当前位置:文档之家 › H3C园区边界安全部署

H3C园区边界安全部署

  • 格式:ppt
  • 大小:5.00 MB
  • 文档页数:41

下载文档原格式

  / 41

合集下载

H3C-5120交换机安全设置

H3C-5120交换机安全设置

H3C-5120交换机安全设置一、安全设置概述H3C-5120交换机是一种功能丰富且常用的网络设备,但在网络环境中,安全性是至关重要的。

本文档旨在提供关于H3C-5120交换机安全设置的详细指南,以确保网络的安全性和稳定性。

二、物理安全设置1. 安全的位置安装交换机:H3C-5120交换机应该被安装在物理上安全的位置,避免被未授权的人员操作或恶意存取。

2. 限制访问:交换机的机柜应该配备可靠的锁,只开放给授权人员,以确保物理访问的安全性。

三、管理安全设置1. 管理口安全:交换机的管理口应只开放给授权的管理人员,禁止其他用户访问。

2. 密码设置:对于管理员账户和特权模式账户,应设置强密码,并定期更换。

3. 远程访问控制:限制远程访问交换机的IP地址和登录方式,仅允许授权的主机和用户访问。

四、网络安全设置1. VLAN划分:使用VLAN划分将不同的网络隔离开来,以增加网络的安全性。

2. ACL设置:通过配置访问控制列表(ACL),限制对交换机的某些服务或端口的访问权限,防止未经授权的访问和攻击。

3. 网络隔离:为敏感数据和重要设备建立独立的网络,禁止普通访问,以增强网络的安全性。

4. 安全升级:定期检查和安装最新的固件升级,以修补已知的安全漏洞,确保交换机的安全性。

五、日志和监控设置1. 日志配置:启用交换机的日志功能,并设置合适的日志级别,以便追踪和分析安全事件和故障。

2. 告警设置:配置告警,以便在出现异常情况时及时通知管理员,以便采取相应的措施。

3. 安全监控:使用网络安全工具对交换机进行实时监控,以及时发现和阻止任何潜在的安全威胁。

六、更新和维护1. 定期备份:定期备份交换机的配置文件,以防止数据丢失或设备故障时进行恢复。

2. 系统更新:定期检查和更新交换机的操作系统,以确保安全补丁和功能更新的及时安装。

七、培训和教育1. 培训管理人员:对交换机安全设置进行培训,使其了解和掌握最佳实践。

2. 用户教育:对网络用户进行安全意识教育,包括密码安全、远程访问规范和网络行为规范等。

H3C大型校园网解决方案

H3C大型校园网解决方案

H3C大型校园网解决方案一、引言随着教育信息化的发展,校园网作为学校重要的基础设施之一,扮演着连接学校内外网络、提供稳定可靠的网络服务的重要角色。

H3C作为一家率先的网络解决方案提供商,致力于为大型校园网提供高效、安全、稳定的解决方案。

本文将详细介绍H3C大型校园网解决方案的设计与实施。

二、需求分析1. 带宽需求:校园网需满足大量用户同时在线的需求,因此需要提供足够的带宽以支持高速网络访问和大规模数据传输。

2. 安全需求:校园网需要保障用户的网络安全,防止外部攻击和数据泄露,同时需要提供访问控制和用户身份认证功能。

3. 网络管理需求:校园网需要提供集中管理和监控的功能,以便网络管理员能够实时监控网络状态、故障排除和性能优化。

4. 扩展性需求:校园网需要具备良好的扩展性,能够适应不断增长的用户数量和日益复杂的网络应用需求。

三、解决方案设计1. 网络架构设计基于H3C的大型校园网解决方案,我们采用了三层架构设计,包括核心层、汇聚层和接入层。

核心层提供高速的数据交换和路由功能,汇聚层用于连接核心层和接入层,接入层则提供用户接入和数据交换功能。

2. 带宽规划根据校园网的带宽需求,我们建议采用多线接入的方式,通过多个ISP(互联网服务提供商)提供的路线来实现带宽的负载均衡和冗余备份,以确保网络的稳定性和可靠性。

