构建“和谐网络”—协同安全在网络中的应用 [李剑]

构建“和谐网络”——协同安全在网络中应用™网络建设面临的问题™港湾和谐网络理念™港湾园区网解决方案™港湾网络产品介绍提提纲纲主要解决网络的连通有局域网、无园区网网络互连稀疏网络应用、业务、终端数量增长迅速网络互连更紧凑网络庞大、多元化应用带来的管理难度增加网络病毒泛滥，网络安全问题令人担忧2000年之前追求网络带宽的提高2000年~2003年加强网络智能和安全2003年园区网建设模式的发展历程园区网建设模式的发展历程搭积木式建网模式普遍存在搭积木式建网模式普遍存在网络系统各部分相对分立，就像搭积木一样，关联性差，抗风险能力差。提高带宽加强网络管理建网强化安全加强网络控制规划层次时间200020022003园区网园区网重局部轻整体，造成网络失衡重局部轻整体，造成网络失衡•一味追求网络带宽性能，或以限制应用的方式强化安全，均造成信息化发展受阻；•病毒泛滥、信息孤岛均是网络失衡的结果性能性能安全安全重性能、轻安全－网络病毒泛滥重安全、轻性能－产生信息孤岛性能性能安全安全我们需要什么样的网络？我们需要什么样的网络？单方面的深入发展或分散的建网，都无法满足网络系统长远发展的需要我们需要一个畅通的网络、一个安全的网络一个有序的网络、一个可持续发展的网络一个和谐的网络提提纲纲™网络建设面临的问题™港湾“和谐网络”理念™港湾园区网解决方案™港湾网络产品介绍什么是什么是““和谐网络和谐网络””全面均衡，不可偏废和失控是整体的协同，不是各自为战快速响应、迅速恢复的防御体系应用为本，安全、性能兼顾被动与主动相结合，促进系统有序化全面均衡，网络系统功能完善全面均衡，网络系统功能完善•网络系统具有全面的功能体系–集业务智能感知、异常实时分析、控制动态执行于一体网络系统功能完善网络系统功能完善业务智能感知业务智能感知异常实时分析异常实时分析控制动态执行控制动态执行人员身份管理人员身份管理终端主机管理终端主机管理安全接入控制安全接入控制网络设备控制网络设备控制异常流量分析异常流量分析病毒特征分析病毒特征分析应急响应应急响应网络恢复网络恢复过滤限制隔离过滤限制隔离VPNVPN全面均衡，系统架构完善全面均衡，系统架构完善•完善的网络承载设备：认证交换机、内置FW交换机、路由器、NP防火墙•完善的系统接入控制部件：认证鉴权服务器、接入控制交换机、SAC客户端•完善的检测预防系统策略服务器：–入侵检测分析(IDS)、入侵保护策略生成(IPS)、安全应急策略下发与恢复BigHammer内置防火墙交换机uHammer3系认证交换机安全策略服务器AVIPS人员数据库园区网IDSRadius&AAASmartHammer防火墙路由器VPN路由器SAC客户端InternetInternetVPNVPN面对威胁，是整体的协同防御面对威胁，是整体的协同防御终端认证SWRadiusL3-SWRouter网管AVIPSIDS防火墙用户追踪L2SW•全面联动防御达到整体的协同–交换机、防火墙与IDS联动–交换机与IPS联动–Radius和交换机联动–IPS与Radius联动InternetInternet园区网系统安全整体协同：无需人员干预终端安全补丁下发网络安全策略下发不能仅仅是各自为战不能仅仅是各自为战•各自为战的网络缺乏联动–网络、用户、业务只顾自我保护–预防只是局部而非全局–任何故障都需要人为分析判断–安全隔离与信息互通成为矛盾终端认证SWRadius用户追踪L2SWL3-SWRouter网管AVIPSIDS防火墙InternetInternet园区网网管网管员各自为战的系统：依赖人为综合分析判断网管员现场定位快速响应，迅速恢复的防御体系快速响应，迅速恢复的防御体系动态分析异常原因对异常发生区域进行实时分析与IDS入侵检测动态分析异常原因对异常发生区域进行实时分析与IDS入侵检测联动处理、解决异常管理系统与网络设备联动，自动下发新策略联动处理、解决异常管理系统与网络设备联动，自动下发新