企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計方案

1、 企業(yè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計方案目 錄 TOC o 1-2 h z u HYPERLINK l _Toc46866182 第一部分 項目背景 PAGEREF _Toc46866182 h 2 HYPERLINK l _Toc46866183 1.1 項目概述 PAGEREF _Toc46866183 h 2 HYPERLINK l _Toc46866184 1.2 設(shè)計依據(jù) PAGEREF _Toc46866184 h 2 HYPERLINK l _Toc46866185 1.3 設(shè)計原則 PAGEREF _Toc46866185 h 3 HYPERLINK l _Toc46866186 第二部分

2、整體需求分析 PAGEREF _Toc46866186 h 6 HYPERLINK l _Toc46866187 2.1 需求分析 PAGEREF _Toc46866187 h 6 HYPERLINK l _Toc46866188 2.2 拓?fù)湟?guī)劃 PAGEREF _Toc46866188 h 7 HYPERLINK l _Toc46866189 2.3 設(shè)計思想 PAGEREF _Toc46866189 h 7 HYPERLINK l _Toc46866190 第三部分 網(wǎng)絡(luò)安全設(shè)計 PAGEREF _Toc46866190 h 9 HYPERLINK l _Toc46866191 3.1

3、網(wǎng)絡(luò)安全部署思路 PAGEREF _Toc46866191 h 9 HYPERLINK l _Toc46866192 3.2 網(wǎng)絡(luò)設(shè)備級安全 PAGEREF _Toc46866192 h 11 HYPERLINK l _Toc46866193 3.3 網(wǎng)絡(luò)級安全 PAGEREF _Toc46866193 h 15 HYPERLINK l _Toc46866194 3.4 網(wǎng)絡(luò)的智能主動防御 PAGEREF _Toc46866194 h 19 HYPERLINK l _Toc46866195 3.5 網(wǎng)絡(luò)安全設(shè)備選型 PAGEREF _Toc46866195 h 29項目背景項目概述公司成立于1

4、983年，是一家在全球范圍內(nèi)提供顯示解決方案和快速服務(wù)支持的創(chuàng)新型科技企業(yè)。公司制造基地分布在深圳、上海、成都、武漢等全國各地，同時，在美國、德國、韓國、臺灣、香港等主要發(fā)達國家與地區(qū)設(shè)有全球營銷網(wǎng)絡(luò)和技術(shù)服務(wù)支持平臺。而目前建設(shè)中的廈門天馬項目是廈門高新區(qū)著力打造千億元光電產(chǎn)業(yè)集群、強化全國的光電顯示產(chǎn)業(yè)集群試點基地的又一力作。針對其生產(chǎn)要求，結(jié)合我公司對于網(wǎng)絡(luò)系統(tǒng)設(shè)計的理念和多年來在網(wǎng)絡(luò)工程建設(shè)中的經(jīng)驗，以實現(xiàn)高可靠、高性能、可擴充為前提，遵循開放、標(biāo)準(zhǔn)、安全和實用的原則，追求網(wǎng)絡(luò)性能的最佳化、合理化、節(jié)省費用，技術(shù)上的先進性與成熟性、實用性相結(jié)合，為廈門G6網(wǎng)絡(luò)系統(tǒng)提供合理有效的解決方案

5、，滿足其辦公需求，保證在未來的信息化建設(shè)中高效穩(wěn)定運行。設(shè)計依據(jù)數(shù)據(jù)中心由于其特殊性，需嚴(yán)格遵循國家GB標(biāo)準(zhǔn)所定義的電子信息系統(tǒng)機房設(shè)計等相關(guān)規(guī)范數(shù)據(jù)中心設(shè)計規(guī)范GB/T50174-2014電子信息系統(tǒng)機房設(shè)計規(guī)范GB50174-2008智能建筑設(shè)計標(biāo)準(zhǔn)GB/T50314-2006民用建筑設(shè)計通則GB50352-2005電力裝置的繼電保護和自動裝置設(shè)計規(guī)范GB50062-92高層民用建筑設(shè)計防火規(guī)范GB50045-95民用建筑電氣設(shè)計規(guī)范JGJ/T16-92建筑與建筑群綜合布線工程設(shè)計規(guī)范GB/T50311-2000弱電系統(tǒng)技術(shù)要求GA/T367-2001(2005年版)公共安全工程技術(shù)規(guī)范G

6、B50348-2004電子計算機房設(shè)計規(guī)范GB50174-93建筑物防雷設(shè)計規(guī)范GB50057-94建筑物電子信息系統(tǒng)防雷技術(shù)規(guī)范GB50343-2004工業(yè)與民用電力裝置的接地設(shè)計規(guī)范GBJ65-83工業(yè)企業(yè)通信接地設(shè)計規(guī)范GBJ79-85通信管道工程施工及驗收規(guī)范GB50374-2006設(shè)計原則以安全、實用、冗余、先進、適應(yīng)發(fā)展為總建設(shè)原則。1、實用性原則：以現(xiàn)行需求為基礎(chǔ)，充分考慮發(fā)展的需要來確定規(guī)模。2、冗余性原則：特別注重網(wǎng)絡(luò)硬件系統(tǒng)自身在突發(fā)事件時的可用性，以冗余備份的設(shè)計方式加以保障。在核心位置提供設(shè)備級冗余，在主干設(shè)備與匯聚設(shè)備之間提供可靠的線路及模塊冗余，當(dāng)其中一個部件因故障

7、停止工作時，另一部件自動接替其工作，并且不引起其他節(jié)點的路由表重新計算，從而提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性。3、安全性原則：安全性是信息化建設(shè)的基礎(chǔ)保障。出于安全及保密因素，現(xiàn)在信息化建設(shè)工程對安全性有很高的要求。設(shè)計的過程中必須依據(jù)國家各種有關(guān)安全法規(guī)政策，對硬件支撐平臺的訪問控制、在線監(jiān)視、信息加密等方面進行完善考慮，在網(wǎng)絡(luò)建構(gòu)上根據(jù)功能劃分相應(yīng)的區(qū)域，使用如防火墻、入侵檢測、信息過濾等手段，防止非法用戶、非法信息及病毒的入侵和泄密事件的發(fā)生。同時還要在企業(yè)內(nèi)部建立健全各種相關(guān)安全管理制度，確保全網(wǎng)的安全。4、先進性原則：系統(tǒng)采用國際上先進的前沿網(wǎng)絡(luò)技術(shù)，滿足今后一段時期的需要。5、可靠性原則：

8、要保證系統(tǒng)運行可靠，極高的平均無故障時間和極短的設(shè)備修復(fù)時間。網(wǎng)絡(luò)的運行必須保證相當(dāng)高的可靠性，以滿足工作及信息的安全與穩(wěn)定。防止局部故障引起整個網(wǎng)絡(luò)系統(tǒng)的癱瘓，避免網(wǎng)絡(luò)出現(xiàn)單點故障。6、易維護原則：系統(tǒng)要易于管理、易于維護。網(wǎng)絡(luò)需要很高的可管理性，特別是在數(shù)據(jù)、視頻等多業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)里，要使用可管理的網(wǎng)絡(luò)設(shè)備，可以識別關(guān)鍵資源，根據(jù)流量狀況以及網(wǎng)絡(luò)性能配置閾值并為不同的應(yīng)用提供不同的帶寬，使所有的服務(wù)能夠順利完成。隨著系統(tǒng)的投入運行和系統(tǒng)資源的不斷增加，網(wǎng)絡(luò)系統(tǒng)應(yīng)具有很好的易維護性，使管理人員易于維護，減少不必要的額外勞動，提高工作效率。7、易擴展原則：設(shè)計過程中應(yīng)當(dāng)保證在用戶業(yè)務(wù)量和業(yè)務(wù)類