3. 安全策略设计为了保障校园网的安全性,我们将采用多层次的安全策略。

首先,我们将在边界设备上配置防火墙,以过滤非法访问和攻击。

其次,我们将实施网络隔离策略,将校园网划分为不同的安全域,并通过ACL(访问控制列表)和VLAN(虚拟局域网)来限制不同安全域之间的通信。

此外,我们还将部署入侵检测系统(IDS)和入侵谨防系统(IPS),以实时监测和阻挠潜在的网络攻击。

4. 网络管理设计为了实现对校园网的集中管理和监控,我们将使用H3C的网络管理平台,该平台提供了全面的网络设备管理、配置、故障排除和性能优化功能。

H3C智能管理中心部署和硬件配置方案

H3C智能管理中心部署和硬件配置方案

H3C智能管理中心部署和硬件配置方案部署H3C智能管理中心需要经过以下几个步骤:1.硬件配置:首先需要确定使用的硬件设备。

H3C智能管理中心需要一台服务器来部署管理软件,这台服务器的硬件配置需要能够满足软件运行的需求。

一般来说,至少需要一台4核CPU、8GB内存和500GB硬盘的服务器。

同时,还需要配备一台交换机或路由器作为被管理设备。

2.网络规划:在部署H3C智能管理中心之前,需要进行网络规划。

确定各个网络设备之间的连接方式,包括服务器与被管理设备的连接方式,以及被管理设备与网络设备之间的连接方式。

同时,还需要确定服务器和客户端之间的通信方式,包括使用的协议和端口。

3.软件配置:部署H3C智能管理中心的下一步是进行软件配置。

首先,需要在服务器上安装管理软件,然后进行相应的配置。

配置内容包括设置管理设备的IP地址、用户名和密码等。

同时,还需要配置被管理设备,使其与管理软件进行通信。

4.测试和调试:在部署完成后,需要进行测试和调试。

通过测试和调试,可以确保H3C智能管理中心能够正常工作。

测试内容包括管理设备的连接状态、设备信息的获取和显示等。

5.运行和维护:最后,部署完成后需要进行运行和维护。

根据实际情况,定期检查软件和硬件的运行状态,及时修复故障,确保系统的正常运行。

总结而言,H3C智能管理中心部署和硬件配置方案需要包括硬件配置、网络规划、软件配置、测试和调试以及运行和维护等多个方面。

只有在这些方面都进行了充分考虑和配置,才能确保H3C智能管理中心能够正常运行并发挥最大的作用。

防御边界威胁 保障电力调度——H3C边界防护解决方案助力贵州电力网络建设

防御边界威胁 保障电力调度——H3C边界防护解决方案助力贵州电力网络建设

在边 界 安全 防护体系建设 中

在统
力更科学地 评估 网络安全状态 根 据 电力 系 统 业 务 运 行 状 况 安全策略的针对性调整



安全策略


构建 可 管理 安全 网络
进行
交换机

D N S
服务器
的理 念 下
全策略
目前


边 界 不容
整个 网络包 含 省级 和地 级 2 级调 度
统和安全 管理 平 台 安全能力
台构建 统




强化 网络边 界
数据系统
区 和二 区

在 实 际 应 用 中划 分 为


为 贵 州 电力 整 个 网络 平


区 是 实 时调 度 控 制


完整 的安全 防护 体

贵 州 电网直 属 单位 (市
贵州 电
全风险
越 来越 大

因此在 此 次安全 建设
力在 省调 数据 中心 的 网络核 心 交换


整 个 系统 通 过 设 备 的双 机状态 热备



针 对 大 型 网 络 中容 易 出现 的 网
部署 了入 侵防御 系统S

e cPຫໍສະໝຸດ athL 3
M

o n
it
o r
等先进 技术



络和安全设备 间缺乏信息 沟通 的实
际情况

T l 0 0 0 S
e c
A 和
e r
安 全 管 理

H3C安全产品

H3C安全产品

SOHO用户 分支机构

17
VPN本质部署模式其实只有两种
VPN的两种接入方式
移动用户接入
远程主机
Internet
端到端接入 VPN网关 局域网
VPN网关
1、端对端接入(Site-to-Site):
性能高、运行简单可靠、适于大型局域网的远程互联。
2、移动用户接入(Remote-Access):
加密处理能力: 指VPN设备进行背靠背的连接时,能够以一定的加密算法对一定的包长 数据的最大转发能力,业界默认一般都采用大包对这个指标进行衡量; 最大并发隧道数: 指在确定的VPN协议前提下,VPN设备能够并发支持最多的虚拟隧道数 量,这些隧道决定了VPN设备能够提供的连接的设备和移动用户的数量;

