1、西安市社保局網(wǎng)絡(luò)安全設(shè)備實(shí)施方案杭州華三技術(shù)有限公司Hangzhou H3C Technologies Co., Ltd.版權(quán)所有 侵權(quán)必究All rights reserved 目 錄1安全管理中心解決方案介紹42實(shí)施方案要求53西安社保局安全管理中心組網(wǎng)圖63.1內(nèi)網(wǎng)和外網(wǎng)組網(wǎng)圖63.2組網(wǎng)圖說明63.3業(yè)務(wù)部署和方案基本配置74設(shè)備基礎(chǔ)配置及說明84.1業(yè)務(wù)專網(wǎng)設(shè)備管理地址規(guī)劃114.2安全網(wǎng)絡(luò)設(shè)備內(nèi)網(wǎng)地址分布圖114.3S12518-1配置144.4S12518-2配置174.5S5500配置204.6F1000-A配置214.7IPS2000244.7.1IPS攻擊防護(hù)策略配置244

2、.7.2策略帶寬限速配置274.7.3分段帶寬限速配置294.7.4服務(wù)帶寬限速配置304.7.5連接帶寬限速配置324.7.6URL過濾配置344.7.7服務(wù)過濾配置354.7.8黑名單配置374.8ACG2000配置374.8.1ACG2000配置步驟374.9SecCenter配置614.9.1SecCenter安裝配置614.9.2Syslog Server配置624.9.3SecCenter采集syslog的策略644.9.4聯(lián)動(dòng)告警關(guān)聯(lián)策略配置644.9.5深度查詢配置704.10iMC配置774.10.1接入設(shè)備信息配置774.10.2策略服務(wù)器參數(shù)配置784.10.3用戶及服務(wù)

3、配置794.10.4告警過濾規(guī)則配置834.10.5對(duì)SecCenter的設(shè)備管理配置844.10.6業(yè)務(wù)控制策略管理配置841 安全管理中心解決方案介紹由于網(wǎng)絡(luò)環(huán)境日趨復(fù)雜，網(wǎng)絡(luò)攻擊日益猖獗，用戶的網(wǎng)絡(luò)通常會(huì)部署防火墻、IPS、交換機(jī)的安全特性等來構(gòu)建網(wǎng)絡(luò)安全，這些安全設(shè)備和安全特性的顯著特征是會(huì)產(chǎn)生大量的安全事件數(shù)據(jù)，以便將網(wǎng)絡(luò)安全問題迅速反饋給管理者，網(wǎng)絡(luò)管理者也可以根據(jù)安全事件進(jìn)行事后取證等。但在一個(gè)企業(yè)中，一個(gè)IPS一天可能產(chǎn)生多達(dá)500,000條消息，而且各個(gè)設(shè)備的信息孤立，無法關(guān)聯(lián)，因此安全管理的首要問題是：安全設(shè)備所產(chǎn)生的數(shù)據(jù)量實(shí)在太多，導(dǎo)致安全管理團(tuán)隊(duì)無法有效的獲取有價(jià)值的信

4、息。安全管理中心解決方案的提出在于解決以下問題：l 能接受跨平臺(tái)產(chǎn)品的安全事件專業(yè)的安全管理中心需要能接受多種產(chǎn)品（交換機(jī)、路由器、防火墻、IPS等各種設(shè)備）的安全事件，避免網(wǎng)絡(luò)中存在信息孤島。l 對(duì)安全事件進(jìn)行資源整合，獲取全網(wǎng)安全狀況安全產(chǎn)品、設(shè)備眾多，需要安全管理中心通過收集全網(wǎng)安全事件，并進(jìn)行分析關(guān)聯(lián)、資源整合，快速掌握全網(wǎng)安全狀況，提高投資回報(bào)率。l 安全信息可視化展示 安全事件數(shù)量大種類繁多，數(shù)據(jù)枯燥，通過安全事件報(bào)表、安全事件報(bào)告、安全拓?fù)?、流量?bào)表等手段，將網(wǎng)絡(luò)安全信息通過多種形式直觀呈現(xiàn)，提高管理效率。l 安全威脅緩解響應(yīng)根據(jù)分析安全事件信息，查找定位攻擊拓?fù)浜凸粼葱畔⒉⑾?/p>

