H3C金融互联网边界防护解决方案

方案相关内容

金融网络一般有两种互联网出口:生产互联网出口和办公互联网出口。互联网是当今网络安全威胁的最大来源,因此金融网络面临以下安全问题:

² 安全分区和访问控制,防止来自互联网的非法访问

² 日益泛滥的DDoS、病毒、蠕虫、网页篡改等攻击

² 内部人员上网行为管理和审计,加强内控

² 网络、安全设备的安全事件统一管理,全面掌控网络安全状况

H3C提供完善的金融互联网出口防护解决方案,可彻底解决以上问题,是针对边界安全防护的最佳方案。方案由防火墙、入侵防御系统、流量清洗设备、应用控制网关和安全管理平台组成。

边界防护解决方案

生产互联出口部署方案:

防火墙插卡部署在核心交换机上,利用虚拟防火墙技术实现不同安全分区间的隔离和访问控制。防火墙通过2-4层包过滤、状态检测等技术,配合SecPath IPS 4-7层的入侵防御系统,实现全面的2-7层安全防护,有效地抵御了非法访问、木马、病毒、蠕虫、页面篡改等攻击;

异常流量清洗AFC模块采用业界最先进的“基于用户行为的单向防御”技术,保护用户免遭海量DDoS攻击的威胁,实现前所未有的高性能安全防护;

在应用服务器前端部署应用加速引擎(ASE)可以极大地提高服务器稳定性,并使性能提升10倍以上,同时还可以实现服务器的负载均衡功能。

SecCenter是一款智能、高效的安全信息及事件管理(SIEM)系统。能够提供对全网海量安全事件和日志的集中收集与统一分析,实现对网络中安全设备和网络设备的统一安全管理,实时监控全网安全状况。

办公网互联网出口安全防护方案:

防火墙通过2-4层包过滤、状态检测等技术,配合SecPath IPS 4-7层的入侵防御系统,实现全面的2-7层安全防护,有效地抵御了非法访问、木马、病毒、蠕虫、页面篡改等攻击;

SecPath ACG(Application Control Gateway)能对用户网络中的P2P/IM带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制;同时,根据对网络流量的深入分析,可以帮助用户全面了解网络应用模型和流量趋势,为提高整网安全与工作效率提供必要的保障;

SecCenter提供对全网海量安全事件和日志的集中收集与统一分析,实现对网络中安全设备和网络设备的统一安全管理,实时监控全网安全状况。

方案特点

最全面的边界安全防护

H3C推出基于核心交换机的SecBlade防火墙/IPS模块和SecPath防火墙/IPS盒式设备,是业界唯一能同时提供万兆插卡和盒式设备的厂商,可根据用户的实际情况提供两种不同产品形态的解决办法。

SecPath/SecBlade防火墙产品集成了包过滤和状态检测技术,对不同信任级别的安全区域制定相应安全策略,防止非授权访问。SecPath盒式设备支持H3C OAA开放应用架构,可在设备上部署防病毒、网流分析等业务模块;SecPath/SecBlade IPS是业界唯一集成漏洞库、专业病毒库、协议库的IPS产品,特征库数量已达上万种,并保持不断更新,能精确实时地识别并防御蠕虫、病毒、木马等网络攻击。

通过对防火墙和IPS的有机结合和功能互补,为用户提供2-7层的全面安全防护,有效抵御来自网络边界的各种安全风险。

统一安全管理

不同种类的网络和安全设备之间缺乏信息交互,容易形成信息孤岛。SecCenter可对网络和安全设备进行统一管理,通过对海量信息的采集、分析、关联、汇聚和统一处理,实时输出分析报告,帮助管理员及时地对网络安全状况进行分析与决策。

安全与网络的深度融合

基于H3C在网络及安全领域的深厚技术积累,用户可选择在核心交换机中增加万兆SecBlade防火墙/IPS模块,针对大型园区网、内部区域边界隔离等需求时,可提供完善的安全防护功能,并且无须部署独立的安全设备,简化网络结构,避免单点故障,便于用户管理,真正实现安全与网络的深度融合。

高可靠性

通过设备的双机状态热备、L3 Monitor等先进技术,可实现双链路、双网关备份,在链路故障或设备故障的情况下,及时发现故障并快速自动切换,极大提高网络可靠性,保证用户业务的不间断运行。

虚拟化安全服务

H3C SecPath防火墙和IPS产品均可提供虚拟化安全服务,通过划分多个虚拟系统来实现对用户多个业务独立安全策略部署的需求。当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少虚拟系统的方式十分灵活地解决后续网络扩展问题,简化了网络管理的复杂度,并有效降低用户安全建设的成本。

典型案例

国家金融交易平台

新华社是中国唯一国家级通讯社,也是中国最大的新闻信息采集和发布中心。2007年新华社斥资过亿打造中国的金融交易平台,该平台建成后将一举改变我国没有国际金融交易平台的缺憾,与国际众多外汇交易平台互联,最终形成以北京-上海-深圳三地为核心的国家金融交易核心。

H3C全面分析了金融交易平台的安全状况,最终以“边界防护”解决方案获得了用户的认可,方案主要亮点有:

1、中心采用分区设计,将网络隔离成3个安全区域,通过防火墙做隔离防护和访问控制;

2、所有接入节点使用防火墙隔离,实现精细化访问控制;

3、通过防火墙和IPS隔离外网和内网,防止来自互联网的应用层攻击;

4、内网部署安全管理中心统一管理安全事件,实现网络安全事件的可视化管理。

H3C的“边界防护”解决方案从访问控制、用户认证、业务系统、管理层面实施了大量的安全策略,保障了金融系统核心网络的高效、安全、稳定运行。