。在本次數(shù)據(jù)中心的設(shè)計(jì)范圍內(nèi)主要是訪問控制

24、和隔離。從全網(wǎng)看，集團(tuán)網(wǎng)絡(luò)、各地機(jī)構(gòu)廣域網(wǎng)、互聯(lián)網(wǎng)、內(nèi)部樓層、內(nèi)部數(shù)據(jù)中心等都是具備明顯不同安全要求的網(wǎng)絡(luò)，按邊界保護(hù)部署規(guī)則，都需要有防火墻進(jìn)行隔離。本文檔僅討論數(shù)據(jù)中心部分內(nèi)部的防火墻安全控制設(shè)計(jì)。防火墻規(guī)劃 園區(qū)安全域的劃分需要建立在對(duì)園區(qū)應(yīng)用業(yè)務(wù)的分析基礎(chǔ)之上，本項(xiàng)目主要有兩個(gè)區(qū)域設(shè)計(jì)（分別是辦公人員互聯(lián)網(wǎng)區(qū)和外鏈區(qū)）；設(shè)計(jì)具體原則如下：同一業(yè)務(wù)一定要在一個(gè)安全域內(nèi)有必要進(jìn)行安全審計(jì)和訪問控制的區(qū)域必須使用安全域劃分需要進(jìn)行虛擬機(jī)遷移的虛擬主機(jī)要在一個(gè)安全域中劃分不宜過細(xì)，安全等級(jí)一致的業(yè)務(wù)可以在安全域上進(jìn)行歸并，建議一期不超過5個(gè)安全域 在每個(gè)區(qū)域的防火墻角色功能不盡相同，如本項(xiàng)目辦

25、公區(qū)域互聯(lián)網(wǎng)區(qū)主要是承擔(dān)內(nèi)外網(wǎng)安全隔離問題，那么在外聯(lián)區(qū)域除了內(nèi)外防護(hù)問題外還承擔(dān)著辦公人員出差撥入的服務(wù)器功能即SSL VPN ；根據(jù)辦公人員出差比例本期項(xiàng)目初步規(guī)劃使用思科下一代防火墻ASA5525 提供最多750條 SSL VPN 隧道。防火墻部署設(shè)計(jì) 各個(gè)安全域的流量既需要互訪、又必須經(jīng)過嚴(yán)格的訪問控制和隔離，而且還要保證設(shè)備可靠性；故本項(xiàng)目每個(gè)區(qū)的一對(duì)防火墻可以利用思科cluster技術(shù)將多臺(tái)邏輯上形成一臺(tái)。整體上 也提高了防火墻性能。 同樣我們此系列防火墻支持虛擬化技術(shù)，這里的虛擬防火墻功能是指物理的防火墻可以被虛擬的劃分為多個(gè)獨(dú)立的防火墻。每個(gè)虛擬防火墻有完全獨(dú)立的配置界面、策略

26、執(zhí)行、策略顯示等等，所有操作就象在一個(gè)單獨(dú)的防火墻那樣。而且虛擬防火墻還應(yīng)當(dāng)具有獨(dú)立的可由管理員分配的資源，比如連接數(shù)、內(nèi)存數(shù)、策略數(shù)、帶寬等等，防止一個(gè)虛擬防火墻由于病毒或其它意外而過多占用資源。僅僅用VLAN一類的技術(shù)劃分防火墻是無法起到策略獨(dú)立性和資源獨(dú)立性的目的的，不屬于這里所指的虛擬防火墻。 虛擬防火墻還應(yīng)當(dāng)配合虛擬三層交換機(jī)來使用。每一個(gè)安全域可能內(nèi)部存在多個(gè)IP子網(wǎng)，它們之間需要有三層交換機(jī)進(jìn)行路由。但不同安全域之間這樣的路由不應(yīng)當(dāng)被混同在一個(gè)路由表中，而應(yīng)當(dāng)每個(gè)安全域有自己的路由表，可以配置自己的靜態(tài)和動(dòng)態(tài)路由協(xié)議，就好像有自己獨(dú)立使用的一個(gè)路由器一樣。不同安全域相互之間僅通過

27、虛擬防火墻互相連接。最終應(yīng)當(dāng)達(dá)到虛擬化數(shù)據(jù)交換中心的使用效果。即交換機(jī)的任何物理端口或VLAN端口都能夠充當(dāng)防火墻端口，同時(shí)每個(gè)安全域有自己獨(dú)立虛擬路由器，自己獨(dú)立的路由表和獨(dú)立的動(dòng)態(tài)路由協(xié)議。每個(gè)安全域?qū)?yīng)有一個(gè)自己專用的虛擬防火墻，每個(gè)虛擬防火墻擁有獨(dú)立的管理員權(quán)限定義安全策略和使用資源。不同安全域的管理員只負(fù)責(zé)本區(qū)域虛擬防火墻的策略控制管理，而不用關(guān)心其它虛擬防火墻的配置工作，避免了單一區(qū)域安全策略配置錯(cuò)誤而對(duì)其它區(qū)域可能造成的影響，從根本上簡(jiǎn)化大型數(shù)據(jù)中心管理維護(hù)的難度。防火墻策略設(shè)計(jì)不同安全域之間的訪問控制策略由于虛擬化設(shè)計(jì)而只需考慮各個(gè)安全域內(nèi)出方向策略和入方向策略即可。建議初始策

