电力信息网络安全加固解决方案(2)

        2.5 客户端安全状态评估――应用软件安装状态

       有的时候用户安装了一些软件也给网络带来安全隐患，EAD系统提供黑白软件统一管理功能。管理员可根据企业的IT政令，在安全策略服务器定义员工终端黑白软件列表，通过安全客户端实时检测、网络设备联动控制，完成对用户终端的软件安装运行状态的统一监控和管理。

       管理员根据软件运行的进程名称，在安全策略服务器定义黑白软件列表;同时对每一种受控软件规则定义相应的安全模式，即当用户终端接入网络时，安全客户端发现该规则被违反时，系统采取的策略。其次，管理员在安全策略中添加黑白软件控制规则。

       在安全策略服务器完成对黑白软件列表和安全策略中软件控制部分的定义之后，用户终端的软件安装状态便可以通过EAD解决方案来完成统一监控和管理。

        2.6 客户端安全状态评估――多种处理方式

        对于EAD的应用，经常会有用户担心部署了EAD系统会带来带来很多麻烦，EAD解决方案除了基本的下线模式外还有多种应用模式，在实际部署之中可以根据不同的用户制定不同应用模式，使部署更加灵活方便。

        EAD解决方案对于每一种安全状态的检测，按照处理模式可分为隔离模式、警告模式、监控模式。

        三种模式对于实现的终端安全状态监控功能各有不同，对安全设备的要求也不相同。可以根据自己的安全管理政策决定采用哪一种模式。例如对于重要的网络用户，比如领导，管理员对其网络访问的管理也可应用监控模式，只了解用户的安全状态，不做任何处理，待用户方便的时候再进行处理。

        2.7 合法用户动态授权――实现内部安全策略控制

       身份认证是网络端点准入控制的基础。从网络接入端点的安全控制入手，结合认证服务器、安全策略服务器、网络设备、802.1x协议以及第三方软件系统(病毒和系统补丁服务器，如LANDESK)，杜绝企业员工对不良网站和危险资源的访问，防止间谍软件、恶意代码等软件对企业内网带来的安全风险。

        EAD解决方案在保证终端用户具备自防御能力并安全接入的前提下，通过动态分配ACL、VLAN等合理控制用户的网络权限，保障网络资源的合法使用和网络环境的安全，提升网络的整体安全防御能力。

        在用户终端通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。

        2.8 用户行为审计

        EAD解决方案除支持用户名、密码与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定之外，结合EAD强大的用户身份、权限的管理和UBAS详尽的用户网络行为日志，可以实现:

       精确到用户的网络行为审计：充分结合EAD完善的用户帐号、卡号管理和UBAS基于用户IP地址的日志审计，将网络行为审计精确定义到用户个体;

       完善的网络行为跟踪：充分利用UBAS各类日志信息，轻松掌握EAD管理的帐号用户、卡号用户的网络行为，如访问哪些网站，访问哪些网页(DIG组网环境)、发送哪些Email(DIG组网环境)、发送哪些文件(DIG组网环境)等。

       准确的非法网络行为用户定位：利用EAD的设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等信息绑定功能，对进行非法网络行为的用户一经发现，即时准确定位。

        3 网络层安全设计

        3.1 虚拟防火墙解决方案

        以企业的具体业务模式为依据，企业中的不同业务总是可以根据其重要程度划分为不同的安全等级和安全区域。对于高等级的安全区域需要更加严格的访问控制和安全保护。本组网利用Secblade和基础网络的融合实现园区网整体安全防护。在汇聚层利用SecBlade和95产品的组合对企业网中的核心安全区域实现进一步的安全防护。

        这样的组网模式能够满足企业对不同安全区域的安全等级划分，并且可在不同区域间实现独立安全策略的制定，从而使整网拓扑大大简化，在保持高扩展性的基础上减轻了管理的复杂度。

        因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分，以及如何在安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高的要求。

       为此，H3C推出了虚拟安全解决方案，灵活运用虚拟防火墙技术，旨在解决复杂组网环境中大量VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。通过在汇聚交换机上面配置的防火墙插卡解决不同区域内的安全防护。

        3.1.1 重点楼层重点客户安全防御方案

        在网络中，总有些客户对于自己部门或者自己的数据信息安全特别敏感，而且他们的信息也是极为重要的。为解决传统基于VLAN和ACL的内网访问控制解决方案的不足，H3C提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块，通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性，实现对同一VLAN内终端之间的访问限制。

        为了对这些用户提供保护，我们可以在汇聚交换机中配置H3C SecBlade防火墙插卡进行数据保护业务。其优点是：

        实现病毒防护和业务控制双重功能。

        在防火墙上配置安全访问策略，设置访问权限，保护内部网络的安全。

        SecBlade防火墙插卡具有对业务的良好支持，作为NAT ALG或者ASPF过滤，都能够满足正常业务的运行。

        SecBlade防火墙插卡易于管理，让管理员舒心。

        SecBlade利用虚拟防火墙技术实现为不同业务和用户实现不同安全防护。

       虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，即，将一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立，一般情况下不允许相互通信。

       H3C SecPath/SecBlade虚拟防火墙具有如下技术特点：

       每个虚拟防火墙维护自己一组安全区域;

       每个虚拟防火墙维护自己的一组资源对象(地址/地址组，服务/服务组等)

       每个虚拟防火墙维护自己的包过滤策略

       每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略

       限制每个虚拟防火墙占用资源数：防火墙Session以及ASPF Session数目

       除此之外，在防火墙的日常维护工作中，主要的工作就是定义和维护大量的访问控制策略，正是因为这样的应用，用户需要一种强大，直观，简便的管理工具来对防火墙设备进行管理，尤其是在增加了虚拟防火墙特性之后。H3C系列防火墙的面向对象配置管理技术充分考虑到管理员在一台设备上管理多种配置的复杂性，提供了对地址资源、服务资源、网络流量的形象化定义，让用户可以将网络中的网段、主机和服务等各种资源抽象为更加直观的、便于记忆和理解的对象。

        SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起，使得交换机在高性能数据转发的同时，能够根据组网的特点处理安全业务。

SecBlade 防火墙模块可以对需要保护的区域进行策略定制，可以支持所有报文的安全检测，同时SecBlade 防火墙模块支持多安全