3解决方案新一代园区网安全解决方案彩页V.doc

资源描述

3解决方案新一代园区网安全解决方案彩页V.doc

《3解决方案新一代园区网安全解决方案彩页V.doc》由会员分享，可在线阅读，更多相关《3解决方案新一代园区网安全解决方案彩页V.doc（8页珍藏版）》请在冰豆网上搜索。

3解决方案新一代园区网安全解决方案彩页V.doc

新一代园区网安全解决方案

文档密级：

应用背景

传统园区网主要以连通性作为中心进行设计的，而很少考虑安全性。

例如最典型的网络三层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考虑同一层不同节点之间的安全隔离问题。

而在网络安全改造中首先需要改变的就是：

将以连通性为中心的设计思路转变为以安全为中心的设计思路。

虽然，早期网络中已部署了防火墙等基础网络安全产品，但是在网络的运行维护中，大量的安全问题仍然困扰着IT管理人员。

²网络入口已部署了防病毒网关，蠕虫、攻击、间谍软件、木马等攻击依然泛滥。

²网络的带宽利用率居高不下、应用系统的响应速度越来越慢。

²不同部门、不同区域之间如何安全防护？

²如何识别从内网发起的攻击并加以控制。

²如何对攻击趋势和目前网络薄弱环节进行分析，得出整改策略和下一步建设方案。

日益严峻的安全威胁迫使企业不得不加强对网络系统的安全防护，不断追求多层次、立体化的安全防御体系，逐步引入了防病毒、防火墙、IPS/IDS、VPN等大量异构的单点安全防御技术，再加上交换机、路由器等网络设备，网络结构日益复杂。

然而，现有网络安全防御体系还是以孤立的单点防御为主，彼此间缺乏有效的协作，不同的设备之间的信息也无法共享，从而形成了一个个安全的“信息孤岛”。

解决方案

H3C新一代园区网解决方案能彻底解决上述问题，给用户带来了立体化、智能化的安全解决方案。

首先，根据业务类型或物理位置对园区网进行安全域划分。

然后，各安全域面临的安全威胁不同，因此会在核心业务区、外联区和互联网区等关键路径可进行深入检测防护。

此外，提供对外访问业务的互联网区不仅仅面临安全威胁问题，同时还面临带宽滥用和如何高效提升链路等问题，因此在互联网区域可根据实际业务需要部署应用层流控设备和链路负载均衡设备。

最后需要部署统一安全管理系统，对整网的安全事件统一收集，形成安全事件报告输出，有效的帮助管理员了解网络中的安全现状与风险，从而为决策提供有效依据。

l以安全为核心划分区域

针对园区网安全实际情况，可划分出不同的安全分区，如：

DMZ区、互联网服务区、远程接入区、广域网分区、数据中心区、网络管理区、内部办公区等，不同区域进行针对性的安全策略部署。

l用防火墙隔离各安全区域

防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

防火墙在网络间实现访问控制，比如一个是用户的安全网络，称之为‘被信任应受保护的网络’，另外一个是其它的非安全网络称为‘某个不被信任并且不需要保护的网络’。

防火墙位于一个受信任的网络和一个不受信任的网络之间，通过一系列的安全手段来保护受信任网络上的信息。

l对关键路径进行深入检测防护

在关键路径上部署独立的具有深度检测防御的IPS（入侵防御系统）就显得非常重要。

深度检测防御是为了检测计算机网络中违反安全策略行为。

一般认为违反安全策略的行为有：

ü入侵——非法用户的违规行为；

ü滥用——用户的违规行为；

深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。

深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击，减少入侵攻击所造成的损失。

l对互联网出口的链路带宽优化

在多链路的互联网出口部署链路负载均衡设备来优化多出口链路的效率。

l对全网设备进行统一安全管理

通过统一安全管理平台，可以对网络中的网络设备、安全设备、服务器等进行统一管理，收集相关信息，进行关联分析，形成安全事件报告输出，有效的帮助管理员了解网络中的安全现状与风险，从而为决策提供有效依据。

l根据实际需要部署其他安全系统

部署EAD终端准入控制系统，确保每一个接入端点的安全，预防内网病毒、蠕虫的泛滥，并与防火墙、IPS等安全设备、管理平台实现智能联动，从源头上阻断安全威胁，实现对接入网络终端的事前准入认证和安全性检查、事中控制和事后审计功能。

