3.2.1 功能特點

        更靈活。提供監(jiān)控模式和認證模式兩大類方案，認證方案支持IEEE 802.1X和Portal兩種認證模式，組網(wǎng)方式多樣、靈活。

        更徹底。多種方式組合能夠全面防御新建網(wǎng)絡ARP攻擊，切實保障網(wǎng)絡穩(wěn)定和安全。

        保護投資。對接入交換機的依賴較小，可以較好的支持現(xiàn)有網(wǎng)絡的利舊，兼容大部分現(xiàn)有網(wǎng)絡場景，有效保護投資。

        適用性強。解決方案適應動態(tài)和靜態(tài)兩種地址分配方式，通過終端、接入交換機、網(wǎng)關多種模塊的組合，適用于各種復雜的組網(wǎng)環(huán)境。

        H3C ARP攻擊防御解決方案的推出，為教育、金融、政府、企業(yè)等客戶網(wǎng)絡徹底解決了ARP欺騙攻擊的問題，其“全面防御 模塊定制”的理念，能夠滿足新舊網(wǎng)絡的不同需要，讓ARP欺騙攻擊從此不再困擾!

        3.2.2 典型應用

        一、監(jiān)控方式

       監(jiān)控方式也即DHCP Snooping方式，適合大部分主機為動態(tài)分配IP地址的網(wǎng)絡場景。實現(xiàn)原理：接入層交換機監(jiān)控用戶動態(tài)申請IP地址的全過程，記錄用戶的IP、MAC和端口信息，并且在接入交換機上做多元素綁定，從而在根本上阻斷非法ARP報文的傳播。

        另外，ARP泛洪攻擊會產(chǎn)生大量的ARP報文，消耗網(wǎng)絡帶寬資源和交換機CPU資源，造成網(wǎng)絡速度急劇降低。因此可以在接入交換機部署ARP報文限速，對每個端口單位時間內(nèi)接收到的ARP報文數(shù)量進行限制，避免ARP泛洪攻擊，保護網(wǎng)絡資源。

         二、認證方式

        認證方式適合網(wǎng)絡中采用認證登陸的場景，通過H3C CAMS服務器、H3C iNode智能客戶端與接入交換機和網(wǎng)關的聯(lián)動，全方面的防御ARP攻擊。

        實現(xiàn)原理：認證方式是客戶端通過認證協(xié)議登陸網(wǎng)絡，認證服務器識別客戶端，并且將事先配置好的網(wǎng)關IP/MAC綁定信息下發(fā)給客戶端，實現(xiàn)了ARP報文在客戶端、接入交換機和網(wǎng)關的綁定，使得虛假的ARP報文在網(wǎng)絡里無立足之地，從根本上防止ARP病毒泛濫。

          H3C認證方式包括IEEE802.1X和Portal兩種方案，充分考慮了新建和利舊網(wǎng)絡的不同網(wǎng)絡場景，方案全面有效。

         4 統(tǒng)一安全管理及聯(lián)動

        隨著安全威脅日益嚴重，企業(yè)對網(wǎng)絡安全防御體系的投入和復雜度都在不斷增加，隨之而來的是大量針對安全管理的新挑戰(zhàn)：

        安全資源無法整合：安全設備眾多，缺少集中管理，設備間形成信息孤島，安全建設投資回報率低。

        海量信息：安全事件不斷涌現(xiàn)，很難抓住重點，巨大的工作量也不能帶來決策依據(jù)。

        安全威脅無法可視化：缺少技術平臺提供全網(wǎng)安全狀態(tài)，對攻擊事件快速定位排差，

        及時響應。

        企業(yè)網(wǎng)絡缺乏安全專家來解決、分析問題：難以應對越來越多的安全要求規(guī)范，企業(yè)安全管理、安全建設缺少科學、有效的分析數(shù)據(jù)。

        綜上所述，企業(yè)需要專業(yè)化的安全管理技術平臺來支撐網(wǎng)絡安全建設的可持續(xù)發(fā)展，通過全面、集中的安全事件管理，智能、綜合的事件分析，智能、及時的協(xié)同響應，將不同領域的網(wǎng)絡安全部件融合成一個無縫的安全體系，成為下一代整網(wǎng)安全解決方案的發(fā)展趨勢。

        H3C的安全管理中心解決方案集監(jiān)控管理、分析管理、響應管理于一體，與網(wǎng)絡中的安全產(chǎn)品、安全方案、網(wǎng)絡設備、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的協(xié)同防御體系，如圖1所示。

        H3C安全管理中心實現(xiàn)統(tǒng)一安全管理

        H3C安全管理中心解決方案主要組成設備為事件管理中心(SecCenter)和響應管理控制中心(iMC SCC)，事件管理中心主要完成對全網(wǎng)安全事件的采集、分析、關聯(lián)、匯聚、報表報告展示，響應控制中心實現(xiàn)了安全事件與網(wǎng)管系統(tǒng)(iMC 平臺)、用戶管理系統(tǒng)(EAD/UAM)的結(jié)合，對需要響應的重要事件可靈活進行短信通知、Email通知、交換機端口關閉、用戶下線、加入黑名單、在線提醒等響應操作。

        H3C 安全管理中心解決方案融合了安全事件資源、設備資源、用戶資源，通過監(jiān)控管理、分析管理、響應管理，構(gòu)成閉環(huán)的管理系統(tǒng)，實現(xiàn)了全網(wǎng)統(tǒng)一安全管理。

