应用背景
广域网确保了总部和各级分支机构之间的互联互通,但是,随着广域网上各种应用的业务量和复杂度不断提升,其安全及性能问题变得越来越突出,主要问题包括:
访问控制:如何实现各分支机构和总部间、各分支机构之间复杂的访问控制?
安全威胁:边远分支机构的安全级别低、安全管理松散,易引入蠕虫、木马、病毒、黑客等,如何防范这些安全威胁在广域网上快速扩散?
带宽保障:非关键业务或垃圾流量占用了有限的广域网带宽资源,造成广域网拥塞,如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度?
安全管理:如何实现广域网集中的安全管理,整网部署统一的安全策略,进行统一的安全事件监控?
H3C新一代广域网安全解决方案全面地考虑了广域网的安全问题和性能问题,通过部署H3C的防火墙、IPS、ACG、UTM、SecCenter等安全产品组成了立体的安全防御和性能优化体系,确保了广域网的高安全和高性能。
总部安全设计
总部包含了广域网业务的核心数据,安全级别最高,所以在总部的广域网出口采用功能专一的安全设备实现安全防护和性能保护。另外,对于大型广域网的总部,H3C可以提供高端万兆的安全产品F5000、T5000、ACG8800,以满足大型广域网总部对安全业务的高性能需求。
防火墙实现分支机构针对总部资源的访问控制,H3C防火墙具有虚拟化、ACL加速等技术优势,其虚拟化特性可大大简化访问控制策略的部署,ACL加速特性可提升总部大业务量下的访问控制效率。
IPS产品实现应用层安全威胁防御,H3C IPS具有三库合一、高性能等技术优势,其中病毒特征库采用了专业防病毒厂商卡巴斯基授权的SafeStream库,可以有效防护各种诡异的混合型安全威胁;其独特的FIRST引擎技术可保证IPS开启所有特征规则(上万条)后,性能不衰减。同时,H3C IPS产品可以有效阻断蠕虫、病毒等产生的扫描探测流量,以避免这些垃圾流量侵蚀宝贵的广域网带宽资源。
ACG产品实现广域网带宽优化,H3C ACG可识别各种广域网业务,如Notes等办公业务、电力调度业务、Oracle等数据库业务、视频会议、SNMP等网管业务;并提供自定义协议接口,可根据客户自身应用的负载特征和交互特征自定义应用协议。在识别出各种广域网业务的基础上,ACG可对关键业务进行带宽保证,对其他业务按优先级进行智能流量调度。同时,对于广域网上的一些网络滥用业务(如在线多媒体、上传下载等),ACG可自动识别并进行限流或阻断。
二级网安全设计
二级网在整个广域网中承上启下,安全级别较高,访问控制策略复杂,所以在二级网的广域网出口采用功能专一的安全设备实现安全防护和性能保护。
相对总部而言,二级网的流量相对较小,所以,对于大型广域网的二级网,可以采用H3C高端千兆安全产品F1000、T1000、ACG2000等,在确保获得专业安全业务的同时,又能满足二级网对性能的需求。
三级网安全设计
三级网的安全级别相对较低,但分布广、网点多,要求安全设备易管理、易部署,所以在三级网的广域网出口部署功能综合的安全产品UTM。H3C UTM集成了防火墙、IPS、防病毒、带宽管理等功能,同时支持基于TR069的安全策略分发,非常方便于远程分支机构的安全业务部署。
安全管理设计
在总部部署H3C的安全管理平台SecCenter,实现广域网全网安全威胁统一监控和安全策略统一管理。对于大型的广域网,还需要在二级网也部署SecCenter,实现分级的安全管理。
方案特点
立体化的安全防护
通过防火墙和IPS的有机结合和功能互补,为用户提供2-7层的全面安全防护,确保了总部和二级网的安全,同时UTM综合的安全功能确保了三级网的安全。H3C IPS、UTM可以定期更新攻击特征和病毒特征规则,为用户提供持续的专业安全保护。
精细化的流量调度和广域网带宽优化
通过ACG的7层QoS功能,可以针对各种关键业务进行带宽保障和带宽的动态分配,实现精细化流量调度,节约带宽资源。H3C ACG产品可根据报文负载特征识别包括广域网常见应用在内的3000多种应用协议,并可以根据不同用户广域网的特殊业务定制协议特征。在识别后,H3C ACG可以定义出最多三层通道,在每层通道里都可以部署精细化的流量调度策略,包括带宽保证、带宽借用、带宽限制、封堵、连接限制、优先级改写等,可方便地实现对广域网关键业务(如视频会议等)的带宽保证,对滥用业务(如上传下载等)的限制;同时,H3C ACG支持通道带宽的动态分配,并根据用户数量的变化动态调整带宽分配,保证带宽资源高效与公平利用。
安全与网络的融合
H3C的防火墙、IPS、ACG等安全业务都可通过插卡的形式嵌入到广域网路由器或交换机上,形成融合的安全解决方案,可减少管理运维成本、提高整网可靠性。同时,H3C的安全产品与广域网上的网络设备和EAD终端形成整网联动,构建动态的安全防御体系。
高性能
H3C的安全产品全线采用了多核分布式架构,安全业务并行处理,显著降低处理时延。其中,H3C IPS产品的入侵防御引擎采用了多项国家专利技术,可确保开启所有(上万条)攻击特征规则和病毒特征规则时,性能不衰减。
易管理
通过SecCenter实现广域网全网安全策略的统一管理、实现全网安全事件的统一监控,通过TR069可方便地对分支端设备进行策略分发。