解決方案 Solutions
最新資訊 New
2015/3/5
華為與百度簽署合作(zuò)備忘錄 共
2015/3/5
華為聯合英運營商建全球最快4
2015/3/5
華為雲南合作(zuò)夥伴新春答(dá)謝暨頒
2015/3/3
MWC 2015,定義5G—
2015/3/3
華為發布LTE-A Ever
搜索   Search
你(nǐ)的位置:首頁 > 解決方案 > 華為解決方案

華為電(diàn)子政務外網互聯網出口解決方案

2014/10/2 17:01:54點擊:

需求與挑戰

作(zuò)為整個(gè)電(diàn)子政務外網訪問互聯網的出口,同時(shí)承擔着兩方面的作(zuò)用:一是電(diàn)子政務外網的所有(yǒu)用戶訪問互聯網的出口;二是為公衆提供訪問政府信息的入口,同時(shí)也是可(kě)信用戶通(tōng)過互聯網訪問政務外網的唯一通(tōng)道(dào)。

為了統一管理(lǐ)互聯網出口的帶寬流量和(hé)安全,政府也逐步減少(shǎo)中央、省、市的互聯網出口數(shù)量。同時(shí),業務集中辦理(lǐ)和(hé)信息共享與協同,也促使數(shù)據中心的數(shù)量逐漸變少(shǎo),這也是各個(gè)國家(jiā)普遍的發展思路。但(dàn)是,這就造成政府業務流量更加集中化,安全環境更加複雜,需要一套完整的解決方案來(lái)支撐國家(jiā)的發展戰略。

電(diàn)子政務外網是辦公網和(hé)數(shù)據中心相結合的網絡,該網絡既要滿足外網日常辦公需要,同時(shí)其數(shù)據中心承載的外網數(shù)據還(hái)要對外提供訪問,互聯網出口是整個(gè)政府與外界信息交互的主要途徑,所以對于出口交互的各種重要數(shù)據和(hé)應用服務的安全性,必須要進行(xíng)全面的保障。

因此,政務外網互聯網出口,面臨兩大(dà)挑戰:網絡帶寬優化和(hé)網絡安全防護。

網絡帶寬優化

(1) 多(duō)級NAT性能瓶頸

由于政務外網的層級和(hé)行(xíng)政管理(lǐ)的級别對應,地方IP地址段與縱向VPN地址沖突,會(huì)出現多(duō)級NAT問題。一方面,政務園區(qū)網使用私有(yǒu)地址,訪問Internet需要進行(xíng)NAT;另一方面,即使園區(qū)網絡通(tōng)過 電(diàn)信或者 網通(tōng)的線路訪問外部資源,仍然需要進行(xíng)NAT。多(duō)級NAT成了上(shàng)網速度慢的一個(gè)重要原因,設備高(gāo)NAT轉發性能才能解決。

(2) 多(duō)鏈路負載均衡

等級保護要求互聯網出口充分考慮到架構和(hé)設備的冗餘,在與互聯網的線路連接的設備承載大(dà)容量的業務,需要在一台設備上(shàng)同時(shí)實現多(duō)線路的負載均衡,動态調整不同鏈路的帶寬占用比例,優化網絡性能。

(3) 互聯網緩存

用戶浏覽網頁等行(xíng)為屬于用戶體(tǐ)驗非常敏感的應用,除了需要帶寬保障外,還(hái)需要保障端到端的延時(shí),希望能夠把主流的互聯網出口流量緩存到網內(nèi),從而大(dà)幅度降低(dī)互聯網出口的帶寬擴容壓力,減少(shǎo)互聯網出口帶寬租賃費用,并有(yǒu)效的提升政務外網用戶的上(shàng)網體(tǐ)驗。

網絡安全防護

(1) 網絡中數(shù)據中心和(hé)辦公區(qū)網絡通(tōng)過核心交換進行(xíng)互聯,因特網用戶安全隐患可(kě)能會(huì)影(yǐng)響到電(diàn)子政務外網數(shù)據中心網絡的安全性;

(2) 外來(lái)人(rén)員進入電(diàn)子政務外網網絡由于自身安全級别不夠帶來(lái)安全隐患;

(3) 內(nèi)網用戶登錄行(xíng)為無認證,無相關控制(zhì)手段,任何人(rén)使用筆記本均可(kě)以實現對電(diàn)子政務外網網絡的訪問;

(4) 對于來(lái)自互聯網的安全攻擊,需要進行(xíng)流量清洗和(hé)安全監測;

(5) 政府網站是政務對外的主要窗口,辦事大(dà)廳是和(hé)社會(huì)公衆交互主要手段,業務系統的安全防護是至關重要的;

