电力信息网络安全加固解决方案

2.5 客户端安全状态评估――应用软件安装状态

有的时候用户安装了一些软件也给网络带来安全隐患，EAD系统提供黑白软件统一管理功能。管理员可根据企业的IT政令，在安全策略服务器定义员工终端黑白软件列表，通过安全客户端实时检测、网络设备联动控制，完成对用户终端的软件安装运行状态的统一监控和管理。

管理员根据软件运行的进程名称，在安全策略服务器定义黑白软件列表;同时对每一种受控软件规则定义相应的安全模式，即当用户终端接入网络时，安全客户端发现该规则被违反时，系统采取的策略。其次，管理员在安全策略中添加黑白软件控制规则。

在安全策略服务器完成对黑白软件列表和安全策略中软件控制部分的定义之后，用户终端的软件安装状态便可以通过EAD解决方案来完成统一监控和管理。

2.6 客户端安全状态评估――多种处理方式

对于EAD的应用，经常会有用户担心部署了EAD系统会带来带来很多麻烦，EAD解决方案除了基本的下线模式外还有多种应用模式，在实际部署之中可以根据不同的用户制定不同应用模式，使部署更加灵活方便。

EAD解决方案对于每一种安全状态的检测，按照处理模式可分为隔离模式、警告模式、监控模式。

三种模式对于实现的终端安全状态监控功能各有不同，对安全设备的要求也不相同。可以根据自己的安全管理政策决定采用哪一种模式。例如对于重要的网络用户，比如领导，管理员对其网络访问的管理也可应用监控模式，只了解用户的安全状态，不做任何处理，待用户方便的时候再进行处理。

2.7 合法用户动态授权――实现内部安全策略控制

身份认证是网络端点准入控制的基础。从网络接入端点的安全控制入手，结合认证服务器、安全策略服务器、网络设备、802.1x协议以及第三方软件系统(病毒和系统补丁服务器，如LANDESK)，杜绝企业员工对不良网站和危险资源的访问，防止间谍软件、恶意代码等软件对企业内网带来的安全风险。

EAD解决方案在保证终端用户具备自防御能力并安全接入的前提下，通过动态分配ACL、VLAN等合理控制用户的网络权限，保障网络资源的合法使用和网络环境的安全，提升网络的整体安全防御能力。

在用户终端通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。

2.8 用户行为审计

EAD解决方案除支持用户名、密码与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定之外，结合EAD强大的用户身份、权限的管理和UBAS详尽的用户网络行为日志，可以实现:

精确到用户的网络行为审计：充分结合EAD完善的用户帐号、卡号管理和UBAS基于用户IP地址的日志审计，将网络行为审计精确定义到用户个体;

完善的网络行为跟踪：充分利用UBAS各类日志信息，轻松掌握EAD管理的帐号用户、卡号用户的网络行为，如访问哪些网站，访问哪些网页(DIG组网环境)、发送哪些Email(DIG组网环境)、发送哪些文件(DIG组网环境)等。

准确的非法网络行为用户定位：利用EAD的设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等信息绑定功能，对进行非法网络行为的用户一经发现，即时准确定位。

3 网络层安全设计

3.1 虚拟防火墙解决方案

以企业的具体业务模式为依据，企业中的不同业务总是可以根据其重要程度划分为不同的安全等级和安全区域。对于高等级的安全区域需要更加严格的访问控制和安全保护。本组网利用Secblade和基础网络的融合实现园区网整体安全防护。在汇聚层利用SecBlade和95产品的组合对企业网中的核心安全区域实现进一步的安全防护。

这样的组网模式能够满足企业对不同安全区域的安全等级划分，并且可在不同区域间实现独立安全策略的制定，从而使整网拓扑大大简化，在保持高扩展性的基础上减轻了管理的复杂度。

因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分，以及如何在安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高的要求。

为此，H3C推出了虚拟安全解决方案，灵活运用虚拟防火墙技术，旨在解决复杂组网环境中大量VPN的独立安全策略需求所带来的网络拓扑复杂、网络结构扩展性差、管理复杂，用户安全拥有成本高等几大问题。通过在汇聚交换机上面配置的防火墙插卡解决不同区域内的安全防护。

