- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
目 錄
網絡安全威脅是指網絡係統所麵臨的,由已經發生的或潛在的安全事件對某一資源的保密性、完整性、可用性或合法使用所造成的威脅。能夠在不同程度、不同範圍內解決或者緩解網絡安全威脅的手段和措施就是網絡安全服務。
網絡係統所麵臨的安全威脅主要包括以下四個方麵:
· 信息泄露:信息被泄露或透露給某個非授權的人或實體。
· 完整性破壞:數據的完整性經非授權的修改或破壞而受到損壞。
· 業務拒絕:對信息或其它資源的合法訪問被非法阻止。
· 非法使用:某一資源被非授權的人或被以非授權的方式使用。
一種安全服務可以由一種或多種網絡安全技術來實現,一種網絡安全技術也可用於實現多種安全服務。構建一個安全的網絡環境所需要具備的安全服務包括以下幾類:
· 身份認證
身份認證用來確定或識別用戶身份的合法性。當某人(或某事物)聲稱具有一個身份時,身份認證將提供某種方法來證實這一申明是正確的。典型的身份認證方法有基於AAA(Authentication、Authorization、Accounting,認證、授權、計費)的用戶名+口令方式和PKI數字證書方式。
· 接入安全
接入安全是指,在對用戶進行身份認證的基礎之上,根據身份認證的結果對用戶訪問網絡資源的行為進行控製,保證網絡資源不被非法使用和訪問。主要的接入安全協議包括802.1X認證、MAC地址認證、Portal認證,它們在AAA的配合下完成對用戶的身份認證。
· 數據安全
在數據的傳輸和存儲過程中進行數據的加密和解密來確保數據安全,典型的加密機製包括對稱加密機製和非對稱加密機製。加密機製的常見應用協議包括IPsec(IP security,IP安全)、SSL(Secure Sockets Layer,安全套接層)和SSH(Secure Shell,安全外殼),其中IPsec為IP層的數據傳輸提供安全保障,SSL和SSH為應用層的數據傳輸提供安全保障。
· 防火牆技術
防火牆技術是一種非常有效的網絡安全模型,是將內部網絡與外部網絡之間訪問進行全麵控製的一種機製。基本的防火牆技術主要包括包過濾、ASPF(Advanced Stateful Packet Filter,高級狀態包過濾)和ALG(Application Level Gateway,應用層網關)。
· 攻擊檢測及防範
對網絡中的流量或應用協議報文的內容進行檢測,實現對攻擊行為的有效識別,並根據識別結果采取一定的監管及防範措施,防止網絡攻擊的發生或者對已發生的網絡攻擊行為進行有效的控製。攻擊檢測及防範可提供針對數據鏈路層、網絡層和應用層的攻擊檢測和防禦手段,例如ARP攻擊防禦、IP Source Guard、TCP和ICMP攻擊防禦。
AAA是Authentication、Authorization、Accounting(認證、授權、計費)的簡稱,是網絡安全的一種管理機製,提供了認證、授權、計費三種安全功能。
· 認證:確認訪問網絡的用戶身份,判斷訪問者是否為合法的網絡用戶。
· 授權:對不同用戶賦予不同的權限,限製用戶可以使用的服務。
· 計費:記錄用戶使用網絡服務時的所有操作,包括使用的服務類型、起始時間、數據流量等,作為對用戶使用網絡的行為進行監控和計費的依據。
AAA可以通過多種協議來實現,例如RADIUS協議、HWTACACS協議或LDAP協議,在實際應用中最常使用的是RADIUS協議。
PKI(Public Key Infrastructure,公鑰基礎設施)是一個利用公共密鑰理論和技術來實現並提供信息安全服務的具有通用性的安全基礎設施。在PKI係統中,以數字證書的形式分發和使用公鑰。數字證書是一個用戶的身份和他所持有的公鑰的結合。基於數字證書的PKI係統,能夠為網絡通信和網絡交易(例如電子政務和電子商務業務)提供各種安全服務。
目前,設備實現的PKI可為安全協議IPsec(IP Security,IP安全)、SSL(Secure Sockets Layer,安全套接層)、WAPI(WLAN Authentication and Privacy Infrastructure,無線局域網鑒別與保密基礎結構)提供數字證書管理機製。