(6) 全網安全事件無法監控,日志(zhì)信息統一分析困難,隻能做(zuò)到事後審計(jì),無法做(zuò)到實時(shí)分析。

根據以上(shàng)問題,華為推出的政務外網互聯網出口解決方案,解決了政府的網絡性能優化和(hé)網絡安全立體(tǐ)防護問題,為中國電(diàn)子政務的發展提供強有(yǒu)力的ICT支撐。

電(diàn)子政務外網互聯網出口解決方案

總體(tǐ)方案

圖1 互聯網出口解決方案架構圖

解決方案是一個(gè)靈活的、可(kě)自由組合的方案,可(kě)根據實際防護能力的需求,進行(xíng)不同的組合,主要包括:防DDos攻擊、出口流量可(kě)視(shì)化分析、緩存加速、入侵監測/入侵防護、WEB應用防護、統一安全監控、上(shàng)網行(xíng)為管理(lǐ)、統一審計(jì)等。

防DDos攻擊方案

圖2 防DDos攻擊方案

華為方案特點:

  • 高(gāo)性能硬件平台
  • 旁路檢測
  • 自愈合網絡
  • 自動化響應
  • 全流量DPI檢測
  • 靈活多(duō)樣的部署

SIG流量可(kě)視(shì)化分析方案

圖3 流量可(kě)視(shì)化分析方案架構

對網絡中承載的應用進行(xíng)識别,并可(kě)以呈現不同的應用占用的帶寬是多(duō)少(shǎo),而且可(kě)以給不同應用設置優先級和(hé)帶寬比例,從而進行(xíng)智能流量管理(lǐ),保障政府優先級較高(gāo)的業務應用先行(xíng)通(tōng)過。

方案特點:

  • 多(duō)維度的流量流向分析,幫助政府全面掌握網內(nèi)用戶-流量-流向-業務的分布組成,為網絡優化提供數(shù)據支持;
  • 多(duō)維度的流量優化和(hé)帶寬管理(lǐ)手段,可(kě)以有(yǒu)效控制(zhì)機構寶貴帶寬資源的濫用,解決網絡擁塞問題,保障關鍵業務的服務質量,減緩擴容壓力,提升員工上(shàng)網體(tǐ)驗;
  • URL過濾 + 網絡應用控制(zhì) + 時(shí)間(jiān) + 用戶控制(zhì)功能,可(kě)以有(yǒu)效管理(lǐ)員工的上(shàng)網行(xíng)為,使其聚焦于工作(zuò);
  • 動态惡意網址過濾功能,可(kě)以有(yǒu)效保障員工的日常上(shàng)網安全;
  • 信息推送功能,為日常信息發布提供新的便捷手段。

iCache互聯網緩存方案

圖4 iCache互聯網緩存方案架構

方案特點:

  • 緩存平台采用将鏈路進行(xíng)分光和(hé)流量鏡像的旁路部署模式,不對現網的業務連續性造成影(yǐng)響。
  • 旁路部署時(shí),将網內(nèi)上(shàng)行(xíng)報文複制(zhì)一份給後端的iCache重定向子系統(RSS),RSS将網內(nèi)用戶的請(qǐng)求重定向到緩存平台,使用戶從緩存平台獲取資源。
  • 本緩存系統采用統一的管理(lǐ)系統集中化管理(lǐ)所有(yǒu)的緩存子系統。
  • 本緩存系統支持業務網絡與管理(lǐ)網絡分離,使用單獨的網絡進行(xíng)帶外管理(lǐ)。

入侵檢測/入侵防護方案

圖5 UTM+集成防火(huǒ)牆、入侵防護、防病毒等功能

方案特點:

  • 多(duō)種業務集成:Firewall、內(nèi)容過濾、流量控制(zhì)、上(shàng)網行(xíng)為管理(lǐ)等
  • 簡單有(yǒu)效的統一管理(lǐ)
  • 更低(dī)的TCO
  • 更好的支持和(hé)響應

WEB應用安全方案

圖6 WEB應用安全方案

方案特點:

  • 精準檢測:業內(nèi)最高(gāo)的注入攻擊檢出率>99%
  • 全面防護:攻擊全防禦+“零”中斷篡改恢複機制(zhì)+未知攻擊檢測能力
  • 絕佳用戶體(tǐ)驗:頁面緩存加速+策略自學習機制(zhì)+全透明(míng)部署
  • SQL攻擊高(gāo)檢出率、支持網頁防篡改、應用層DDoS防護、支持黑(hēi)白名單、攻擊者自動鎖定
  • 提供應用層保護,具有(yǒu)全面支持HTTPS、WEB應用實時(shí)深度防禦、應用加速及敏感信息洩露防護等功能,使網站更安全、使訪問更快速、使運維更輕松。
  • 通(tōng)過大(dà)量的漏洞挖掘與實踐工作(zuò),吸納了國內(nèi)外主流的安全漏洞庫特庫、主流CMS漏洞特征庫、主流掃描器(qì)特征庫,從而使防禦能力全面提升。
  • 經權威WEB漏掃測試漏報率0%,CMS兼容性測試,誤報率<3%。
  • 支持全透明(míng)部署模式,滿足等級保護等各類法律法規要求。