28、略依據(jù)如下原則設(shè)定，然后根據(jù)業(yè)務(wù)需求不斷調(diào)整：出方向上不進(jìn)行策略限制，全部打開入方向上按“最小授權(quán)原則”打開必要的服務(wù)允許發(fā)自內(nèi)部地址的雙方向的ICMP，但對(duì)ICMP進(jìn)行應(yīng)用檢查（Inspect）允許發(fā)自內(nèi)部地址的Trace Route，便于網(wǎng)絡(luò)診斷關(guān)閉雙方向的TCP Seq Randomization，在數(shù)據(jù)中心內(nèi)的防火墻可以去除該功能以提高轉(zhuǎn)發(fā)效率減少或者不進(jìn)行NAT，保證數(shù)據(jù)中心內(nèi)的地址透明性，便于ACE提供服務(wù)關(guān)閉nat-control（此為默認(rèn)），關(guān)閉xlate記錄，以保證并發(fā)連接數(shù)對(duì)每個(gè)虛擬防火墻的資源進(jìn)行最大限定：總連接數(shù)，策略數(shù)，吞吐量基于每個(gè)虛擬防火墻設(shè)定最大未完成連接數(shù)（E

29、mbryonic Connection），將來升級(jí)到定義每客戶端的最大未完成連接數(shù)防火墻性能和擴(kuò)展性設(shè)計(jì)本期項(xiàng)目建議采用的防火墻模塊是具有3Gbps吞吐量、75萬并發(fā)連接數(shù)、每秒3萬新建連接數(shù)能力的高端防火墻系統(tǒng)。 在園區(qū)大數(shù)據(jù)量交互中，最占據(jù)防火墻處理開銷的不是黑客攻擊、越權(quán)訪問等這些被拒絕的流，而是存儲(chǔ)、備份、文件傳輸、虛擬機(jī)映像加載、內(nèi)存同步等等大帶寬消耗的正常應(yīng)用的可信任流，它們的特點(diǎn)是在持續(xù)穩(wěn)定的TCP連接或UDP會(huì)話中以最大的可傳送能力（Best Effort）進(jìn)行數(shù)據(jù)傳送，往往可以侵占巨大的帶寬，傳統(tǒng)的防火墻對(duì)這類流量都會(huì)逐包進(jìn)行檢查處理，將導(dǎo)致防火墻內(nèi)部處理的擁塞。思科的新一代

30、防火墻模塊可以實(shí)現(xiàn)“借用”交換機(jī)的資源提高防火墻模塊自身的吞吐性能。實(shí)際上防火墻可以對(duì)一個(gè)流的前幾個(gè)包進(jìn)行處理，當(dāng)?shù)玫竭@個(gè)流是可以通過的信任流的結(jié)論后，將這個(gè)流的特征提取出來送給交換機(jī)，交換機(jī)就用這個(gè)特征對(duì)流的后續(xù)包進(jìn)行識(shí)別和處理，相當(dāng)于這個(gè)流的后續(xù)部分交給交換機(jī)來完成了，這樣交換機(jī)的資源和防火墻的資源實(shí)現(xiàn)真正的融合，大大提高的安全訪問控制的處理速度，以前單個(gè)防火墻模塊可以實(shí)現(xiàn)實(shí)測(cè)的5Gbps的吞吐量，而在使用資源整合技術(shù)之后，這個(gè)數(shù)值實(shí)測(cè)已經(jīng)達(dá)到32Gbps，而且可以軟件升級(jí)到300Gbps以上的防火墻模塊。這正是面向服務(wù)的數(shù)據(jù)中心對(duì)資源整合化的典型技術(shù)實(shí)現(xiàn)，也為客戶帶來的資源融合的益處。

31、我們?cè)谌蚨鄠€(gè)大型數(shù)據(jù)中心的實(shí)際使用環(huán)境中通過調(diào)查發(fā)現(xiàn)，除去這些“可信任流”，其余流量使用防火墻本身的5Gbps處理能力都是綽綽有余的，因此在本項(xiàng)目中一期工程中即使不采用雙活的智能服務(wù)機(jī)箱，也足以保證防火墻環(huán)節(jié)的無瓶頸。未來還可以通過2個(gè)防火墻模塊的雙活，甚至使用虛擬ACE實(shí)現(xiàn)4個(gè)防火墻模塊的雙向負(fù)載均衡。網(wǎng)絡(luò)的智能主動(dòng)防御傳統(tǒng)的不停的打補(bǔ)丁和進(jìn)行特征碼升級(jí)的被動(dòng)防御手段已經(jīng)無法適應(yīng)安全防御的要求，必須由網(wǎng)絡(luò)主動(dòng)的智能的感知網(wǎng)絡(luò)中的行為和事件，在發(fā)生嚴(yán)重后果之前及時(shí)通知安全網(wǎng)絡(luò)管理人員，甚至直接聯(lián)動(dòng)相關(guān)的安全設(shè)備，進(jìn)行提早措施，才能有效減緩危害。要實(shí)現(xiàn)這種智能的主動(dòng)防御系統(tǒng)，需要網(wǎng)絡(luò)中進(jìn)行如下

32、部署：對(duì)桌面用戶的接入進(jìn)行感知和相應(yīng)措施對(duì)桌面用戶的行為進(jìn)行分析和感知對(duì)全網(wǎng)安全事件、流量和拓?fù)溥M(jìn)行智能的分析、關(guān)聯(lián)和感知對(duì)各種信息進(jìn)行綜合分析然后進(jìn)行準(zhǔn)確的報(bào)告在報(bào)告的同時(shí)進(jìn)行網(wǎng)絡(luò)的聯(lián)動(dòng)以提早抑制威脅以上整個(gè)過程需要多個(gè)產(chǎn)品進(jìn)行部署才能實(shí)現(xiàn)。以下對(duì)這些產(chǎn)品的部署進(jìn)行簡(jiǎn)述。網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)Network Access Control（NAC），就是一種由網(wǎng)絡(luò)智能對(duì)終端進(jìn)行感知，而判斷其威脅性，從而減少由終端發(fā)起的攻擊的一種技術(shù)。NAC類似于前面提到的身份識(shí)別安全接入控制技術(shù)，只不過它對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備等接入的判別標(biāo)準(zhǔn)不僅僅是基于用戶身份的，而是基于該設(shè)備的“網(wǎng)絡(luò)健康狀態(tài)”。NAC允許