9、型的變化增長的情況下，硬件支撐平臺能夠方便的升級并擴展，網(wǎng)絡(luò)可以自如地擴充容量，支持更多的用戶及應(yīng)用。網(wǎng)絡(luò)平臺設(shè)計時必須按照各種國際通用標(biāo)準(zhǔn)進行，以保證各種設(shè)備、網(wǎng)絡(luò)的兼容通用，將來網(wǎng)絡(luò)在實現(xiàn)擴容、升級時不會受到某些廠家專有標(biāo)準(zhǔn)的限制。網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)技術(shù)的選擇，要具有相當(dāng)?shù)那罢靶?，以確保隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)能夠平滑地過渡到更先進的技術(shù)和設(shè)備，充分保障用戶現(xiàn)有的投資和利益。整體需求分析需求分析根據(jù)前期和客戶溝通匯總的需求，本次項目規(guī)劃涉及網(wǎng)絡(luò)包括：園區(qū)有線網(wǎng)絡(luò)、園區(qū)無線網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)、管理控制網(wǎng)絡(luò)、外聯(lián)網(wǎng)絡(luò)、互聯(lián)網(wǎng)絡(luò)等網(wǎng)絡(luò)。按照模塊化、層次化、區(qū)域化、可擴展的規(guī)劃原則，廈門G6總體網(wǎng)

10、絡(luò)可進行以下模塊化劃分：園區(qū)網(wǎng)核心交換區(qū)域：VSS系統(tǒng)架構(gòu)，高可靠性和提升網(wǎng)絡(luò)性能;部署冗余無線控制器，實現(xiàn)無線快速切換園區(qū)網(wǎng)絡(luò)接入?yún)^(qū)域：萬兆光纖主干，通過VSS實現(xiàn)鏈路的捆綁，提高鏈路利用率，包括有線和無線接入方式.數(shù)據(jù)中心核心交換區(qū)域：VPC+系統(tǒng)架構(gòu)，高性能高擴展性數(shù)據(jù)中心主機接入?yún)^(qū)域：公司辦公業(yè)務(wù)系統(tǒng)的各種服務(wù)器外聯(lián)區(qū)域：雙機SSL VPN終結(jié)設(shè)備，提供外聯(lián)及接入的高可靠架構(gòu)員工上網(wǎng)區(qū)域：鏈路負(fù)載均衡、防火墻設(shè)備整合應(yīng)用。管理控制區(qū)域：管理控制區(qū)域，主要都由各種服務(wù)器系統(tǒng)組成，是整個網(wǎng)絡(luò)運維管理的核心區(qū)域，網(wǎng)絡(luò)管理系統(tǒng)、網(wǎng)絡(luò)安全審計及授權(quán)系統(tǒng)、無線覆蓋的管理系統(tǒng)、移動終端的認(rèn)證管理系統(tǒng)

11、等網(wǎng)絡(luò)運維的管理系統(tǒng)均部署于該區(qū)域拓?fù)湟?guī)劃設(shè)計思想園區(qū)有線采用兩種方案： 方案一：針對M3區(qū)采用兩層架構(gòu)，核心采用Cat6807交換機，接入層采用Cat6800ia交換機,實現(xiàn)即時接入。該接入交換機可提供48端口接入且最大24端口802.3at 30W供電能力。通過VSS+IA技術(shù)實現(xiàn)園區(qū)簡化架構(gòu)、提高轉(zhuǎn)發(fā)效率的要求。 方案二：針對M4廠區(qū)由于受限于光纖等資源情況，需在M4樓部署匯聚設(shè)備；即采用傳統(tǒng)三層架構(gòu)方式園區(qū)無線采用CT5520作為無線控制器，接入層AP采用支持802.11ac的1700/2700系列。無線AP2702E可實現(xiàn)高密度無線接入。方案中采用FlaxConnect集中認(rèn)證、本地

12、轉(zhuǎn)發(fā)模式。管理控制層使用Cisco ISE作為整網(wǎng)管理控制平臺，Cisco ISE支持有線無線準(zhǔn)入控制一體化。將無線訪客網(wǎng)絡(luò)通過Cat6807的VRF特性進行流量隔離，并指定網(wǎng)關(guān)至深信服AC。深信服AC上對此網(wǎng)段進行Portal認(rèn)證，實現(xiàn)對無線訪客的Portal認(rèn)證。網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全部署思路網(wǎng)絡(luò)安全整體架構(gòu)目前大多數(shù)的安全解決方案從本質(zhì)上來看是孤立的，沒有形成一個完整的安全體系的概念，雖然已經(jīng)存在很多的安全防護技術(shù)，如防火墻、入侵檢測系統(tǒng)、防病毒、主機加固等，但是各個廠家鑒于各自的技術(shù)優(yōu)勢，往往厚此薄彼。必須從全局體系架構(gòu)層次進行總體的安全規(guī)劃和部署。本次信息建設(shè)雖然僅包括數(shù)據(jù)中心、園區(qū)有

13、線部分和園區(qū)無線部分的建設(shè)，但也必須從全局和架構(gòu)的高度進行統(tǒng)一的設(shè)計。建議采用目前國際最新的“信息保障技術(shù)框架（IATF）”安全體系結(jié)構(gòu)，其明確提出需要考慮3個主要的因素：人、操作和技術(shù)。本技術(shù)方案著重討論技術(shù)因素，人和操作則需要在非技術(shù)領(lǐng)域（比如安全規(guī)章制度）方面進行解決。技術(shù)因素方面IATF提出了一個通用的框架，將信息系統(tǒng)的信息保障技術(shù)層面分為了四個技術(shù)框架域：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護邊界保護：解決邊界保護問題局域計算環(huán)境：主機的計算環(huán)境的保護支撐性基礎(chǔ)設(shè)施：安全的信息環(huán)境所需要的支撐平臺并提出縱深防御的IA原則，即人、技術(shù)、操作相結(jié)合的多樣性、多層疊的保護原則。我們在本次網(wǎng)絡(luò)

14、建設(shè)改造中需要考慮的安全問題就是上圖中的“網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護”、“邊界保護”兩個方面，而“計算機環(huán)境（主機）”、“支撐平臺”則是在系統(tǒng)主機建設(shè)和業(yè)務(wù)應(yīng)用建設(shè)中需要重點考慮的安全問題。網(wǎng)絡(luò)平臺建設(shè)所必須考慮的安全問題 高速發(fā)達的網(wǎng)絡(luò)平臺衍生現(xiàn)代的網(wǎng)絡(luò)病毒、蠕蟲、DDoS攻擊和黑客入侵等等攻擊手段，如果我們的防護手段依然停留在對計算環(huán)境和信息資產(chǎn)的保護，將處于被動。需要從網(wǎng)絡(luò)底層平臺的建設(shè)開始，將安全防護的特性內(nèi)置于其中。因此在SODC架構(gòu)中，安全是一個智能網(wǎng)絡(luò)應(yīng)當(dāng)對上層業(yè)務(wù)提供的基本服務(wù)之一。網(wǎng)絡(luò)從平臺安全角度的安全設(shè)計分為以下三個層次：設(shè)備級的安全：需要保證設(shè)備本身的安全，因為設(shè)備本身也越來越

15、可能成為攻擊的最終目標(biāo)； 網(wǎng)絡(luò)級的安全：網(wǎng)絡(luò)作為信息傳輸?shù)钠脚_，有第一時間保護信息資源的能力和機會，包括進行用戶接入認(rèn)證、授權(quán)和審計以防止非法的接入，進行傳輸加密以防止信息的泄漏和窺測，進行安全劃分和隔離以防止為授權(quán)的訪問等等；系統(tǒng)級的主動安全：智能的防御網(wǎng)絡(luò)必須能夠?qū)崿F(xiàn)所謂“先知先覺”，在潛在威脅演變?yōu)榘踩糁凹右源胧?，包括通過準(zhǔn)入控制來使“健康”的機器才能接入網(wǎng)絡(luò)，通過事前探測即時分流來防止大規(guī)模DDoS攻擊，進行全局的安全管理等。應(yīng)在上述三個方面逐步實施。網(wǎng)絡(luò)設(shè)備級安全網(wǎng)絡(luò)設(shè)備自身安全包括設(shè)備本身對病毒和蠕蟲的防御以及網(wǎng)絡(luò)協(xié)議本身的防范措施。有以下是本項目所涉及的網(wǎng)絡(luò)設(shè)備和協(xié)議環(huán)境面

