SecBlade防火墻插卡具有對(duì)業(yè)務(wù)的良好支持，作為NAT ALG或者ASPF過(guò)濾，都能夠滿足正常業(yè)務(wù)的運(yùn)行。

         SecBlade防火墻插卡易于管理，讓管理員舒心。

         SecBlade利用虛擬防火墻技術(shù)實(shí)現(xiàn)為不同業(yè)務(wù)和用戶實(shí)現(xiàn)不同安全防護(hù)。

        虛擬防火墻是一個(gè)邏輯概念，可以在一個(gè)單一的硬件平臺(tái)上提供多個(gè)防火墻實(shí)體，即，將一臺(tái)防火墻設(shè)備在邏輯上劃分成多臺(tái)虛擬防火墻，每臺(tái)虛擬防火墻都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫(kù)等。每個(gè)虛擬防火墻能夠?qū)崿F(xiàn)防火墻的大部分特性。每個(gè)虛擬防火墻之間相互獨(dú)立，一般情況下不允許相互通信。

         H3C SecPath/SecBlade虛擬防火墻具有如下技術(shù)特點(diǎn)：

         每個(gè)虛擬防火墻維護(hù)自己一組安全區(qū)域;

         每個(gè)虛擬防火墻維護(hù)自己的一組資源對(duì)象(地址/地址組，服務(wù)/服務(wù)組等)

         每個(gè)虛擬防火墻維護(hù)自己的包過(guò)濾策略

         每個(gè)虛擬防火墻維護(hù)自己的ASPF策略、NAT策略、ALG策略

         限制每個(gè)虛擬防火墻占用資源數(shù)：防火墻Session以及ASPF Session數(shù)目

         除此之外，在防火墻的日常維護(hù)工作中，主要的工作就是定義和維護(hù)大量的訪問(wèn)控制策略，正是因?yàn)檫@樣的應(yīng)用，用戶需要一種強(qiáng)大，直觀，簡(jiǎn)便的管理工具來(lái)對(duì)防火墻設(shè)備進(jìn)行管理，尤其是在增加了虛擬防火墻特性之后。H3C系列防火墻的面向?qū)ο笈渲霉芾砑夹g(shù)充分考慮到管理員在一臺(tái)設(shè)備上管理多種配置的復(fù)雜性，提供了對(duì)地址資源、服務(wù)資源、網(wǎng)絡(luò)流量的形象化定義，讓用戶可以將網(wǎng)絡(luò)中的網(wǎng)段、主機(jī)和服務(wù)等各種資源抽象為更加直觀的、便于記憶和理解的對(duì)象。

         SecBlade防火墻模塊是將交換機(jī)的轉(zhuǎn)發(fā)和業(yè)務(wù)的處理有機(jī)融合在一起，使得交換機(jī)在高性能數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)，能夠根據(jù)組網(wǎng)的特點(diǎn)處理安全業(yè)務(wù)。

         SecBlade 防火墻模塊可以對(duì)需要保護(hù)的區(qū)域進(jìn)行策略定制，可以支持所有報(bào)文的安全檢測(cè)，同時(shí)SecBlade 防火墻模塊支持多安全區(qū)域的設(shè)置，支持Secure VLAN，對(duì)于需要防火墻隔離或保護(hù)的VLAN區(qū)域，用戶可以將Secure VLAN綁縛到其中的一個(gè)SecBlade 防火墻插卡上，這樣可以通過(guò)設(shè)置Secure VLAN來(lái)對(duì)交換機(jī)內(nèi)網(wǎng)之間(不同VLAN之間)的訪問(wèn)策略進(jìn)行定制。

         此外，端口隔離也是內(nèi)網(wǎng)訪問(wèn)控制的一個(gè)有效手段，端口隔離是指交換機(jī)可以由硬件實(shí)現(xiàn)相同VLAN中的兩個(gè)端口互相隔離。隔離后這兩個(gè)端口在本設(shè)備內(nèi)不能實(shí)現(xiàn)二、三層互通。當(dāng)相同VLAN中的主機(jī)之間沒(méi)有互訪要求時(shí)，可以設(shè)置各自連接的端口為隔離端口。這樣可以更好的保證相同安全區(qū)域內(nèi)主機(jī)之間的安全。即使非法用戶利用后門(mén)控制了其中一臺(tái)主機(jī)，也無(wú)法利用該主機(jī)作為跳板攻擊該安全區(qū)域內(nèi)的其他主機(jī)。并且可以有效的隔離蠕蟲(chóng)病毒的傳播，減小受感染主機(jī)可能造成的危害。

