廣域網(wǎng)安全與優(yōu)化解決方案

WAN連接地理范圍較大，常常是一個國家或是一個洲。其目的是為了讓分布較遠(yuǎn)的各局域網(wǎng)互連，所以它的結(jié)構(gòu)又分為末端系統(tǒng)(兩端的用戶集合)和通信系統(tǒng)(中間鏈路)兩部分。下面是廣域網(wǎng)安全與優(yōu)化解決方案，為大家提供參考。

一、 應(yīng)用背景

(資料圖片)

廣域網(wǎng)確保了總部和各級分支機(jī)構(gòu)之間的互聯(lián)互通，但是，隨著廣域網(wǎng)上各種應(yīng)用的業(yè)務(wù)量和復(fù)雜度不斷提升，其安全及性能問題變得越來越突出，主要問題包括：

訪問控制：如何實現(xiàn)各分支機(jī)構(gòu)和總部間、各分支機(jī)構(gòu)之間復(fù)雜的訪問控制?

安全威脅：邊遠(yuǎn)分支機(jī)構(gòu)的安全級別低、安全管理松散，易引入蠕蟲、木馬、病毒、黑客等，如何防范這些安全威脅在廣域網(wǎng)上快速擴(kuò)散?

帶寬保障：非關(guān)鍵業(yè)務(wù)或垃圾流量占用了有限的廣域網(wǎng)帶寬資源，造成廣域網(wǎng)擁塞，如何保證數(shù)據(jù)流在廣域網(wǎng)中按業(yè)務(wù)的重要程度進(jìn)行不同優(yōu)先級的調(diào)度?

安全管理：如何實現(xiàn)廣域網(wǎng)集中的安全管理，整網(wǎng)部署統(tǒng)一的安全策略，進(jìn)行統(tǒng)一的安全事件監(jiān)控?

二、總部安全設(shè)計

總部包含了廣域網(wǎng)業(yè)務(wù)的核心數(shù)據(jù)，安全級別最高，所以在總部的廣域網(wǎng)出口采用功能專一的安全設(shè)備實現(xiàn)安全防護(hù)和性能保護(hù)。另外，對于大型廣域網(wǎng)的總部，H3C可以提供高端萬兆的安全產(chǎn)品F5000、T5000、ACG8800，以滿足大型廣域網(wǎng)總部對安全業(yè)務(wù)的高性能需求。

防火墻實現(xiàn)分支機(jī)構(gòu)針對總部資源的訪問控制，H3C防火墻具有虛擬化、ACL加速等技術(shù)優(yōu)勢，其虛擬化特性可大大簡化訪問控制策略的部署，ACL加速特性可提升總部大業(yè)務(wù)量下的訪問控制效率。

IPS產(chǎn)品實現(xiàn)應(yīng)用層安全威脅防御，H3C IPS具有三庫合一、高性能等技術(shù)優(yōu)勢，其中病毒特征庫采用了專業(yè)防病毒廠商卡巴斯基授權(quán)的`SafeStream庫，可以有效防護(hù)各種詭異的混合型安全威脅;其獨(dú)特的FIRST引擎技術(shù)可保證IPS開啟所有特征規(guī)則(上萬條)后，性能不衰減。同時，H3C IPS產(chǎn)品可以有效阻斷蠕蟲、病毒等產(chǎn)生的掃描探測流量，以避免這些垃圾流量侵蝕寶貴的廣域網(wǎng)帶寬資源。

ACG產(chǎn)品實現(xiàn)廣域網(wǎng)帶寬優(yōu)化，H3C ACG可識別各種廣域網(wǎng)業(yè)務(wù)，如Notes等辦公業(yè)務(wù)、電力調(diào)度業(yè)務(wù)、Oracle等數(shù)據(jù)庫業(yè)務(wù)、視頻會議、SNMP等網(wǎng)管業(yè)務(wù);并提供自定義協(xié)議接口，可根據(jù)客戶自身應(yīng)用的負(fù)載特征和交互特征自定義應(yīng)用協(xié)議。在識別出各種廣域網(wǎng)業(yè)務(wù)的基礎(chǔ)上，ACG可對關(guān)鍵業(yè)務(wù)進(jìn)行帶寬保證，對其他業(yè)務(wù)按優(yōu)先級進(jìn)行智能流量調(diào)度。同時，對于廣域網(wǎng)上的一些網(wǎng)絡(luò)濫用業(yè)務(wù)(如在線多媒體、上傳下載等)，ACG可自動識別并進(jìn)行限流或阻斷。

