六、“网络价值传递”-优化(一)H3C自防御基础网络解决方案H3C中小企业解决方案包括很多经济可行、高度可靠、可管理的安全产品和技术,在基本的传送网络上增加了全面深度的安全,足以保护有线和无线网络基础设施的安全。无论员工使用无线连接还是在远程接入工作,都能获得安全、可靠的网络连接,从而能够提高生产力和改进工作效率。随着网络的发展,网络在为正常业务数据流量提供高速承载通路的同时,也成为安全威胁快速扩散和蔓延的温床。安全设备作为网络环境中的关键元素,需要有能力与周边网络设备在物理层面、网络层面、服务质量控制等方面协同工作,来整体提升网络的安全保障能力,安全与网络融合已经成为必然趋势。对此H3C推出了一个能与基础网络深度融合,能将多种安全防护手段有机结合的协同、立体安全防护新一代产品与解决方案。威胁抵御:常见的网络安全问题表现为网络阻塞、系统瘫痪、信息传输中断、垃圾邮件、数据丢失等,已有业务管理系统的网络经常遭受的网络安全问题有感染病毒、拒绝服务攻击、端口扫描攻击、数据窃取和篡改网页等。企业不仅需要防病毒、防止非法入侵,也需要身份识别与访问控制、防垃圾邮件、反端口扫描、数据备份和恢复以及防止无线数据拦截等,而且具有便于集中管理、能实现自动监控等功能型产品。为了抵御旨在破坏网络的越来越先进的攻击手段,H3C威胁防御解决方案能通过SecPath系列防火墙、IPS和应用程序或软硬件组合提供多层防护。另外,模块化H3C威胁防御解决方案还能提高适应性,快速适应不断升级的安全威胁和不断变化的业务要求。1、防火墙部署解决方案1)安全需求能够有效的阻挡越来越多的来自Internet上的攻击行为;能够保护企业在Internet边界部署的应用服务器,提供Internet上的公众访问这些服务器的同时,保证这些服务器的安全;能够对内部用户访问Internet行为进行细致的管理,比如能够支持WEB、邮件、以及BT等应用模式的内容过滤,避免网络资源的滥用,也避免通过Internet引入各种安全风险。2)H3C解决方案本方案在核心交换机与Internet路由器之间配置两台防火墙,两台防火墙与核心交换机以及Internet路由器之间采取全冗余连接,保证系统的可靠性,建议配置两台防火墙为双机热备方式,在实现安全控制同时保证线路的可靠性,同时可以与内网动态路由策略组合,实现流量负载分担。配置防火墙全面安全防范能力,通过防火墙的访问控制策略,控制来自Internet用户只能访问DMZ区服务器的特定端口,对内部用户访问Internet进行基于IP地址的控制。业务需求解决方案说明安全防火墙H3CSecPathF100系列或SecPathF1000系列支持应用层报文过滤3)为什么选择H3C?高安全:高自身的安全性、安全控制能力、防御DOS/DDOS攻击的能力、高层应用协议的控制能力;部署管理能力:支持通过统一的H3CiMC网络管理平台进行管理,实现与网络设备完全一致管理,大大简化防火墙设备的部署、管理和监控;全面的可靠性保证:可靠的硬件平台、软件平台的可靠性以及设备级的双机备份和负载均衡能力;全面的网络基础特性:具备丰富的基本网络特性,包括RIP、OSPF、BGP、策略路由、路由策略等全面的路由协议的支持,同时,提供全面丰富的QOS支持能力。2、全面安全防御系统部署解决方案1)网络需求企业不仅需要防病毒、防止非法入侵,也需要身份识别与访问控制、防垃圾邮件、反端口扫描、数据备份和恢复以及防止无线数据拦截等,而且具有便于集中管理、能实现自动监控等功能型产品,能够弥补防火墙只具备识别网络三层和四层信息的能力,能够抵御防火墙无法识别的基于应用层的网络攻击,能够避免IDS因和网络设备的联动时间延迟太大而无法阻止威胁通过网络传播的弊端。2)H3C解决方案在企业Internet出口和服务器区的出口,通过部署IPS,可以有效的保护来自外网和内网的攻击。对于大部分中小企业来讲,大部分用户直接通过局域网从Internet出口可以上网。