16、臨的威脅和相應(yīng)的解決方案：防蠕蟲病毒的等Dos攻擊數(shù)據(jù)中心雖然沒有直接連接Internet，但內(nèi)部專網(wǎng)中很多計算機并無法保證在整個使用周期內(nèi)不會接觸互聯(lián)網(wǎng)和各種移動存儲介質(zhì)，仍然會較多的面臨大量網(wǎng)絡(luò)蠕蟲病毒的威脅，比如Red Code，SQL Slammer等等，由于它們經(jīng)常變換特征，防火墻也不能完全對其進行過濾，它們一般發(fā)作的機理如下：利用Microdsoft OS或應(yīng)用的緩沖區(qū)溢出的漏洞獲得此主機的控制權(quán)獲得此主機的控制權(quán)后，安裝病毒軟件，病毒軟件隨機生成大量的IP地址，并向這些IP地址發(fā)送大量的IP包。有此安全漏洞的MS OS會受到感染，也隨機生成大量IP地址，并向這些IP地址發(fā)送大量的

17、IP包。導(dǎo)致阻塞網(wǎng)絡(luò)帶寬，CPU利用率升高等直接對網(wǎng)絡(luò)設(shè)備發(fā)出錯包，讓網(wǎng)絡(luò)設(shè)備CPU占用率升高直至引發(fā)協(xié)議錯誤甚至宕機因此需要在設(shè)備一級保證受到攻擊時本身的健壯性。此次的核心交換機Nexus 9000、智能服務(wù)機箱Catalyst 6800均支持硬件化的控制平面流量管制功能，可以自主限制必須由CPU親自進行處理的信息流速，要求能將包速管制閾值設(shè)定在CPU可健康工作的范圍內(nèi)，從根本上解決病毒包對CPU資源占用的問題，同時不影響由數(shù)據(jù)平面正常的數(shù)據(jù)交換。特別是Nexus 9000的控制平面保護機制是在板卡一級分布式處理的，具備在大型IDC中對大規(guī)模DDoS的防護能力。另外所有此類的蠕蟲和病毒都會利

18、用偽造源IP地址進行泛濫，局域網(wǎng)核心交換機和廣域網(wǎng)骨干路由器都應(yīng)當(dāng)支持對轉(zhuǎn)發(fā)的包進行源地址檢查，只有源地址合法的IP包才會被轉(zhuǎn)發(fā)，這種技術(shù)稱為Unicast Reverse Forwarding（uRPF，單播反轉(zhuǎn)路徑轉(zhuǎn)發(fā)）。該技術(shù)如果通過CPU實現(xiàn)，則在千兆以上的網(wǎng)絡(luò)中將不具備實用性，而本次網(wǎng)絡(luò)中在萬兆一級的三層端口支持通過硬件完成的uRPF功能。防VLAN的脆弱性配置在數(shù)據(jù)中心的不同安全域進行防火墻訪問控制隔離時，存在多個VLAN，雖然廣泛采用端口捆綁、vPC等技術(shù)使正常工作中拓?fù)浜喕踔镣耆苊猸h(huán)路，但由于網(wǎng)絡(luò)VLAN多且關(guān)系復(fù)雜，無法在工程上完全杜絕諸如網(wǎng)絡(luò)故障切換、誤操作造成的臨時環(huán)

19、路，因此有必要運行生成樹協(xié)議作為二層網(wǎng)絡(luò)中增加穩(wěn)定性的措施。但是，當(dāng)前有許多軟件都具有STP 功能，惡意用戶在它的PC上安裝STP軟件與一個Switch相連，引起STP重新計算，它有可能成為STP Root, 因此所有流量都會流向惡意軟件主機, 惡意用戶可做包分析。局域網(wǎng)交換機應(yīng)具有Root guard（根橋監(jiān)控）功能，可以有效防止其它Switch成為STP Root。本項目我們在所有允許二層生成樹協(xié)議的設(shè)備上，特別是接入層中都將啟動Root Guard特性，另外Nexus3000/2000還支持BPDU filters, Bridge Assurance等生成樹特性以保證生成樹的安全和穩(wěn)定。

20、還有一些惡意用戶編制特定的STP軟件向各個Vlan加入，會引起大量的STP的重新計算，引起網(wǎng)絡(luò)抖動，CPU占用升高。本期所有接入層交換機的所有端口都將設(shè)置BPDU Guard功能，一旦從某端口接收到惡意用戶發(fā)來的STP BPDU，則禁止此端口。（三）防止ARP表的攻擊的有效手段本項目大量使用了三層交換機，在發(fā)送數(shù)據(jù)前其工作方式同路由器一樣先查找ARP，找到目的端的MAC地址，再把信息發(fā)往目的。很多病毒可以向三層交換機發(fā)一個冒充的ARP，將目的端的IP地址和惡意用戶主機的MAC對應(yīng)，因此發(fā)往目的端的包就會發(fā)往惡意用戶，以此實現(xiàn)包竊聽。在Host上配置靜態(tài)ARP是一種防止方式，但是有管理負(fù)擔(dān)加重，

21、維護困難，并當(dāng)通信雙方經(jīng)常更換時，幾乎不能及時更新。本期所使用的所有三層交換機都支持動態(tài)ARP Inspection功能，可動態(tài)識別DHCP，記憶MAC地址和IP地址的正確對應(yīng)關(guān)系，有效防止ARP的欺騙。實際配置中，主要配置對Server和網(wǎng)絡(luò)設(shè)備實施的ARP欺騙，也可靜態(tài)人為設(shè)定，由于數(shù)量不多，管理也較簡單。防止DHCP相關(guān)攻擊本項目中的樓層網(wǎng)段會采用DHCP Server服務(wù)器提供用戶端地址，但是卻面臨著幾種與DHCP服務(wù)相關(guān)的攻擊方式，它們是：DHCP Server 冒用：當(dāng)某一個惡意用戶再同一網(wǎng)段內(nèi)也放一個DHCP 服務(wù)器時，PC很容易得到這個DHCP server的分配的IP地址而導(dǎo)

22、致不能上網(wǎng)。惡意客戶端發(fā)起大量DHCP請求的DDos 攻擊：惡意客戶端發(fā)起大量DHCP請求的DDos 攻擊，則會使DHCP Server性能耗盡、CPU利用率升高。惡意客戶端偽造大量的MAC地址惡意耗盡IP地址池應(yīng)采用如下技術(shù)應(yīng)對以上常見攻擊：防DHCP Server 冒用：此次新采購的用戶端接入交換機應(yīng)當(dāng)支持DHCP Snooping VACL, 只允許指定DHCP Server的服務(wù)通過，其它的DHCP Server的服務(wù)不能通過Switch。防止惡意客戶端發(fā)起大量DHCP請求的DDos 攻擊：此次新采購的用戶端接入交換機應(yīng)當(dāng)支持對DHCP請求作流量限速，防止惡意客戶端發(fā)起大量DHCP請求

23、的DDos 攻擊，防止DHCP Server的CPU利用率升高。惡意客戶端偽造大量的MAC地址惡意耗盡IP地址池：此次新采購的用戶端接入交換機應(yīng)當(dāng)支持DHCP option 82 字段插入，可以截斷客戶端DHCP的請求，插入交換機的標(biāo)識、接口的標(biāo)識等發(fā)送給DHCP Server；另外DHCP服務(wù)軟件應(yīng)支持針對此標(biāo)識來的請求進行限量的IP地址分配，或者其它附加的安全分配策略和條件。網(wǎng)絡(luò)級安全網(wǎng)絡(luò)級安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提供連通性服務(wù)的基礎(chǔ)上所增值的安全服務(wù)，在網(wǎng)絡(luò)平臺上直接實現(xiàn)這些安全功能比采用獨立的物理主機實現(xiàn)具有更為強的靈活性、更好的性能和更方便的管理。在本次數(shù)據(jù)中心的設(shè)計范圍內(nèi)主要是訪問控制

