華為典型安全場景解決方案

華為安全部署場景及解決方案華為等保解決方案設計思想1安全管理中心2通信網(wǎng)絡防護3安全邊界防護4計算環(huán)境防護核心信息資產(chǎn)邊界安全防護邊界已知威脅全面防護未知威脅深度防護計算環(huán)境安全防護主機安全應用安全數(shù)據(jù)安全安全管理中心統(tǒng)一管理集中審計安全態(tài)勢感知通信網(wǎng)絡安全防護傳輸信息加密可信接入保護物理環(huán)境建設“一個中心”管理下的“三重防護”體系園區(qū)安全解決方案Internet辦公區(qū)研發(fā)區(qū)生產(chǎn)區(qū)內(nèi)部服務器區(qū)DMZ區(qū)ASGASG財務區(qū)NIPUSGUSGUSGWAFUSG方案說明在網(wǎng)絡出口部署USG防火墻，對Internet進行第一層隔離防護，F(xiàn)ireHunter旁路部署對未知威脅進行檢測，與NGFW聯(lián)動對未知威脅進行攔截在DMZ區(qū)域部署專業(yè)的NIP設備，防止外部用戶和內(nèi)部對DMZ區(qū)服務器的各種攻擊，包括跨站攻擊、SQL注入等。在核心交換機上旁路部署SVN設備，對遠程訪問內(nèi)網(wǎng)數(shù)據(jù)流進行加密，保證數(shù)據(jù)傳輸安全。針對企業(yè)內(nèi)部不同區(qū)域的重要程度，需要在重要的區(qū)域前端部署USG設備，將給區(qū)域進行有效的安全隔離。另外，在WEB服務器前端建議部署WAF應用防火墻攔截針對WEB應用的攻擊。分支機構(gòu)USG上下游合作伙伴…SVNSVN堡壘機USGFireHunterExecutiveR&DDMZMKT互聯(lián)網(wǎng)出口訪客/網(wǎng)吧區(qū)…市場研發(fā)行政數(shù)據(jù)中心園區(qū)接入運維管理區(qū)安全產(chǎn)品典型部署場景互聯(lián)網(wǎng)出口數(shù)據(jù)中心園區(qū)接入運維管理區(qū)防護網(wǎng)絡層威脅抗DDoS攻擊設備下一代防火墻(含IPS、防病毒)未知威脅檢測沙箱防護網(wǎng)絡層\應用\主機層威脅Web防火墻IPS設備（或下一代防火墻）防護網(wǎng)絡層\主機層威脅網(wǎng)絡準入控制主機防病毒管理安全日志審計運維審計大數(shù)據(jù)安全分析NGFW抗DDoS沙箱NGFWNGFWNGFW運維審計大數(shù)據(jù)安全分析主機殺軟終端安全管理WAFIPS分支接入InternetNGFW分支接入防護網(wǎng)絡層\主機層威脅下一代防火墻（VPN、安全審計）DB審計日志審計園區(qū)勒索病毒防護方案FilesResultsNGFW本地沙箱類型華為H3C山石啟明天融信深信服360本地沙箱有無無有，弱有無有，弱云沙箱有無有無無有無防火墻與沙箱聯(lián)動有無無無無無無國內(nèi)唯一，小型化自動閉環(huán)APT方案！未知病毒檢測：沙箱檢測未知新型勒索病毒自動閉環(huán)阻斷：防火墻同步沙箱檢測結(jié)果，自動閉環(huán)阻斷勒索病毒的內(nèi)網(wǎng)擴散分支互聯(lián)安全解決方案Internet（IPSECVPN）

總部SVN分支機構(gòu)分支機構(gòu)分支機構(gòu)USGUSGUSG方案說明分支與總部之間、分支機構(gòu)與分支結(jié)構(gòu)之間通過USG防火墻設備進行安全互聯(lián)，機構(gòu)之間的數(shù)據(jù)傳輸通過IPSecVPN技術(shù)進行加密，保證數(shù)據(jù)傳輸?shù)陌踩浴Ｍ瑫r在USG設備上開啟AV反病毒和IPS入侵防御功能，對網(wǎng)絡攻擊進行有效地防御，防止病毒在分支和總部之間的傳播、防止垃圾郵件泛濫等安全，還能夠有效地防范網(wǎng)絡中面臨的各種應用層攻擊。對于移動辦公的需求，可以通過SSLVPN對傳輸數(shù)據(jù)進行加密，防止數(shù)據(jù)被竊取或篡改SSLVPN遠程接入