統一安全管理(lǐ)方案

圖7 統一安全管理(lǐ)方案

業務管理(lǐ)

  • 協議流量日志(zhì)分析
  • 上(shàng)網行(xíng)為追蹤和(hé)取證
  • 海量日志(zhì)存儲管理(lǐ)
  • 威脅防護、應用控制(zhì)管理(lǐ)

報表管理(lǐ)

  • 報表任務管理(lǐ)
  • 多(duō)粒度時(shí)間(jiān)周期報表
  • 自定義報表
  • 綜合報表

網元管理(lǐ)

  • 設備自動發現
  • 拓撲圖自動發現
  • 人(rén)性化故障告警
  • 性能指标采集

運營管理(lǐ)

  • 防禦策略管理(lǐ)
  • 業務集中配置管理(lǐ),
  • 報表呈現

上(shàng)網行(xíng)為管理(lǐ)方案

圖8 上(shàng)網行(xíng)為管理(lǐ)

方案特點:

  • 豐富的股票(piào)和(hé)遊戲類應用識别庫和(hé)不良網站分類庫
  • 全面互聯網行(xíng)為和(hé)外發內(nèi)容審計(jì),有(yǒu)效降低(dī)互聯網風險、滿足法律法規要求

統一安全審計(jì)方案

圖9 統一安全審計(jì)方案

方案特點:

  • 統一安全審計(jì)解決方案從體(tǐ)系架構上(shàng)可(kě)以分為5個(gè)層面:
  • 終端審計(jì):基于辦公終端,業務終端(包含移動智能終端)的各種操作(zuò),外設使用,網絡接入,以及文檔操作(zuò)行(xíng)為進行(xíng)監控審計(jì),對于違規行(xíng)為、操作(zuò)進行(xíng)記錄,告警;
  • 網絡審計(jì):針對internet網絡訪問行(xíng)為審計(jì),實現針對網絡訪問操作(zuò),內(nèi)容,協議的分析審計(jì);
  • 內(nèi)容與應用審計(jì):對核心業務系統,主機服務器(qì),以及辦公系統,重要的數(shù)據庫系統的訪問操作(zuò)的審計(jì),基于關鍵內(nèi)容,應用協議的分析審計(jì);
  • 運維審計(jì):基于對網絡設備,安全設備,主機,應用系統管理(lǐ)運維操作(zuò)審計(jì);
  • 審計(jì)監控平台:日志(zhì)收集,管理(lǐ),查詢;關聯分析,預警,溯源,審計(jì)報告;整體(tǐ)安全策略管控,聯動;

方案亮點

  • 滿足等級保護要求中對互聯網接入區(qū)的要求
  • 可(kě)視(shì)化全景監控視(shì)圖,在全網範圍內(nèi)收集所有(yǒu)安全事件,實現統一安全防護,消除“零小(xiǎo)時(shí)”威脅
  • 依托華為全球安全能力,整網聯動防禦,一點檢測,全局共享
  • 端到端事件關聯分析處理(lǐ)能力EPS>5000;預置130多(duō)個(gè)場(chǎng)景規則模闆,并可(kě)動态擴展,更準确的檢測出未知安全威脅;
  • 防火(huǒ)牆首家(jiā)雙主控牆、毫秒(miǎo)級主備倒換、99.9999%可(kě)靠性,100+DDoS攻擊防禦、秒(miǎo)級響應
  • 支持7層DDoS流量學習,支持直路防禦和(hé)旁路檢測, 支持1200+種應用識别

客戶價值

  • 流量可(kě)視(shì)化分析和(hé)監測,有(yǒu)助于運維人(rén)員方便的控制(zhì)帶寬優化,保障優先級别較高(gāo)的政府業務優先通(tōng)過。
  • 立體(tǐ)安全防護,免除來(lái)自互聯網的各種攻擊。
  • 統一審計(jì)對各種網絡行(xíng)為、運維操作(zuò)進行(xíng)記錄,有(yǒu)安全威脅時(shí)可(kě)以追溯。
  • WEB應用安全,保障了政府門(mén)戶網站和(hé)業務系統的安全運行(xíng)。
  • 以委辦局為單位進行(xíng)安全監測,及時(shí)定位安全問題。