病毒防控解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
病毒控制解决方案
注意:
1.此解决方案为”IPS+EAD+XLOG”解决方案,H3C主推虚拟补丁概念,EAD主推端点防护,XLOG主推流量异常。
2.H3C IPS目前还无法跟EAD联动。TP目前设备内置了Quaratine(隔离)功能,但只能从TP处隔离,还无法从终端处隔离。
3.预计在金融等行业会有一定的机会点。
概述
在互联网的流量和业务飞速发展的同时网络也出现了很大的负面问题,也就是网络安全问题日益突出。一方面网络病毒逐渐成为网络安全的祸首,严重的病毒爆发将直接导致网络的瘫痪,而网络病毒的温床—系统漏洞也由于网络系统代码量不断增加而增加,这导致了网络病毒的数量和破坏力将不断增强;另一方面由于黑客软件的破坏力不断增加而操作难易程度在不断降低,必然将导致网络攻击的密度和强度不断增加,网络攻击在呈明显的上升趋势。
当前在网络安全的解决方面,往往依赖防火墙等设备进行网络安全的防护工作,但由于防火墙的性能问题,往往只是采用防火墙对关键业务服务器进行保护和内外网隔离。但在网络病毒多发的情况下,网内和网外同等重要。关键业务(例如高校的视频实时教育系统、企业的ERP系统)分布在整个网络上,传统防火墙对此难以提供有效的防护。另外在网络的安全预警方面,IDS的功能仅仅可以提供一个警告功能,如果没有人工干预仍然不能对已经发现的网络安全事件进行处理。
图1病毒离我们越来越近
因此,随着病毒威胁的不断发展变化,必然要求安全厂商必须要适应新的形势、新的应用,软硬件技术和解决方案必须不断升级、不断演化以适应用户的需要。作为全球最大的信息安全和网络设备提供商之一,华为3Com提供了SPN病毒控制解决方案。该方案从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,加强用户终端的主动防御能力,大幅度提高网络安全;以NTA网流分析为监控诊断手段,与路由器、交换机、BAS等网络设备共同组网,根据用户要求采集不同类型的网络流量信息,并通过聚合、分析与统计,为网络管理员提供流量异常监控和网络部署优化的数据基础和决策依据;以H3C IPS为网络问题抑制手段,在线部署即插即用,通过深达第七层的流量侦测,在发生损失之前阻断病毒、木马、拒绝服务攻击、间谍软件、VoIP攻击以及P2P应用滥用等恶意流量。
图2华为3Com病毒控制解决方案
EAD的端点隔离和免疫
目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业网络安全管理急需解决的问题。
传统的网络安全产品对于网络安全问题的解决,通常是被动防御,事后补救。华为3Com 端点准入防御(EAD,Endpoint Admission Defense)解决方案则从用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全。
图3华为3Com EAD架构
实时的“危险”用户隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。
用户上网过程中,如果终端发生感染病毒等安全事件,EAD系统可实时隔离该“危险”
终端。除采用强制隔离方式外,EAD还可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别,以适应用户对安全准入控制的不同要求。譬如,可配
置为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)。
可扩展的、开放的安全解决方案
EAD是一个开放的安全解决方案,安全策略服务器与网络设备的交互、与第三方服务器的交互都基于开放、标准的协议实现。在防病毒方面,目前EAD系统已与瑞星、金山、江民、赛门铁克、趋势等国内外主流防病毒厂商的产品实现弱联动。
EAD也是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。华为3Com系列交换机、路由器、安全网关等网络设备,可以通过标准的协议与CAMS安全策略服务器的联动,在不同的应用场景实现对用户的准入控制。
NTA提供网流监控分析
网络中承载着各式各样的业务数据,包括传统的IP业务和新的语音、视频业务,从某种程度上来讲,网络异常流量永远不会消失。但对网管人员来说,可以利用许多技术手段分析异常流量,减小异常流量发生时带来的影响和损失。一旦出现以下情况,网络中就可能出现了安全风险:
•网络流量突然激增
•网络设备的CPU和内存利用率上升
•网络中未知流量突增
•不同主机产生大量的异常流量
•大量的异常报文,如每个会话里只有一个数据包
•网络中某种特定的流量和报文突增,如TCP reset或者ICMP报文
华为3Com NTA的XLog是一种低成本、可扩展的网络日志信息审计与分析系统,能够与路由器、以太网交换机、BAS设备等共同组网,完成对NAT、FLOW、DIG等多种网络日志的采集、统计与分析,可以追溯网络使用行为,监视异常活动,为合理的网络规划提供重要参考。