5、用戶展示，安全管理中心提供端口shutdown、用戶下線等聯(lián)動(dòng)動(dòng)作供用戶進(jìn)行威脅緩解響應(yīng)。安全管理中心主要由三部分組成: 安全事件管理中心（SecCenter）安全控制中心組件（iMC）安全聯(lián)動(dòng)組件（如UAM、EAD等）。方案整體思路及功能如下：1. 安全感知：H3C IPS2000、防火墻、交換機(jī)設(shè)備上報(bào)安全日志，通過日志信息反映網(wǎng)絡(luò)安全狀態(tài)。2. 日志采集分析，關(guān)聯(lián)告警：由SecCenter完成對(duì)設(shè)備原始日志的采集、深入分析、匯聚、展示功能，并將匯聚后的安全事件告警信息上報(bào)給iMC。3. 集中展示，響應(yīng)聯(lián)動(dòng)：通過iMC對(duì)上報(bào)的安全事件告警信息進(jìn)行的分析、定位、展示，對(duì)安全事件告警信息可響應(yīng)

6、聯(lián)動(dòng)，聯(lián)動(dòng)組件包括UAM、EAD。2 實(shí)施方案要求1. 對(duì)于接入層交換機(jī)，必須啟動(dòng)ndp協(xié)議。原因?yàn)楣粼炊ㄎ坏穆窂讲檎疫^程中，要求網(wǎng)管拓?fù)浔仨毷峭暾麥?zhǔn)確的，網(wǎng)管通過ndp協(xié)議可以很好的計(jì)算出網(wǎng)絡(luò)拓?fù)?，因此設(shè)備啟動(dòng)ndp協(xié)議，對(duì)于攻擊源定位非常重要。2. 使用EAD、UAM組件進(jìn)行用戶下線、下發(fā)消息、黑名單的聯(lián)動(dòng)功能，要求接入交換機(jī)使用H3C公司和EAD、UAM配套的產(chǎn)品。3. 使用端口down聯(lián)動(dòng)功能，要求邊緣接入設(shè)備支持SNMP方式的接口down操作。4. 實(shí)施安全管理中心解決方案前需要在接入交換機(jī)上配置IP check 、ARP detection等功能，盡量保證用戶無法利用仿冒IP地址

7、、MAC地址進(jìn)行攻擊，iMC可針對(duì)真實(shí)的攻擊源進(jìn)行定位；5. 如果網(wǎng)絡(luò)中無法在全部接入層部署IP check 、ARP detection，網(wǎng)絡(luò)中有可能存在仿冒的IP、MAC攻擊，攻擊源定位可能定位到偽造IP或定位不到，因此建議用戶根據(jù)綜合信息判斷后采用手工聯(lián)動(dòng)的配置。3 西安社保局安全管理中心組網(wǎng)圖3.1 內(nèi)網(wǎng)和外網(wǎng)組網(wǎng)圖圖1 社保局安全管理中心內(nèi)網(wǎng)組網(wǎng)圖 圖2 社保局安全管理中心外網(wǎng)組網(wǎng)圖3.2 組網(wǎng)圖說明本次網(wǎng)絡(luò)由4個(gè)區(qū)域組成：服務(wù)器群、安全管理中心區(qū)、數(shù)據(jù)傳輸網(wǎng)絡(luò)、終端用戶區(qū)。終端用戶區(qū)內(nèi)的用戶PC通過S5500等接入交換機(jī)接入到數(shù)據(jù)傳輸網(wǎng)絡(luò)中，攻擊源可能在該區(qū)域； 服務(wù)器群區(qū)主要放置