这时通过部署H3CT200在Internet出口,可以有效的保护局域网的用户免受蠕虫、间谍软件的侵扰,实现安全上网,能够实现对Internet出口带宽进行精细控制,防止带宽滥用;NAT、内网用户网页过滤、URL过滤以及访问控制;远程VPN、IP语音/视频会议接入。2009年,H3C推出全新统一威胁管理UTM,又为企业提供了一种高性价比的选择。通过多核多线程等最新技术的应用,H3CUTM真正集深度识别、防病毒、应用控制、Web过滤等安全功能于一体,成本降低品质不变,为企业提供全方位的安全防御。业务需求解决方案说明安全入侵抵御系统SecPathT200数字疫苗以定期(每周)和紧急(当重大安全漏洞被发现)两种方式发布统一威胁管理SecPathU200深度识别、防病毒、应用控制、Web过滤等安全功能集于一体3)为什么选择H3C?企业级的入侵防御:防御零时差攻击、蠕虫、DoS攻击、间谍软件、VoIP威胁、木马、钓鱼,VPN隧道内、外的入侵防御和QoS保证(端点及网到网);保证关键应用的优先权:在VPN隧道内保证关键业务的双向优先级,IP电话、视频等关键应用;数字疫苗:为客户提供最新型的攻击过滤器、系统软件以及产品文档,以应对最新的威胁;统一威胁管理,为企业提供高性价比的综合安全解决方案;License、组件化设计,企业可以根据需要选择,避免浪费;另一方面后续升级扩容很容易,保护投资;可以选择配套UTMManager管理软件,对全网安全时间自动记录、收集、分析、报表输出,安全管理更容易。(二)H3C企业ARP攻击防御方案1)网络需求ARP攻击非常特殊,给企业造成了巨大的麻烦,但却很难进行防御。为什么呢?ARP攻击不同于其他利用系统漏洞的攻击,它是利用了网络协议本身的漏洞,所以除了通过网络设备进行防御外,防火墙、杀毒软件都没有作用。2)H3C解决方案由于ARP攻击利用的是网络协议漏洞,所以可以通过攻击、病毒、木马等多种形式发起,所以难以从源头上消灭。最好的办法就是堵,将ARP攻击限制在尽可能小的范围内,如果ARP攻击被限制在攻击者的范围内,那么就达到了防御ARP攻击的目的。简单来说,网络从外网到内网可以分为网关层、核心层、接入层三层,ARP攻击防御可以在这三层进行,从外到内部署效果越来越好,成本逐渐增加,即接入层效果最好,网关层成本最低。H3C针对企业情况,能够提供全面的三层防御方案,针对企业可能采用动态分配IP地址或者静态IP地址的不同情况,都能够把ARP攻击造成的影响减到最低,替企业解决困扰已久的ARP攻击问题。分层解决方案说明网关层MSR系列路由器ER系列路由器有效防御对网络出口ARP攻击核心层S5000系列交换机S3600系列交换机有效防御对网络出口、除攻击源所在接入交换机下挂PC的攻击接入层S5100系列交换机S3100-EI交换机S1600系列交换机彻底防御ARP攻击3)为什么选择H3C?多种ARP防御方案,针对不同的企业应用和需求,能够灵活选择最适合企业的ARP防御方案;智能化配置,原本ARP防御需要大量配置,H3C通过自动识别、验证技术大大简化ARP防御的工作量,助企业轻松搞定ARP攻击。(三)H3C企业数据安全存储解决方案H3C提供标准化IP存储交换平台,使得各种数据管理功能可以更加高效地进行部署应用,并可与已有的局域网和广域网等基础设施兼容。基于IP架构,便于将数据管理服务一直延伸到桌面、到手持设备,从根本上打破传统IT架构前端网络与后端存储网络异构的局面,提供IP信息直通整体解决方案,简化整个IT基础设施,并显著提高了业务端到端整体性能。集中存储:H3C集中化存储管理解决方案,可以极为方便地进行磁盘监控,性能调试。增加或者重新配置磁盘也变得非常简单。最大化的合成集中设备,也使得存储系统的宕机风险降至最低,充分保证数据的安全、完整、快速被应用系统调用,又能保障高度的扩展性、数据的共享和相互利用。