24、和隔離。從全網(wǎng)看，集團網(wǎng)絡(luò)、各地機構(gòu)廣域網(wǎng)、互聯(lián)網(wǎng)、內(nèi)部樓層、內(nèi)部數(shù)據(jù)中心等都是具備明顯不同安全要求的網(wǎng)絡(luò)，按邊界保護部署規(guī)則，都需要有防火墻進行隔離。本文檔僅討論數(shù)據(jù)中心部分內(nèi)部的防火墻安全控制設(shè)計。防火墻規(guī)劃 園區(qū)安全域的劃分需要建立在對園區(qū)應(yīng)用業(yè)務(wù)的分析基礎(chǔ)之上，本項目主要有兩個區(qū)域設(shè)計（分別是辦公人員互聯(lián)網(wǎng)區(qū)和外鏈區(qū)）；設(shè)計具體原則如下：同一業(yè)務(wù)一定要在一個安全域內(nèi)有必要進行安全審計和訪問控制的區(qū)域必須使用安全域劃分需要進行虛擬機遷移的虛擬主機要在一個安全域中劃分不宜過細(xì)，安全等級一致的業(yè)務(wù)可以在安全域上進行歸并，建議一期不超過5個安全域 在每個區(qū)域的防火墻角色功能不盡相同，如本項目辦

25、公區(qū)域互聯(lián)網(wǎng)區(qū)主要是承擔(dān)內(nèi)外網(wǎng)安全隔離問題，那么在外聯(lián)區(qū)域除了內(nèi)外防護問題外還承擔(dān)著辦公人員出差撥入的服務(wù)器功能即SSL VPN ；根據(jù)辦公人員出差比例本期項目初步規(guī)劃使用思科下一代防火墻ASA5525 提供最多750條 SSL VPN 隧道。防火墻部署設(shè)計 各個安全域的流量既需要互訪、又必須經(jīng)過嚴(yán)格的訪問控制和隔離，而且還要保證設(shè)備可靠性；故本項目每個區(qū)的一對防火墻可以利用思科cluster技術(shù)將多臺邏輯上形成一臺。整體上 也提高了防火墻性能。 同樣我們此系列防火墻支持虛擬化技術(shù)，這里的虛擬防火墻功能是指物理的防火墻可以被虛擬的劃分為多個獨立的防火墻。每個虛擬防火墻有完全獨立的配置界面、策略

26、執(zhí)行、策略顯示等等，所有操作就象在一個單獨的防火墻那樣。而且虛擬防火墻還應(yīng)當(dāng)具有獨立的可由管理員分配的資源，比如連接數(shù)、內(nèi)存數(shù)、策略數(shù)、帶寬等等，防止一個虛擬防火墻由于病毒或其它意外而過多占用資源。僅僅用VLAN一類的技術(shù)劃分防火墻是無法起到策略獨立性和資源獨立性的目的的，不屬于這里所指的虛擬防火墻。 虛擬防火墻還應(yīng)當(dāng)配合虛擬三層交換機來使用。每一個安全域可能內(nèi)部存在多個IP子網(wǎng)，它們之間需要有三層交換機進行路由。但不同安全域之間這樣的路由不應(yīng)當(dāng)被混同在一個路由表中，而應(yīng)當(dāng)每個安全域有自己的路由表，可以配置自己的靜態(tài)和動態(tài)路由協(xié)議，就好像有自己獨立使用的一個路由器一樣。不同安全域相互之間僅通過

27、虛擬防火墻互相連接。最終應(yīng)當(dāng)達到虛擬化數(shù)據(jù)交換中心的使用效果。即交換機的任何物理端口或VLAN端口都能夠充當(dāng)防火墻端口，同時每個安全域有自己獨立虛擬路由器，自己獨立的路由表和獨立的動態(tài)路由協(xié)議。每個安全域?qū)?yīng)有一個自己專用的虛擬防火墻，每個虛擬防火墻擁有獨立的管理員權(quán)限定義安全策略和使用資源。不同安全域的管理員只負(fù)責(zé)本區(qū)域虛擬防火墻的策略控制管理，而不用關(guān)心其它虛擬防火墻的配置工作，避免了單一區(qū)域安全策略配置錯誤而對其它區(qū)域可能造成的影響，從根本上簡化大型數(shù)據(jù)中心管理維護的難度。防火墻策略設(shè)計不同安全域之間的訪問控制策略由于虛擬化設(shè)計而只需考慮各個安全域內(nèi)出方向策略和入方向策略即可。建議初始策

28、略依據(jù)如下原則設(shè)定，然后根據(jù)業(yè)務(wù)需求不斷調(diào)整：出方向上不進行策略限制，全部打開入方向上按“最小授權(quán)原則”打開必要的服務(wù)允許發(fā)自內(nèi)部地址的雙方向的ICMP，但對ICMP進行應(yīng)用檢查（Inspect）允許發(fā)自內(nèi)部地址的Trace Route，便于網(wǎng)絡(luò)診斷關(guān)閉雙方向的TCP Seq Randomization，在數(shù)據(jù)中心內(nèi)的防火墻可以去除該功能以提高轉(zhuǎn)發(fā)效率減少或者不進行NAT，保證數(shù)據(jù)中心內(nèi)的地址透明性，便于ACE提供服務(wù)關(guān)閉nat-control（此為默認(rèn)），關(guān)閉xlate記錄，以保證并發(fā)連接數(shù)對每個虛擬防火墻的資源進行最大限定：總連接數(shù)，策略數(shù)，吞吐量基于每個虛擬防火墻設(shè)定最大未完成連接數(shù)（E

29、mbryonic Connection），將來升級到定義每客戶端的最大未完成連接數(shù)防火墻性能和擴展性設(shè)計本期項目建議采用的防火墻模塊是具有3Gbps吞吐量、75萬并發(fā)連接數(shù)、每秒3萬新建連接數(shù)能力的高端防火墻系統(tǒng)。 在園區(qū)大數(shù)據(jù)量交互中，最占據(jù)防火墻處理開銷的不是黑客攻擊、越權(quán)訪問等這些被拒絕的流，而是存儲、備份、文件傳輸、虛擬機映像加載、內(nèi)存同步等等大帶寬消耗的正常應(yīng)用的可信任流，它們的特點是在持續(xù)穩(wěn)定的TCP連接或UDP會話中以最大的可傳送能力（Best Effort）進行數(shù)據(jù)傳送，往往可以侵占巨大的帶寬，傳統(tǒng)的防火墻對這類流量都會逐包進行檢查處理，將導(dǎo)致防火墻內(nèi)部處理的擁塞。思科的新一代

30、防火墻模塊可以實現(xiàn)“借用”交換機的資源提高防火墻模塊自身的吞吐性能。實際上防火墻可以對一個流的前幾個包進行處理，當(dāng)?shù)玫竭@個流是可以通過的信任流的結(jié)論后，將這個流的特征提取出來送給交換機，交換機就用這個特征對流的后續(xù)包進行識別和處理，相當(dāng)于這個流的后續(xù)部分交給交換機來完成了，這樣交換機的資源和防火墻的資源實現(xiàn)真正的融合，大大提高的安全訪問控制的處理速度，以前單個防火墻模塊可以實現(xiàn)實測的5Gbps的吞吐量，而在使用資源整合技術(shù)之后，這個數(shù)值實測已經(jīng)達到32Gbps，而且可以軟件升級到300Gbps以上的防火墻模塊。這正是面向服務(wù)的數(shù)據(jù)中心對資源整合化的典型技術(shù)實現(xiàn)，也為客戶帶來的資源融合的益處。

