网络纵深防御需从终端做起
网络纵深防御是指在网络的多个节点中,使用多种安全技术,从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。基于互联网开展业务的企业网络的安全防线已经逐渐从边界延伸至内网的纵深区域。
终端防护的六大需求:
1. 用户接入控制需限制非授权访问,限制ID用户对局域网特定资源的访问。
2. 系统支持统一的基于用户的认证和授权控制策略,支持用户名密码、证书等多种用户身份校验方式。
3. 支持用户分组机制,针对不同的用户组可以实现在不同的控制策略,能够对客户端上网行为进行事后审计。
4. 可以对客户端异常流量进行监控,系统满足双机冗余备份机制。
5. 实现安全准入,即在用户终端部署控制点,支持用户ID、IP、MAC地址及地址的绑定。
6. 对不同部门或具有不同管理权限的用户,指定不同的控制策略,分配到特定的用户组。
H3C通过全面分析现存的主要问题,公司针对中国银行的应用需求提出了创新的解决办法。首先实现安全准入,即在用户终端部署控制点,支持用户ID、IP、MAC地址及地址的绑定。对不同部门或具有不同管理权限的用户,指定不同的控制策略,分配到特定的用户组。
iMC智能管理中心组件网管iMC UBAiMC NTA台、用户行为审计系统、网络流量分析系统三部分,不仅实现对网络设备的统一管理,更实现对用户上网行为的审计以及对异常流量的实时分析。
NetFlow在具体的管理过程中,通过在核心交换机上开启UBA NTA功能,将流量日志反馈于两大管理组件,实现基于用户的行为审计和流量分析,实时监测并记录用户的访问目标和访问流量。
H3C iMC同时系统还可实现对原有网络设备及各病毒、H3C补丁等系统进行联动和融合。为保证客户的最高安全性,802.1X、Cisco2950 H3C S3600采用了接入层的部署方案,与域统一认证、Guest VLAN、McAfee WSUS、防病毒系统、补丁管理系统的配合和联动也都得到了很好的解决和应用。
中国银行提出了六大要求:
1. 用户接入控制需限制非授权访问。
2. 系统支持统一的基于用户的认证和授权控制策略。
3. 支持用户分组机制。
4. 能够对客户端上网行为进行事后审计。
5. 可以对客户端异常流量进行监控。
6. 系统满足双机冗余备份机制。
H3C经过多方论证,选择中国银行最终选定并部署了iMC EAD的终端准入控制解决方案,提升网络安全水平。iMC EAD终端准入控制解决方案在中国银行部署以后,在实际应用中展现了如下特性:
1. EAD双机备份,EAD作为金融客户中国银行对于系统的可靠性非常关,EAD能否支持双机备份是个关键。
2. AD域统一认证台服务器安装,中国银行拥有多套应用系统,每个应用系统都需要用户Windows名和密码进行登录。为了便于管理,中国银行采用AD域来作为统一的用户账号管理系统。
3. 多系统联动,中国银行采用了McAfee WSUS防病毒软件和补丁管理系统,这些都可以跟EAD配合,从而使过去的单点防御变为完整的体系统。