策略出现异常被感知反向追踪用户、定位异常发生点出现异常被感知反向追踪用户、定位异常发生点网络正常运转执行完新策略，网络异常现象得到恢复网络正常运转执行完新策略，网络异常现象得到恢复应用为本，安全、性能兼顾应用为本，安全、性能兼顾•网络建设就像汽车设计一样，追求安全和性能都是以应用为本•网络应用的畅通是网络建设的根本–任何对网络资源有威胁的应用，如基于P2P的应用等，应降低对网络资源的威胁程度，而不是完全禁止或封闭使用安全安全性能性能安全性能兼顾安全性能兼顾以应用为本以应用为本应用为本，安全、性能兼顾应用为本，安全、性能兼顾InternetInternet园区网网络系统安全、性能兼顾安全性能路由器内置硬件过滤TCAM骨干交换机内置防火墙防火墙设备内置NPNPNPTCAMTCAM设备架构安全、性能兼顾对网络有威胁的P2P应用，可通过自动降速保护网络资源共享平衡主动与被动相结合，促进系统有序化主动与被动相结合，促进系统有序化园区网园区网•网络系统对旧的病毒已经免疫–只有符合安全条件的终端，才能接入到网络•对新病毒入侵造成的网络异常，系统进行被动防御–快速响应、迅速恢复的防御•主动防御与被动防御相结合，促进系统有序化发展被动防御区域主动防御区域InternetInternet主动与被动相结合的必要性主动与被动相结合的必要性•如果网络只是被动防御，无法主动的避免病毒大量侵袭–只要是有合法账号的终端主机都可以接入网络–接入网络的终端主机是否安全，有没有漏洞无人管理•要结合接入控制，主动的对接入的主机进行安检–合法身份＋安全无漏洞的主机才能接入网络接入网络时有漏洞主机已中毒主机无防毒主机安全的主机园区网InternetInternet病毒在内网传染V网络进行被动防御V™网络建设面临的问题™港湾和谐网络理念™港湾园区网解决方案™港湾网络产品介绍提提纲纲““和谐网络和谐网络””目标网络结构目标网络结构核心点汇聚点终端接入控制点承载层汇聚交换机内部安全网关核心交换机多功能安全网关接入层互联网出口认证系统接入交换机SAC终端安全管理系统网络管理系统非SAC终端接入交换机IDS应用支撑系统Internet网络层次功能定位网络层次功能定位•接入控制点作用–终端接入与数据转发–实现用户接入认证–感知流量与IDS实现联动–与认证系统配合实现对异常用户的处理–用户访问权限的执行•承载层作用–提供较强的数据交换处理能力，确保数据线速转发–提供高密度GE接口，用于汇接汇聚层设备并连接服务器群–提供OSPF等动态路由协议，维护一定的路由表空间，实现策略路由–内部数据安全控制网络层次功能定位网络层次功能定位•应用支撑系统作用–网络设备的管理控制–安全策略的制定和下发–用户准入的控制、用户权限的分配–用户计费策略的实施–网络异常分析、安全事件应急处理–用户的反向追踪定位•SAC终端的作用–认证发起–用户主机管理（资产、I/O、文件）–漏洞与补丁检测–病毒检测–本地异常流量感知““和谐网络和谐网络””园区网组网示意园区网组网示意承载层承载层--核心点核心点承载层－汇聚点承载层－汇聚点接入层－接入控制点接入层－接入控制点接入层－接入终端接入层－接入终端InternetInternet安全服务器防毒系统资源服务器数据库Radius多业务网关终端管理BigHammer6800BigHammer6800BigHammer6800+FWBigHammer6800+FWFlexHammerFlexHammer系列系列FlexHammerFlexHammer系列系列BigHammer6800BigHammer6800BigHammer6800BigHammer6800uHammeruHammer系列系列uHammeruHammer系列系列uHammeruHammer系列系列uHammeruHammer系列系列非非SACSAC终端终端SACSAC终端终端SACSAC终端终端SACSAC终端终端“和谐网络”内容安全准入控制安全事件应急响应主机管理机制人