         3.2 部署防ARP攻擊解決方案

         當(dāng)計(jì)算機(jī)連接正常，卻無(wú)法打開(kāi)網(wǎng)頁(yè);或者計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)頻繁斷線，同時(shí)網(wǎng)速變得非常慢，這些都可能是網(wǎng)絡(luò)中存在ARP欺騙攻擊所表現(xiàn)出來(lái)的網(wǎng)絡(luò)現(xiàn)象。

         ARP欺騙攻擊不僅會(huì)造成聯(lián)網(wǎng)不穩(wěn)定，引發(fā)用戶無(wú)法上網(wǎng)，或者企業(yè)斷網(wǎng)導(dǎo)致重大生產(chǎn)事故，而且利用ARP欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊，以此非法獲取到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的帳號(hào)和口令，對(duì)被攻擊者造成利益上的重大損失。因此ARP欺騙攻擊是一種非常惡劣的網(wǎng)絡(luò)攻擊行為。

         ARP攻擊已經(jīng)對(duì)各行各業(yè)網(wǎng)絡(luò)造成了巨大威脅，但一直沒(méi)有得到有效的解決。連我們熟知的殺毒軟件、防火墻都擋不住ARP 欺騙攻擊。主要由于ARP欺騙攻擊的木馬程序，通常會(huì)偽裝成常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁(yè)的一部分自動(dòng)傳送到瀏覽者的電腦上并被激活，或者通過(guò)U盤(pán)、移動(dòng)硬盤(pán)等方式進(jìn)入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級(jí)，殺毒軟件常常會(huì)失去作用。

          H3C ARP攻擊防御解決方案通過(guò)對(duì)客戶端、接入交換機(jī)和網(wǎng)關(guān)三個(gè)控制點(diǎn)實(shí)施自上而下的“全面防御”，并且能夠根據(jù)不同的網(wǎng)絡(luò)環(huán)境和客戶需求進(jìn)行“模塊定制”，為用戶提供多樣、靈活的ARP攻擊防御解決方案。

         H3C提供兩類(lèi)ARP攻擊防御解決方案：監(jiān)控方式，認(rèn)證方式。監(jiān)控方式主要適用于動(dòng)態(tài)接入用戶居多的網(wǎng)絡(luò)環(huán)境，認(rèn)證方式主要適用于認(rèn)證方式接入的網(wǎng)絡(luò)環(huán)境;實(shí)際部署時(shí)，建議分析網(wǎng)絡(luò)的實(shí)際場(chǎng)景，選擇合適的攻擊防御解決方案。另外，結(jié)合H3C獨(dú)有的iMC智能管理中心，可以非常方便、直觀的配置網(wǎng)關(guān)綁定信息，查看網(wǎng)絡(luò)用戶和設(shè)備的安全狀況，不僅有效的保障了網(wǎng)絡(luò)的整體安全，更能快速發(fā)現(xiàn)網(wǎng)絡(luò)中不安全的主機(jī)和ARP攻擊源，并迅速做出反映。

          3.2.1 功能特點(diǎn)

         更靈活。提供監(jiān)控模式和認(rèn)證模式兩大類(lèi)方案，認(rèn)證方案支持IEEE 802.1X和Portal兩種認(rèn)證模式，組網(wǎng)方式多樣、靈活。

        更徹底。多種方式組合能夠全面防御新建網(wǎng)絡(luò)ARP攻擊，切實(shí)保障網(wǎng)絡(luò)穩(wěn)定和安全。

        保護(hù)投資。對(duì)接入交換機(jī)的依賴較小，可以較好的支持現(xiàn)有網(wǎng)絡(luò)的利舊，兼容大部分現(xiàn)有網(wǎng)絡(luò)場(chǎng)景，有效保護(hù)投資。