802.1X協議是一種基於端口的網絡接入控製協議,即在局域網接入設備的端口上對所接入的用戶進行認證,以便接入設備控製用戶對外部網絡資源的訪問。接入設備上的802.1X認證需要用戶側802.1X客戶端的配合,主要用於解決以太網內部接入認證和安全方麵的問題。
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以後,即啟動對該用戶的認證操作。認證過程中,不需要用戶手工輸入用戶名或者密碼。若用戶認證成功,則允許其通過該端口訪問網絡資源。
端口安全是一種基於MAC地址對網絡接入進行控製的安全機製,是對已有的802.1X認證和MAC地址認證的擴充。該機製有兩方麵的作用:通過檢測端口收到的數據幀中的源MAC地址來控製非授權設備對網絡的訪問;通過檢測從端口發出的數據幀中的目的MAC地址來控製對非授權設備的訪問。
Portal認證通常也稱為Web認證,即通過Web頁麵接受用戶輸入的用戶名和密碼,對用戶進行認證。Portal認證技術提供一種靈活的訪問控製方式,不需要安裝客戶端,就可以在接入層以及需要保護的關鍵數據入口處實施訪問控製。
未認證用戶上網時,設備強製用戶登錄到特定的Web頁麵上,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它資源時,必須在網站提供的Portal認證頁麵上進行身份認證,隻有認證通過後才可以使用互聯網資源。
Triple認證是一種允許端口上同時開啟多種接入認證方式的解決方案,它允許在設備的二層端口上同時開啟Portal認證、MAC地址認證和802.1X認證功能,使得用戶可以選用其中任意一種方式進行認證來接入網絡。
公鑰管理模塊主要用於管理非對稱密鑰對,包括本地密鑰對的生成、銷毀、顯示和導出,以及如何將遠端主機公鑰保存到本地。
IPsec(IP Security,IP安全)是一個IP層的安全框架,它為網絡上傳輸的IP數據提供安全保證,其主要功能是對數據的加密和對數據收發方的身份認證,是一種傳統的實現三層VPN(Virtual Private Network,虛擬專用網)的安全技術。
IKE(Internet Key Exchange,因特網密鑰交換)為IPsec提供了自動協商安全參數的服務,能夠簡化IPsec的配置和維護工作。IKE協商的安全參數包括加密和認證算法、加密和認證密鑰、通信的保護模式(傳輸或隧道模式)、密鑰的生存期等。
SSL(Secure Sockets Layer,安全套接層)是一個提供私密性保護的安全協議,主要采用公鑰密碼機製和數字證書技術,為基於TCP的應用層協議提供安全連接,如SSL可以為HTTP協議提供安全連接,即HTTPS。SSL的特點在於它獨立於應用層協議,應用層的連接可以透明、安全地建立於SSL之上。
SSL VPN是以SSL為基礎的VPN技術,工作在傳輸層和應用層之間,廣泛應用於基於Web的遠程安全接入,為用戶遠程訪問公司內部網絡提供了安全保證
SSH是Secure Shell的簡稱,它能夠在不安全的網絡上提供安全的遠程連接服務。用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。
包過濾實現了對IP數據包的過濾。對需要轉發的數據包,設備先獲取其包頭信息(包括IP層所承載的上層協議的協議號、數據包的源地址、目的地址、源端口和目的端口等),然後與設定的ACL規則進行比較,根據比較的結果對數據包進行相應的處理(丟棄或轉發)。
ASPF(Advanced Stateful Packet Filter,高級狀態包過濾)是基於應用層狀態的報文過濾,它提供以下功能:
· 傳輸層協議檢測:檢測傳輸層協議信息(即通用TCP/UDP檢測),根據源、目的地址及端口號決定TCP或UDP報文是否可以通過防火牆進入內部網絡;
· 應用層協議檢測:檢查應用層協議信息,如報文的協議類型和端口號等信息,並且監控基於連接的應用層協議狀態。對於所有連接,每一個連接狀態信息都將被ASPF維護,並用於動態地決定數據包是否被允許通過防火牆進入內部網絡,以阻止惡意的入侵。
除以上功能之外,ASPF還支持豐富的安全特性,例如端口到應用的映射、Java阻斷和ActiveX阻斷、ICMP差錯報文丟棄、TCP首包非SYN報文丟棄。在網絡邊界,ASPF和包過濾防火牆協同工作,能夠為企業內部網絡提供更全麵的、更符合實際需求的安全策略。