20
H3C SecPath系列防火墙/VPN产品
New!
ISP/大型数据中心
SecPath F1800-A SecPath F1000-E
New!
大型企业总部
SecPath F1000-A SecPath V1000-A SecBladeI SecBladeII
大型分支/中型企业
SecPath F1000-S SecPath F100-E
更适用于企业内部使用 在服务器端容易实现自由伸缩,在客户 端比较困难
1、如果有端到端的互联的需求,只能选择IPSec 2、如果有移动用户接入的需求,优先选择SSL VPN,因为不需要客户端, IPSec VPN也可以,但是需要客户端,部署复杂;

19
项目竞争中,VPN最关键的技术参数
文件窃取
替代手工
非法使用
• 阶段特征:由计算机替代原有的手工劳动 ,主要是单业务应用

华为典型安全场景解决方案

华为典型安全场景解决方案

前端系统
1 命令配置到ASG
2 同步场所信息、设备信息
后台系统(公安)
ASG
4 信息同步
Agile Controller
3 信息同步
WLAN AC
6 FTP+BCP方式上传审计数据(用户上网日志、用户网络虚拟身份轨迹)
5 FTP+BCP方式上传审计数据(用户终端上下线日志)
XX地市业务中心 (公共无线管控平台)
支持安全+Wlan+LTE款型小型分支多合一安全网关部署
价值
保障IPSec隧道质量,减少网络稳定性对业务流量造成的影响 确保分支和总部之间始终使用满足高质量的IPSec隧道通信 在IPSec足够稳定安全的情况下,可减少偏远地区对专线租用的依赖。
分支无线非经方案
场所信息、设备信息、 安全厂商信息
方案优势:
➢ 可对接24+以上公安网监平台 ➢ 用户上下线的日志通过ASG来发送给后台系统,AC只需把用户上下线的信息同步到ASG,无需和后台系
统对接
数据中心安全解决方案
Internet
FireHunter USG NIP
USG
WAF
DDoS 管理中心 USG
NIP
eLog
eSight
USG
管理中心 堡垒机
USG
USG
USG
… 非核心业务区 核心业务区 WEB服务 应用服务器 器
数据 灾ቤተ መጻሕፍቲ ባይዱ区
方案说明
在互联网出口,双机部署USG 防火墙对数据中 心进行隔离防护,同时部署NIP入侵防御设备, 阻断外界对数据中心的应用层攻击,旁路部署 FireHunter沙箱对未知威胁进行检测。
在数据中心的管理区,部署USG或NIP设备,阻 断各层面对管理区的威胁,部署UMA堡垒机对 运维行为进行监控和审计;

构建H3C高性能园区网络 读书笔记 上

STP RRPP Smart link(智能链路)等技术基本上是都针对二层网络设计Monitor Link专门负责对上行链路的监控,一旦发现上行链路全部故障,设备立即关闭下行链路而触发Smart Link的倒换,可实现网络链路的快速高效冗余备份。

Vrrp 虚拟路由器冗余协议,提供边缘网关主备备份IRF (智能弹性架构)堆叠实现设备级的N+1冗余备份,保证不间断业务PIM采用RIF(逆向路径转发)技术转发组播报文的组播报文路由协议之一IGMP Soonping 以IGMP协议报文为基础,通过监听客户端和网关设备之间的交互来完成组播与成员关系的维护(基于VLAN实现)。

组播地址范围:224.0.0.0~239.255.255.255常见的身份认证和授权技术有802.1x认证,集中Mac地址认证,portal认证以及综合802.1x 认证的端口安全技术。

