内网安全解决方案 .PDF

内网安全解决方案 内网安全解决方案 前言 在所有的安全事件中，有超过 70% 的安全事件是发生在内网上的，并且随着网络的庞 大化和复杂化，这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点， 但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差 不齐等原因，一直以来也都是安全建设的难点。 一般说来，内网安全应该考虑以下问题： 终端安全策略部署 终端安全是内网安全的核心问题，终端安全策略的部署也就是内网安全的最主要部分。 但是受限于终端用户安全应用水平，如何确保网络中的终端安全状态符合企业安全策略，却 是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端， 是一项费时费力的工作，往往造成企业安全策略与终端安全实施之间存在巨大的差距。 内网访问控制部署 传统上，在内网是通过划分VLAN ，配合ACL 进行访问控制，这虽然可以在一定程度 上实现内网访问控制，却难以做到比较精细的安全控制，同时也可能会影响到 VLAN 间用 户的访问，从而影响网络的使用效率。对于部分交换机，ACL 数量的增加会导致严重的性 能下降。如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。 网络自身安全保障 目前在内网安全事件中，出现从攻击主机转为攻击网络资源的趋势，而传统的以太网交 换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。 方案概述 华为3Com 的内网安全解决方案考虑到内网安全的方方面面，针对上述内网安全的主要 问题都提出了有针对性的技术，这些技术相互关联、相互配合，形成完善的内网安全解决方 案。 端点准入防御解决终端合规性问题 为了解决现有安全防御体系中存在的不足，华为3Com 推出了端点准入防御（EAD ）， 旨在整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络 1 内网安全解决方案 终端的主动抵抗能力。 EAD 将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全 措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控， 使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理， 提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 EAD 方案通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务 器的相互配合，可以将不符合安全要求的终端限制在“隔离区” 内，防止“危险”终端对 网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括： 检查——检查用户终端的安全状态，配合不同方式的身份验证技术（802.1x、 VPN 、Portal 等），可以确保接入终端的合法与安全。 隔离——隔离违规终端。不符合企业安全策略的终端，将被限制访问权限，只 能访问“隔离区”内的病毒库/补丁服务器等用于系统修复的网络资源。 修复——强制安装系统补丁、升级防病毒软件。 管理与监控——EAD 提供了集接入策略、安全策略、服务策略、安全事件监 控于一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化 的网络安全策略。同时EAD 可以通过安全策略服务器与安全客户端的配合， 强制实施终端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否 限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。 以防火墙为核心的内网访问控制 为解决传统基于VLAN 和ACL 的内网访问控制解决方案的不足，华为3Com 提出了以 防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的 SecBlade 防火墙模 块，通过SecBlade 防火墙模块对内网各个VLAN 之间的访问进行精细化的控制。同时配合