电力信息网络安全加固解决方案

         SecBlade防火墙插卡具有对业务的良好支持，作为NAT ALG或者ASPF过滤，都能够满足正常业务的运行。

         SecBlade防火墙插卡易于管理，让管理员舒心。

         SecBlade利用虚拟防火墙技术实现为不同业务和用户实现不同安全防护。

        虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，即，将一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立，一般情况下不允许相互通信。

         H3C SecPath/SecBlade虚拟防火墙具有如下技术特点：

         每个虚拟防火墙维护自己一组安全区域;

         每个虚拟防火墙维护自己的一组资源对象(地址/地址组，服务/服务组等)

         每个虚拟防火墙维护自己的包过滤策略

         每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略

         限制每个虚拟防火墙占用资源数：防火墙Session以及ASPF Session数目

         除此之外，在防火墙的日常维护工作中，主要的工作就是定义和维护大量的访问控制策略，正是因为这样的应用，用户需要一种强大，直观，简便的管理工具来对防火墙设备进行管理，尤其是在增加了虚拟防火墙特性之后。H3C系列防火墙的面向对象配置管理技术充分考虑到管理员在一台设备上管理多种配置的复杂性，提供了对地址资源、服务资源、网络流量的形象化定义，让用户可以将网络中的网段、主机和服务等各种资源抽象为更加直观的、便于记忆和理解的对象。

         SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起，使得交换机在高性能数据转发的同时，能够根据组网的特点处理安全业务。

         SecBlade 防火墙模块可以对需要保护的区域进行策略定制，可以支持所有报文的安全检测，同时SecBlade 防火墙模块支持多安全区域的设置，支持Secure VLAN，对于需要防火墙隔离或保护的VLAN区域，用户可以将Secure VLAN绑缚到其中的一个SecBlade 防火墙插卡上，这样可以通过设置Secure VLAN来对交换机内网之间(不同VLAN之间)的访问策略进行定制。

         此外，端口隔离也是内网访问控制的一个有效手段，端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时，可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机，也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播，减小受感染主机可能造成的危害。

         3.2 部署防ARP攻击解决方案

         当计算机连接正常，却无法打开网页;或者计算机网络出现频繁断线，同时网速变得非常慢，这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。

         ARP欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP欺骗攻击可进一步实施中间人攻击，以此非法获取到游戏、网银、文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。

         ARP攻击已经对各行各业网络造成了巨大威胁，但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要由于ARP欺骗攻击的木马程序，通常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级，杀毒软件常常会失去作用。

          H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的ARP攻击防御解决方案。

         H3C提供两类ARP攻击防御解决方案：监控方式，认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境;实际部署时，建议分析网络的实际场景，选择合适的攻击防御解决方案。另外，结合H3C独有的iMC智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和ARP攻击源，并迅速做出反映。

          3.2.1 功能特点

         更灵活。提供监控模式和认证模式两大类方案，认证方案支持IEEE 802.1X和Portal两种认证模式，组网方式多样、灵活。

        更彻底。多种方式组合能够全面防御新建网络ARP攻击，切实保障网络稳定和安全。

        保护投资。对接入交换机的依赖较小，可以较好的支持现有网络的利旧，兼容大部分现有网络场景，有效保护投资。

        适用性强。解决方案适应动态和静态两种地址分配方式，通过终端、接入交换机、网关多种模块的组合，适用于各种复杂的组网环境。

         H3C ARP攻击防御解决方案的推出，为教育、金融、政府、企业等客户网络彻底解决了ARP欺骗攻击的问题，其“全面防御 模块定制”的理念，能够满足新旧网络的不同需要，让ARP欺骗攻击从此不再困扰!

          3.2.2 典型应用

          一、监控方式

          监控方式也即DHCP Snooping方式，适合大部分主机为动态分配IP地址的网络场景。实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。

        另外，ARP泛洪攻击会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度急剧降低。因此可以在接入交换机部署ARP报文限速，对每个端口单位时间内接收到的ARP报文数量进行限制，避免ARP泛洪攻击，保护网络资源。

          二、认证方式

         认证方式适合网络中采用认证登陆的场景，通过H3C CAMS服务器、H3C iNode智能客户端与接入交换机和网关的联动，全方面的防御ARP攻击。

         实现原理：认证方式是客户端通过认证协议登陆网络，认证服务器识别客户端，并且将事先配置好的网关IP/MAC绑定信息下发给客户端，实现了ARP报文在客户端、接入交换机和网关的绑定，使得虚假的ARP报文在网络里无立足之地，从根本上防止ARP病毒泛滥。

          H3C认证方式包括IEEE802.1X和Portal两种方案，充分考虑了新建和利旧网络的不同网络场景，方案全面有效。

         4 统一安全管理及联动

        随着安全威胁日益严重，企业对网络安全防御体系的投入和复杂度都在不断增加，随之而来的是大量针对安全管理的新挑战：

         安全资源无法整合：安全设备众多，缺少集中管理，设备间形成信息孤岛，安全建设投资回报率低。

        海量信息：安全事件不断涌现，很难抓住重点，巨大的工作量也不能带来决策依据。

         安全威胁无法可视化：缺少技术平台提供全网安全状态，对攻击事件快速定位排差，及时响应。

企业网络缺乏安全专家来解决、分析问题：难以应对越来越多的安全要求规范，企业安全管理、