VLAN传统的以太网帧中添加了4个字节的802.1Q标签后,成为带有vlan标签后的帧Vlan id=0用于识别帧优先级,vlan id=4095作为预留值IEEE 802.1Q定义了一个新的字段,用于标识以以太网帧所属的VLAN,这个字段添加在以太网帧的源MAC之后TPID包含了一个固定值:0x8100端口所属的vlan称为端口缺省vlan,又称为PVID 缺省情况下所有端口的缺省值为vlan1只允许缺省vlan的以太网帧通过的端口称为access端口,Access端口在收到以太网帧打上VLAN标签,转发出端口是剥离vlan标签。

允许多个vlan帧通过的端口称为Trunk端口PVID是在某端口上进行设置固定标签,用于让某些vlan在交换机上不打标签就可通过Hybrid端口既可以用于在交换机之间互联,也可以用来连接终端主机或路由器的设备常见vlan划分方式:基于MAC地址的vlan、基于ip子网的vlan 依次顺序匹配基于协议的vlan 基于端口的vlan通用的动态vlan配置技术为GVRP(GARP VLAN 通用属性注册协议)GVRP的组播目的MAC地址为:0180.C200.0021GVRP端口注册模式:Normal模式、Fixed模式、Forbidden模式GARP定时器:Hold定时器、Join定时器、Leave定时器、LeaveAll定时器Vlan基本配置:vlan xx(创建vlan)、port interface-list(添加端口)、基于端口的vlan xxPort Ethernet x/x在接口视图下port link-type trunk(端口链路类型为trunk)Port trunk peimit vlan xx (允许vlan通过当前trunk端口)当执行undo vlan命令删除的vlan是某个端口的缺省vlan,对Access端口来说缺省vlan 恢复到vlan 1,对Trunk和Tybrid端口,端口的缺省vlan不会变。

重点理解H3C政务安全解决方案

重点理解H3C政务安全解决方案1、1电子政务安全建设背景电子政务使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴專在无孔不入的网络威胁面前。

要趋利避害,电子政务安全防护体系的构建至关重要。

电子政务作为政府业务枢纽,只有构建在安全可靠的网络平台上,才能防止重要信息被攻击、窃取或泄廳,安全地连接因特网或其他组织,才能确保政府顺利开展日常工作。

1、2电子政务网络安全架构电子政务网络涵盖了政务内网、政务外网和互联网三种类型网络。

政务内网为政府部门内部的关键业务管理系统和核心数据应用系统;政务外网为政府部门内部以及部门之间的各类非公开应用系统,所涉及的信息应在政务外网上传输,与互联网相联的网络,面向社会提供的一般应用服务及信息发布,包括各类公开信息和非敏感的社会服务。

面对如此复杂的应用环境,整个系统中任何一个不安全因素都会造成在平台上传送和存储的政务信息面临风险,产生不良后果。

电子政务网络是整个电子政务系统的基础设施,政务网络安全是电子政务安全的重要组成部分。

H3C多年来建设了大量国家级、省部级和各级政府的电子政务网络,具有丰富的电子政务网络和安全建设经验,对于电子政务安全建设,H3C提供了整体安全解决方案,包括五大解决方案:边界防护方案、远程安全接入方案、行为监管方案、数据中心保护方案、内网安全方案。

2政务安全解决方案2、1远程安全接入解决方案电子政务网络的一个基本功能是为政府各局委办部门提供接入服务,大部分政府部门通过专线接入政务网核心,但一些部门往往分散分布在城市各个区域,所处的地点难以提供专线线路,有的派出机构人数较少,使用专线成本较高,还有数量众多的基层单位,难以一一通过专线线路接入。

