資源描述:
《安全部署主打膠片》由會員上傳分享�,免費在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1����、日期:2007.04.18杭州華三通信技術(shù)有限公司H3C安全部署最佳部署解決方案企業(yè)整體安全部署安全部署之安全分區(qū)安全部署之邊界安全安全部署之安全管理目錄企業(yè)網(wǎng)整體安全部署Internet/WAN①端點準(zhǔn)入防御②匯聚交換機(jī)安全③核心交換機(jī)集成安全④數(shù)據(jù)中心安全⑤外部服務(wù)器安全⑥安全管理中心⑦園區(qū)邊界出口安全⑧專網(wǎng)分支機(jī)構(gòu)安全⑨Internet分支機(jī)構(gòu)安全PrivateWAN③②①⑤⑦④⑧⑨⑩⑥①端點準(zhǔn)入防御EAD②匯聚交換機(jī)集成安全設(shè)備防攻擊、SSH��、SFTP����、基于用戶級別的管理�、DHCPoption82安全特性����、DHCPsnooping防止IP仿冒、DHCPs
2���、nooping防止ARP仿冒�、Portsecurity實現(xiàn)MAC地址flooding防御����、802.1x認(rèn)證�����、STP邊緣端口和bpdu保護(hù)��、組播源抑制、端口環(huán)回檢測���、ARP限速匯聚交換機(jī)L3+板和Xlog配合對園區(qū)進(jìn)行流量分析③核心交換機(jī)集成安全設(shè)備防攻擊�、SSH�����、SFTP�、基于用戶級別的管理、端口鏡像、端口流量抑制�����、路由協(xié)議驗證���、SecBladeFW④數(shù)據(jù)中心安全ACL包過濾�、ASPF狀態(tài)防火墻�、攻擊防范(DoS、DDoS)����、異常流量監(jiān)控、深度檢測、L4-L7層的安全�����、病毒防范���、木馬攻擊防范����、BT等業(yè)務(wù)管理����、防火墻NSM板對數(shù)據(jù)中心流量進(jìn)行分析及安全監(jiān)控⑤外部服
3、務(wù)器安全DMZ區(qū)�、IPS深度檢測防御、設(shè)備防攻擊�、SSH、SFTP⑥管理中心安全SecCenter安全事件管理中心����,XLOG日志中心⑦園區(qū)邊界出口安全ACL訪問控制、ASPF狀態(tài)防火墻�、防DDOS攻擊、郵件內(nèi)容過濾��、擁塞管理、安全日志防火墻NSM板對園區(qū)出口進(jìn)行流量分析及安全監(jiān)控⑧專網(wǎng)分支機(jī)構(gòu)安全L2TP�����、GRE�����、IPSec/IKE��、L2TP/GREOverIPSec�、IPSecOverL2TP/GRE⑨Internet分支機(jī)構(gòu)安全L2TP、GRE�、IPSec/IKE、L2TP/GREOverIPSec�、IPSecOverL2TP/GRE企業(yè)網(wǎng)整體安全I(xiàn)nter
4、net/WANPrivateWAN③②①⑤⑦④⑧⑨⑩⑥H3C園區(qū)安全最佳部署對應(yīng)解決方案局域網(wǎng)安全企業(yè)網(wǎng)安全數(shù)據(jù)中心安全終端安全遠(yuǎn)程用戶安全分支機(jī)構(gòu)安全園區(qū)出口安全安全局域網(wǎng)解決方案數(shù)據(jù)中心安全解決方案EAD解決方案綜合VPN接入解決方案綜合VPN接入解決方案邊界安全解決方案安全管理智能安全管理解決方案虛擬安全服務(wù)/綜合防病毒目錄企業(yè)整體安全部署安全部署之安全分區(qū)安全部署之邊界安全安全部署之安全管理不區(qū)分安全區(qū)域的園區(qū)網(wǎng)不區(qū)分信任域的園區(qū)網(wǎng)網(wǎng)絡(luò)中的所有用戶共在一個開放的網(wǎng)絡(luò)環(huán)境中每個用戶的接入控制單獨完成內(nèi)部�、外部服務(wù)器,內(nèi)網(wǎng)用戶等不同安全級別的區(qū)域暴露在Int
5��、ernet等非信任區(qū)域下內(nèi)部服務(wù)器外部服務(wù)器內(nèi)網(wǎng)用戶管理員InternetWAN/VPN安全區(qū)域劃分安全區(qū)域劃分方法:橫向劃分:將物理位置相近���,并具有相同網(wǎng)絡(luò)安全策略的安全資產(chǎn)劃分進(jìn)入同一個安全區(qū)域。安全區(qū)域劃分安全區(qū)域劃分方法:縱向劃分:根據(jù)網(wǎng)絡(luò)業(yè)務(wù)和用戶訪問權(quán)限對具有相同訪問需求的用戶劃分進(jìn)入同一安全區(qū)域����。目錄企業(yè)整體安全部署安全部署之安全分區(qū)安全部署之邊界安全安全部署之安全管理在園區(qū)網(wǎng)的設(shè)計中按照區(qū)域的劃分會產(chǎn)生多個邊界網(wǎng)絡(luò)邊界網(wǎng)絡(luò)的定義是園區(qū)網(wǎng)連接到廣域網(wǎng)/Internet等外部網(wǎng)絡(luò)的邊緣區(qū)域通常對于園區(qū)的邊界有以下幾種定義廣域網(wǎng)出口公共服務(wù)器區(qū)域分支結(jié)
6����、構(gòu)VPN遠(yuǎn)程用戶VPNPSTN撥號用戶Internet出口園區(qū)網(wǎng)絡(luò)邊界定義單設(shè)備園區(qū)出口邊界安全園區(qū)網(wǎng)絡(luò)Internet出口路由器(可選)公共服務(wù)器路由器/安全網(wǎng)關(guān)/VPN網(wǎng)關(guān)ISP路由器園區(qū)邊界典型的單設(shè)備園區(qū)網(wǎng)出口僅有Internet一個邊界出口與外部網(wǎng)絡(luò)互連有一個公共服務(wù)器區(qū)對外部提供WWW/E-MAIL等服務(wù)遠(yuǎn)程用戶(包括移動接入用戶和小型分支節(jié)點)通過Internet建立VPN隧道接入到園區(qū)網(wǎng)絡(luò)內(nèi)邊界安全設(shè)計要求設(shè)備成本低�,通常將出口路由器和VPN安全網(wǎng)關(guān)/防火墻集成在一臺出口設(shè)備上通過在路由器上配置NAM板實現(xiàn)出口流量監(jiān)控設(shè)備MSR50/30/20A
7、R28/46SecPath系列單設(shè)備園區(qū)出口邊界安全園區(qū)網(wǎng)絡(luò)Internet出口路由器(可選)公共服務(wù)器路由器/安全網(wǎng)關(guān)/VPN網(wǎng)關(guān)ISP路由器園區(qū)邊界設(shè)備AR系列MSR系列SecPathF100VPN網(wǎng)關(guān)IPSecVPNGREoverIPSecL2TPoverIPSecInternet出口路由器L2TP/GRE/IPSecNATACL訪問控制ASPF深度業(yè)務(wù)監(jiān)控防病毒/防DoS攻擊SSH異常流量監(jiān)控流量分析監(jiān)控園區(qū)網(wǎng)與外界網(wǎng)絡(luò)互連出口包括Internet/PSTN和WAN幾部分公共服務(wù)器對外部提供WWW/E-MAIL等服務(wù)移動用戶可以通過Internet建立V
8����、PN接入園區(qū)網(wǎng)遠(yuǎn)程分支機(jī)