8、各種應(yīng)用服務(wù)器及文件服務(wù)器以供網(wǎng)絡(luò)用戶應(yīng)用，被攻擊的目標(biāo)主機(jī)在該區(qū)域。安全管理中心區(qū)由SecCenter、iMC、EAD/UAM認(rèn)證系統(tǒng)組成。SecCenter作為日志分析器，負(fù)責(zé)收集防火墻、IPS、各交換機(jī)的安全日志信息，完成對(duì)各設(shè)備原始日志的采集、深入分析、匯聚和展示。在SecCenter上用戶可針對(duì)防火墻和IPS產(chǎn)生的安全日志信息，配置各種聯(lián)動(dòng)告警策略，當(dāng)匹配相應(yīng)的告警策略時(shí)，SecCenter會(huì)生成安全告警并以SNMP Trap方式發(fā)送給iMC。iMC是本解決方案的核心組件，負(fù)責(zé)各種攻擊告警的展示、網(wǎng)絡(luò)設(shè)備的管理、攻擊源定位、攻擊路徑的計(jì)算和展示、聯(lián)動(dòng)策略的下發(fā)、對(duì)攻擊源執(zhí)行正確的聯(lián)動(dòng)

9、動(dòng)作等所有功能的實(shí)現(xiàn)。iMC接收兩類安全告警事件，第一類是從SecCenter發(fā)過來的安全告警Trap，該告警Trap是SecCenter針對(duì)防火墻和IPS的安全日志信息在匹配聯(lián)動(dòng)告警策略時(shí)產(chǎn)生的，第二類是網(wǎng)絡(luò)中各交換機(jī)直接發(fā)過來的各種安全告警日志syslog。iMC在接收到這兩類安全告警事件后，能對(duì)攻擊源進(jìn)行準(zhǔn)確的定位，正確展示告警事件和安全拓?fù)洹AD/UAM認(rèn)證系統(tǒng)作為iMC的組件之一，負(fù)責(zé)對(duì)接入用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)功能。在iMC接收到安全告警事件并對(duì)攻擊源進(jìn)行準(zhǔn)確的定位后，用戶可根據(jù)實(shí)際網(wǎng)絡(luò)情況選擇相應(yīng)的聯(lián)動(dòng)動(dòng)作和聯(lián)動(dòng)實(shí)現(xiàn)方式，從而阻斷攻擊源，保護(hù)網(wǎng)絡(luò)的健康。當(dāng)iMC單獨(dú)部署時(shí)，能夠

10、提供發(fā)送Email和端口down的聯(lián)動(dòng)動(dòng)作。當(dāng)iMC上部署EAD/UAM認(rèn)證系統(tǒng)時(shí)，能夠提供發(fā)送Email、端口down、下發(fā)消息、將用戶加入黑名單和強(qiáng)制用戶下線的聯(lián)動(dòng)動(dòng)作。郵件服務(wù)器為Windows Server 2003標(biāo)準(zhǔn)郵件服務(wù)器，為iMC提供發(fā)送Email的聯(lián)動(dòng)動(dòng)作。數(shù)據(jù)傳輸網(wǎng)絡(luò)主要由用戶接入交換機(jī)（S5500）、核心交換機(jī)（S12518）、IPS2000和防火墻，F(xiàn)5，路由器SR8808組成。全部數(shù)據(jù)傳輸網(wǎng)絡(luò)部分主要負(fù)責(zé)承載業(yè)務(wù)數(shù)據(jù)，同時(shí)對(duì)接入用戶的攻擊行為或者異常行為作出防御和響應(yīng)，并生成安全日志信息發(fā)送給SecCenter、iMC進(jìn)行分析。SecCenter接收防火墻、IPS和

11、各交換機(jī)發(fā)送過來的的安全告警日志syslog，iMC接收SecCenter發(fā)過來的安全告警Trap和各交換機(jī)發(fā)送過來的的安全告警日志syslog。3.3 業(yè)務(wù)部署和方案基本配置按照方案組網(wǎng)圖組網(wǎng)環(huán)境，對(duì)于解決方案支持的主要功能進(jìn)行業(yè)務(wù)部署，方案各組件基本配置如下：1. 在防火墻和IPS上配置對(duì)各種攻擊事件的檢測：防火墻上配置對(duì)winnuke、SYN Flood、icmp_flood、Udp_flood、ip-sweep、TCP port-scan、UDP port-scan的檢測，IPS上配置對(duì)掃描和蠕蟲攻擊的檢測，并在防火墻和IPS上配置syslog server指向SecCenter；2.