        適用性強(qiáng)。解決方案適應(yīng)動(dòng)態(tài)和靜態(tài)兩種地址分配方式，通過(guò)終端、接入交換機(jī)、網(wǎng)關(guān)多種模塊的組合，適用于各種復(fù)雜的組網(wǎng)環(huán)境。

         H3C ARP攻擊防御解決方案的推出，為教育、金融、政府、企業(yè)等客戶網(wǎng)絡(luò)徹底解決了ARP欺騙攻擊的問(wèn)題，其“全面防御 模塊定制”的理念，能夠滿足新舊網(wǎng)絡(luò)的不同需要，讓ARP欺騙攻擊從此不再困擾!

          3.2.2 典型應(yīng)用

          一、監(jiān)控方式

          監(jiān)控方式也即DHCP Snooping方式，適合大部分主機(jī)為動(dòng)態(tài)分配IP地址的網(wǎng)絡(luò)場(chǎng)景。實(shí)現(xiàn)原理：接入層交換機(jī)監(jiān)控用戶動(dòng)態(tài)申請(qǐng)IP地址的全過(guò)程，記錄用戶的IP、MAC和端口信息，并且在接入交換機(jī)上做多元素綁定，從而在根本上阻斷非法ARP報(bào)文的傳播。

        另外，ARP泛洪攻擊會(huì)產(chǎn)生大量的ARP報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī)CPU資源，造成網(wǎng)絡(luò)速度急劇降低。因此可以在接入交換機(jī)部署ARP報(bào)文限速，對(duì)每個(gè)端口單位時(shí)間內(nèi)接收到的ARP報(bào)文數(shù)量進(jìn)行限制，避免ARP泛洪攻擊，保護(hù)網(wǎng)絡(luò)資源。

          二、認(rèn)證方式

         認(rèn)證方式適合網(wǎng)絡(luò)中采用認(rèn)證登陸的場(chǎng)景，通過(guò)H3C CAMS服務(wù)器、H3C iNode智能客戶端與接入交換機(jī)和網(wǎng)關(guān)的聯(lián)動(dòng)，全方面的防御ARP攻擊。

         實(shí)現(xiàn)原理：認(rèn)證方式是客戶端通過(guò)認(rèn)證協(xié)議登陸網(wǎng)絡(luò)，認(rèn)證服務(wù)器識(shí)別客戶端，并且將事先配置好的網(wǎng)關(guān)IP/MAC綁定信息下發(fā)給客戶端，實(shí)現(xiàn)了ARP報(bào)文在客戶端、接入交換機(jī)和網(wǎng)關(guān)的綁定，使得虛假的ARP報(bào)文在網(wǎng)絡(luò)里無(wú)立足之地，從根本上防止ARP病毒泛濫。

          H3C認(rèn)證方式包括IEEE802.1X和Portal兩種方案，充分考慮了新建和利舊網(wǎng)絡(luò)的不同網(wǎng)絡(luò)場(chǎng)景，方案全面有效。

         4 統(tǒng)一安全管理及聯(lián)動(dòng)

        隨著安全威脅日益嚴(yán)重，企業(yè)對(duì)網(wǎng)絡(luò)安全防御體系的投入和復(fù)雜度都在不斷增加，隨之而來(lái)的是大量針對(duì)安全管理的新挑戰(zhàn)：

         安全資源無(wú)法整合：安全設(shè)備眾多，缺少集中管理，設(shè)備間形成信息孤島，安全建設(shè)投資回報(bào)率低。

        海量信息：安全事件不斷涌現(xiàn)，很難抓住重點(diǎn)，巨大的工作量也不能帶來(lái)決策依據(jù)。

         安全威脅無(wú)法可視化：缺少技術(shù)平臺(tái)提供全網(wǎng)安全狀態(tài)，對(duì)攻擊事件快速定位排差，及時(shí)響應(yīng)。

企業(yè)網(wǎng)絡(luò)缺乏安全專(zhuān)家來(lái)解決、分析問(wèn)題：難以應(yīng)對(duì)越來(lái)越多的安全要求規(guī)范，企業(yè)安全管理、