33、各機(jī)構(gòu)實(shí)施主機(jī)補(bǔ)救策略，將不符合安全策略要求及可疑的系統(tǒng)放置到隔離環(huán)境中（比如一個(gè)特定的專用于軟件升級(jí)的VLAN），限制或禁止其訪問生產(chǎn)網(wǎng)絡(luò)，等威脅消除后，再回到生產(chǎn)網(wǎng)絡(luò)。通過將端點(diǎn)安全狀態(tài)信息與網(wǎng)絡(luò)準(zhǔn)入控制的執(zhí)行標(biāo)準(zhǔn)結(jié)合在一起， NAC使各機(jī)構(gòu)能夠大幅度提高其計(jì)算基礎(chǔ)設(shè)施的安全性。在實(shí)施的準(zhǔn)入控制，需要能夠?qū)崿F(xiàn)以下要求：一體化的準(zhǔn)入控制：不僅僅是有線端的準(zhǔn)入控制，而且要實(shí)現(xiàn)包括無線、VPN接入在內(nèi)的準(zhǔn)入控制，而且應(yīng)當(dāng)是統(tǒng)一的一個(gè)系統(tǒng)下的準(zhǔn)入控制，這就需要以太網(wǎng)交換機(jī)、無線AP設(shè)備、無線控制器、VPN集中器都可以支持統(tǒng)一的準(zhǔn)入控制；支持多種準(zhǔn)入控制形式：包括能夠支持基于Infrastructu

34、re的準(zhǔn)入控制，比如對(duì)于有線局域網(wǎng)、無線局域網(wǎng)可基于實(shí)現(xiàn)IEEE 802.1x和動(dòng)態(tài)VLAN的準(zhǔn)入控制，對(duì)于路由器、防火墻、VPN集中器等等可實(shí)施基于過濾機(jī)制的準(zhǔn)入控制，也可以支持基于網(wǎng)絡(luò)專用設(shè)備的準(zhǔn)入控制，比如對(duì)于網(wǎng)絡(luò)交換機(jī)、路由器是由不同廠商品牌設(shè)備構(gòu)成的異構(gòu)網(wǎng)絡(luò)也可以實(shí)施基于專用在線設(shè)備的準(zhǔn)入控制；與身份標(biāo)識(shí)相結(jié)合：準(zhǔn)入控制機(jī)制應(yīng)當(dāng)與身份標(biāo)識(shí)是一體化的，不同身份標(biāo)識(shí)的用戶可以有相應(yīng)的準(zhǔn)入控制策略，即對(duì)身份的識(shí)別和對(duì)健康的檢查可以進(jìn)行聯(lián)系；獨(dú)立對(duì)客戶機(jī)健康狀態(tài)進(jìn)行評(píng)估：能夠結(jié)合其它病毒廠商軟件進(jìn)行安全狀態(tài)檢查，更可以獨(dú)立對(duì)客戶端行為進(jìn)行檢查，包括操作系統(tǒng)補(bǔ)丁、病毒軟件版本等，還應(yīng)當(dāng)包括檢查

35、注冊(cè)表可疑記錄、非法修改等等，能夠通過對(duì)客戶機(jī)狀態(tài)進(jìn)行深度判斷，而基本上脫離復(fù)雜的第三方廠商病毒軟件的部署而獨(dú)立對(duì)健康狀態(tài)進(jìn)行準(zhǔn)確評(píng)估。提供自動(dòng)修復(fù)：準(zhǔn)入控制系統(tǒng)應(yīng)包括提供在線的自動(dòng)修復(fù)能力，包括各種策略的軟件分發(fā)和鏈接推送等。能夠發(fā)現(xiàn)和自動(dòng)識(shí)別打印機(jī)、IP電話等非常規(guī)NAC客戶端本期將主要以數(shù)據(jù)中心的建設(shè)為主，建議在以后的樓層接入的完善化建設(shè)中考慮對(duì)桌面的準(zhǔn)入控制解決方案。桌面安全管理準(zhǔn)入控制是一種網(wǎng)絡(luò)對(duì)接入主機(jī)的智能判斷，但一般只能在接入的瞬間進(jìn)行檢查和動(dòng)作，用戶在接入后進(jìn)行的操作、收發(fā)的信息，準(zhǔn)入控制系統(tǒng)不再干預(yù)。而網(wǎng)絡(luò)各種病毒、蠕蟲和黑客軟件的泛濫與每個(gè)客戶機(jī)本身的上網(wǎng)行為是分不開的。

36、一個(gè)大型企業(yè)網(wǎng)的管理員無法真正控制用戶端的行為，是網(wǎng)絡(luò)變得脆弱和事故頻發(fā)的主要禍?zhǔn)祝彩枪芾韱T最頭痛的問題。隨著將來IT業(yè)務(wù)的深化發(fā)展，需要這樣的桌面安全管理軟件基于行為特征來保護(hù)終端的技術(shù)。客戶端軟件是基于行為而不是基于特征碼標(biāo)記的，即不管這個(gè)病毒是不是我識(shí)別庫(kù)里的，只要其行為危害了系統(tǒng)，就可以被阻止，客戶端軟件看行為進(jìn)行專家級(jí)的分析，這樣可以減少頻繁的對(duì)客戶端軟件的升級(jí)，更重要的是能夠防止終端免受所謂“零日攻擊”，即那些還未被人們所了解的病毒、蠕蟲、間諜軟件、惡意代碼以及最新的變種的危害，另外還能基于應(yīng)用程序、行為實(shí)施各種安全策略，對(duì)用戶本人進(jìn)行的有意或無意的系統(tǒng)危害進(jìn)行管理和控制。具體應(yīng)