USGVPN網(wǎng)關(guān)會自動探測IPSec隧道質(zhì)量，根據(jù)探測結(jié)果動態(tài)切換到高質(zhì)量的IPSec隧道支持安全+Wlan+LTE款型小型分支多合一安全網(wǎng)關(guān)部署挑戰(zhàn)創(chuàng)新網(wǎng)絡質(zhì)量不穩(wěn)定的地區(qū)，如偏遠山區(qū)VPN鏈路作為專線備份，鏈路質(zhì)量要求高總部和分支都有多個公網(wǎng)出口價值保障IPSec隧道質(zhì)量，減少網(wǎng)絡穩(wěn)定性對業(yè)務流量造成的影響確保分支和總部之間始終使用滿足高質(zhì)量的IPSec隧道通信在IPSec足夠穩(wěn)定安全的情況下，可減少偏遠地區(qū)對專線租用的依賴。Internet總部分支VPNAVPNBISP1ISP2分支多出口場景方案優(yōu)勢：可對接24+以上公安網(wǎng)監(jiān)平臺用戶上下線的日志通過ASG來發(fā)送給后臺系統(tǒng)，AC只需把用戶上下線的信息同步到ASG，無需和后臺系統(tǒng)對接分支無線非經(jīng)方案前端系統(tǒng)后臺系統(tǒng)（公安）XX地市業(yè)務中心（公共無線管控平臺）ASGAgileControllerWLANAC

FTP+BCP方式上傳審計數(shù)據(jù)（用戶上網(wǎng)日志、用戶網(wǎng)絡虛擬身份軌跡）

同步場所信息、設備信息場所信息、設備信息、安全廠商信息

命令配置到ASG

信息同步信息同步FTP+BCP方式上傳審計數(shù)據(jù)（用戶終端上下線日志）123456管理中心InternetUSGUSGWAFUSGUSG核心業(yè)務區(qū)WEB服務器應用服務器數(shù)據(jù)災備區(qū)USGUSGNIPNIP方案說明在互聯(lián)網(wǎng)出口，雙機部署USG防火墻對數(shù)據(jù)中心進行隔離防護，同時部署NIP入侵防御設備，阻斷外界對數(shù)據(jù)中心的應用層攻擊,旁路部署FireHunter沙箱對未知威脅進行檢測。在數(shù)據(jù)中心的管理區(qū)，部署USG或NIP設備，阻斷各層面對管理區(qū)的威脅，部署UMA堡壘機對運維行為進行監(jiān)控和審計；在數(shù)據(jù)中心內(nèi)部，按照不同區(qū)域的重要程度進行分區(qū)，對重要的分區(qū)，如核心業(yè)務區(qū)，應用服務器區(qū)等，配置USG實現(xiàn)安全的區(qū)域隔離，同時在這些區(qū)域，開啟IPS功能，阻止對這些重要區(qū)域的攻擊行為，保證這些業(yè)務的安全DDoS管理中心非核心業(yè)務區(qū)…USG堡壘機eLogFireHuntereSight數(shù)據(jù)中心安全解決方案華為二級等保解決方案日志審計系統(tǒng)辦公用戶辦公用戶網(wǎng)絡邊界區(qū)WEB服務器E-mail服務器NGFW管理區(qū)堡壘機NGFWAPT沙箱NGFW數(shù)據(jù)庫服務器ISP2ISP1服務器區(qū)辦公區(qū)NGFWIDS紅色字體：安全設備公眾用戶遠程辦公分支機構(gòu)、辦事處WAFIPS華為三級等保解決方案基礎版日志審計系統(tǒng)辦公用戶辦公用戶網(wǎng)絡邊界區(qū)DDoS檢測中心DDoS清洗中心抗DDoS管理WEB服務器E-mail服務器NGFW管理區(qū)網(wǎng)絡管理平臺堡壘機NGFWAPT沙箱NGFW數(shù)據(jù)庫服務器ISP2ISP1服務器區(qū)辦公區(qū)NGFWWAFIPS紅色字體：等保設備公眾用戶遠程辦公分支機構(gòu)、辦事處IPSWAFSSLVPNSSLVPNIPS華為三級等保解決方案高級版數(shù)據(jù)庫審計網(wǎng)絡邊界區(qū)DDoS檢測中心DDoS清洗中心抗DDoS管理WEB服務器E-mail服務器NGFW管理區(qū)網(wǎng)絡管理平臺堡壘機終端安全管理NGFW漏洞掃描日志審計系統(tǒng)APT沙箱防病毒網(wǎng)關(guān)NGFW數(shù)據(jù)庫