此外,政府工作人员在出差、在家办公也需要访问政务网络中的应用系统,这些都要求提供一种低成本的安全接入方式。

H3C的远程接入解决方案是一种高性价比的安全的接入方案,在INTERNET ±提供虚拟专线的服务,为分散单位和个人接入政务网络提供可能。

H3C-安全域-整本手册

1. 组网需求 某公司以 SecBlade 防火墙作为网络边界防火墙,连接公司内部网络和 Internet。公司需要对外提供 WWW 和 FTP 服务。 现需要对防火墙进行一些安全域的基本配置,为后面的安全策略的设置做好准备。 图1-5 配置安全域组网图
Trust
SecBlade
XGE 0 /0.1
表12创建安全域的详细配置配置项说明安全域id安全域id在同一个虚拟防火墙中必须唯一安全域名安全域名称13配置项说明优先级设置安全域的优先级缺省情况下允许从高优先级安全域到低优先级安全域方向的报文通过共享指定安全域是否可以被其他虚拟防火墙访问可点击返回表11安全域配置步骤
目录
1 安全域管理 ........................................................................................................................................ 1-1 1.1 概述 ................................................................................................................................................... 1-1 1.2 配置安全域 ........................................................................................................................................ 1-1 1.2.1 配置概述 ................................................................................................................................. 1-1 1.2.2 创建安全域.............................................................................................................................. 1-2 1.2.3 添加接口到安全域................................................................................................................... 1-3 1.3 安全域典型配置举例.......................................................................................................................... 1-4

H3C_EAD安全解决方案及实施步骤

H3C EAD安全解决方案指导书实施方案二零一零年十二月四日目录1 EAD解决方案介绍 (3)1.1EAD系统介绍 (3)2 EAD解决方案实施指导 (4)2。

1 802.1X认证方式 (4)2。

1.1协议综述 (4)2.1.2802。

1X认证体系的结构 (5)2.1。

3802。

1x典型组网 (5)2.1。

4802。

1x与其他认证协议的简单比较 (8)2。

2 P ORTAL认证方式 (8)2.2.1 Portal协议概述 (8)2。

2。

3 .......................................................................................... p ortal典型组网112.2。

4 ................................................................. p ortal协议旁挂方式认证流程图142.2.5 portal两种方式组网的优缺点 (14)2。

3L2TP VPN EAD (14)2。

4无线EAD (15)3 INODE客户端安装及配置 (16)3.1I N ODE客户端软件安装的软硬件环境需求 (16)3.2 各种环境下I N ODE客户端的安装指导 (17)3。

2.1802。

1x环境下的iNode客户端安装过程 (17)3.2。

2 Portal环境下iNode软件的安装 (19)3.2。

3l2tp环境下的iNode软件的安装 (22)3。

3 I N ODE终端配置 (22)3。

3.1802.1x组网环境终端配置 (22)3。

3.2Portal环境下客户端设置 (27)3.3.3L2TP环境下iNode软件的设置 (31)4 接入设备端配置 (35)4。

18021X环境下接入层设备配置举例 (35)4。

2PORTAL环境下接入设备的配置 (40)4。

3L2TP-VPN终端设备配置 (42)5 RADIUS服务器配置 (45)5。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C安全部署最佳部署解决方案 安全部署最佳部署解决方案
日期:2007.07 杭州华三通信技术有限公司
目录
•企业整体安全部署 •园区边界之安全分区 •园区边界之安全网关部署 •园区边界之流量分析部署 •园区边界之病毒防护部署 •园区边界之日志管理部署

1
企业网整体安全部署
Internet/WAN
园区网络

12
专业安全设备园区出口边界安全
园区边界
公共服务器
分支机构VPN网关 分支机构VPN网关 VPN
园区网
VPN网关 VPN网关 Interne t 防火墙 移动用户 出口路由器
WAN
IPS
分支机构
ห้องสมุดไป่ตู้
园区网与外界网络互连 出口包括Internet/WAN 几部分 公共服务器对外部提供 WWW/E-MAIL等服务 移动用户可以通过 Internet建立VPN接入园 区网 远程分支机构可以通过 Internet建立VPN接入园 区网,也可以通过私有 的WAN网络接入园区网 部署专业的防火墙、VPN 和IPS等设备增加边界安 全性 通过在防火墙上配置NAM 板实现出口流量监控