31、我們在全球多個大型數(shù)據(jù)中心的實際使用環(huán)境中通過調(diào)查發(fā)現(xiàn)，除去這些“可信任流”，其余流量使用防火墻本身的5Gbps處理能力都是綽綽有余的，因此在本項目中一期工程中即使不采用雙活的智能服務(wù)機箱，也足以保證防火墻環(huán)節(jié)的無瓶頸。未來還可以通過2個防火墻模塊的雙活，甚至使用虛擬ACE實現(xiàn)4個防火墻模塊的雙向負(fù)載均衡。網(wǎng)絡(luò)的智能主動防御傳統(tǒng)的不停的打補丁和進行特征碼升級的被動防御手段已經(jīng)無法適應(yīng)安全防御的要求，必須由網(wǎng)絡(luò)主動的智能的感知網(wǎng)絡(luò)中的行為和事件，在發(fā)生嚴(yán)重后果之前及時通知安全網(wǎng)絡(luò)管理人員，甚至直接聯(lián)動相關(guān)的安全設(shè)備，進行提早措施，才能有效減緩危害。要實現(xiàn)這種智能的主動防御系統(tǒng)，需要網(wǎng)絡(luò)中進行如下

32、部署：對桌面用戶的接入進行感知和相應(yīng)措施對桌面用戶的行為進行分析和感知對全網(wǎng)安全事件、流量和拓?fù)溥M行智能的分析、關(guān)聯(lián)和感知對各種信息進行綜合分析然后進行準(zhǔn)確的報告在報告的同時進行網(wǎng)絡(luò)的聯(lián)動以提早抑制威脅以上整個過程需要多個產(chǎn)品進行部署才能實現(xiàn)。以下對這些產(chǎn)品的部署進行簡述。網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)Network Access Control（NAC），就是一種由網(wǎng)絡(luò)智能對終端進行感知，而判斷其威脅性，從而減少由終端發(fā)起的攻擊的一種技術(shù)。NAC類似于前面提到的身份識別安全接入控制技術(shù)，只不過它對主機、網(wǎng)絡(luò)設(shè)備等接入的判別標(biāo)準(zhǔn)不僅僅是基于用戶身份的，而是基于該設(shè)備的“網(wǎng)絡(luò)健康狀態(tài)”。NAC允許

33、各機構(gòu)實施主機補救策略，將不符合安全策略要求及可疑的系統(tǒng)放置到隔離環(huán)境中（比如一個特定的專用于軟件升級的VLAN），限制或禁止其訪問生產(chǎn)網(wǎng)絡(luò)，等威脅消除后，再回到生產(chǎn)網(wǎng)絡(luò)。通過將端點安全狀態(tài)信息與網(wǎng)絡(luò)準(zhǔn)入控制的執(zhí)行標(biāo)準(zhǔn)結(jié)合在一起， NAC使各機構(gòu)能夠大幅度提高其計算基礎(chǔ)設(shè)施的安全性。在實施的準(zhǔn)入控制，需要能夠?qū)崿F(xiàn)以下要求：一體化的準(zhǔn)入控制：不僅僅是有線端的準(zhǔn)入控制，而且要實現(xiàn)包括無線、VPN接入在內(nèi)的準(zhǔn)入控制，而且應(yīng)當(dāng)是統(tǒng)一的一個系統(tǒng)下的準(zhǔn)入控制，這就需要以太網(wǎng)交換機、無線AP設(shè)備、無線控制器、VPN集中器都可以支持統(tǒng)一的準(zhǔn)入控制；支持多種準(zhǔn)入控制形式：包括能夠支持基于Infrastructu

34、re的準(zhǔn)入控制，比如對于有線局域網(wǎng)、無線局域網(wǎng)可基于實現(xiàn)IEEE 802.1x和動態(tài)VLAN的準(zhǔn)入控制，對于路由器、防火墻、VPN集中器等等可實施基于過濾機制的準(zhǔn)入控制，也可以支持基于網(wǎng)絡(luò)專用設(shè)備的準(zhǔn)入控制，比如對于網(wǎng)絡(luò)交換機、路由器是由不同廠商品牌設(shè)備構(gòu)成的異構(gòu)網(wǎng)絡(luò)也可以實施基于專用在線設(shè)備的準(zhǔn)入控制；與身份標(biāo)識相結(jié)合：準(zhǔn)入控制機制應(yīng)當(dāng)與身份標(biāo)識是一體化的，不同身份標(biāo)識的用戶可以有相應(yīng)的準(zhǔn)入控制策略，即對身份的識別和對健康的檢查可以進行聯(lián)系；獨立對客戶機健康狀態(tài)進行評估：能夠結(jié)合其它病毒廠商軟件進行安全狀態(tài)檢查，更可以獨立對客戶端行為進行檢查，包括操作系統(tǒng)補丁、病毒軟件版本等，還應(yīng)當(dāng)包括檢查

35、注冊表可疑記錄、非法修改等等，能夠通過對客戶機狀態(tài)進行深度判斷，而基本上脫離復(fù)雜的第三方廠商病毒軟件的部署而獨立對健康狀態(tài)進行準(zhǔn)確評估。提供自動修復(fù)：準(zhǔn)入控制系統(tǒng)應(yīng)包括提供在線的自動修復(fù)能力，包括各種策略的軟件分發(fā)和鏈接推送等。能夠發(fā)現(xiàn)和自動識別打印機、IP電話等非常規(guī)NAC客戶端本期將主要以數(shù)據(jù)中心的建設(shè)為主，建議在以后的樓層接入的完善化建設(shè)中考慮對桌面的準(zhǔn)入控制解決方案。桌面安全管理準(zhǔn)入控制是一種網(wǎng)絡(luò)對接入主機的智能判斷，但一般只能在接入的瞬間進行檢查和動作，用戶在接入后進行的操作、收發(fā)的信息，準(zhǔn)入控制系統(tǒng)不再干預(yù)。而網(wǎng)絡(luò)各種病毒、蠕蟲和黑客軟件的泛濫與每個客戶機本身的上網(wǎng)行為是分不開的。

36、一個大型企業(yè)網(wǎng)的管理員無法真正控制用戶端的行為，是網(wǎng)絡(luò)變得脆弱和事故頻發(fā)的主要禍?zhǔn)?，也是管理員最頭痛的問題。隨著將來IT業(yè)務(wù)的深化發(fā)展，需要這樣的桌面安全管理軟件基于行為特征來保護終端的技術(shù)?？蛻舳塑浖腔谛袨槎皇腔谔卣鞔a標(biāo)記的，即不管這個病毒是不是我識別庫里的，只要其行為危害了系統(tǒng)，就可以被阻止，客戶端軟件看行為進行專家級的分析，這樣可以減少頻繁的對客戶端軟件的升級，更重要的是能夠防止終端免受所謂“零日攻擊”，即那些還未被人們所了解的病毒、蠕蟲、間諜軟件、惡意代碼以及最新的變種的危害，另外還能基于應(yīng)用程序、行為實施各種安全策略，對用戶本人進行的有意或無意的系統(tǒng)危害進行管理和控制。具體應(yīng)

37、當(dāng)有如下功能：識別惡意或無意的不安全行為：對各種威脅行為，比如不支持的注冊表修改、不正常的內(nèi)存訪問、收到對本機端口不正常的掃描、對郵件系統(tǒng)不正常的后臺調(diào)用等等，無論是病毒還是用戶有意或無意造成的，都可以即時提示用戶進行阻止，也可以不提示用戶，而是作為一條Log信息報告給后臺的安全智能網(wǎng)管。自動統(tǒng)計PC上安裝了哪些應(yīng)用程序：能統(tǒng)計客戶機器上都安裝了哪些應(yīng)用程序，以及安裝的版本。如是否安裝了BT等軟件。然后向后臺安全智能網(wǎng)管報告。調(diào)查應(yīng)用程序的運行情況：能統(tǒng)計哪些應(yīng)用程序在運行，并生成相應(yīng)的報表報告給后臺智能網(wǎng)管。禁止安裝和運行管理員指定的應(yīng)用程序：能夠禁止客戶機安裝和運行不符合公司策略的應(yīng)用程序

