【解决】局域网安全解决方案.pdfVIP

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

【关键字】解决

局域网安全解决方案

篇一：内网安全解决方案

内网安全解决方案

前言

在所有的安全事件中，有超过70%的安全事件是发生在内网上的，并且随着网络的庞

大化和复杂化，这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点，

但是由于内网以纯二层交换环境为主、节点数量多、分布复杂、终端用户安全应用水平参差

不齐等原因，一直以来也都是安全建设的难点。

一般说来，内网安全应该考虑以下问题：

?终端安全策略部署

终端安全是内网安全的核心问题，终端安全策略的部署也就是内网安全的最主要部分。

但是受限于终端用户安全应用水平，如何确保网络中的终端安全状态符合企业安全策略，却

是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端，

是一项费时费力的工作，往往造成企业安全策略与终端安全实施之间存在巨大的差距。

?内网访问控制部署

传统上，在内网是通过划分VLAN，配合ACL进行访问控制，这虽然可以在一定程度上

实现内网访问控制，却难以做到比较精细的安全控制，同时也可能会影响到VLAN间用户的

访问，从而影响网络的使用效率。对于部分交换机，ACL数量的增加会导致严重的性能下降。

如何在内网实现更精细更高效率的访问控制是内网安全建设必须要解决的问题。

?网络自身安全保障

目前在内网安全事件中，出现从攻击主机转为攻击网络资源的趋势，而传统的以太网

交换机的工作原理和开放特征决定其难以对此类攻击进行有效防控。

方案概括

H3C的内网安全解决方案考虑到内网安全的方方面面，针对上述内网安全的主要问题

都提出了有针对性的技术，这些技术相互关联、相互配合，形成完善的内网安全解决方案。

?端点准入防御解决终端合规性问题

为了解决现有安全防御体系中存在的不足，H3C推出了端点准入防御（EAD），旨在整

合孤立的单点防御系统，加强对用户的集中管理，统一实施企业安全策略，提高网络终端的

主动抵抗能力。

EAD将防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全

措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，

使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，

提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

EAD方案通过安全客户端、安全策略服务器、接入设备以及病毒库服务器、补丁服务

器的相互配合，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络

文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.

安全的损害，避免“易感”终端受病毒、蠕虫的攻击。其主要功能包括：

?检查——检查用户终端的安全状态，配合不同方式的身份验证技术（、VPN、

Portal等），可以确保接入终端的合法与安全。

?隔离——隔离违规终端。不符合企业安全策略的终端，将被限制访问权限，只能

访问“隔离区”内的病毒库/补丁服务器等用于系统修复的网络资源。

?修复——强制安装系统补丁、升级防病毒软件。

?管理与监控——EAD提供了集接入策略、安全策略、服务策略、安全事件监控于

一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络

安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合，强制实施终

端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），

监控用户终端的安全事件（如查杀病毒、修改安全设置等）。

?以防火墙为核心的内网访问控制

为解决传统基于VLAN和ACL的内网访问控制解决方案的不足，H3C提出了以防火墙

为核心的内网访问控制解决方案。其核心是可以插入交换机中的SecBlade防火墙模块，通

过SecBlade防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的

端口隔离特性，实现对同一VLAN内终端之间的访问限制。

SecBlade防火墙模块是将交换机的转发和业务的处理有机融合在一起，使