H3C园区边界安全部署
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
设备
MSR50/30/20 AR28/46 SecPath系列
公共服务器
Internet 出口路由器 (可选) 可选) 路由器/ 路由器/ 安全网关/ 安全网关/ VPN网关 VPN网关
园区网络
www.h3c.com
11
单设备园区出口边界安全
园区边界
设备
AR系列 MSR系列 SecPathF100
www.h3c.com
19
园区多出口网关集成边界安全部署
公共服务器
总部防火墙 /VPN网关
SecPath F100/F1000
远程分支机构 Internet 出口路由器 IPS Interne t IPS 防火墙 /VPN/NAT 移动用户 远程拨号用户 园区网
分支机构VPN网关
SecPath V100-S
www.h3c.com
7
安全区域划分
安全区域划分方法:
纵向划分: 纵向划分:根据网络业务和用户访问权限对具有相同访问需求的用户划分进入同 一安全区域。
www.h3c.com
8
目录
•企业整体安全部署 •园区边界之安全分区 •园区边界之安全网关部署 •园区边界之流量分析部署 •园区边界之病毒防护部署 •园区边界之日志管理部署
VPN网关 公共服务器
IPSec VPN GRE over IPSec L2TP over IPSec SSL VPN
Internet出口路由器
L2TP/GRE/IPSec NAT ACL访问控制 ASPF 深度业务监控 防病毒/防DoS攻击 SSH 异常流量监控 流量分析监控
Internet 出口路由器 (可选) 可选) 路由器/ 路由器/ 安全网关/ 安全网关/ VPN网关 VPN网关
www.h3c.com
13
专业安全设备园区出口边界安全
园区边界
公共服务器
分支机构VPN网关 分支机构VPN网关 VPN
总部VPN网关
SecPath V100-S SecPath V1000-A
分支机构VPN网关
SecPath V100-S 园区网
VPN网关 VPN网关
防火墙
SecPath F1000-S SecPath F1000-A
10
单设备园区出口边界安全
园区边界
典型的单设备园区网出口 仅有Internet一个边界出 口与外部网络互连 有一个公共服务器区对外 部提供WWW/E-MAIL等服务 远程用户(包括移动接入 用户和小型分支节点)通 过Internet建立VPN隧道接 入到园区网络内 边界安全设计要求设备成 本低,通常将出口路由器 和VPN安全网关/防火墙集 成在一台出口设备上 通过在路由器上配置NAM板 实现出口流量监控
⑩ ⑧
⑤ ①
Private WAN
⑥
⑦
③ ⑨
②
④
① 端点准入防御 ④ 数据中心安全 ⑦ 园区边界出口安全 ② 汇聚交换机安全 ⑤ 外部服务器安全 ⑧ 专网分支机构安全 ③ 核心交换机集成安全 ⑥ 安全管理中心 ⑨ Internet分支机构安全
www.h3c.com
2
企业网整体安全
Internet/WAN
Internet/ WAN
专网分支机构
专网WAN 专网WAN 出口路由器
园区网与外界网络互连出 口包括Internet/PSTN和 WAN几部分 公共服务器对外部提供 WWW/E-MAIL等服务 移动用户可以通过 Internet建立VPN接入园 区网 远程分支机构可以通过 Internet建立VPN接入园 区网,也可以通过私有的 WAN网络接入园区网 部署专业的防火墙、VPN 和IPS等设备增加边界安 全性 园区出口部署双VPN网关 实现负载均衡和备份,部 署双防火墙实现状态热备 ,提供高可靠性 通过在防火墙/路由器上 配置NSM/NAM板实现出口 流量监控 16
出口路由器
L2TP/GRE/IPSec NAT ACL访问控制 ASPF 深度业务监控 防病毒/防DoS攻击 SSH 异常流量监控 流量分析监控
分支机构
www.h3c.com
15
专业安全设备园区出口边界安全部署
园区边界
公共服务器
远程分支机构 Internet 出口路由器 Interne t VPN网关 VPN网关 防火墙 移动用户 IPS IPS 园区网
