安全融合与统一管理

安全融合与统一管理密级：公开杭州华三通信技术有限公司2推动安全融合的力量H3C智能安全渗透网络3计算机时代信息时代1.初始计算机应用开始起步，增长缓慢2.普及学习不断深入，应用逐步提速3.发展迅速发展，系统林立，矛盾凸现4.系统内集成统一规划，制定标准，走向集成5.全社会集成跨部门，跨系统的网间互联，信息共享6.成熟信息化发展能够满足社会经济发展的需要量变到质变从资源控制到资源共享；从封闭到开放；从建设到应用；信息化的转折点理查德·诺兰模型4新业务时代业务融合IT能力资源化标准化WEB化新业务时代的网络特征„新应用、大流量„严格服务质量保证„单播-组播-统一媒体交换„高性能计算„新应用模型：优化、安全、集成„新应用流量模型：泛P2P模型„新网络模型：园区网、分支、合作伙伴„…5用户/桌面网络服务器DesktopServer安全Overlay模型：独立的安全方案通过认证、隔离和被动检测来实现安全网络因为开放，所以网络不安全网络设备＋安全设备开放的网络，不考虑安全安全网关插入网络之中部署IDS、审计、漏洞扫描等各自独立的旁路安全产品杀毒软件和补丁管理杀毒软件和补丁管理CHECKCHECK新业务时代的安全新挑战6一、从单一到混合的层次防护要求……病毒DDoS…应用IT7（信息状态）（信息状态）通信通信存储存储人机交互环境人机交互环境系统外部环境系统外部环境信息信息世界世界计算计算逻辑安全、信息安全、物理和人员安全、业务连续性、灾难恢复及安全风险管理物理安全物理安全业务连续性业务连续性灾难及风险灾难及风险人员安全人员安全逻辑安全逻辑安全信息安全信息安全二、从单面到多面的空间防护要求8三、从事前到事后的时间要求如何能做到事前预防、实时监控和事后审计？CaseA：病毒泛滥的损失CaseB：商业信息的泄密CaseC：员工行为的困惑安全建设的原始驱动力是关系企业生死存亡的业务发展的需要！安全建设的原始驱动力是关系企业生死存亡的业务发展的需要！9降低成本Costreduction提高效率Improvedefficiency创造新的价值Valuecreation以前局部安全目前全局安全ValueChainIntegrator安全建设的原始驱动力是关系企业生死存亡的业务持续发展的需要！安全融合是为了资源化，资源化是为了业务持续可用。未来IT牵引业务发展推动安全融合的力量10推动安全融合的力量H3C智能安全渗透网络11自防御自防御自适应自适应自恢复自恢复„技术的集成„产品的集成„软件与硬件的集成集成„技术开放„架构开放开放„资源管理„安全事件管理„联动控制管理统一管理安全融合：H3CiSPN智能安全渗透网络12DMZ五元组绑定VLAN/PVLAN隔离SSH加密、SNMPv3强大的ACL功能AAA功能MPLSVPN动态路由信息认证加密IPSEC/GRE/L2TPVPNAAAPortSecurityBPDUGUARDSSH加密、SNMPv3ACL/ASPF路由器路由器交换机集成——技术的集成举例：在网络产品上集成安全技术、在安全产品上集成网络技术13集成——技术的集成举例：在安全设备中集成安全防护技术、接入控制技术、路由技术、语音视频技术…综合安全集成平台防病毒应用层安全网络层安全应用控制应用加速应用优化视频技术路由技术语音技术从单层到多层从单一到全面14集成——安全产品的集成i-Wareinside路由平台交换平台„流量异常检测„入侵攻击防护„内容过滤„应用带宽控制多种应用业务能力„H3C应用智能业务的软件平台„开放的架构、灵活的裁剪和定制能力„和Comware配合一起打造智能网络平台共同的心-H3Ci-Ware举例：将防火墙、IPS、SSLVPN等系列应用安全及优化产品集成到路由器/交换机中15集成——软件与硬件的集成举例：端点准入防御（EAD）解决方案体现了网络与安全产品间安全特性的分工协作计费组件EAD安全策略组件安全策略服务器:CAMSServer用户终端