电子商务安全(第2版)-HP公司电子商务安全解决方案.pdf

HP公司电子商务安全解决方案

惠普（FP）公司新近推出了安全产品HPPrOCurve。新产品主要组成部分

有：威胁管理服务（TMS）模块、HPPrOCurveManagerPlus(PCM+）网络管理

套件及插件，以及高度集成的无线产品（与ColubrisNetworks共有，从而获得

增强的移动安全性）。

TMS模块代表了HPPrOCurve全新的安全产品，它作为HP正式进入防

火墙/NPN和入侵防御服务（IPS）的产品十分引人注目，HP期望通过其价格和

性能特征改变网络安全经济。

主动防御的增强服务都设计用于防止安全或一致性故障产生的停机，在提

高性能的同时降低网络的成本和复杂度。

1可信的基础架构

可信的基础架构，如图1所示，HPProCurve的保护伞安全策略是多层次、

全方位的主动防御。它同时将进攻（访问控制）和防御（威胁管理）纳入单一

综合系统。主动防御策略提供了一个不受威胁影响、控制适当用途、实现了机

密性及完整性的可靠网络基础架构。它在可信网络架构内自动实施保护、检测

和响应。

图1可信赖的基础架构

PCM+3.0及其更新的管理插件允许从网络中心进行控制，能够看到并盘点

1

当天网络上的内容。PCM+及其更新的插件实现了有线和无线网络的映射、配置、

监控和报告。基于Windows的软件平合提供了网络内管理机制的单一平台视

图，允许安全地添加、定制并限制用户的管理访问。

HP的VPN解决方案（现已通过TMS增强）通过300Mbps吞吐量的

IPsecVPN提供了安全通信，并提供了手动和自动密钥交换（IKE)、数字证书管

理(SCEP/CRL[简单证书注册协议/证书撤销列表]支持）和网络地址转换(NAT)。

HPProCurve多服务控制器（MCM)有助于加强无线安全，确保移动用户集

成到总体可信基础架构。MCM是一个网络设备，它提供了无线验证和访问功

能，包括来宾访问。

2访问控制

访问控制，如图2所示，动态监控用户和设备对有线和无线网络的访问，

以及获得认可后可访问的资源，从而主动避免安全漏洞。HP将微软NAP（网

络访问保护）和ProCurveIdentityDrivenManager(IDM)集成，通过RADIUS服

务器进行验证，并基于用户/组、时间、位置、设备ID或客户完整性状态动态

配置网络。找到一个规则匹配时，调用关联的“访问配置文件”。在用户端设置

策略，策略可包含访问控制列表(ACL)、虚拟LAN(VLAN)、服务质量（QoS）和

带宽限制。

PCM+3.0安全地添加、定制、限制用户的网络管理访问。IDM3.0增强了网

络管理员动态供应网络访问的能力，当用户和设备连接到网络时满足业务策略。

MSM启用了来宾流量管理，范围是25~2000个用户。

图访问控制

2

2

3威胁管理

安全架构可以根据自定义的策略部署适用的安全措施，同时监控网络活动，

帮助网络管理员维持高级别的网络可用性和完整性，如图3所示。

TMS模块启用了防火墙，防火墙具有3Gbps的饱和吞吐量、600KB的会

话和基于零的防火墙策略。可以通过交换机VLAN边界过滤流量，同时提供验

证的网络访问、端口触发器和拒绝服务（DoS）攻击保护。此外，还提供新的入

侵检测和防御系统(IDS/IPS)功能，包括基于签名的检测和基于协议异常的检测，

并且完善了HPProCurve现有的无线IPS解决方案，从而为有线和无线网络提

供了威胁管理服务。

图3威胁管理

NetworkImunityManager（NIM)2.0是PCM+的一个插件，它增强了PCM+

的现有功能，包括：使用是sFlow技术的内部威胁检测，通过NBAD工具及

基于PCM+策略的自动化操作工具减缓和威胁响应，同时能够更好地管理有线

和无线环