12、 在交換機(jī)上配置對(duì)各種安全告警事件的檢測：配置對(duì)ARP限速、端口訪問控制、BPDU GUARD、LOOP GUARD、端口安全Logfail、偽DHCP Server的檢測，在交換機(jī)上配置syslog server指向SecCenter和iMC；3. 在SecCenter上配置針對(duì)防火墻和IPS的各種安全日志信息的聯(lián)動(dòng)告警策略，設(shè)置安全告警以SNMP Trap方式發(fā)送給iMC；4. iMC的策略服務(wù)器參數(shù)配置中設(shè)置告警服務(wù)器IP為本機(jī)IP，告警服務(wù)器端口為162；5. 當(dāng)部署UAM/EAD組件時(shí)，攻擊源所在交換機(jī)上配置dot1x認(rèn)證，radius server的地址為iMC的地址，正確配置EA

13、D/UAM組件。4 設(shè)備基礎(chǔ)配置及說明網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)詳細(xì)描述如下：接入交換機(jī)S5500為二層設(shè)備，通過雙鏈路與核心層交換機(jī)S12518相連，該上聯(lián)鏈路配置成TRUNK鏈路，允許所有VLAN通過。S5500配置VLAN1為管理VLAN，S12518的虛地址interface vlan1配置IP地址10.185.0.254/24。S5500配置缺省路由指向S12518，將S12518作為自己的網(wǎng)關(guān)。接入交換機(jī)S5500通過雙鏈路與核心交換機(jī)S12518相連，這兩條上聯(lián)鏈路也配置成trunk鏈路。S12518-1與S12518-2之間通過二層trunk鏈路相連，配置MSTP使得在正常情況下該鏈路處于阻

14、塞狀態(tài)。S12518-1與S12518-2運(yùn)行VRRP，S12518-1作為VRRP組的MASTER設(shè)備，VRRP虛擬出來的地址10.185.0.254/24作為S5500的網(wǎng)關(guān)。在S5500上配置缺省路由指向該地址。核心交換機(jī)S12518-1上配置多個(gè)VLAN interface，分別作為下聯(lián)接入交換機(jī)的網(wǎng)關(guān)。Vlan interface的IP地址如下表：VLAN IDS12518-1接口地址S12518-2接口地址VRRP虛接口地址備注VLAN110.185.0.2/2410.185.0.3/2410.185.0.1/24接入層交換機(jī)地址段VLAN210.185.1.2/2510.185.

15、1.3/2510.185.1.1/25此VLAN用于服務(wù)器集群VLAN310.185.2.2/2710.185.2.3/2710.185.2.1/27此VLAN用于鏈路負(fù)載均衡與核心交換機(jī)之間的連接VLAN910.185.3.2/2410.185.3.3/2410.185.3.1/24局機(jī)關(guān)IP地址VLAN1010.185.16.2/2410.185.16.3/2410.185.16.1/24失業(yè)中心IP地址VLAN11至VLAN19失業(yè)中心預(yù)留VLAN2010.185.24.2/2410.185.24.3/2410.185.24.1/24醫(yī)保中心IP地址VLAN21至VLAN29醫(yī)保中心預(yù)留

16、VLAN3010.185.32.2/2410.185.32.3/2410.185.32.1/24職介中心IP地址VLAN31至VLAN39職介中心預(yù)留VLAN5010.185.8.2/2410.185.8.3/2410.185.8.1/2412333 IP地址VLAN6010.185.60.2/2410.185.60.3/2410.185.60.1/24勞動(dòng)監(jiān)察VLAN7010.185.60.2/2410.185.60.3/2410.185.60.1/24勞動(dòng)技能鑒定VLAN8010.185.60.2/2410.185.60.3/2410.185.60.1/24退休管理中心VLAN90175.