ALG(Application Level Gateway,應用層網關)是一種對應用層報文進行處理的技術,它通過與NAT(Network Address Translation,網絡地址轉換)、ASPF等技術的組合應用,實現對應用層的處理和檢測:
· 配合NAT可實現對報文載荷的地址轉換功能;
· 配合ASPF特性可支持動態通道檢測功能,以及對應用層的狀態檢測功能。
會話管理是為了實現NAT、ASPF、攻擊檢測及防範等基於會話進行處理的業務而抽象出來的公共功能,主要基於傳輸層協議對報文進行檢測。其實質是通過檢測傳輸層協議信息來對連接的狀態進行跟蹤,並將傳輸層報文之間的交互關係抽象為會話,通過會話對所有連接的狀態信息進行統一維護和管理。
在實際應用中,會話管理配合ASPF特性,可實現根據連接狀態信息動態地決定數據包是否被允許通過防火牆進入內部區域,以便阻止惡意的入侵。
會話管理本身隻能實現連接跟蹤,並不能阻止潛在的攻擊報文通過。
連接限製是通過限製用戶發起的連接數、限製用戶創建連接的速率或者限製用戶建立連接所占用的帶寬資源,對設備上建立的連接進行統計和限製,實現保護內部網絡資源(主機或服務器)以及合理分配設備係統資源。
ARP協議有簡單、易用的優點,但是因為沒有任何安全機製而容易被攻擊發起者利用。目前ARP攻擊已經成為局域網安全的一大威脅,針對常見的ARP攻擊行為,如仿冒用戶、仿冒網關、ARP泛洪攻擊等,H3C提出了較為完整的解決方案來有效防止攻擊。
IPv6 ND(Neighbor Discovery,鄰居發現)協議功能強大,但沒有自身的安全機製,容易被攻擊者利用。設備提供了多種ND攻擊檢測技術,例如ND協議報文源MAC地址一致性檢查功能、ND Detection功能,可有效地防範ND攻擊帶來的危害。
IP Source Guard功能利用綁定表項對端口收到的報文進行過濾控製,防止非法報文通過端口,從而限製了對網絡資源的非法使用(比如非法主機仿冒合法用戶IP接入網絡),提高了端口的安全性,該功能通常在設備接入用戶側的端口上啟用。
IP Source Guard綁定表項是由報文的源IP地址、源MAC地址以及VLAN ID組成,可通過手工配置或者利用DHCP、ND的相關表項動態生成。
SAVI(Source Address Validation,源地址有效性驗證)功能應用在接入設備上,通過ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的綁定關係表,並且以綁定關係為依據對DHCPv6協議報文、ND協議報文和IPv6數據報文的源地址進行合法性的過濾檢查。
SAVI特性可以在下列地址分配場景下使用:
· DHCPv6-Only:和配置SAVI特性的設備連接的主機隻能通過DHCPv6方式獲取地址。
· SLAAC-Only(Stateless Address Autoconfiguration,無狀態地址自動配置):和配置SAVI特性的設備連接的主機隻能通過自動地址分配方式獲取地址。
· DHCPv6與SLAAC混合:和配置SAVI特性的設備連接的主機可以通過DHCPv6方式和自動地址分配方式獲取地址。
URPF(Unicast Reverse Path Forwarding,單播反向路徑轉發)技術通過對報文的源地址進行反查,並依據其合法性對報文進行過濾,以阻止基於源地址欺騙的網絡攻擊行為,例如基於源地址欺騙的DoS(Denial of Service,拒絕服務)攻擊和DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊。
MFF(MAC-Forced Forwarding,MAC強製轉發)為同一廣播域內實現客戶端主機間的二層隔離和三層互通提供了一種解決方案,通常與DHCP Snooping、ARP Snooping、IP Source Guard、ARP Detection、VLAN映射等功能配合使用,在接入層交換機上實現客戶端的流量過濾、二層隔離和三層互通,提高接入層網絡的安全性。
IP攻擊檢測及防範是一個重要的網絡安全特性,能夠通過分析經過設備的報文的內容和行為特征,判斷報文是否具有攻擊性,並對具有攻擊特征的報文執行相應的防範措施,例如輸出告警日誌、丟棄報文或加入黑名單,可有效防範單包攻擊、掃描攻擊和泛洪攻擊等多種類型的網絡攻擊。