7
安全区域划分
安全区域划分方法:
纵向划分: 纵向划分:根据网络业务和用户访问权限对具有相同访问需求的用户划分进入同 一安全区域。

8
目录
•企业整体安全部署 •园区边界之安全分区 •园区边界之安全网关部署 •园区边界之流量分析部署 •园区边界之病毒防护部署 •园区边界之日志管理部署

专业安全设备园区出口边界安全部署
园区边界
公共服务器
总部VPN网关
SecPath V1000-A
分支机构VPN网关
远程分支机构 Internet 出口路由器 Interne t VPN网关 VPN网关 防火墙 移动用户 IPS IPS 园区网
SecPath V100-S
防火墙
SecPath F1800-A SecPath F1000-A
⑩ ⑧
⑤ ①
Private WAN


③ ⑨
外部服务器安全 园区边界出口安全 数据中心安全 专网分支机构安全 端点准入防御 ⑦ ⑧ ⑨ Internet分支机构安全 汇聚交换机集成安全 核心交换机集成安全 ① ② ③ ④ ⑤ ⑥ 管理中心安全


设备防攻击、SSH、SFTP、基于用户级别的管理、DHCP option 82安全特性、DHCP SecCenter安全事件管理中心, XLOG日志中心 Over IPSec、IPSec Over L2TP/GRE ACL访问控制、ASPF状态防火墙、防DDOS攻击、邮件内容过滤、拥塞管理、安 DMZ区、IPS深度检测防御、设备防攻击、SSH、SFTP IPSec、IPSec Over L2TP/GRE L2TP、GRE、IPSec/IKE、L2TP/GRE Over ACL包过滤、ASPF状态防火墙、攻击防范(DoS、DDoS)、异常流 L2TP、GRE、IPSec/IKE、L2TP/GRE EAD 设备防攻击、SSH、SFTP、基于用户级别的管理、端口镜像、端口流量抑制、路由协 snooping防止IP仿冒、DHCP snooping防止ARP仿冒、Port security 实现MAC地址 flooding 全日志 量监控、深度检测、L4-L7层的安全、病毒防范、木马攻击防范、BT等 防御、802.1x认证、STP边缘端口和bpdu保护、组播源抑制、端口环回检测、ARP限速 议验证、SecBlade FW 业务管理、防火墙NSM板对数据中心流量进行分析及安全监控 汇聚交换机L3+板和Xlog配合对园区进行流量分析 防火墙NSM板对园区出口进行流量分析及安全监控

4
目录
•企业整体安全部署 •园区边界之安全分区 •园区边界之安全网关部署 •园区边界之流量分析部署 •园区边界之病毒防护部署 •园区边界之日志管理部署

5
不区分安全区域的园区网
外部服务器
不区分信任域的园区网
管理员
网络中的所有用户共在 一个开放的网络环境中

9
园区网络边界定义
在园区网的设计中按照区域的划分会产生多个边界网络 边界网络的定义是园区网连接到广域网/Internet等外部网络的边缘区域 通常对于园区的边界有以下几种定义 广域网出口 公共服务器区域 分支结构VPN 远程用户VPN PSTN拨号用户 Internet出口


19
园区多出口网关集成边界安全部署
公共服务器
总部防火墙 /VPN网关
SecPath F100/F1000
远程分支机构 Internet 出口路由器 IPS Interne t IPS 防火墙 /VPN/NAT 移动用户 远程拨号用户 园区网
分支机构VPN网关
SecPath V100-S
Internet/ WAN
专网分支机构
专网WAN 专网WAN 出口路由器
园区网与外界网络互连出 口包括Internet/PSTN和 WAN几部分 公共服务器对外部提供 WWW/E-MAIL等服务 移动用户可以通过 Internet建立VPN接入园 区网 远程分支机构可以通过 Internet建立VPN接入园 区网,也可以通过私有的 WAN网络接入园区网 部署专业的防火墙、VPN 和IPS等设备增加边界安 全性 园区出口部署双VPN网关 实现负载均衡和备份,部 署双防火墙实现状态热备 ,提供高可靠性 通过在防火墙/路由器上 配置NSM/NAM板实现出口 流量监控 16
防火墙 IPS
Interne t
IPS
移动用户 出口路由器
WAN
TippingPoint-50 TippingPoint-200E
出口路由器
MSR50/30/20 AR28/46 流量监控 NSM NAM
分支机构

