3Com网络三层架构保安全

　　安全问题已经成为网络运营所要考虑的当务之急。3Com作为企业网络市场的领导者，从防火墙、内嵌式防火墙、远程接入安全网关等专业安全产品，到局域网络交换产品、无线局域网络产品和网络电话产品等，3Com在其丰富的网络产品线中广泛采用网络安全技术，为企业和政府机构用户提供端到端的全方位解决方案。同时，3Com的网络顾问和3Com的网络安全服务伙伴将携手合作，为用户制定有效的安全策略与实施，提供全面的技术咨询与服务。　　

　　3Com网络安全架构综述　　

　　3Com安全架构是模块化的，基于一些关键的安全技术、技术资格、合作/联盟而建立，并广泛应用于3Com强大的网络产品线中，形成了基于标准的层次分明的端到端全方位网络安全架构。其特点如下：　　

　　● 按照用户的不同规模和业务需求，并根据网络内各部分/区的具体需要为客户提供不同等级的服务（3Com的安全等级分为1、2、3级），从而促进分层次的部署。　　

　　● 为客户提供有效的、到更高安全等级的技术迁移路径和扩展能力，同时确保投资得到强有力的保护。　　

　　● 使客户可以部署包括客户机、LAN、WAN和远程站点在内的完整的网络解决方案。　　

　　3Com 网络安全级别　　

　　3Com的安全解决方案根据客户的不同网络环境和安全需求，划分为三个层次，提供客户安全政策实施所需要的技术和产品。　

　　第一级 安全中立　　

　　最简单的安全形式，主要面向对安全没有显著要求的SOHO和小型业务环境。　　

　　在这一等级中，网络安全的部署包括：　　

　　● 按照Wi－Fi要求的无线安全措施；　　

　　● 能够防止简单的拒绝服务（DoS）攻击的基本安全措施；　　

　　● 安全的远程接入，能够保证通过VPN安全地接入到企业的网络。　　

　　该方案的益处主要包括：客户免受日常安全风险的困扰，如：非专业的黑客攻击，防止黑客通过被其入侵的无线网络接入到企业的网络，安全的互联网接入等。　　

　　第二级 安全感知　

　　主要面向SOHU和小型业务环境，以及仅要求对网络安全进行有限的控制的企业。这一级的网络安全部署包括：　

　　● 内置到无线接入点的强化128位加密，以及VPN加强无线连接。　　

　　● 为WAN连接提供防火墙边界保护，以防止DoS攻击、防止非授权访问、执行URL过滤对可访问的外部内容进行控制等。　　

　　● 在每个交换端口进行VLAN配置，并可启动DUD端口安全控制功能。　　

　　● 在每台PC及服务器上安装基于主机的防火墙。　　

　　● 为PPTP和IPSec提供VPN支持，并采用3DES加密技术。　　

　　● 对所有电话流量进行加密。　　

　　该方案的益处主要包括：可以仅为机密数据提供安全保护，或者仅为网络中需要重点保护的区域提供保护，如：拦截对公用Web服务器上的应用程序的非授权访问，保护客户的隐私和记录。　　

　　第三级 安全敏感　　

　　真正的企业级安全需求，主要面向对安全问题极其敏感并要求对网络安全进行集中控制的企业。部署这一级的网络安全包括：　　

　　● 在远程的SOHO和移动工作者网络采用集中管理的远程安全控制政策，使用带有集成的VPN的内嵌式防火墙来确保末端的安全。　　

　　● 采用802.1X用户认证技术，建立从有线到无线网络的企业级集中管理安全措施。　　

　　● 在广域网络连接以及LAN中的关键区域边界点上的防火墙保护。　　

　　● 在整合现有的RADIUS架构的基础上实现对所有网络接入的AAA控制。　　

　　● 通过捆绑到PKI（公共密钥基础设施）的AAA RADIUS验证实现双要素验证。　　

　　● 用来存储PKI信息和用户授权的安全令牌和智能卡。　　

　　● 在防火墙和LAN交换机（VLAN、ACL、过滤）上进行分组安全政策的集中部署。　　

　　● 用于站到站、远程接入和无线接入的VPN。　　

　　● 用来为安全敏感型应用提供端到端安全解决方案的IPSec和SSL。　　

　　● 用来防止窃听的电话数据包加密。　　

　　● 继承网络的安全管理。　　

　　该方案的益处主要包括包括：提供基于标准的、端到端的网络保护：分布式架构的集中控制（AAA、用户政策、设备等）；将远程系统的安全策略控制权交到IT管理人员的手中，而不是交给远程终端用户；在不影响现有的设备和管理基础设施正常运行的基础上为网络提供更好的防御。　　　　