        監(jiān)控管理

        實現(xiàn)對多廠家的各類安全設備、安全方案產(chǎn)生的安全事件進行實時采集、查看，生成豐富的安全報表、法規(guī)遵從性報告，將安全事件轉(zhuǎn)化為直觀的可視化安全威脅信息，幫助網(wǎng)絡管理員快速、有效的掌握全網(wǎng)安全狀況。

        分析管理

        對海量的安全事件進行降噪處理，將離散的數(shù)據(jù)整合成規(guī)則的安全事件信息，對安全事件進行深度查詢、審計分析及安全威脅風險評估。

        響應管理

        在獲取海量信息事件，分析掌握全網(wǎng)安全狀態(tài)的基礎上，將危害嚴重的安全事件與設備資源、用戶資源相結(jié)合，對攻擊源進行拓撲定位，描繪攻擊拓撲，協(xié)助管理員對已發(fā)生的安全事件進行定位排查，并可通過響應聯(lián)動功能對攻擊源進行控制、下線、提醒。

        4.1 功能特點

        整網(wǎng)統(tǒng)一安全管理

        H3C的安全管理中心解決方案可提供全網(wǎng)安全事件統(tǒng)一管理，兼容主流廠商日志格式，不僅能夠支持H3C各種類型設備，同時可以支持業(yè)界主流安全產(chǎn)品，支持產(chǎn)品類型高達上百種，實現(xiàn)整網(wǎng)安全設備的管理。

        深入的事件分析關聯(lián)

        H3C的安全管理中心解決方案可對海量的安全事件進行分析匯聚，將離散的數(shù)據(jù)進行整合、排序，并可根據(jù)預定義或用戶自定義的關聯(lián)告警模板，過濾掉重復信息及非關注信息，實現(xiàn)信息降噪。通過關聯(lián)告警，管理者可以從上百種不同網(wǎng)絡設備中查看關聯(lián)事件，快速發(fā)現(xiàn)真正的安全隱患。

        豐富的報表報告

        H3C安全管理中心可提供豐富的圖形化界面，可針對攻擊源、攻擊目的、響應聯(lián)動等提供豐富的報表，并支持直方圖、餅圖、趨勢圖、列表等多種形式的報表輸出，供管理員定位和管理。

報表展示

        直觀的攻擊拓撲展示

        H3C公司安全管理中心解決方案突破了單一的安全資源管理，實現(xiàn)了將安全資源、網(wǎng)絡資源、用戶資源相結(jié)合的綜合安全管理，可生成宏觀安全拓撲視圖及單個攻擊事件的攻擊路徑，管理員還可在安全拓撲上可查看安全事件詳細信息，安全拓撲旨在提供豐富直觀的安全及網(wǎng)絡信息供管理員定位排差問題。

攻擊拓撲

        安全威脅及時響應管理

        H3C安全管理中心解決方案實現(xiàn)了安全事件管理系統(tǒng)與響應管理系統(tǒng)的緊密結(jié)合，管理者可結(jié)合安全拓撲功能中的詳細攻擊信息、定位信息、用戶信息等綜合信息進行定位排差，在響應管理中心對執(zhí)行動作、手動執(zhí)行、自動執(zhí)行等聯(lián)動策略進行配置，通過響應管理功能完成交換機端口關閉、用戶阻斷、黑名單管理、用戶在線提醒等響應控制操作，并可對響應操作進行日志記錄，便于日后查證。

        方便靈活的部署

        H3C安全管理中心解決方案主要組成設備為事件管理中心(SecCenter)和響應管理控制中心(iMC SCC)，iMC軟件平臺安裝簡單管理方便，SecCenter作為硬件設備無兼容性要求，中文界面的操作簡單易用。模塊化的設計理念使得方案可擴展，部署靈活，可根據(jù)企業(yè)需求選擇可視級、可控級、擴展級部署。

         4.2 典型應用

         H3C安全管理中心解決方案部署于電力企業(yè)網(wǎng)內(nèi)部，作為企業(yè)整網(wǎng)安全管理的樞紐。方案部署方便、靈活。事件管理中心(SecCenter)為硬件設備，響應管理控制中心(iMC SCC)為軟件產(chǎn)品，可與H3C iMC 網(wǎng)管平臺安裝在一起，通常建議部署在管理區(qū)域。另針對仿冒IP地址、MAC地址行為，建議在接入交換機上配置IP check、ARP detection等功能, 以便安全管理中心更準確定位攻擊源并進行聯(lián)動。

        應用場景說明： 當防火墻、IPS等識別到內(nèi)網(wǎng)發(fā)生的攻擊(如掃描攻擊、蠕蟲攻擊等)時會阻斷攻擊并上報日志，但此時安全隱患仍然存在，攻擊者仍然在試圖尋找網(wǎng)絡漏洞發(fā)起新的攻擊，并不斷增加IPS、防火墻的系統(tǒng)負擔。管理者可通過安全管理中心解決方案及時了解這些安全預警并對日志內(nèi)容進行定位，并通過與網(wǎng)管平臺、EAD終端準入系統(tǒng)聯(lián)動實現(xiàn)交換機關閉端口、用戶下線、加入黑名單、在線提醒等響應策略，也可以通過企業(yè)行政手段對攻擊者進行處罰，真正發(fā)現(xiàn)并解除安全隱患。