針對攻擊者利用TCP連接的建立過程或者通過發送大量ICMP分片報文形成的網絡攻擊,TCP和ICMP攻擊防禦可以提供了以下具體的防禦功能:
· SYN Cookie功能
· 防止Naptha攻擊功能
· 關閉ICMP分片報文轉發功能
內容過濾功能是指設備對HTTP(Hypertext Transfer Protocol,超文本傳輸協議)報文、SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議)報文、POP3(Post Office Protocol, version 3,郵局協議的第3個版本)報文、FTP(File Transfer Protocol,文件傳輸協議)報文和Telnet報文中攜帶的內容進行過濾,以阻止內部網絡用戶訪問非法網站或發送非法郵件,並阻止含有非法內容的報文進入內部網絡。
當設備收到HTTP報文、SMTP報文、POP3報文、FTP報文或Telnet報文時,首先進行域間策略的匹配,如果匹配的域間策略規則中定義的動作為允許通過,且該域間策略規則中引用了內容過濾策略,則繼續對報文進行內容過濾,阻止含有非法內容的報文通過設備。
Web過濾功能通過過濾內部用戶的非法Web訪問請求,包括阻止內部用戶訪問非法網址,以及對網頁內的Java或ActiveX程序進行阻斷,來提高內部網絡的安全性。
DDoS流量清洗主要是為了解決運營商網絡中日益嚴重的DDOS攻擊而構建的解決方案,該方案的核心是在運營商網絡中建立流量清洗中心,通過該清洗中心為遭受DDoS困擾的機構提供流量清洗服務,解除受害機構的DDoS威脅。
設備還可提供更為豐富的網絡安全技術,用以配合上述基本的安全技術,為用戶網絡提供多功能、全方位的安全保護。
COPS(Common Open Policy Service,公共開放策略服務)是一種簡單的使用查詢/響應模式的應用層協議,可用於在策略服務器和客戶端之間交互策略信息。同時,COPS協議又是一種麵向業務的網絡管理協議,可對多種網絡應用業務進行策略控製。目前,設備可實現作為COPS客戶端,通過與遠端的策略服務器端交互實現對802.1X接入業務的策略控製。
User Profile是一個配置模板,它能夠保存預設配置(一係列配置的集合)。用戶可以根據不同的應用場景為User Profile配置不同的內容,比如CAR(Committed Access Rate,承諾訪問速率)策略或QoS(Quality of Service,服務質量)策略等。
用戶訪問設備時,需要先進行身份認證(目前支持PPPoE、802.1X和Portal三種接入認證方式)。在認證過程中,認證服務器會先匹配用戶名和密碼,匹配成功後再將與用戶綁定的User Profile名稱下發給設備,設備會啟用User Profile裏定義的策略對用戶的訪問行為進行限製。
Password Control是一種增強本地密碼安全性的功能,它根據管理員設置的安全策略對用戶的登錄密碼、super密碼和用戶的登錄狀態進行控製,這些安全策略可包括密碼最小長度限製、密碼更新間隔管理、密碼老化管理、密碼過期提醒等。
RSH(Remote Shell,遠程外殼)用來實現客戶端對主機的遠程操作,即允許遠程執行主機上特定的命令(即遠程主機的操作係統所提供的命令)。遠程主機上需要運行RSH守護程序(RSH Daemon)以支持RSH服務,RSH Daemon提供對信任主機的特權端口的認證服務。設備可實現RSH客戶端功能,用戶可以在設備上使用rsh命令遠程執行遠程主機上的命令。
FIPS(Federal Information Processing Standards,聯邦信息處理標準)140-2 是NIST(National Institute of Standard and Technology,美國標準與技術研究所)頒布的針對密碼算法安全的一個標準,它規定了一個安全係統中的密碼模塊應該滿足的安全性要求。FIPS 140-2定義了四個安全級別:Level 1、Level 2、Level 3和Level 4,它們安全級別依次遞增,可廣泛適應於密碼模塊的各種應用環境。目前,設備支持Level 2。當支持FIPS特性的設備運行於FIPS 140-2標準的工作模式下時,係統將具有更為嚴格的安全性要求,並會對密碼模塊進行相應的自檢處理,以確認其處於正常運行狀態。
售前谘詢
售後谘詢
人工在線谘詢