38、，比如BT，釣魚軟件等。保護敏感數(shù)據(jù)，不允許復(fù)制、拷貝：被保護的文件可以打開閱讀，但是不能復(fù)制，無論是復(fù)制文件或文件夾，都不允許，也不能從文件中拷貝、粘貼內(nèi)容出來，所以是非常好的防止機密信息泄漏的方法。禁用USB等移動設(shè)備：USB、光驅(qū)等各種可移動設(shè)備，常常是引入病毒、風(fēng)險的入口?？蛻舳斯芾碥浖?yīng)當(dāng)可以設(shè)定不允許特定的客戶機上的這些設(shè)備，或者只能看設(shè)備上有什么內(nèi)容，但是不允許讀。只有當(dāng)管理員授權(quán)時，才能使用和訪問。統(tǒng)計并能夠控制應(yīng)用程序?qū)W(wǎng)絡(luò)使用：可以統(tǒng)計應(yīng)用程序?qū)W(wǎng)絡(luò)的使用情況，提供對應(yīng)用程序使用網(wǎng)絡(luò)的控制，比如可以讓制訂應(yīng)用的IP包打上QoS標(biāo)記，禁止訪問指定的網(wǎng)段，禁止郵件附帶機密文件等

39、等。能夠和準(zhǔn)入控制相結(jié)合：能夠和準(zhǔn)入控制無縫結(jié)合，比如準(zhǔn)入控制對終端健康的識別包括了是否安裝了客戶端安全管理軟件，是否制訂了相應(yīng)安全級別的策略；反過來，客戶端安全管理軟件也可以根據(jù)準(zhǔn)入控制的結(jié)果（是隔離還是已被允許進入網(wǎng)絡(luò)）來提供不同的安全保護策略。中央集中控管：客戶端管理軟件由中心進行軟件分發(fā)，由中心網(wǎng)管進行統(tǒng)一策略設(shè)置、維護和升級，集中控管，維護簡單。后臺報警、報表：所有以上功能都即時跳出窗口，讓用戶了解安全威脅，詢問用戶是否阻止，也可以讓用戶在使用時完全無知，而把詳細(xì)的使用情況報表、報警等通過后臺傳送給集中控管的智能安全網(wǎng)管控制臺，使管理員對整個用戶網(wǎng)絡(luò)使用情況一目了然，而提早采取措施。

40、以上的功能由一個集中控管的服務(wù)器端管理軟件和分布在各個用戶主機上的客戶端軟件構(gòu)成。通過中心策略設(shè)置，將客戶端軟件分發(fā)到各個客戶端主機，將工作模式設(shè)為后臺告警和報表模式，減少對前端用戶正常工作的干擾，而讓管理員了解所有計算機的安全運作情況，再根據(jù)這些信息確定安全預(yù)防措施。建議在以后逐步實施的樓層網(wǎng)絡(luò)優(yōu)化和改造項目中再實施類似對客戶端桌面的管理和控制。智能的監(jiān)控、分析和威脅響應(yīng)系統(tǒng)已經(jīng)部署、而且還將部署大量的各種安全設(shè)備，它們的使用都需要人來去參與，這形成了巨大的安全管理挑戰(zhàn)。當(dāng)一個常見的蠕蟲早期發(fā)生時，相關(guān)的網(wǎng)絡(luò)設(shè)備、防火墻、IDS/IPS都會有異常記錄產(chǎn)生，而這些都會淹沒數(shù)以萬計的日志和告警之

41、中，管理員很難發(fā)現(xiàn)，往往等待其爆發(fā)、形成損失再去調(diào)查。而即使我們能夠把爆發(fā)過程所有信息都拿到，也難以從如此多的設(shè)備、如此多的記錄中分析其爆發(fā)的源頭。網(wǎng)管中心需要一個智能的安全管理系統(tǒng)，它應(yīng)當(dāng)象一個精通所有網(wǎng)絡(luò)安全設(shè)施的專家，由他來幫助我們進行早期預(yù)警、源頭跟蹤、措施建議等等。安全監(jiān)控、分析和威脅響應(yīng)系統(tǒng)”（Monitor, Analysis and Response System，MARS）具體應(yīng)當(dāng)包括這樣的功能：監(jiān)控安全設(shè)備：MARS系統(tǒng)能夠監(jiān)控所有安全設(shè)備形成了日志、記錄和告警，進行收集；監(jiān)控網(wǎng)絡(luò)拓?fù)湫螒B(tài)：MARS系統(tǒng)能夠了解整個網(wǎng)絡(luò)拓?fù)?、設(shè)備類型和路由表、地址表等等信息；監(jiān)控網(wǎng)絡(luò)流量：M

42、ARS系統(tǒng)能夠監(jiān)控網(wǎng)絡(luò)中的各種流量，比如某個特定TCP/UDP端口號的流量變化，能夠采集設(shè)備的Netflow 信息，進行統(tǒng)計、形成日?；€，從而能夠識別異常流量；監(jiān)控網(wǎng)絡(luò)設(shè)備：MARS系統(tǒng)能夠監(jiān)控各種廠商的網(wǎng)絡(luò)設(shè)備的記錄，包括路由器、交換機、VPN設(shè)備、NAT等等；統(tǒng)一進行分析功能：MARS把以上的所有監(jiān)控信息統(tǒng)一進行分析，特別是和網(wǎng)絡(luò)的拓?fù)浜彤惓Ａ髁肯嚓P(guān)聯(lián)，從而將各種看似分離的事件相關(guān)聯(lián)，把各種重復(fù)的、錯誤的報告刪除，最后把浩如煙海的問題報告濃縮成少量的安全事故報告，供管理員參考。往往數(shù)十萬個告警最后僅剩下十幾個高中低不同優(yōu)先級的事故報告。形象的呈現(xiàn)：最后的事故報告可以向管理員清晰的描述攻擊

43、的源、路徑、目標(biāo)，攻擊次數(shù)等等，并且在網(wǎng)絡(luò)拓?fù)鋱D中將上述信息標(biāo)識處理，供管理員參考。智能專家建議：根據(jù)發(fā)生的安全事故，MARS可以向管理員進行智能建議，比如對拓?fù)浜吐窂街悄芊治龊蟾嬖V管理員應(yīng)在何處最佳位置進行過濾，過濾應(yīng)采用的訪問控制列表的具體命令等等。遠(yuǎn)程修復(fù)：通常MARS可以自動形成多個措施建議，供管理員選擇，一旦管理員同意某個措施，這個措施，比如寫一個訪問控制列表或關(guān)閉一個端口，就會自動被發(fā)向目標(biāo)設(shè)備，自動完成修復(fù)。兼容各廠商設(shè)備：MARS應(yīng)當(dāng)可以對各個主流網(wǎng)絡(luò)設(shè)備廠商、安全設(shè)備廠商的設(shè)備都能予以支持，對于少量非主流的廠商設(shè)備MARS可以經(jīng)過簡單的定制予以支持。MARS必須有別于上一代的

44、安全信息管理系統(tǒng)（SIMS），需要增強如下功能：信息收集和關(guān)聯(lián)的方式：MARS監(jiān)控的內(nèi)容不僅僅是安全設(shè)備的記錄，還包括網(wǎng)絡(luò)的拓?fù)浜土髁啃畔ⅲ堰@些與安全事件相關(guān)聯(lián)所進行的判斷更準(zhǔn)確；信息報告的方式：MARS可以顯示整個網(wǎng)絡(luò)的拓?fù)?，能夠把攻擊形象的?biāo)識在拓?fù)鋱D上，管理員可以清晰的掌握網(wǎng)絡(luò)安全威脅波及的源頭和范圍，從而主動的進行防御；修復(fù)的智能化和自動化：MARS可以直接建議安全措施，甚至將安全措施具體表現(xiàn)在命令一級，管理員只需要按一個按鈕，就直接進行遠(yuǎn)程設(shè)置和修復(fù)。建議將來在考慮全局網(wǎng)絡(luò)運營管理時應(yīng)部署MARS系統(tǒng)，而且在部署MARS時應(yīng)同時部署與MARS兼容的網(wǎng)絡(luò)狀態(tài)監(jiān)控設(shè)施，這些設(shè)施包括ID