文件共享:H3C集中化存储管理解决方案,EX800设备提供的NAS功能可以帮助多台计算机之间轻松实现文件共享功能,而且部署简单,完全不用改变现有的系统环境,同时还能创建属于个人的存储空间。操作上,你只需输入自己的用户名和密码,就可轻松登陆到你个人的存储空间。就像打开本地的加密的文件夹一样。从而可以将重要文件备份到自己的个人空间中。备份恢复:H3C企业数据保护方案可以轻松实现本地数据集中备份和恢复,可以为个人用户开辟个人存储空间,将本地的Windows操作系统及服务器的数据快速备份到EX800存储中心,如果本地硬盘坏了,可以从EX800存储中心快速恢复服务器操作系统和应用数据。另外,通过选配用在服务器端的iSCSIHBA卡,还可支持远程启动操作系统。比如:如果你服务器本地的硬盘坏了,不能访问数据。通过disksafe此项功能可以远程访问EX800中你操作系统和数据的“备份”,达到快速进行服务器的启动,保持业务的连续性。1、数据集中存储方案1)网络需求通过有效的经济的集中化的存储管理,打破传统以主机为核心的IT架构,避免数据分散、高管理成本、存储设备重复投资、设备利用率低。通过数据的整合、集中,充分保证数据的安全、完整、快速被应用系统调用,又能保障高度的扩展性、数据的共享和相互利用。2)H3C解决方案本方案是H3C公司为满足当今中小企业信息系统中各种数据库、文件服务、流媒体应用、数字化监控、系统及文件备份恢复等存储应用而推出的。采用EX800/1500作为存储系统实现数据集中,可以直接连入用户的LAN网络,也可作为NAS使用;采用IP交换机构成基于IP的存储区域网络(SAN);用户环境里的各种异构服务器,可采用两种方式接入存储网络:采用千兆以太网卡加iSCSI免费驱动、采用专用的iSCSIHBA卡。业务需求解决方案说明存储存储NeoceanEX800/EX15004条数据链路支持链路聚合和故障切换存储交换H3CS5100系列交换机高密千兆接入3)为什么选择H3C?组网配置灵活:可配置多台进行容量扩展;既支持IPSAN接入,也支持NAS应用接入;稳定可靠:拥有4条数据链路支持链路聚合和故障切换;高性价比:最大容量可达到4TB,提供一体化数据服务功能、快照拷贝等丰富的数据管理功能,快速备份数据,保护数据免受软故障危害;易于管理:与iMC融合,中文图形化管理界面,操作简捷,维护方便。2、文件共享解决方案1)方案需求:在不用改变现有的系统环境下,方便快捷地实现多台计算机之间文件共享功能,同时能够为企业各本地用户创建个人的存储备份空间,像打开本地的加密的文件夹一样,可以将重要文件备份到自己的个人空间中。2)H3C解决方案:本方案是H3C公司为满足当今中小企业文件共享和个人数据备份需求而推出的。采用EX800作为存储系统,其提供的NAS功能能够方便快捷地实现多台计算机之间文件共享功能,在存储设备上可以为企业用户创建属于个人的存储空间。操作上,你只需输入自己的用户名和密码,就可轻松登陆到你个人的存储空间。就像打开本地的加密的文件夹一样。从而可以将重要文件备份到自己的个人空间中。3、数据备份恢复方案1)方案需求:为分散在各客户端的企业数据寻找备份存储设备,能够集中备份企业用户的操作系统及服务器的数据,而且一旦本地硬盘坏了,可以从EX800存储中心快速恢复服务器操作系统和应用数据。另外,需要支持远程启动操作系统,帮助企业解决服务器本地的硬盘损坏情况下,可以远程访问EX800中你操作系统和数据的“备份”,达到快速进行服务器的启动,保持业务的连续性。2)H3C解决方案:本方案是H3C公司为满足当今中小企业用户数据备份恢复需求而推出的。采用EX800作为存储系统,可以将本地的windows操作系统及服务器的数据快速备份到EX800存储中心,一旦本地硬盘坏了,可以从EX800存储中心快速恢复服务器操作系统和应用数据。另外,通过选配用在服务器端的iSCSIHBA卡,还可支持远程启动操作系统。当企业服务器本地的硬盘坏了,不能访问数据。通过disksafe