www.h3c.com
4
目录
•企业整体安全部署 •园区边界之安全分区 •园区边界之安全网关部署 •园区边界之流量分析部署 •园区边界之病毒防护部署 •园区边界之日志管理部署
www.h3c.com
5
不区分安全区域的园区网
外部服务器
不区分信任域的园区网
管理员
网络中的所有用户共在 一个开放的网络环境中
www.h3c.com
9பைடு நூலகம்
园区网络边界定义
在园区网的设计中按照区域的划分会产生多个边界网络 边界网络的定义是园区网连接到广域网/Internet等外部网络的边缘区域 通常对于园区的边界有以下几种定义 广域网出口 公共服务器区域 分支结构VPN 远程用户VPN PSTN拨号用户 Internet出口
www.h3c.com
⑩ ⑧
⑤ ①
Private WAN
⑥
⑦
③ ⑨
外部服务器安全 园区边界出口安全 数据中心安全 专网分支机构安全 端点准入防御 ⑦ ⑧ ⑨ Internet分支机构安全 汇聚交换机集成安全 核心交换机集成安全 ① ② ③ ④ ⑤ ⑥ 管理中心安全
②
④
设备防攻击、SSH、SFTP、基于用户级别的管理、DHCP option 82安全特性、DHCP SecCenter安全事件管理中心, XLOG日志中心 Over IPSec、IPSec Over L2TP/GRE ACL访问控制、ASPF状态防火墙、防DDOS攻击、邮件内容过滤、拥塞管理、安 DMZ区、IPS深度检测防御、设备防攻击、SSH、SFTP IPSec、IPSec Over L2TP/GRE L2TP、GRE、IPSec/IKE、L2TP/GRE Over ACL包过滤、ASPF状态防火墙、攻击防范(DoS、DDoS)、异常流 L2TP、GRE、IPSec/IKE、L2TP/GRE EAD 设备防攻击、SSH、SFTP、基于用户级别的管理、端口镜像、端口流量抑制、路由协 snooping防止IP仿冒、DHCP snooping防止ARP仿冒、Port security 实现MAC地址 flooding 全日志 量监控、深度检测、L4-L7层的安全、病毒防范、木马攻击防范、BT等 防御、802.1x认证、STP边缘端口和bpdu保护、组播源抑制、端口环回检测、ARP限速 议验证、SecBlade FW 业务管理、防火墙NSM板对数据中心流量进行分析及安全监控 汇聚交换机L3+板和Xlog配合对园区进行流量分析 防火墙NSM板对园区出口进行流量分析及安全监控
园区网络
www.h3c.com
12
专业安全设备园区出口边界安全
园区边界
公共服务器
分支机构VPN网关 分支机构VPN网关 VPN
园区网
VPN网关 VPN网关 Interne t 防火墙 移动用户 出口路由器
WAN
IPS
分支机构
园区网与外界网络互连 出口包括Internet/WAN 几部分 公共服务器对外部提供 WWW/E-MAIL等服务 移动用户可以通过 Internet建立VPN接入园 区网 远程分支机构可以通过 Internet建立VPN接入园 区网,也可以通过私有 的WAN网络接入园区网 部署专业的防火墙、VPN 和IPS等设备增加边界安 全性 通过在防火墙上配置NAM 板实现出口流量监控
www.h3c.com
3
H3C园区安全最佳部署 H3C园区安全最佳部署
企业网安全
局域网安全 数据中心安全 终端安全 安全 安全 园区 安全 安全
对应解决方案
安全局域网解决方案 虚 数据中心安全解决方案 安 全 服 EAD解决方案 综 解决方案 防 病 毒 解决方案 安全解决方案 安全 解决方案 合 务 拟
www.h3c.com
专业安全设备园区出口边界安全部署
园区边界
公共服务器
总部VPN网关
SecPath V1000-A
分支机构VPN网关
远程分支机构 Internet 出口路由器 Interne t VPN网关 VPN网关 防火墙 移动用户 IPS IPS 园区网
SecPath V100-S
防火墙
SecPath F1800-A SecPath F1000-A
WAN出口路由器
