华为敏捷园区网解决方案
版本信息(含发布/修改时间):
发布时间:2015-10-31 含15年发布的敏捷方案2.0的特性
HUAWEI TECHNOLOGIES CO., LTD.
Page 1
目录
1 挑战与解决方案 2 四个故事和一个背景 3 敏捷园区网全家福
你的网络准备好了吗?
移动化
云计算
大数据
社交网络
物联网
数据中心
W AN/Internet
W AN/Internet
NGFW根据Controller 下发的策略将VIP用户 流量送入高优先级队 列调度
认证交换机根据 Controller下发的策 略为VIP用户分配 更高的带宽
VIP
敏捷交换机/ 随板AC
为VIP用户保证VPN接 入资源,当SVN资源 用尽可以自动强制普 通用户下线,保证VIP 用户接入
全网攻击拓扑
全面、直观; 分区域、不同颜色展示; 可钻取分支机构查看详情;
攻击源与路径
受攻击时闪烁警示; 显示攻击路径;
全网安全事件
严重级别告警靠前; 点击查看详细信息;
安全威胁度
直观度量; 点击查看评分细节;
安全事件概况
显示总数和未处理事件; 点击查看更多详情;
认证点 • 认证交换机配合Controller完成用户的准入认证,上报用户IP地址。 策略执行点 • 作为策略执行点识别报文的源组和目的组,执行组间策略。 • 根据Controller下发的策略对用户进行限速。 • 根据Controller下发的策略,自动实现基于用户组的安全资源动态分配。
• 支持用户组到用户组、用户组到资源组、资源组到用户组的策略执行。 • 支持512个组。 • 支持基于用户组的安全资源动态分配。 • 支持对用户进行双向限速。
4、安全资源动态分配
全网的安全设备资源池化,可根据区域、用户组、安全事件动态 分配安全资源,提升全网安全防护能力
扁鹊评论三兄弟的医术: 长兄最好,中兄次之,我最差。 我长兄治病, 是治病于病情发作之前; 我中兄治病, 是治病于病情初起之时; 而我扁鹊治病, 是治病于病情严重之时。
病情发作之前:丰富的安全态势呈现,帮助用户快速感知网络现状
• 仅支持用户组到资源组的策略执行。 • 支持48个组。 • 不支持基于用户组的安全资源动态分配。 • 支持对用户进行单向上行限速。
策略执行点: • 收到用户的业务报文,向Controller查询报文的源组和目的组,并执行组间策略。 • 根据Controller下发的策略,将VIP用户的流量送入高优先级队列调度。 • 本地配置基于组的应用安全策略,对业务流进行安全检查和策略执行。
上网慢、马赛克、听不清…..
海量的设备、复杂的配置、割裂的管理
1、海量的设备 2、复杂静态的手工配置 3、有线网、无线网缺乏统一管理
HUAWEI TECHNOLOGIES CO., LTD.
Page 8
下一代网络需要什么?
移动性 云计算 大数据 社交网络 物联网
1. 从关注技术、设备和连通,转向关注业务、体验 2. 从关注单点,转向关注整网协同 3. 从IP尽力而为,转向IP实时感知质量 4. 从设备静态手工配置,转向设备动态自动部署 5. 网络从硬件定义,转向软件定义
客户价值:
快速发现终端的攻击行为,在安全事故发生前及时阻断,保护 企业业务数据和业务环境的安全。
病情发作之初:基于特殊组的安全检查,防止终端仿冒
Agile Controller
① 安全资源动态调用
核心敏捷交换机
安全资源中心
Page 4
二、云计算带来的挑战:强安全、虚拟化、优质体验
1、公有云的安全问题 2、虚拟机迁移、网络需要动态调整 3、用户体验对网络质量要求更加苛刻
公有云Public cloud
私有云Private cloud Internet
本地处理+交互 HUAWEI TECHNOLOGIES CO., LTD.
Agile Controller
认证点设备
执行点设备 交换机:S12700/S9700/S7700/S5720HI NGFW:USG6300/6500/6600系列 SVN:SVN5800系列
企业分支
W AN/Internet
VIP优先级保障 安全保障
VIP远程接入资源保障
带宽保障 NGFW 业务流策略
Agile Controller
④ 安全资源动态分配
安全资源中心
NGFW
第三方 安全设备
安全事件采集 安全策略生效
1、全网安全事件采集
网络设备、安全设备、主机设备、终端等事件日志
2、大数据关联分析
对海量日志信息进行关联分析,呈现全网安全状态,发现安全 隐患
3、全网安全快速响应
实时告警,并给出处理建议 灵活下发安全策略,快速进行安全事件响应
策略,将访客流量引至安全资源中心。 2. 应用安全策略:安全资源中心对访客组的业务流
进行应用安全策略控制,包括阻断、策略路由、 IPS、防病毒、内容过滤。
访客
业务随行:面向自然语言的策略编排
HUAWEI TECHNOLOGIES CO., LTD.