防病毒软件Portal组件Lan接入组件MicrosoftWindowsOS+SQLServer2000ReadUserinfoLDAPRADIUSEADRADIUS病毒插件认证插件补丁管理插件安全客户端平台MicrosoftWindows操作系统安全客户端:H3CiNode802.1xWSUS/SMS防病毒联动接口HTTPJDBC补丁联动接口CAMSCAMS平台平台PortalJDBCLDAPServer/Windows域服务器病毒防护补丁管理隔离区：修复服务器交换机安全联动设备MA5200网关/AR路由器Portal16开放——技术的开放•本土化厂家，可以为用户定制性的开发定制•和业界最流行的桌面安全厂商合作，共同部署EAD，包括微软的SMS、LANDesk、BigFix等•支持和瑞星、江民、金山、Ahn等病毒厂商联动合作内容要点举例：EAD与业界知名防病毒和端点管理的软、硬件厂商进行了技术的合作17平台驱动层（Comware）业务支撑层（iWare）网元管理Quidview业务策略管理QoS/ACL/VPNManager防火墙UTMIPSASEACG用户策略管理CAMS物理安全计算安全通信安全数据安全大安全信息模型：BS7799、等保…应用安全开放平台运营支撑中间件软件硬件业务运营商iTMS/OSS中间件行业应用中间件…安全联动控制开放应用平台：OAPIAG开放：OAA之安全联动控制安全策略控制中间件安全事件分析中间件安全统一管理（iMC、SecCenter）开放——架构的开放举例：OAA架构实现了基础支撑平台和资源管理平台的开放18统一管理——安全策略的统一管理信息信息世界世界端点用户端点用户的准入的准入端点用户端点用户的审计的审计重要数据重要数据备份备份信息区分信息区分市场、研发、市场、研发、生产、财务不生产、财务不同的信息区分同的信息区分ACCACC用户终端用户终端操作记录审计操作记录审计重要数据处理重要数据处理实时备份实时备份SPES/EADSPES/EAD端端点用户审计点用户审计传输平台传输平台架构架构广域网优广域网优化化设备级可设备级可靠性靠性信息分类信息分类传送传送信息分层信息分层安全策略安全策略业务的业务的QoSQoS保障保障不同业务的不同业务的QoSQoS的带宽质量保障的带宽质量保障病毒、木马等病毒、木马等L2L2－－L7L7的统一防护的统一防护语音、视频、数语音、视频、数据等分类传送据等分类传送跨国带宽优化提跨国带宽优化提高数据传送效率高数据传送效率采用可靠性为采用可靠性为99.999%99.999%的设备的设备全部双级冗余的全部双级冗余的组网架构组网架构EDCEDC中心中心备份备份容灾容灾集中存储集中存储信息的权信息的权限控制限控制不同用户的读不同用户的读写权限不同写权限不同北京、上海、北京、上海、美国三地容灾美国三地容灾200200多个驻外多个驻外机构集中存储机构集中存储H3CH3C的数据中的数据中心心计算计算通信通信存储存储19统一管理——智能安全管理中心网管中心„拓扑管理„故障管理„配置管理„QoS管理……认证中心„帐户管理„认证管理„接入管理……流量中心„流量采集„流量模型„流量报表……安全中心„终端安全„入侵检测„防病毒……数据管理„数据备份„数据组织…………协作、联动智能安全管理中心统一门户联动业务创新管理开放架构网管中间件易扩展20架构决定价值H3CiSPN„自防御：实现动态的安全，及时响应，实现端点的强制安全，实现不同安全元素间的沟通„自学习：通过自学习提取正常的用户或系统活动的特征模式„自适应：不断地、智能地与周围的环境交互，适应环境的变化„自恢复：保证网络的持续可用iSPN无线交换机网关Crossbar互联互通监控视频统一通信CPU智能协作服务器IPSAN移动介质OACRMBPM业务连续........................通信平面数据平面应用平面基础平面业务1业务3业务4业务2ERPFCSAN语音路由器