员控制机制网络资源保护体系主机侧、网络侧层层设防网络核心™网络建设面临的问题™港湾和谐网络理念™港湾园区网解决方案™港湾网络产品介绍提提纲纲港湾港湾““和谐网络和谐网络””产品系列产品系列BigHammer6813BigHammer6808BigHammer6805BigHammer6802FlexHammer5210-48FlexHammer5210-24uHammer3550E-24uHammer3550E-48蓝信-AAA认证系统天珣-主机安全系统AIO-Hammer1000AIO-Hammer60068系列交换机-AIO模块AIO-Hammer300应用支撑系统核心/汇聚交换机接入层交换机安全网关IDS网管AVSAC客户端(ForWinXp/2000/9x)终端主机管理系统交换、路由、业务、安全一体化交换、路由、业务、安全一体化BigHammer6800搭建多业务安全万兆网络平台可扩展可扩展AIOAIO模块模块ESPESP业务板业务板MPLSMPLS组播、视频、话音组播、视频、话音InternetInternet可扩展基可扩展基于于NPNP的路的路由模块由模块路由交换一体化路由交换一体化多业务承载安全域Flex/uFlex/u系列智能交换机系列智能交换机FlexHammer5210-48FlexHammer5210-24uHammer3550E-24uHammer3550E-48Flex5210-24Flex5210-48U3550e-24U3550e-48规格4GE-SFP＋24FE交换容量32G32G32G13.2Mpps9.6MppsQOS每端口支持8个优先级队列，支持流量整形和丰富的调度策略。CPU保护明确各种报文流往CPU的流量，对CPU进行精细保护32G转发速率9.6Mpps13.2Mpps三层基于MAC/VLAN/IP五元组/物理端口等限速，粒度为8K流量统计基于MAC/VLAN/IP五元组/物理端口等进行流量统计线路检测可以对端口故障进行检测，可以对线路断路/短路/开路进行判断，距离误差1米4GE+48FE4GE+24FE4GE+48FE二层/三层三层二层二层端口限速AIOAIO--Hammer600Hammer600AIOAIO--Hammer300Hammer300AIOAIO--Hammer1000Hammer10001000Mbps吞吐量，60万连接2000Mbps吞吐量，140万连接300Mbps处理能力，30万连接ƒ基于高性能NP硬件平台；ƒ整合FW、VPN、AV、IPS、AVDOS、NetFlow六大功能模块；ƒ满足用户网关出口层全方位需求；6868系列交换机系列交换机--AIOAIO模块模块2000Mbps2000Mbps吞吐量，吞吐量，140140万连接万连接多功能安全网关多功能安全网关AAAAAA认证系统认证系统ƒ安全认证ƒ强制页面弹出ƒ用户访问资源的控制（带宽、ACL、VLAN、优先级）ƒ自动15元素绑定ƒ代理防范ƒ用户反查ƒ上网时间控制ƒ漫游认证ƒ群组管理ƒ强制用户管理ƒ客户自理系统ƒ统计ƒLDAP统一认证接口ƒ多系统联动主机安全系统主机安全系统资资产产管管理理ƒ硬件资源清单ƒ硬件占用率ƒ软件资源清单ƒ软件黑白名单ƒ软件分发ƒ进程控制ƒ……补补丁丁管管理理ƒ需要哪些补丁ƒ是否应用补丁ƒ补丁发放ƒ补丁恢复ƒ自定义补丁发放ƒ补丁检测清单ƒ……行行为为控控制制ƒ非法外联控制ƒ非法接入控制ƒ异常流量控制ƒ异常扫描控制ƒIE访问检查ƒ防病毒软件ƒ包过滤防火墙ƒ……文文件件策策略略ƒUSB拷贝文件ƒI/O控制ƒ注册表保护ƒ用户权限改变ƒ弱口令ƒ……资产清晰、补丁完整、行为可控、文件安全。资产清晰、补丁完整、行为可控、文件安全。SACSAC客户端客户端Internet安全平台AAA系统网管平台SAC客户端网络平台•用户身份信息上报：–用户名、密码•用户登录消息传达：–成功登录、用户名/密码错、软件需要升级……•主机信息收集：–包括主机硬件信息、软件信息等；