37、當(dāng)有如下功能：識(shí)別惡意或無意的不安全行為：對(duì)各種威脅行為，比如不支持的注冊(cè)表修改、不正常的內(nèi)存訪問、收到對(duì)本機(jī)端口不正常的掃描、對(duì)郵件系統(tǒng)不正常的后臺(tái)調(diào)用等等，無論是病毒還是用戶有意或無意造成的，都可以即時(shí)提示用戶進(jìn)行阻止，也可以不提示用戶，而是作為一條Log信息報(bào)告給后臺(tái)的安全智能網(wǎng)管。自動(dòng)統(tǒng)計(jì)PC上安裝了哪些應(yīng)用程序：能統(tǒng)計(jì)客戶機(jī)器上都安裝了哪些應(yīng)用程序，以及安裝的版本。如是否安裝了BT等軟件。然后向后臺(tái)安全智能網(wǎng)管報(bào)告。調(diào)查應(yīng)用程序的運(yùn)行情況：能統(tǒng)計(jì)哪些應(yīng)用程序在運(yùn)行，并生成相應(yīng)的報(bào)表報(bào)告給后臺(tái)智能網(wǎng)管。禁止安裝和運(yùn)行管理員指定的應(yīng)用程序：能夠禁止客戶機(jī)安裝和運(yùn)行不符合公司策略的應(yīng)用程序

38、，比如BT，釣魚軟件等。保護(hù)敏感數(shù)據(jù)，不允許復(fù)制、拷貝：被保護(hù)的文件可以打開閱讀，但是不能復(fù)制，無論是復(fù)制文件或文件夾，都不允許，也不能從文件中拷貝、粘貼內(nèi)容出來，所以是非常好的防止機(jī)密信息泄漏的方法。禁用USB等移動(dòng)設(shè)備：USB、光驅(qū)等各種可移動(dòng)設(shè)備，常常是引入病毒、風(fēng)險(xiǎn)的入口?？蛻舳斯芾碥浖?yīng)當(dāng)可以設(shè)定不允許特定的客戶機(jī)上的這些設(shè)備，或者只能看設(shè)備上有什么內(nèi)容，但是不允許讀。只有當(dāng)管理員授權(quán)時(shí)，才能使用和訪問。統(tǒng)計(jì)并能夠控制應(yīng)用程序?qū)W(wǎng)絡(luò)使用：可以統(tǒng)計(jì)應(yīng)用程序?qū)W(wǎng)絡(luò)的使用情況，提供對(duì)應(yīng)用程序使用網(wǎng)絡(luò)的控制，比如可以讓制訂應(yīng)用的IP包打上QoS標(biāo)記，禁止訪問指定的網(wǎng)段，禁止郵件附帶機(jī)密文件等

39、等。能夠和準(zhǔn)入控制相結(jié)合：能夠和準(zhǔn)入控制無縫結(jié)合，比如準(zhǔn)入控制對(duì)終端健康的識(shí)別包括了是否安裝了客戶端安全管理軟件，是否制訂了相應(yīng)安全級(jí)別的策略；反過來，客戶端安全管理軟件也可以根據(jù)準(zhǔn)入控制的結(jié)果（是隔離還是已被允許進(jìn)入網(wǎng)絡(luò)）來提供不同的安全保護(hù)策略。中央集中控管：客戶端管理軟件由中心進(jìn)行軟件分發(fā)，由中心網(wǎng)管進(jìn)行統(tǒng)一策略設(shè)置、維護(hù)和升級(jí)，集中控管，維護(hù)簡(jiǎn)單。后臺(tái)報(bào)警、報(bào)表：所有以上功能都即時(shí)跳出窗口，讓用戶了解安全威脅，詢問用戶是否阻止，也可以讓用戶在使用時(shí)完全無知，而把詳細(xì)的使用情況報(bào)表、報(bào)警等通過后臺(tái)傳送給集中控管的智能安全網(wǎng)管控制臺(tái)，使管理員對(duì)整個(gè)用戶網(wǎng)絡(luò)使用情況一目了然，而提早采取措施。

40、以上的功能由一個(gè)集中控管的服務(wù)器端管理軟件和分布在各個(gè)用戶主機(jī)上的客戶端軟件構(gòu)成。通過中心策略設(shè)置，將客戶端軟件分發(fā)到各個(gè)客戶端主機(jī)，將工作模式設(shè)為后臺(tái)告警和報(bào)表模式，減少對(duì)前端用戶正常工作的干擾，而讓管理員了解所有計(jì)算機(jī)的安全運(yùn)作情況，再根據(jù)這些信息確定安全預(yù)防措施。建議在以后逐步實(shí)施的樓層網(wǎng)絡(luò)優(yōu)化和改造項(xiàng)目中再實(shí)施類似對(duì)客戶端桌面的管理和控制。智能的監(jiān)控、分析和威脅響應(yīng)系統(tǒng)已經(jīng)部署、而且還將部署大量的各種安全設(shè)備，它們的使用都需要人來去參與，這形成了巨大的安全管理挑戰(zhàn)。當(dāng)一個(gè)常見的蠕蟲早期發(fā)生時(shí)，相關(guān)的網(wǎng)絡(luò)設(shè)備、防火墻、IDS/IPS都會(huì)有異常記錄產(chǎn)生，而這些都會(huì)淹沒數(shù)以萬計(jì)的日志和告警之