Internet/ WAN L2TP/GRE/IPSec NAT ACL访问控制 ASPF 深度业务监控 防病毒/防DoS攻击 SSH 异常流量监控 流量分析监控
专网分支机构
专网WAN 专网WAN 出口路由器
www.h3c.com
18
园区多出口网关集成边界安全部署
公共服务器
远程分支机构 Internet 出口路由器 IPS Interne t IPS 防火墙 /VPN/NAT 移动用户 远程拨号用户 园区网
IPS
TippingPoint-400 TippingPoint-1200E TippingPoint-2400E
出口路由器
MSR50/30/20 AR28/46
专网WAN 专网WAN 出口路由器
Internet/ WAN
流量监控
NSM NAM
专网分支机构
www.h3c.com
20
园区多出口网关集成边界安全部署
防火墙 IPS
Interne t
IPS
移动用户 出口路由器
WAN
TippingPoint-50 TippingPoint-200E
出口路由器
MSR50/30/20 AR28/46 流量监控 NSM NAM
分支机构
www.h3c.com
14
专业安全设备园区出口边界安全部署
园区边界
公共服务器
分支机构VPN网关 分支机构VPN网关 VPN
WAN/VPN
每个用户的接入控制单 独完成 内部、外部服务器,内 网用户等不同安全级别 的区域暴露在Internet 等非信任区域下
Internet
内网用户
内部服务器
www.h3c.com
6
安全区域划分
安全区域划分方法:
横向划分:将物理位置相近,并具有相同网络安全策略的安全资产划分进入 横向划分: 同一个安全区域。
H3C安全部署最佳部署解决方案 安全部署最佳部署解决方案
日期:2007.07 杭州华三通信技术有限公司
目录
•企业整体安全部署 •园区边界之安全分区 •园区边界之安全网关部署 •园区边界之流量分析部署 •园区边界之病毒防护部署 •园区边界之日志管理部署
www.h3c.com
1
企业网整体安全部署
Internet/WAN
IPS
TippingPoint-400 TippingPoint-1200E TippingPoint-2400E
出口路由器
Internet/ WAN
MSR50/30/20 AR28/46
专网WAN 专网WAN 出口路由器
专网分支机构
流量监控
NSM NAM
www.h3c.com
17
专业安全设备园区出口边界安全部署
Internet/ WAN
专网分支机构
专网WAN 专网WAN 出口路由器
园区网与外界网络互连出 口包括Internet/PSTN和 WAN几部分 公共服务器对外部提供 WWW/E-MAIL等服务 移动用户可以通过 Internet建立VPN接入园区 网 远程分支机构可以通过 Internet建立VPN接入园区 网,也可以通过私有的WAN 网络接入园区网 通过一台设备支持防火墙 &VPN功能,降低组网成本 园区出口部署高可靠方案 实现负载分担和冗余备份 通过在防火墙/路由器上配 置NSM/NAM板实现出口流量 监控
IPS
深度检测防御 防病毒攻击 防DoS攻击 防蠕虫病毒 防木马病毒
公共服务器
远程分支机构 Internet 出口路由器 Interne t VPN网关 VPN网关 防火墙 移动用户 IPS IPS 园区网
Internet出口路由器
ACL访问控制 路由协议认证 设备访问安全SSH
防火墙 VPN网关
VRRP+ IPSec GREoverIPSEC+VRRP L2TP over IPSec+VRRP ACL访问控制 ASFP状态检测 防DoS攻击 DMZ区 状态热备 NAT
IPS
深度检测防御 防病毒攻击 防DoS攻击 防蠕虫病毒 防木马病毒
园区网
VPN网关 VPN网关 Interne t 防火墙 IPS
防火墙
ACL访问控制 ASFP状态检测 防DoS攻击 DMZ区 NAT
VPN网关
移动用户 出口路由器
Internet/ WAN IPSec VPN GRE over IPSec L2TP over IPSec SSL VPN