45、S/IPS、防火墻、網(wǎng)絡(luò)設(shè)備、流量監(jiān)控設(shè)備等。建議在未來部署網(wǎng)絡(luò)狀態(tài)監(jiān)控設(shè)施時應(yīng)當(dāng)考慮如下部署原則，以保證MARS系統(tǒng)作用的充分實現(xiàn)：IDS/IPS要求：作為MARS信息的主要來源，的樓層局域網(wǎng)應(yīng)部署硬件IDS以監(jiān)控核心局域網(wǎng)，一二級網(wǎng)絡(luò)之間應(yīng)部署硬件IDS以監(jiān)控國家級主干和省級的接入，IDS應(yīng)當(dāng)為內(nèi)置或至少1G連接帶寬的外部IDS；廣域網(wǎng)的接入路由器應(yīng)支持內(nèi)置或外部IPS，但要保證一定性能。防火墻要求：按前面安全域隔離方案部署防火墻，防火墻應(yīng)有完整Log記錄和NAT記錄，能夠和MARS兼容。（目前推進的數(shù)據(jù)中心防火墻方案滿足此要求）網(wǎng)絡(luò)設(shè)備要求：網(wǎng)絡(luò)主干設(shè)備應(yīng)當(dāng)具有硬件化的流量華能芯片或模塊

46、，能夠支持Netflow硬件化采集，并能夠在萬兆核心交換板卡上提供1：1的取樣（Sampling）能力。網(wǎng)絡(luò)設(shè)備還應(yīng)當(dāng)對主要的安全事件（如ACL過濾、NAT等）提供Log和審計。（目前Nexus 9000完全滿足此要求）兼容性要求：主要網(wǎng)絡(luò)設(shè)備（IDS、防火墻、中高檔路由器和交換機等）應(yīng)當(dāng)能與MARS系統(tǒng)兼容，其監(jiān)控信息報告無須定制即可被MARS系統(tǒng)直接使用，也可以接受MARS系統(tǒng)的控制以實現(xiàn)安全響應(yīng)。對于其它少量不兼容設(shè)備，MARS系統(tǒng)應(yīng)可以支持通過定制化方式監(jiān)控和管理。（目前Cisco設(shè)備、主流國外廠商設(shè)備可以滿足此要求，國內(nèi)廠商設(shè)備需要定制）分布式威脅抑制系統(tǒng)已通過廣域網(wǎng)連接遠(yuǎn)程分支機構(gòu)

47、，對于這樣多點分布式的網(wǎng)絡(luò)，就更難于在中心總部來控制遠(yuǎn)程各點的安全接入，而廣域網(wǎng)對于蠕蟲、病毒等威脅又更敏感，只有一種病毒爆發(fā)，廣域網(wǎng)線路就可輕易被塞滿，公司領(lǐng)導(dǎo)的視頻會議、乃至各類業(yè)務(wù)都將無法正常傳輸。必須考慮在分布的各個廣域網(wǎng)點都進行有力的遏制，即實現(xiàn)“分布式威脅抑制”。在各地孤立的部署防火墻和IDS/IPS是一種解決辦法，但會有管理、成本和性能功能相互矛盾的問題，即要有效的抑制，就需要在各地有較完善的IDS/IPS和防火墻系統(tǒng)，但管理難度、成本將非常高?？梢钥紤]形成以MARS系統(tǒng)為管理核心、各個網(wǎng)絡(luò)設(shè)備內(nèi)置安全防御系統(tǒng)的分布式威脅抑制系統(tǒng)。 其主要實現(xiàn)特征如下：管理：在中心使用MARS系

48、統(tǒng)，可以管到所有分布在地方節(jié)點的安全設(shè)施，而且MARS的拓?fù)浒l(fā)現(xiàn)、報警收集、事件分析報告、直觀的威脅路徑圖形、遠(yuǎn)程自動修補等等的功能，可以保證分散的安全設(shè)施的有效管理；成本：MARS可以配合內(nèi)置有IPS、防火墻功能的路由器，可以節(jié)省單獨購買IPS、防火墻系統(tǒng)的經(jīng)費；性能和功能：這是MARS分布式攻擊抑制解決方案的核心。網(wǎng)絡(luò)設(shè)備內(nèi)置有IPS、防火墻等功能，如果通過軟件由CPU來完成，其性能和功能肯定不具備實用性，如果內(nèi)置專門的IDS/IPS硬件模塊，則對大規(guī)模的分散節(jié)點將形成極高的成本投入，而MARS是這樣解決這個矛盾的：通過路由器軟件完成的IPS會有性能和功能問題的主要原因是IPS是基于狀態(tài)的

49、特征碼識別系統(tǒng)，需要在高速數(shù)據(jù)流中提取特定識別信息，與一個巨大的病毒特征碼數(shù)據(jù)庫進行匹配。如果由CPU去完成，其性能可想而知。因此內(nèi)置的軟件IPS功能只能開啟很少的特征識別碼。實際上一個企業(yè)在一段時期內(nèi)只會被一種或少數(shù)病毒所困擾，不可能在一個網(wǎng)絡(luò)中同時發(fā)生著歷史跨度極大的數(shù)百種病毒，因此路由器對每個數(shù)據(jù)包逐一去匹配一個完整的病毒特征數(shù)據(jù)庫是沒有必要的。放在省級節(jié)點的MARS可以具有這樣的功能，就是它從本地網(wǎng)絡(luò)中心的硬件IDS/IPS中探知當(dāng)前正在發(fā)作的幾種病毒，然后將其特征碼收集后推送到各下級單位節(jié)點的路由器上，這些路由器的IPS僅僅裝載這幾種特征碼，然后進行高效率的識別匹配，這種按需進行匹配

50、的IPS可以成功的解決低端路由器病毒過濾的性能問題，而且還自動完成了特征碼的升級和維護。MARS系統(tǒng)為中心的分布式威脅抑制系統(tǒng)要求：中心總部配置MARS系統(tǒng)中心總部配置高性能的硬件IDS/IPS模塊或單元設(shè)備分布在各個下屬單位的中低端路由器支持內(nèi)置IDS/IPS功能（軟件硬件皆可），并與MARS特征碼推送功能兼容建議在未來實現(xiàn)全國網(wǎng)絡(luò)規(guī)劃改造時，可以考慮實施這種經(jīng)濟簡單同時又能最大限度的保證廣域網(wǎng)線路穩(wěn)定可靠的遠(yuǎn)程分布式威脅抑制解決方案。網(wǎng)絡(luò)安全設(shè)備選型Cisco ASA 5545-X 防火墻Cisco ASA 5500-X 系列下一代防火墻集成了全球最成熟的狀態(tài)檢測防火墻與下一代防火墻服務(wù)綜

51、合套件，適用于 各種規(guī)模的網(wǎng)絡(luò)，從擁有一個或多個辦公場所的中小型企業(yè)到大型企業(yè)、運營商，再到任務(wù)關(guān)鍵型數(shù)據(jù)中心，均可 使用。Cisco ASA 5500-X 系列下一代防火墻可提供 MultiScale 性能，具有行業(yè)領(lǐng)先的服務(wù)靈活性、模塊化可擴展 性、功能可擴展性，以及較低的部署和運營成本。 功能和優(yōu)勢 Cisco ASA 5500-X 系列下一代防火墻既能滿足小型辦公室對網(wǎng)絡(luò)、預(yù)算和性能的需求，又能提供企業(yè)級安全強 度。此產(chǎn)品系列具有多種規(guī)格，所有型號都提供高級別安全保護，可與世界上一些規(guī)模最大、最具安全意識的公 司的網(wǎng)絡(luò)安全級別相媲美。它們還提供下一代防火墻服務(wù)，如思科應(yīng)用可視性與可控性