41、中，管理員很難發(fā)現(xiàn)，往往等待其爆發(fā)、形成損失再去調(diào)查。而即使我們能夠把爆發(fā)過程所有信息都拿到，也難以從如此多的設(shè)備、如此多的記錄中分析其爆發(fā)的源頭。網(wǎng)管中心需要一個(gè)智能的安全管理系統(tǒng)，它應(yīng)當(dāng)象一個(gè)精通所有網(wǎng)絡(luò)安全設(shè)施的專家，由他來幫助我們進(jìn)行早期預(yù)警、源頭跟蹤、措施建議等等。安全監(jiān)控、分析和威脅響應(yīng)系統(tǒng)”（Monitor, Analysis and Response System，MARS）具體應(yīng)當(dāng)包括這樣的功能：監(jiān)控安全設(shè)備：MARS系統(tǒng)能夠監(jiān)控所有安全設(shè)備形成了日志、記錄和告警，進(jìn)行收集；監(jiān)控網(wǎng)絡(luò)拓?fù)湫螒B(tài)：MARS系統(tǒng)能夠了解整個(gè)網(wǎng)絡(luò)拓?fù)洹⒃O(shè)備類型和路由表、地址表等等信息；監(jiān)控網(wǎng)絡(luò)流量：M

42、ARS系統(tǒng)能夠監(jiān)控網(wǎng)絡(luò)中的各種流量，比如某個(gè)特定TCP/UDP端口號(hào)的流量變化，能夠采集設(shè)備的Netflow 信息，進(jìn)行統(tǒng)計(jì)、形成日?；€，從而能夠識(shí)別異常流量；監(jiān)控網(wǎng)絡(luò)設(shè)備：MARS系統(tǒng)能夠監(jiān)控各種廠商的網(wǎng)絡(luò)設(shè)備的記錄，包括路由器、交換機(jī)、VPN設(shè)備、NAT等等；統(tǒng)一進(jìn)行分析功能：MARS把以上的所有監(jiān)控信息統(tǒng)一進(jìn)行分析，特別是和網(wǎng)絡(luò)的拓?fù)浜彤惓Ａ髁肯嚓P(guān)聯(lián)，從而將各種看似分離的事件相關(guān)聯(lián)，把各種重復(fù)的、錯(cuò)誤的報(bào)告刪除，最后把浩如煙海的問題報(bào)告濃縮成少量的安全事故報(bào)告，供管理員參考。往往數(shù)十萬個(gè)告警最后僅剩下十幾個(gè)高中低不同優(yōu)先級(jí)的事故報(bào)告。形象的呈現(xiàn)：最后的事故報(bào)告可以向管理員清晰的描述攻擊

43、的源、路徑、目標(biāo)，攻擊次數(shù)等等，并且在網(wǎng)絡(luò)拓?fù)鋱D中將上述信息標(biāo)識(shí)處理，供管理員參考。智能專家建議：根據(jù)發(fā)生的安全事故，MARS可以向管理員進(jìn)行智能建議，比如對(duì)拓?fù)浜吐窂街悄芊治龊蟾嬖V管理員應(yīng)在何處最佳位置進(jìn)行過濾，過濾應(yīng)采用的訪問控制列表的具體命令等等。遠(yuǎn)程修復(fù)：通常MARS可以自動(dòng)形成多個(gè)措施建議，供管理員選擇，一旦管理員同意某個(gè)措施，這個(gè)措施，比如寫一個(gè)訪問控制列表或關(guān)閉一個(gè)端口，就會(huì)自動(dòng)被發(fā)向目標(biāo)設(shè)備，自動(dòng)完成修復(fù)。兼容各廠商設(shè)備：MARS應(yīng)當(dāng)可以對(duì)各個(gè)主流網(wǎng)絡(luò)設(shè)備廠商、安全設(shè)備廠商的設(shè)備都能予以支持，對(duì)于少量非主流的廠商設(shè)備MARS可以經(jīng)過簡(jiǎn)單的定制予以支持。MARS必須有別于上一代的

44、安全信息管理系統(tǒng)（SIMS），需要增強(qiáng)如下功能：信息收集和關(guān)聯(lián)的方式：MARS監(jiān)控的內(nèi)容不僅僅是安全設(shè)備的記錄，還包括網(wǎng)絡(luò)的拓?fù)浜土髁啃畔?，把這些與安全事件相關(guān)聯(lián)所進(jìn)行的判斷更準(zhǔn)確；信息報(bào)告的方式：MARS可以顯示整個(gè)網(wǎng)絡(luò)的拓?fù)?，能夠把攻擊形象的?biāo)識(shí)在拓?fù)鋱D上，管理員可以清晰的掌握網(wǎng)絡(luò)安全威脅波及的源頭和范圍，從而主動(dòng)的進(jìn)行防御；修復(fù)的智能化和自動(dòng)化：MARS可以直接建議安全措施，甚至將安全措施具體表現(xiàn)在命令一級(jí)，管理員只需要按一個(gè)按鈕，就直接進(jìn)行遠(yuǎn)程設(shè)置和修復(fù)。建議將來在考慮全局網(wǎng)絡(luò)運(yùn)營(yíng)管理時(shí)應(yīng)部署MARS系統(tǒng)，而且在部署MARS時(shí)應(yīng)同時(shí)部署與MARS兼容的網(wǎng)絡(luò)狀態(tài)監(jiān)控設(shè)施，這些設(shè)施包括ID

45、S/IPS、防火墻、網(wǎng)絡(luò)設(shè)備、流量監(jiān)控設(shè)備等。建議在未來部署網(wǎng)絡(luò)狀態(tài)監(jiān)控設(shè)施時(shí)應(yīng)當(dāng)考慮如下部署原則，以保證MARS系統(tǒng)作用的充分實(shí)現(xiàn)：IDS/IPS要求：作為MARS信息的主要來源，的樓層局域網(wǎng)應(yīng)部署硬件IDS以監(jiān)控核心局域網(wǎng)，一二級(jí)網(wǎng)絡(luò)之間應(yīng)部署硬件IDS以監(jiān)控國(guó)家級(jí)主干和省級(jí)的接入，IDS應(yīng)當(dāng)為內(nèi)置或至少1G連接帶寬的外部IDS；廣域網(wǎng)的接入路由器應(yīng)支持內(nèi)置或外部IPS，但要保證一定性能。防火墻要求：按前面安全域隔離方案部署防火墻，防火墻應(yīng)有完整Log記錄和NAT記錄，能夠和MARS兼容。（目前推進(jìn)的數(shù)據(jù)中心防火墻方案滿足此要求）網(wǎng)絡(luò)設(shè)備要求：網(wǎng)絡(luò)主干設(shè)備應(yīng)當(dāng)具有硬件化的流量華能芯片或模塊