Page 21
业务随行:精细化的策略控制
HUAWEI TECHNOLOGIES CO., LTD.
敏捷园区网:第一次把SDN思想引入园区
L2 SW 分支网
AR
L2 SW 分支网
AR
互联网接入
WAN/Internet
园区出口
NE/AR/SVN
安全资源中心 敏捷核心
NGFW
敏捷交换机
eSight 统一管理
Agile Controller
Agile Controller
全网协同控制 • 网络资源动态分配 • 全网安全控制 • 安全资源动态分配
一、应用移动化带来的挑战:静态 vs 动态
网络 不安全
自带设备办公(BYOD) 安全策略如何部署?
流量 难预测
蜂群的冲击,动态 的流量如何调配?
权限 难管理
用户位置多变,手工 配置权限如何应对?
体验 不一致
不同位置/终端接入,如 何获得一致的体验?
HUAWEI TECHNOLOGIES CO., LTD.
AP
无线窃听攻击 移动终端攻击
移动化后,办公场所无限扩展,接入终端非常丰富,导 致攻击点和攻击手段也多样化
小偷 VS
小黑
偷偷溜进小区 看谁不在家 撬门 进门。。。 视频监控
混进园区网(木马或病毒) 看哪些终端在线 找漏洞 复制。。。。。
???
全网安全协防:从单点防护步入全网防护年代
② 大数据关联分析
• 75%的威胁发生在应用层 • >50%攻击是有组织的团队行为
从已知威胁到未知威胁
• 攻击转向使用未知威胁变种,以躲避传统防护手段 • 仅中国,10年新增网络病毒1798万
HUAWEI TECHNOLOGIES CO., LTD.
Page 7
五、网络运维人员面临的挑战:状态不可知、管理不自动
用户感受到的,网络并不知道
HCS-Solution-数通安全-华为敏捷园区网 解决方案
课程负责人:魏伟 部门:中国企业业务网络解决方案销售部
内容简介:
主要向合作伙伴介绍华为敏捷园区方案
课程面向对象:
合作伙伴售前
课程目标:
合作伙伴可以了解华为敏捷园区有哪些敏捷特性,相对友商有哪些亮点, 该如何向客户传递华为敏捷方案的价值点
权限策略 2、用户认证上线, 用户组识别
敏捷交换机/ 随板AC
SVN
W AN/Internet
3、策略执行
出差用户
企业园区
VIP员工 远程接入
应用场景一:移动办公业务随行
接接入入权权限限策策略略、、 QQooSS策策略略、、带带宽宽 策策略略、、安安全全策策略略
西安园 区
北京园 区
南京园 区
出差
应用场景二:VIP用户体验保障
Page 22
业务随行方案组件
设备型号 Controller
S12700/S9700/S7700/S5720HI
交换机
ENP板卡
ASIC板卡
NGFW: USG6300/6500/6600系列
SVN:SVN5800系列 HUAWEI TECHNOLOGIES CO., LTD.
功能
• 业务随行方案的核心设备,定义用户组和组间策略,并向全网执行点设备推送。 • 作为统一的认证服务器,根据用户的5W1H条件将用户关联某用户组。 • 将上报的用户IP地址与用户组关联并记录。
故事一
一个员工的投诉
一个员工的投诉:
为什么换个办公楼我就访问不了原来的 服务器了? --基于IP的权限控制
为什么在北京出差总显示接到独联体俄 罗斯去,电话会议根本开不了! --资源占满
业务随行:以用户为中心的业务体验保障
策略随行
体验随身
1. 权限(Permit/Deny)
1. 优先级
2. 业务流
远端处理+交互
Page 5
三、物联网带来的挑战:标准、开放、复杂环境
HUAWEI TECHNOLOGIES CO., LTD.
1、安全 2、严酷环境 3、标准化 4、开放
Page 6
四、网络安全带来的挑战:单点静态防御 VS 多点动态未知威胁
安全防护边界模糊 攻击手段多样化
BYOD
• BYOD导致终端安全和信息安全问题激增 • 企业全球化使网络边界模糊
访客 允许
服务器 允许
销售
允许 禁止 允许 允许 允许
VIP
允许 允许 允许 允许 允许
访客