方案特点

l基于用户的内网控制安全设计

由于移动办公、WLAN接入的普及，如何既保障终端的灵活便捷接入，同时又确保安全策略可以及时迁移，所需而动，成为当前局域网安全建设的一个重点。

H3C通过基于用户的内网控制设计，实现了全网基于统一用户的事前准入、策略下发、事中防护以及事后审计。

一个用户采用唯一的用户名接入网络后，通过EAD系统对其进行网络身份认证、接入网络终端安全性检查、下发粗粒度安全策略、事后审计；通过嵌入式FW模块，实现安全区域的划分和细粒度访问控制策略，减轻核心交换机的访问控制压力；通过IPS完成不同安全区域间病毒传播和非法入侵/攻击行为的监测和过滤；最终通过网络安全统一管理中心，可以实现基于用户的安全策略下发、安全事件联动、事后内容审计。

l全面的、立体的、纵深的互联网出口安全设计

针对大型园区网多链路出口，通过部署LB链路负载均衡设备实现基于链路健康状况的智能动态负载和基于用户访问IP实现动态访问加速，有效的提升互联网出口带宽的利用率。

在大型园区网或校园网，同时在线用户数一般都在万人级别以上，互联网出口部署高性能万兆防火墙F5000，实现外网、内网、DMZ区之间访问控制，提供高达400万的NAT会话，并提供2～4层的安全防护功能。

在出口部署万兆IPST5000，防护来自互联网的病毒、蠕虫和DDoS攻击，提供4～7层的安全防护功能。

在出口部署万兆流控设备ACG8800，通过内置各类常见应用程序的特征码识别出应用，如P2P类应用、游戏类、流媒体、炒股类等上千种应用，并对不同的应用进行限速或阻断，实现互联网出口流量的精细化管理。

ACG还可满足公安部82号令要求的互联网行为审计功能，从而规避法规风险。

l智能安全统一管理和安全威胁智能联动

不同厂商、不同种类的网络和安全设备之间缺乏信息交互，容易形成信息孤岛。

H3C采用端点准入控制及安全事件分析机制，将网络中的终端、网络安全设备、应用服务器等IT资源都纳入安全防护的范畴内，在统一安全策略下，利用各组件间的协同联动，保证了网络各端点的安全性与可控性；同时在统一的管理平台上进行安全事件的收集、整理、分析，可以作到整网安全风险的前提预防和及时控制。

安全防御设备包含防火墙和IPS，融合了包过滤、状态检测、入侵防御和防病毒等多种技术，可以发现和阻断蠕虫、病毒以及恶意入侵行为，同时将安全事件上报安全管理平台。

SecCenter进行智能分析后联动iMC，对造成威胁的内网用户采取在线提醒、强制下线、关闭交换机端口、加入黑名单等控制手段，从源头上制止威胁的发生。

典型行业安全解决方案

1.校园网出口综合安全防护解决方案

ØF5000防火墙做出口NAT网关，工作在路由模式，并通过虚拟化技术虚拟出多台防火墙，每台虚拟防火墙接一条出口链路。

F5000防火墙在万兆流量下，同时开启NAT和策略路由时性能不下降。

同时支持完备的路由协议，可以简化客户出口网络部署。

此外，F5000支持高性能抗DDoS攻击等安全特性，构建高校出口的安全屏障。

Ø在防火墙后侧部署应用优化网关，实现链路负载均衡和带宽管理，高校业务流量从以前的简单的、静态的策略路由分配流量模式转换为精细化、立体化出口流量管控。

ØLB业务卡支持灵活链路负载均衡功能，通过对链路工作状态的实时检测，可以第一时间发现链路故障，进行负载动态调整，大大提高了出口可靠性。

对于访问高校服务器的流量，LB可以通过优化算法，使用户不必绕行教育网，以最快的速度访问高校资源。

ØACG能精确识别各种应用层流量，并根据客户策略进行细粒度的带宽控制，有效解决出口P2P下载等造成的带宽滥用。

该产品同时支持用户上网行为审计功能，为规范学生的上网行为提供技术保障。