46、，能夠支持Netflow硬件化采集，并能夠在萬兆核心交換板卡上提供1：1的取樣（Sampling）能力。網(wǎng)絡(luò)設(shè)備還應(yīng)當(dāng)對(duì)主要的安全事件（如ACL過濾、NAT等）提供Log和審計(jì)。（目前Nexus 9000完全滿足此要求）兼容性要求：主要網(wǎng)絡(luò)設(shè)備（IDS、防火墻、中高檔路由器和交換機(jī)等）應(yīng)當(dāng)能與MARS系統(tǒng)兼容，其監(jiān)控信息報(bào)告無須定制即可被MARS系統(tǒng)直接使用，也可以接受MARS系統(tǒng)的控制以實(shí)現(xiàn)安全響應(yīng)。對(duì)于其它少量不兼容設(shè)備，MARS系統(tǒng)應(yīng)可以支持通過定制化方式監(jiān)控和管理。（目前Cisco設(shè)備、主流國(guó)外廠商設(shè)備可以滿足此要求，國(guó)內(nèi)廠商設(shè)備需要定制）分布式威脅抑制系統(tǒng)已通過廣域網(wǎng)連接遠(yuǎn)程分支機(jī)構(gòu)

47、，對(duì)于這樣多點(diǎn)分布式的網(wǎng)絡(luò)，就更難于在中心總部來控制遠(yuǎn)程各點(diǎn)的安全接入，而廣域網(wǎng)對(duì)于蠕蟲、病毒等威脅又更敏感，只有一種病毒爆發(fā)，廣域網(wǎng)線路就可輕易被塞滿，公司領(lǐng)導(dǎo)的視頻會(huì)議、乃至各類業(yè)務(wù)都將無法正常傳輸。必須考慮在分布的各個(gè)廣域網(wǎng)點(diǎn)都進(jìn)行有力的遏制，即實(shí)現(xiàn)“分布式威脅抑制”。在各地孤立的部署防火墻和IDS/IPS是一種解決辦法，但會(huì)有管理、成本和性能功能相互矛盾的問題，即要有效的抑制，就需要在各地有較完善的IDS/IPS和防火墻系統(tǒng)，但管理難度、成本將非常高?？梢钥紤]形成以MARS系統(tǒng)為管理核心、各個(gè)網(wǎng)絡(luò)設(shè)備內(nèi)置安全防御系統(tǒng)的分布式威脅抑制系統(tǒng)。 其主要實(shí)現(xiàn)特征如下：管理：在中心使用MARS系

48、統(tǒng)，可以管到所有分布在地方節(jié)點(diǎn)的安全設(shè)施，而且MARS的拓?fù)浒l(fā)現(xiàn)、報(bào)警收集、事件分析報(bào)告、直觀的威脅路徑圖形、遠(yuǎn)程自動(dòng)修補(bǔ)等等的功能，可以保證分散的安全設(shè)施的有效管理；成本：MARS可以配合內(nèi)置有IPS、防火墻功能的路由器，可以節(jié)省單獨(dú)購(gòu)買IPS、防火墻系統(tǒng)的經(jīng)費(fèi)；性能和功能：這是MARS分布式攻擊抑制解決方案的核心。網(wǎng)絡(luò)設(shè)備內(nèi)置有IPS、防火墻等功能，如果通過軟件由CPU來完成，其性能和功能肯定不具備實(shí)用性，如果內(nèi)置專門的IDS/IPS硬件模塊，則對(duì)大規(guī)模的分散節(jié)點(diǎn)將形成極高的成本投入，而MARS是這樣解決這個(gè)矛盾的：通過路由器軟件完成的IPS會(huì)有性能和功能問題的主要原因是IPS是基于狀態(tài)的

49、特征碼識(shí)別系統(tǒng)，需要在高速數(shù)據(jù)流中提取特定識(shí)別信息，與一個(gè)巨大的病毒特征碼數(shù)據(jù)庫(kù)進(jìn)行匹配。如果由CPU去完成，其性能可想而知。因此內(nèi)置的軟件IPS功能只能開啟很少的特征識(shí)別碼。實(shí)際上一個(gè)企業(yè)在一段時(shí)期內(nèi)只會(huì)被一種或少數(shù)病毒所困擾，不可能在一個(gè)網(wǎng)絡(luò)中同時(shí)發(fā)生著歷史跨度極大的數(shù)百種病毒，因此路由器對(duì)每個(gè)數(shù)據(jù)包逐一去匹配一個(gè)完整的病毒特征數(shù)據(jù)庫(kù)是沒有必要的。放在省級(jí)節(jié)點(diǎn)的MARS可以具有這樣的功能，就是它從本地網(wǎng)絡(luò)中心的硬件IDS/IPS中探知當(dāng)前正在發(fā)作的幾種病毒，然后將其特征碼收集后推送到各下級(jí)單位節(jié)點(diǎn)的路由器上，這些路由器的IPS僅僅裝載這幾種特征碼，然后進(jìn)行高效率的識(shí)別匹配，這種按需進(jìn)行匹配