三、 二級網(wǎng)安全設(shè)計

二級網(wǎng)在整個廣域網(wǎng)中承上啟下，安全級別較高，訪問控制策略復(fù)雜，所以在二級網(wǎng)的廣域網(wǎng)出口采用功能專一的安全設(shè)備實現(xiàn)安全防護(hù)和性能保護(hù)。 相對總部而言，二級網(wǎng)的流量相對較小，所以，對于大型廣域網(wǎng)的二級網(wǎng)，可以采用H3C高端千兆安全產(chǎn)品F1000、T1000、ACG2000等，在確保獲得專業(yè)安全業(yè)務(wù)的同時，又能滿足二級網(wǎng)對性能的需求。

四、 三級網(wǎng)安全設(shè)計

三級網(wǎng)的安全級別相對較低，但分布廣、網(wǎng)點多，要求安全設(shè)備易管理、易部署，所以在三級網(wǎng)的廣域網(wǎng)出口部署功能綜合的安全產(chǎn)品UTM。H3C UTM集成了防火墻、IPS、防病毒、帶寬管理等功能，同時支持基于TR069的安全策略分發(fā)，非常方便于遠(yuǎn)程分支機(jī)構(gòu)的安全業(yè)務(wù)部署。

安全管理設(shè)計

在總部部署H3C的安全管理平臺SecCenter，實現(xiàn)廣域網(wǎng)全網(wǎng)安全威脅統(tǒng)一監(jiān)控和安全策略統(tǒng)一管理。對于大型的廣域網(wǎng)，還需要在二級網(wǎng)也部署SecCenter，實現(xiàn)分級的安全管理。

五、方案特點

1.立體化的安全防護(hù)

通過防火墻和IPS的有機(jī)結(jié)合和功能互補(bǔ)，為用戶提供2-7層的全面安全防護(hù)，確保了總部和二級網(wǎng)的安全，同時UTM綜合的安全功能確保了三級網(wǎng)的安全。H3C IPS、UTM可以定期更新攻擊特征和病毒特征規(guī)則，為用戶提供持續(xù)的專業(yè)安全保護(hù)。

2. 精細(xì)化的流量調(diào)度和廣域網(wǎng)帶寬優(yōu)化

通過ACG的7層QoS功能，可以針對各種關(guān)鍵業(yè)務(wù)進(jìn)行帶寬保障和帶寬的動態(tài)分配，實現(xiàn)精細(xì)化流量調(diào)度，節(jié)約帶寬資源。H3C ACG產(chǎn)品可根據(jù)報文負(fù)載特征識別包括廣域網(wǎng)常見應(yīng)用在內(nèi)的3000多種應(yīng)用協(xié)議，并可以根據(jù)不同用戶廣域網(wǎng)的特殊業(yè)務(wù)定制協(xié)議特征。在識別后，H3C ACG可以定義出最多三層通道，在每層通道里都可以部署精細(xì)化的流量調(diào)度策略，包括帶寬保證、帶寬借用、帶寬限制、封堵、連接限制、優(yōu)先級改寫等， 可方便地實現(xiàn)對廣域網(wǎng)關(guān)鍵業(yè)務(wù)(如視頻會議等)的帶寬保證，對濫用業(yè)務(wù)(如上傳下載等)的限制;同時，H3C ACG支持通道帶寬的動態(tài)分配，并根據(jù)用戶數(shù)量的變化動態(tài)調(diào)整帶寬分配，保證帶寬資源高效與公平利用。

3. 安全與網(wǎng)絡(luò)的融合

H3C的防火墻、IPS、ACG等安全業(yè)務(wù)都可通過插卡的形式嵌入到廣域網(wǎng)路由器或交換機(jī)上，形成融合的安全解決方案，可減少管理運(yùn)維成本、提高整網(wǎng)可靠性。同時，H3C的安全產(chǎn)品與廣域網(wǎng)上的網(wǎng)絡(luò)設(shè)備和EAD終端形成整網(wǎng)聯(lián)動，構(gòu)建動態(tài)的安全防御體系。

4.高性能

H3C的安全產(chǎn)品全線采用了多核分布式架構(gòu)，安全業(yè)務(wù)并行處理，顯著降低處理時延。其中，H3C IPS產(chǎn)品的入侵防御引擎采用了多項國家專利技術(shù)，可確保開啟所有(上萬條)攻擊特征規(guī)則和病毒特征規(guī)則時，性能不衰減。

5.易管理

通過SecCenter實現(xiàn)廣域網(wǎng)全網(wǎng)安全策略的統(tǒng)一管理、實現(xiàn)全網(wǎng)安全事件的統(tǒng)一監(jiān)控，通過TR069可方便地對分支端設(shè)備進(jìn)行策略分發(fā)。