17、132.1.2/24175.132.1.3/24175.132.1.1/24數(shù)據(jù)庫服務(wù)器集群內(nèi)部通訊VLAN 100010.185.253.2/2410.185.253.3/2410.185.253.1/24F5后互聯(lián)地址10.185.252.1/3210.185.252.2/32LOOPBACK地址 4.1 業(yè)務(wù)專網(wǎng)設(shè)備管理地址規(guī)劃設(shè)備型號(hào)管理地址H3C-S12518-110.185.254.1/32（loopback地址）H3C-S12518-210.185.254.2/32（loopback地址）H3C-IPS2000-110.185.0.4/24(管理口地址)H3C-IPS2000-2

18、10.185.0.5/24(管理口地址)NGFW40000UF-110.185.253.4/24(業(yè)務(wù)接口地址)NGFW40000UF-210.185.253.5/24(業(yè)務(wù)接口地址)F5-3900-8G-110.185.254.3/32（loopback地址）F5-3900-8G-210.185.254.4/32（loopback地址）H3C-SR8808-110.185.254.5/32（loopback地址）H3C-SR-8808-210.185.254.6/32（loopback地址）SecSIS-E10.185.254.1/32（loopback地址）4.2 外網(wǎng)設(shè)備管理地址規(guī)劃設(shè)備

19、型號(hào)管理地址H3C-S7506E-110.255.254.1/32（loopback地址）H3C-S7506E -210.255.254.2/32（loopback地址）H3C-IPS2000-GM-110.255.0.4/24(管理口地址)H3C-IPS2000-GM-210.255.0.5/24(管理口地址)NGFW40000UF-110.255.253.4/24(業(yè)務(wù)接口地址)NGFW40000UF-210.255.253.5/24(業(yè)務(wù)接口地址)H3C-ACG200010.255.0.6/32（管理口地址）H3C-SR6608-110.255.254.5/32（loopback地址）H

20、3C-SR6608-210.255.254.6/32（loopback地址）H3C-seccent10.255.0.11H3C-IMC10.255.0.104.3 安全網(wǎng)絡(luò)設(shè)備內(nèi)外網(wǎng)地址分布圖 防火墻上配置局域網(wǎng)內(nèi)相關(guān)網(wǎng)段的靜態(tài)路由指向S12518。配置注意事項(xiàng)：1. 設(shè)備在配置syslog時(shí)，要指定發(fā)送syslog報(bào)文的設(shè)備接口，確保設(shè)備發(fā)出的syslog報(bào)文的源地址為該接口地址，并且該接口地址與SecCenter上已授權(quán)的該設(shè)備IP相同，從而使得SecCenter能正確接收syslog報(bào)文。避免由于設(shè)備發(fā)出的syslog報(bào)文的源IP變化為SecCenter上未授權(quán)的IP，導(dǎo)致SecCent

21、er丟棄該syslog報(bào)文。2. 接入交換機(jī)配置dot1x時(shí)，必須配置server-type extended語句，否則“對(duì)用戶下發(fā)消息”動(dòng)作將無法成功。3. 網(wǎng)絡(luò)環(huán)境中的被攻擊設(shè)備是運(yùn)行windows 2003的服務(wù)器，未開啟主機(jī)防火墻功能，若開啟病毒防火墻和windows防火墻，可能會(huì)對(duì)使用有影響。4. 為保證DOT1X用戶的聯(lián)動(dòng)動(dòng)作執(zhí)行成功，用戶PC上應(yīng)正確配置本機(jī)IP和網(wǎng)關(guān)，確保上線后能與策略服務(wù)器正常通訊，且iNode客戶端設(shè)置為上傳IP地址。4.4 S12518-1配置sysname S12518-1 # 配置syslog的發(fā)送級(jí)別為debugging，發(fā)送到iMC（10.185.

22、0.10）和SecCenter（10.185.0.11） info-center source default channel 2 log level debugginginfo-center loghost source Vlan-interface1 該配置是為了確保交換機(jī)發(fā)出的syslog報(bào)文使用VLAN1的接口地址10.185.0.1做為源地址，同時(shí)請(qǐng)確保該接口IP與SecCenter上已授權(quán)的S12518的IP相同，使得SecCenter能正確接收syslog報(bào)文。 info-center loghost 10.185.0.10 info-center loghost 10.185.