3.1.1 重点楼层重点客户安全防御方案

在网络中，总有些客户对于自己部门或者自己的数据信息安全特别敏感，而且他们的信息也是极为重要的。为解决传统基于VLAN和ACL的内网访问控制解决方案的不足，H3C提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块，通过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性，实现对同一VLAN内终端之间的访问限制。

为了对这些用户提供保护，我们可以在汇聚交换机中配置H3C SecBlade防火墙插卡进行数据保护业务。其优点是：

实现病毒防护和业务控制双重功能。

在防火墙上配置安全访问策略，设置访问权限，保护内部网络的安全。

SecBlade防火墙插卡具有对业务的良好支持，作为NAT ALG或者ASPF过滤，都能够满足正常业务的运行。

SecBlade防火墙插卡易于管理，让管理员舒心。

SecBlade利用虚拟防火墙技术实现为不同业务和用户实现不同安全防护。

虚拟防火墙是一个逻辑概念，可以在一个单一的硬件平台上提供多个防火墙实体，即，将一台防火墙设备在逻辑上划分成多台虚拟防火墙，每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立，一般情况下不允许相互通信。

H3C SecPath/SecBlade虚拟防火墙具有如下技术特点：

每个虚拟防火墙维护自己一组安全区域;

每个虚拟防火墙维护自己的一组资源对象(地址/地址组，服务/服务组等)

每个虚拟防火墙维护自己的包过滤策略

每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略

限制每个虚拟防火墙占用资源数：防火墙Session以及ASPF Session数目

除此之外，在防火墙的日常维护工作中，主要的工作就是定义和维护大量的访问控制策略，正是因为这样的应用，用户需要一种强大，直观，简便的管理工具来对防火墙设备进行管理，尤其是在增加了虚拟防火墙特性之后。H3C系列防火墙的面向对象配置管理技术充分考虑到管理员在一台设备上管理多种配置的复杂性，提供了对地址资源、服务资源、网络流量的形象化定义，让用户可以将网络中的网段、主机和服务等各种资源抽象为更加直观的、便于记忆和理解的对象。

SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起，使得交换机在高性能数据转发的同时，能够根据组网的特点处理安全业务。

SecBlade 防火墙模块可以对需要保护的区域进行策略定制，可以支持所有报文的安全检测，同时SecBlade 防火墙模块支持多安全区域的设置，支持Secure VLAN，对于需要防火墙隔离或保护的VLAN区域，用户可以将Secure VLAN绑缚到其中的一个SecBlade 防火墙插卡上，这样可以通过设置Secure VLAN来对交换机内网之间(不同VLAN之间)的访问策略进行定制。

此外，端口隔离也是内网访问控制的一个有效手段，端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时，可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机，也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播，减小受感染主机可能造成的危害。

3.2 部署防ARP攻击解决方案

当计算机连接正常，却无法打开网页;或者计算机网络出现频繁断线，同时网速变得非常慢，这些都可能是网络中存在ARP欺骗攻击所表现出来的网络现象。

ARP欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP欺骗攻击可进一步实施中间人攻击，以此非法获取到游戏、网银、文件服务等系统的帐号和口令，对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。

ARP攻击已经对各行各业网络造成了巨大威胁，但一直没有得到有效的解决。连我们熟知的杀毒软件、防火墙都挡不住ARP 欺骗攻击。主要由于ARP欺骗攻击的木马程序，通常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级，杀毒软件常常会失去作用。

H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和客户需求进行“模块定制”，为用户提供多样、灵活的ARP攻击防御解决方案。

H3C提供两类ARP攻击防御解决方案：监控方式，认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境;实际部署时，建议分析网络的实际场景，选择合适的攻击防御解决方案。另外，结合H3C独有的iMC智能管理中心，可以非常方便、直观的配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效的保障了网络的整体安全，更能快速发现网络中不安全的主机和ARP攻击源，并迅速做出反映。