近年来,随着网络规模扩大,对各类应用数据安全提出了新的要求。面对各种安全威胁,网络系统需要按照纵深防御的思想,逐步构建完整的信息安全体系。
很多用户通过几年的信息化建设已具备了一些安全防护能力,但目前内网安全管理仍然处于起步阶段,在信息网络接入控制方面基本处于失控状态,存在着极大的安全风险。
针对用户遇到的诸多内网安全问题,神州数码凭借强大的研发实力和对内网安全领域的多年研究推出了内网安全综合解决方案。下面我们分两部分来具体介绍:(一)、网络终端综合安全管理系统;(二)ARP攻击全网综合防御系统。
一、网络终端综合安全管理系统
结合客户实际需求和神州数码在网络安全领域多年的研究经验,我们为用户提出如下网络终端综合安全管理解决方案:
图片1
本方案主要由三大系统构成:用户接入认证系统、内网终端安全管理系统和用户上网行为日志系统。
在部署以上三大系统后,具体使用效果如下:
终端用户连接到接入交换机时,首先通过DCBI进行接入认证,只有授权用户才能接入到用户网络;认证通过后DCSM对其进行安全检测及相应的安全授权和策略下发,只有在确认终端安全后才授予其相应的网络访问权限,并实时对其进行监控以保障终端上网过程中的安全;当已接入用户有访问外部网络的需求时用户接入认证系统再对其进行权限检察,杜绝非授权用户对外部网络的访问,同时NetLog上网行为日志系统记录其上网行为,以便对用户进行审计。
上述三大系统的综合应用实现了从用户接入、安全策略分配、上网行为审计的全方位安全管理,为终端设备联入内网提供了强力安全保障。
二、ARP攻击全网综合防御系统
近年来,基于病毒的ARP攻击愈演愈烈,大多数网络用户都有过遭遇,尤其网管人员对这类病毒攻击更是恨之入骨、苦不堪言。
神州数码网络公司从客户端程序、接入交换机、汇聚交换机,一直到网关设备,都研发了ARP攻击防护功能,客户可根据自己网络的特点,灵活选取相关网络设备和方案。
1、接入交换机篇
接入交换机是最接近用户侧的网络设备,也最适于通过它进行相关网络攻击防护。
(1)、AM功能
AM又名访问管理,它利用收到数据报文的信息与配置硬件地址池相比较,如果匹配则转发,否则丢弃。
功能特点:
配置简单,除了可以防御ARP攻击,还可以防御IP扫描等攻击。适用于信息点不多、规模不大的静态地址环境下。
(2)、ARP Guard功能
基本原理就是利用交换机的过滤表项,检测从端口输入的所有ARP报文,如果ARP报文的源IP地址是受到保护的IP地址,就直接丢弃报文,不再转发,从而避免非法PC冒充网关或服务器进行ARP欺骗。
功能特点:
配置简单、快速部署,适用于ARP仿冒网关攻击防护。
(3)、DHCP Snooping功能
实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。
功能特点:
被动侦听,自动绑定,对信息点数量没有要求,适用于IP地址动态分配环境下广泛实施。
(4)、端口ARP限速功能
此功能应用时,若发现网段内存在具有ARP 扫描特征的主机或端口,将切断攻击源头,保障网络的安全。
功能特点:
全局使能,无须在端口模式下配置,配置简单。适用于对ARP扫描或者flood攻击防御。
2、汇聚交换机篇
很多用户的网络经过多次升级、扩充,部署的接入交换机的品牌多、型号多。所以在保护用户现有投资、不升级接入交换机的前提下,全网防御ARP病毒攻击,成为了神州数码网络的关注点。
(1)、端口隔离功能介绍
端口隔离是一个基于端口的独立功能,隔离端口相互之间流量。利用端口隔离的特性,可以实现VLAN内部的端口隔离,从而节省VLAN资源,增加网络的安全性。
(2)、Local ARP Proxy功能介绍
3、802.1X认证篇
1、主机IP地址静态配置时,终端发给802.1x认证,验证通过后,将该用户的IP、MAC等绑定信息自动下发给接入交换机。
2、动态分配IP地址时,接入交换机启用DHCP Snooping侦听主机分配到的IP地址,并将此IP地址,以及对应的MAC地址、交换机端口发送给DCBI。
方案特点:静态、动态IP地址混杂模式下,可以完美解决内网ARP攻击问题,并且人工配置量小,适用于信息点众多的大型办公网络。
4、防火墙篇
神州数码终结者系列防火墙免费附带了ARP防护功能,选用它作为出口设备可抵御网关ARP欺骗。内网用户第一次经过防火墙访问外网时,防火墙将向内网用户推送一个ARP客户端软件DCSD。
安装后,内网PC与防火墙之间的ARP报文将采用加密方式传输,所有伪造网关IP的ARP欺骗报文将被DCSD拒之门外。
功能特点:特别适用于中小型网络,直接使用防火墙作为安全网关,配置简单,易于部署,免维护。