23、0.11 # # interface Vlan-interface1是iMC和SecCenter的網(wǎng)關(guān) interface Vlan-interface1 ip address 10.185.0.2 255.255.255.0 # . # 配置缺省路由指向F5， ip route-static 0.0.0.0 0.0.0.0 10.185.110.1 preference 60 # 配置SNMP，用于被iMC管理 snmp-agent snmp-agent community write private snmp-agent community read public snmp-agent s

24、ys-info version all # 配置S12518為時(shí)間服務(wù)器，用于同步全網(wǎng)時(shí)鐘 ntp-service unicast-server 10.185.0.1 # # gvrp # enableVRRP的ping功能 vrrp ping-enable # 配置radius服務(wù)器地址指向iMC。指定NAS-IP，避免自動(dòng)發(fā)送NAS-IP造成錯(cuò)誤。 radius scheme system primary authentication 10.185.0.11 primary accounting 10.185.0.11 key authentication h3c key accounti

25、ng h3c user-name-format without-domain nas-ip 10.185.254.1 # domain system scheme radius-scheme system vlan-assignment-mode integer access-limit disable state active idle-cut disable self-service-url disable messenger time disable # 為多個(gè)網(wǎng)段配置為DHCP server dhcp server ip-pool pool_3.0 network 10.185.3.0

26、 mask 255.255.255.0 gateway-list 10.185.3.1 dns 10.185.3？ #. # 開啟生成樹功能 ,并設(shè)置本交換機(jī)為root bridge stp instance 0 priority 0 stp TC-protection enable stp enable # interface Vlan-interface1 ip address 10.185.0.1 255.255.255.0 # interface Vlan-interface7 ip address 10.185.7.1 255.255.255.0 # # 設(shè)置該VLAN接口啟動(dòng)VRR

27、P，并作為VRRP的master設(shè)備 interface Vlan-interface15 ip address 10.185.15.9 255.255.255.0 vrrp vrid 1 virtual-ip 10.185.15.1 vrrp vrid 1 priority 200 # # 該接口連接S31EI interface GigabitEthernet5/0/2 description to_S31EI-1 port link-type trunk port trunk permit vlan all gvrp # 該接口連接S5500SI，只允許VLAN1、VLAN15和VLAN

28、25通過 interface GigabitEthernet5/0/3 description to_S5500SI port link-type trunk port trunk permit vlan 1 15 25 # # 該接口連接S5500 interface GigabitEthernet5/0/7 description to_S56-1 port link-type trunk port trunk permit vlan all # 該端口連接S12518-2，將stp的端口COST值設(shè)為20000 interface GigabitEthernet5/0/21 stp in

29、stance 0 cost 20000 description to_S12518-2 port link-type trunk port trunk permit vlan 1 15 25 # ospf 1 import-route static import-route direct area 0.0.0.0 network 10.185.0.0 0.0.255.255 # info-center source default channel 2 log level debugging # 設(shè)置syslog發(fā)送級(jí)別為debugging info-center loghost source

30、Vlan-interface1 該配置是為了確保交換機(jī)發(fā)出的syslog報(bào)文使用VLAN1的接口地址10.185.0.1做為源地址，同時(shí)請(qǐng)確保該接口IP與SecCenter上已授權(quán)的S75-1的IP相同，使得SecCenter能正確接收syslog報(bào)文。 info-center loghost 10.185.0.11 # 設(shè)置syslog發(fā)送指向iMC info-center loghost 10.185.0.10 # 設(shè)置syslog發(fā)送指向SecCenter # # ip route-static 10.185.13.0 255.255.255.0 10.185.3.2 preference 60 ip route-static 10.185.25.0 255.255.255.0 10.185.15.100 preference 60 # 為iMC設(shè)置SNMP snmp-agent snmp-agent local-engineid A