　　3Com端到端的网络安全架构　　　　

　　3Com网络安全架构的目标是提供一个贯穿于整个企业范围内的解决方案，以“端到端”的方法解决网络安全问题。我们一直认为，安全和网络是密不可分的，安全问题会随着网络的扩展而延伸。同时3Com也意识到，一个网络的各个部分/区段在网络中的具体作用是不一样的，所以对安全的需求可能也有所不同，需要不同的安全等级来与之对应。所以，3Com设计和推出了一系列的安全产品和解决方案，可以满足企业网络的各个层次的需要。　

　　3Com安全产品简介　　　

　　客户端设备　　

　　3Com内嵌式防火墙是内嵌到PCI卡或者PC卡上的基于硬件的防火墙产品。内嵌式防火墙将硬件快速安全的功能优势与软件的灵活性优势有机地结合起来，其安全性和安全策略的统一集中管理模式明显优于软件分布防火墙的方案，是对分布式防火墙技术极好的应用。　　

　　LAN交换设施　　

　　LAN交换设施是构成安全网络的另一个关键要素。3Com在这一领域内提供的安全能力包括核心千兆以太网交换机、边缘交换机、内嵌式防火墙、无线LAN网桥、LAN接入点以及相关的网络管理、接入控制和审计控制系统等。　　

　　3Com为LAN交换设施设计多种安全解决方案，3Com推出的端到端的智能话局域网络解决方案可以提供访问控制列表ACL、多层过滤等访问控制功能，同时对802.1x 技术的支持更提供对网络用户集中式认证与管理。而3Com特有的XRN可扩展弹性网络解决方案更使网络具备强有力的灾难备份和恢复能力。在无线局域网络领域，3Com的无线LAN产品，可以通过不同等级的安全措施来满足不同的客户和网络的需要。无线LAN安全的等级是由加密、验证和密钥管理等来确定的。　　

　　边界防火墙/网关　　

　　3Com针对LAN到LAN边界和LAN到WAN边界的安全问题提供一系列的边界防火墙解决方案。在LAN内，防火墙可以作为系统来部署，在网络中的两个不同安全区域之间执行接入控制政策，也可以作为用来执行安全审计的“阻隔点”来使用。3Com边界防火墙产品支持VPN功能，更能帮助客户跨越Internet或内部网络建立安全的数据传输。　　

　　3Com的产品竞争优势　　

　　第一级：安全中立.同其他的Office Connect解决方案相结合。为小型业业环境提供灵活的安全保障。低成本的无线安全解决方案。拥有可以自动选择极佳无线电频率（RF）频道的频道选择功能。在无线网关上集成四端口 10/100M以太网交换机。既可以保证有线连接的安全又可以保证无线连接的安全。　　

　　第二级：安全认知.内置到无线接入点中的基于设备的安全解决方案。支持128位加密方法、基于会话的动态密钥和基于用户的验证方法。业界领先的网络电话（NRX）解决方案，在实时的操作系统（OS）上运行，可以在网关和手机之间对通话流量进行加密。在安全网关上集成具有极高防火墙安全功能的四端口10/100M以太网交换机，添加了硬件、VPN和DoS阻拦等功能特色。　　

　　第三级：安全敏感，内嵌式防火墙，可以在工作组和计算机上创建和执行集中管理的安全政策。在功能上要强于软件防火墙。整个网络内的集中AAA服务。可以进行RADIUS认证和802.1X网络登录。用来连接远程用户的完备的边界防火墙和VPN。使用我们的企业无线网络解决方案的开放式RADIUS服务器支持和802.1X客户驱动器认证。