50、的IPS可以成功的解決低端路由器病毒過濾的性能問題，而且還自動(dòng)完成了特征碼的升級(jí)和維護(hù)。MARS系統(tǒng)為中心的分布式威脅抑制系統(tǒng)要求：中心總部配置MARS系統(tǒng)中心總部配置高性能的硬件IDS/IPS模塊或單元設(shè)備分布在各個(gè)下屬單位的中低端路由器支持內(nèi)置IDS/IPS功能（軟件硬件皆可），并與MARS特征碼推送功能兼容建議在未來實(shí)現(xiàn)全國(guó)網(wǎng)絡(luò)規(guī)劃改造時(shí)，可以考慮實(shí)施這種經(jīng)濟(jì)簡(jiǎn)單同時(shí)又能最大限度的保證廣域網(wǎng)線路穩(wěn)定可靠的遠(yuǎn)程分布式威脅抑制解決方案。網(wǎng)絡(luò)安全設(shè)備選型Cisco ASA 5545-X 防火墻Cisco ASA 5500-X 系列下一代防火墻集成了全球最成熟的狀態(tài)檢測(cè)防火墻與下一代防火墻服務(wù)綜

51、合套件，適用于 各種規(guī)模的網(wǎng)絡(luò)，從擁有一個(gè)或多個(gè)辦公場(chǎng)所的中小型企業(yè)到大型企業(yè)、運(yùn)營(yíng)商，再到任務(wù)關(guān)鍵型數(shù)據(jù)中心，均可 使用。Cisco ASA 5500-X 系列下一代防火墻可提供 MultiScale 性能，具有行業(yè)領(lǐng)先的服務(wù)靈活性、模塊化可擴(kuò)展 性、功能可擴(kuò)展性，以及較低的部署和運(yùn)營(yíng)成本。 功能和優(yōu)勢(shì) Cisco ASA 5500-X 系列下一代防火墻既能滿足小型辦公室對(duì)網(wǎng)絡(luò)、預(yù)算和性能的需求，又能提供企業(yè)級(jí)安全強(qiáng) 度。此產(chǎn)品系列具有多種規(guī)格，所有型號(hào)都提供高級(jí)別安全保護(hù)，可與世界上一些規(guī)模最大、最具安全意識(shí)的公 司的網(wǎng)絡(luò)安全級(jí)別相媲美。它們還提供下一代防火墻服務(wù)，如思科應(yīng)用可視性與可控性

52、、網(wǎng)絡(luò)安全、僵尸網(wǎng)絡(luò)過 濾和入侵防御，因此，您可以在不影響安全性的前提下使用新應(yīng)用和新設(shè)備。 適用于小型辦公室和分支機(jī)構(gòu)的 Cisco ASA 5500-X 系列下一代防火墻，可通過以下功能保護(hù)關(guān)鍵資產(chǎn)： 出色的下一代防火墻服務(wù)，為企業(yè)安全地利用新應(yīng)用和新設(shè)備提供所需的可視性與可控性 思科應(yīng)用可視性與可控性 (AVC)，控制所允許微應(yīng)用內(nèi)的特定行為 思科網(wǎng)絡(luò)安全基本版 (WSE)，根據(jù)網(wǎng)站的信譽(yù)限制網(wǎng)絡(luò)和網(wǎng)絡(luò)應(yīng)用的使用 廣泛而深入的網(wǎng)絡(luò)安全服務(wù)，通過一系列基于云和基于軟件的集成下一代防火墻服務(wù)提供，這些防火墻服務(wù) 以思科安全智能運(yùn)營(yíng)中心 (SIO) 為后盾 高效的入侵防御系統(tǒng) (IPS)，通過

53、思科全球互聯(lián)提供 高性能 VPN 和無間斷遠(yuǎn)程訪問 能夠快速輕松地啟用更多安全服務(wù)，響應(yīng)不斷變化的需求 Cisco ASA 5500-X 系列下一代防火墻將業(yè)界部署最廣泛的狀態(tài)檢測(cè)防火墻與下 一代網(wǎng)絡(luò)安全服務(wù)綜合套件相結(jié)合，可提供不打折扣的全面安全性。這些產(chǎn)品提供多種安全服務(wù)和冗余電源，并能 夠在組織內(nèi)實(shí)現(xiàn)一致的安全實(shí)施。除了全面的狀態(tài)檢測(cè)防火墻功能，可選功能還包括基于云和基于軟件的集成安全 服務(wù)，如思科應(yīng)用可視性與可控性 (AVC)、思科網(wǎng)絡(luò)安全基本版 (WSE)、思科云網(wǎng)絡(luò)安全 (CWS) 和 IPS。思科下一 代防火墻由 Cisco Prime 安全管理器管理。這些型號(hào)不僅在硬件平臺(tái)上具

54、有不同的性能和吞吐量，而且各個(gè)型號(hào)所 支持的服務(wù)和用戶數(shù)量也各不相同。根據(jù)客戶要求和性能需求，可部署到小型辦公室、互聯(lián)網(wǎng)邊緣，甚至數(shù)據(jù)中心 等位置。此系列的下一代防火墻與其他 ASA 系列防火墻均基于相同的成熟安全平臺(tái)而構(gòu)建，可以提供出色的應(yīng)用可視性與 可控性，以及卓越的性能和運(yùn)營(yíng)效率。這些防火墻提供的下一代服務(wù)讓您可以在不影響安全性的前提下，使用新應(yīng) 用和新設(shè)備。不同于其他防火墻，Cisco ASA 5500-X 系列可將本地流量的可視性與深入的全球網(wǎng)絡(luò)智能相結(jié)合， 提供端到端網(wǎng)絡(luò)智能，以滿足快速發(fā)展的需求。Cisco ASA 5500-X 系列由以下技術(shù)和服務(wù)提供支持： Cisco Tru

