华为典型安全场景解决方案
前端系统
1 命令配置到ASG
2 同步场所信息、设备信息
后台系统(公安)
ASG
4 信息同步
Agile Controller
3 信息同步
WLAN AC
6 FTP+BCP方式上传审计数据(用户上网日志、用户网络虚拟身份轨迹)
5 FTP+BCP方式上传审计数据(用户终端上下线日志)
XX地市业务中心 (公共无线管控平台)
支持安全+Wlan+LTE款型小型分支多合一安全网关部署
价值
保障IPSec隧道质量,减少网络稳定性对业务流量造成的影响 确保分支和总部之间始终使用满足高质量的IPSec隧道通信 在IPSec足够稳定安全的情况下,可减少偏远地区对专线租用的依赖。
分支无线非经方案
场所信息、设备信息、 安全厂商信息
方案优势:
➢ 可对接24+以上公安网监平台 ➢ 用户上下线的日志通过ASG来发送给后台系统,AC只需把用户上下线的信息同步到ASG,无需和后台系
统对接
数据中心安全解决方案
Internet
FireHunter USG NIP
USG
WAF
DDoS 管理中心 USG
NIP
eLog
eSight
USG
管理中心 堡垒机
USG
USG
USG
… 非核心业务区 核心业务区 WEB服务 应用服务器 器
数据 灾ቤተ መጻሕፍቲ ባይዱ区
方案说明
在互联网出口,双机部署USG 防火墙对数据中 心进行隔离防护,同时部署NIP入侵防御设备, 阻断外界对数据中心的应用层攻击,旁路部署 FireHunter沙箱对未知威胁进行检测。
在数据中心的管理区,部署USG或NIP设备,阻 断各层面对管理区的威胁,部署UMA堡垒机对 运维行为进行监控和审计;
园区接入
防护网络层\主机层威胁 ➢ 网络准入控制 ➢ 主机防病毒
分支接入
防护网络层\主机层威胁 ➢ 下一代防火墙(VPN、安全审计)
运维管理区
管理安全 ➢ 日志审计 ➢ 运维审计 ➢ 大数据安全分析
园区勒索病毒防护方案
NGFW
Files
Results
本地沙箱
未知病毒检测:沙箱检测未知新型勒索病毒 自动闭环阻断:防火墙同步沙箱检测结果,自
在数据中心内部,按照不同区域的重要程度进行 分区,对重要的分区, 如核心业务区,应用服务 器区等,配置USG 实现安全的区域隔离,同时 在这些区域,开启IPS 功能,阻止对这些重要区 域的攻击行为,保证这些业务的安全
华为二级等保解决方案
公众用户
远程办公
ISP1
ISP2
服务器区
WEB 服务器
E-mail 服务器
USG
总部
SVN
远程接入
方案说明
分支与总部之间、分支机构与分支结构之间通过 USG 防火墙设备进行安全互联,机构之间的数据 传输通过IPSec VPN 技术进行加密,保证数据传 输的安全性。同时在USG 设备上开启AV 反病毒 和IPS 入侵防御功能, 对网络攻击进行有效地防 御,防止病毒在分支和总部之间的传播、防止垃 圾邮件泛滥等安全,还能够有效地防范网络中面 临的各种应用层攻击。
在DMZ 区域部署专业的NIP 设备,防止外部用户和 内部对DMZ区服务器的各种攻击,包括跨站攻击、 SQL 注入等。
在核心交换机上旁路部署SVN设备,对远程访问内 网数据流进行加密,保证数据传输安全。
针对企业内部不同区域的重要程度,需要在重要的 区域前端部署USG 设备,将给区域进行有效的安全 隔离。另外,在WEB服务器前端建议部署WAF应用 防火墙拦截针对WEB应用的攻击。
对于移动办公的需求,可以通过SSL VPN对传输 数据进行加密,防止数据被窃取或篡改
分支多出口场景
总部
VPNA
ISP1 Internet
ISP2
分支
VPNB
挑战
➢ 网络质量不稳定的地区,如偏远山区 ➢ VPN链路作为专线备份,链路质量要求高 ➢ 总部和分支都有多个公网出口
创新
VPN网关会自动探测IPSec隧道质量,根据探测结果动态切换到 高质量的IPSec隧道
数据库 服务器
网络边界区
IDS NGFW
APT沙箱
WAF
办公区
NGFW IPS
NGFW
办公 用户
分支机构、办事处 管理区
NGFW
办公 用户
红色字体:安全设备
堡垒机 日志审计系统
华为三级等保解决方案基础版 远程办公 公众用户
ISP1
ISP2
分支机构、办事处
网络边界区
DDoS检测中心
服务器区
WEB 服务器
动闭环阻断勒索病毒的内网扩散
类型
华为
H3C
山石
启明
天融信 深信服
360
本地沙箱
有
无
无
有,弱
有
无
有,弱
云沙箱
有
无
有
无
无
有
无
防火墙与沙箱 联动
有
无
无
无
无
无
无
国内唯一,小型化自动闭环APT方案!
分支互联安全解决方案
分支机构
USG
分支机构
USG
Internet
(IPSEC VPN)
分支机构
USG
SSL VPN
华为安全部署场景及解决方案
华为等保解决方案设计思想
安全管理中心 •统一管理 •集中审计 •安全态势感知
边界安全防护 •边界已知威胁全面防护 •未知威胁深度防护
1安全管理中心 2通信网络防护 3安全边界防护 4计算环境防护
核心 信息资产
通信网络安全防护 •传输信息加密 •可信接入保护
物理环境
计算环境安全防护 •主机安全 •应用安全 •数据安全
E-mail 服务器
数据库 服务器
IPS
WAF NGFW
SSL VPN APT沙箱
NGFW IPS
抗DDoS管理 DDoS清洗中心
SSL VPN
建设“一个中心”管理下的“三重防护”体系
园区安全解决方案
上下游合作伙伴 USG
Internet
DMZ 区
NIP USG ASG
SVN
USG
分支机构 USG
FireHunter USG ASG
SVN
WAF
堡垒机
USG
办公区
研发区
生产区
内部服务器区
…
财务区
方案说明
在网络出口部署USG 防火墙,对Internet进行第一 层隔离防护, FireHunter旁路部署对未知威胁进行 检测,与NGFW联动对未知威胁进行拦截
安全产品典型部署场景
日志审计 运维审计 DB审计 大数据安全分析
NGFW
IPS NGFW
WAF NGFW
主机杀软
终端安全管理
抗DDoS 沙箱 NGFW
NGFW
分支接入
互联网出口
防护网络层威胁 ➢ 抗DDoS攻击设备 ➢ 下一代防火墙(含IPS、防病毒) ➢ 未知威胁检测沙箱
数据中心
防护网络层\应用\主机层威胁 ➢ Web防火墙 ➢ IPS设备(或下一代防火墙)