14
专业安全设备园区出口边界安全部署
园区边界
公共服务器
分支机构VPN网关 分支机构VPN网关 VPN
Internet/ WAN
专网分支机构
专网WAN 专网WAN 出口路由器
园区网与外界网络互连出 口包括Internet/PSTN和 WAN几部分 公共服务器对外部提供 WWW/E-MAIL等服务 移动用户可以通过 Internet建立VPN接入园区 网 远程分支机构可以通过 Internet建立VPN接入园区 网,也可以通过私有的WAN 网络接入园区网 通过一台设备支持防火墙 &VPN功能,降低组网成本 园区出口部署高可靠方案 实现负载分担和冗余备份 通过在防火墙/路由器上配 置NSM/NAM板实现出口流量 监控
出口路由器
L2TP/GRE/IPSec NAT ACL访问控制 ASPF 深度业务监控 防病毒/防DoS攻击 SSH 异常流量监控 流量分析监控
分支机构

15
专业安全设备园区出口边界安全部署
园区边界
公共服务器
远程分支机构 Internet 出口路由器 Interne t VPN网关 VPN网关 防火墙 移动用户 IPS IPS 园区网
⑩ ⑧
⑤ ①
Private WAN


③ ⑨


① 端点准入防御 ④ 数据中心安全 ⑦ 园区边界出口安全 ② 汇聚交换机安全 ⑤ 外部服务器安全 ⑧ 专网分支机构安全 ③ 核心交换机集成安全 ⑥ 安全管理中心 ⑨ Internet分支机构安全

2
企业网整体安全
Internet/WAN
WAN出口路由器
Internet/ WAN L2TP/GRE/IPSec NAT ACL访问控制 ASPF 深度业务监控 防病毒/防DoS攻击 SSH 异常流量监控 流量分析监控
专网分支机构
专网WAN 专网WAN 出口路由器

18
园区多出口网关集成边界安全部署
公共服务器
远程分支机构 Internet 出口路由器 IPS Interne t IPS 防火墙 /VPN/NAT 移动用户 远程拨号用户 园区网
VPN网关 公共服务器
IPSec VPN GRE over IPSec L2TP over IPSec SSL VPN
Internet出口路由器
L2TP/GRE/IPSec NAT ACL访问控制 ASPF 深度业务监控 防病毒/防DoS攻击 SSH 异常流量监控 流量分析监控
Internet 出口路由器 (可选) 可选) 路由器/ 路由器/ 安全网关/ 安全网关/ VPN网关 VPN网关

13
专业安全设备园区出口边界安全
园区边界
公共服务器
分支机构VPN网关 分支机构VPN网关 VPN
总部VPN网关
SecPath V100-S SecPath V1000-A
分支机构VPN网关
SecPath V100-S 园区网
VPN网关 VPN网关
防火墙
SecPath F1000-S SecPath F1000-A
IPS
深度检测防御 防病毒攻击 防DoS攻击 防蠕虫病毒 防木马病毒
公共服务器
远程分支机构 Internet 出口路由器 Interne t VPN网关 VPN网关 防火墙 移动用户 IPS IPS 园区网
Internet出口路由器
ACL访问控制 路由协议认证 设备访问安全SSH
防火墙 VPN网关
VRRP+ IPSec GREoverIPSEC+VRRP L2TP over IPSec+VRRP ACL访问控制 ASFP状态检测 防DoS攻击 DMZ区 状态热备 NAT
10
单设备园区出口边界安全
园区边界
典型的单设备园区网出口 仅有Internet一个边界出 口与外部网络互连 有一个公共服务器区对外 部提供WWW/E-MAIL等服务 远程用户(包括移动接入 用户和小型分支节点)通 过Internet建立VPN隧道接 入到园区网络内 边界安全设计要求设备成 本低,通常将出口路由器 和VPN安全网关/防火墙集 成在一台出口设备上 通过在路由器上配置NAM板 实现出口流量监控