55、stSec 技術(shù) 具備獨(dú)特的移動(dòng)客戶端洞察力的 Cisco AnyConnect 安全移動(dòng)解決方案 可提供近實(shí)時(shí)威脅信息和主動(dòng)防護(hù)的 Cisco SIO Cisco ASA 下一代防火墻服務(wù)Cisco FirePOWER增強(qiáng)服務(wù)具備 FirePOWER 服務(wù)的 Cisco ASA 將獨(dú)特的、注重威脅防護(hù)的下一代安全服務(wù)帶到 Cisco ASA 5500-X 系列下一 代防火墻及 Cisco ASA 5585-X 自適應(yīng)安全設(shè)備防火墻之中。它可針對(duì)已知的高級(jí)威脅提供綜合防護(hù)，包括對(duì)針對(duì)性 惡意軟件攻擊與持續(xù)性惡意軟件攻擊的防護(hù)（圖 1）。具備 FirePOWER 服務(wù)的 Cisco ASA 具有

56、以下綜合功能： Cisco ASA 是全世界部署最為廣泛的企業(yè)級(jí)狀態(tài)化防火墻，具有遠(yuǎn)程接入 VPN 及高級(jí)群集功能，可實(shí)現(xiàn)高度 安全性、高性能接入及高可用性，確保業(yè)務(wù)連續(xù)性。 精細(xì)的應(yīng)用可視性與控制 (AVC) 支持超過 3,000 項(xiàng)基于應(yīng)用層和風(fēng)險(xiǎn)的控制，這些控制可調(diào)用定制的入侵防 御系統(tǒng) (IPS) 威脅檢測(cè)策略，從而優(yōu)化安全效力。 業(yè)內(nèi)領(lǐng)先的具備 FirePOWER 下一代 IPS (NGIPS) 的 Cisco ASA 可提供高效的威脅防護(hù)以及對(duì)用戶、基礎(chǔ)設(shè) 施、應(yīng)用及內(nèi)容的完全情景感知，從而能夠檢測(cè)多途徑威脅并實(shí)現(xiàn)防御響應(yīng)的自動(dòng)化。 基于信譽(yù)和類別的 URL 過濾功能可提供針對(duì)可疑

57、網(wǎng)絡(luò)流量的綜合報(bào)警和控制功能，并可對(duì)超過 80 個(gè)種類中 的數(shù)億個(gè) URL 執(zhí)行策略。 高級(jí)惡意軟件防護(hù)可提供業(yè)內(nèi)領(lǐng)先的漏洞檢測(cè)效力、低總擁有成本及一流的保護(hù)價(jià)值，從而幫助您發(fā)現(xiàn)、了 解并制止其他安全層遺漏的惡意軟件和新興威脅。前所未有的網(wǎng)絡(luò)可視性 具備 FirePOWER 服務(wù)的 Cisco ASA 由 Cisco FireSIGHT 管理中心進(jìn)行集中管理。Cisco FireSIGHT 管理中心可為 安全團(tuán)隊(duì)提供對(duì)網(wǎng)絡(luò)中活動(dòng)的全面可視性與可控性。此類可視性包括用戶、設(shè)備、虛擬機(jī)之間的通信、漏洞、威脅、 客戶端應(yīng)用、文件和網(wǎng)站。整體的可執(zhí)行危害表現(xiàn) (IoC) 與詳細(xì)的網(wǎng)絡(luò)和終端設(shè)備事件信息

58、相關(guān)聯(lián)，可提供針對(duì)惡意 軟件感染的進(jìn)一步可視性。 Cisco FireSIGHT 管理中心還可提供包含惡意軟件文件軌跡的內(nèi)容感知功能，可幫助確定感染范圍并確定根本原因， 從而加快補(bǔ)救速度。 思科安全管理器可提供可擴(kuò)展的集中網(wǎng)絡(luò)運(yùn)營(yíng)工作流管理。該管理器集成了一整套強(qiáng)大的功能，包括策略和對(duì)象管 理、事件管理、報(bào)告以及針對(duì) Cisco ASA 防火墻功能的故障排除。對(duì)于小規(guī)模的簡(jiǎn)單部署而言，思科自適應(yīng)安全設(shè) 備管理器 (ASDM) 可用于提供設(shè)備上的基于 GUI 的防火墻網(wǎng)絡(luò)運(yùn)營(yíng)管理。 通過對(duì)整個(gè) NGFW 部署無可匹敵的可視性與可控性，思科的企業(yè)級(jí)管理工具可幫助管理員降低復(fù)雜性。Cisco Fir

59、eSIGHT 管理中心：直觀的概括性控制面板和詳細(xì)的細(xì)分控制面板更低的成本和復(fù)雜性 具備 FirePOWER 服務(wù)的 Cisco ASA 采用集成的防范進(jìn)行威脅防御，從而降低了資本和運(yùn)營(yíng)成本以及管理復(fù)雜性。 它可以流暢地與現(xiàn)有 IT 環(huán)境、工作流和網(wǎng)絡(luò)交換矩陣相集成。以特定目的而設(shè)計(jì)的系列設(shè)備具有高度可擴(kuò)展性，最 高速度可達(dá)多千兆，并能在物理和虛擬環(huán)境中的分支機(jī)構(gòu)、互聯(lián)網(wǎng)邊緣和數(shù)據(jù)中心之間實(shí)現(xiàn)統(tǒng)一、強(qiáng)勁的安全防護(hù)。 借助 Cisco FireSIGHT 管理中心，管理員可簡(jiǎn)化運(yùn)營(yíng)，以關(guān)聯(lián)威脅、評(píng)估其影響、自動(dòng)化調(diào)整安全策略并輕松地將 用戶身份歸于安全事件。Cisco FireSIGHT 管理中心可持續(xù)監(jiān)控網(wǎng)絡(luò)的實(shí)時(shí)變化。它能夠自動(dòng)評(píng)估新威脅，以確定哪 些威脅會(huì)對(duì)您的企業(yè)造成影響。然后，它能夠重點(diǎn)圍繞補(bǔ)救做出響應(yīng)，并根據(jù)變化的狀況改變網(wǎng)絡(luò)防御措施。它還 能自動(dòng)執(zhí)行策略調(diào)整等關(guān)鍵安全活動(dòng)，為您節(jié)省時(shí)間和精力，并確保