52、、網(wǎng)絡(luò)安全、僵尸網(wǎng)絡(luò)過 濾和入侵防御，因此，您可以在不影響安全性的前提下使用新應(yīng)用和新設(shè)備。 適用于小型辦公室和分支機構(gòu)的 Cisco ASA 5500-X 系列下一代防火墻，可通過以下功能保護關(guān)鍵資產(chǎn)： 出色的下一代防火墻服務(wù)，為企業(yè)安全地利用新應(yīng)用和新設(shè)備提供所需的可視性與可控性 思科應(yīng)用可視性與可控性 (AVC)，控制所允許微應(yīng)用內(nèi)的特定行為 思科網(wǎng)絡(luò)安全基本版 (WSE)，根據(jù)網(wǎng)站的信譽限制網(wǎng)絡(luò)和網(wǎng)絡(luò)應(yīng)用的使用 廣泛而深入的網(wǎng)絡(luò)安全服務(wù)，通過一系列基于云和基于軟件的集成下一代防火墻服務(wù)提供，這些防火墻服務(wù) 以思科安全智能運營中心 (SIO) 為后盾 高效的入侵防御系統(tǒng) (IPS)，通過

53、思科全球互聯(lián)提供 高性能 VPN 和無間斷遠(yuǎn)程訪問 能夠快速輕松地啟用更多安全服務(wù)，響應(yīng)不斷變化的需求 Cisco ASA 5500-X 系列下一代防火墻將業(yè)界部署最廣泛的狀態(tài)檢測防火墻與下 一代網(wǎng)絡(luò)安全服務(wù)綜合套件相結(jié)合，可提供不打折扣的全面安全性。這些產(chǎn)品提供多種安全服務(wù)和冗余電源，并能 夠在組織內(nèi)實現(xiàn)一致的安全實施。除了全面的狀態(tài)檢測防火墻功能，可選功能還包括基于云和基于軟件的集成安全 服務(wù)，如思科應(yīng)用可視性與可控性 (AVC)、思科網(wǎng)絡(luò)安全基本版 (WSE)、思科云網(wǎng)絡(luò)安全 (CWS) 和 IPS。思科下一 代防火墻由 Cisco Prime 安全管理器管理。這些型號不僅在硬件平臺上具

54、有不同的性能和吞吐量，而且各個型號所 支持的服務(wù)和用戶數(shù)量也各不相同。根據(jù)客戶要求和性能需求，可部署到小型辦公室、互聯(lián)網(wǎng)邊緣，甚至數(shù)據(jù)中心 等位置。此系列的下一代防火墻與其他 ASA 系列防火墻均基于相同的成熟安全平臺而構(gòu)建，可以提供出色的應(yīng)用可視性與 可控性，以及卓越的性能和運營效率。這些防火墻提供的下一代服務(wù)讓您可以在不影響安全性的前提下，使用新應(yīng) 用和新設(shè)備。不同于其他防火墻，Cisco ASA 5500-X 系列可將本地流量的可視性與深入的全球網(wǎng)絡(luò)智能相結(jié)合， 提供端到端網(wǎng)絡(luò)智能，以滿足快速發(fā)展的需求。Cisco ASA 5500-X 系列由以下技術(shù)和服務(wù)提供支持： Cisco Tru

55、stSec 技術(shù) 具備獨特的移動客戶端洞察力的 Cisco AnyConnect 安全移動解決方案 可提供近實時威脅信息和主動防護的 Cisco SIO Cisco ASA 下一代防火墻服務(wù)Cisco FirePOWER增強服務(wù)具備 FirePOWER 服務(wù)的 Cisco ASA 將獨特的、注重威脅防護的下一代安全服務(wù)帶到 Cisco ASA 5500-X 系列下一 代防火墻及 Cisco ASA 5585-X 自適應(yīng)安全設(shè)備防火墻之中。它可針對已知的高級威脅提供綜合防護，包括對針對性 惡意軟件攻擊與持續(xù)性惡意軟件攻擊的防護（圖 1）。具備 FirePOWER 服務(wù)的 Cisco ASA 具有

56、以下綜合功能： Cisco ASA 是全世界部署最為廣泛的企業(yè)級狀態(tài)化防火墻，具有遠(yuǎn)程接入 VPN 及高級群集功能，可實現(xiàn)高度 安全性、高性能接入及高可用性，確保業(yè)務(wù)連續(xù)性。 精細(xì)的應(yīng)用可視性與控制 (AVC) 支持超過 3,000 項基于應(yīng)用層和風(fēng)險的控制，這些控制可調(diào)用定制的入侵防 御系統(tǒng) (IPS) 威脅檢測策略，從而優(yōu)化安全效力。 業(yè)內(nèi)領(lǐng)先的具備 FirePOWER 下一代 IPS (NGIPS) 的 Cisco ASA 可提供高效的威脅防護以及對用戶、基礎(chǔ)設(shè) 施、應(yīng)用及內(nèi)容的完全情景感知，從而能夠檢測多途徑威脅并實現(xiàn)防御響應(yīng)的自動化。 基于信譽和類別的 URL 過濾功能可提供針對可疑

57、網(wǎng)絡(luò)流量的綜合報警和控制功能，并可對超過 80 個種類中 的數(shù)億個 URL 執(zhí)行策略。 高級惡意軟件防護可提供業(yè)內(nèi)領(lǐng)先的漏洞檢測效力、低總擁有成本及一流的保護價值，從而幫助您發(fā)現(xiàn)、了 解并制止其他安全層遺漏的惡意軟件和新興威脅。前所未有的網(wǎng)絡(luò)可視性 具備 FirePOWER 服務(wù)的 Cisco ASA 由 Cisco FireSIGHT 管理中心進行集中管理。Cisco FireSIGHT 管理中心可為 安全團隊提供對網(wǎng)絡(luò)中活動的全面可視性與可控性。此類可視性包括用戶、設(shè)備、虛擬機之間的通信、漏洞、威脅、 客戶端應(yīng)用、文件和網(wǎng)站。整體的可執(zhí)行危害表現(xiàn) (IoC) 與詳細(xì)的網(wǎng)絡(luò)和終端設(shè)備事件信息

58、相關(guān)聯(lián)，可提供針對惡意 軟件感染的進一步可視性。 Cisco FireSIGHT 管理中心還可提供包含惡意軟件文件軌跡的內(nèi)容感知功能，可幫助確定感染范圍并確定根本原因， 從而加快補救速度。 思科安全管理器可提供可擴展的集中網(wǎng)絡(luò)運營工作流管理。該管理器集成了一整套強大的功能，包括策略和對象管 理、事件管理、報告以及針對 Cisco ASA 防火墻功能的故障排除。對于小規(guī)模的簡單部署而言，思科自適應(yīng)安全設(shè) 備管理器 (ASDM) 可用于提供設(shè)備上的基于 GUI 的防火墻網(wǎng)絡(luò)運營管理。 通過對整個 NGFW 部署無可匹敵的可視性與可控性，思科的企業(yè)級管理工具可幫助管理員降低復(fù)雜性。Cisco Fir

59、eSIGHT 管理中心：直觀的概括性控制面板和詳細(xì)的細(xì)分控制面板更低的成本和復(fù)雜性 具備 FirePOWER 服務(wù)的 Cisco ASA 采用集成的防范進行威脅防御，從而降低了資本和運營成本以及管理復(fù)雜性。 它可以流暢地與現(xiàn)有 IT 環(huán)境、工作流和網(wǎng)絡(luò)交換矩陣相集成。以特定目的而設(shè)計的系列設(shè)備具有高度可擴展性，最 高速度可達多千兆，并能在物理和虛擬環(huán)境中的分支機構(gòu)、互聯(lián)網(wǎng)邊緣和數(shù)據(jù)中心之間實現(xiàn)統(tǒng)一、強勁的安全防護。 借助 Cisco FireSIGHT 管理中心，管理員可簡化運營，以關(guān)聯(lián)威脅、評估其影響、自動化調(diào)整安全策略并輕松地將 用戶身份歸于安全事件。Cisco FireSIGHT 管理中心可持續(xù)監(jiān)控網(wǎng)絡(luò)的實時變化。它能夠自動評估新威脅，以確定哪 些威脅會對您的企業(yè)造成影響。然后，它能夠重點圍繞補救做出響應(yīng)，并根據(jù)變化的狀況改變網(wǎng)絡(luò)防御措施。它還 能自動執(zhí)行策略調(diào)整等關(guān)鍵安全活動，為您節(jié)省時間和精力，并確保