广域网安全与优化解决方案.doc

广域网安全与优化解决方案 WAN连接地理范围较大常常是一个国家或是一个洲其目的是为了让分布较远的各局域网互连所以它的结构又分为末端系统(两端的用户集合)和通信系统(中间链路)两部分下面是广域网安全与优化解决方案为大家提供参考 一、应用背景 广域网确保了总部和各级分支机构之间的互联互通但是随着广域网上各种应用的业务量和复杂度不断提升其安全及性能问题变得越来越突出主要问题包括： 访问控制：如何实现各分支机构和总部间、各分支机构之间复杂的访问控制? 安全威胁：边远分支机构的安全级别低、安全管理松散易引入蠕虫、木马、病毒、黑客等如何防范这些安全威胁在广域网上快速扩散? 带宽保障：非关键业务或垃圾流量占用了有限的广域网带宽资源造成广域网拥塞如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度? 安全管理：如何实现广域网集中的安全管理整网部署统一的安全策略进行统一的安全事件监控? 二、总部安全设计 总部包含了广域网业务的核心数据安全级别最高所以在总部的广域网出口采用功能专一的安全设备实现安全防护和性能保护另外对于大型广域网的总部H3C可以提供高端万兆的安全产品F5000、T5000、ACG8800以满足大型广域网总部对安全业务的高性能需求 防火墙实现分支机构针对总部资源的访问控制H3C防火墙具有虚拟化、ACL加速等技术优势其虚拟化特性可大大简化访问控制策略的部署ACL加速特性可提升总部大业务量下的访问控制效率 IPS产品实现应用层安全威胁防御H3CIPS具有三库合一、高性能等技术优势其中病毒特征库采用了专业防病毒厂商卡巴斯基授权的SafeStream库可以有效防护各种诡异的混合型安全威胁;其独特的FIRST引擎技术可保证IPS开启所有特征规则(上万条)后性能不衰减同时H3CIPS产品可以有效阻断蠕虫、病毒等产生的扫描探测流量以避免这些垃圾流量侵蚀宝贵的广域网带宽资源 ACG产品实现广域网带宽优化H3CACG可识别各种广域网业务如Notes等办公业务、电力调度业务、Oracle等数据库业务、视频会议、SNMP等网管业务;并提供自定义协议接口可根据客户自身应用的负载特征和交互特征自定义应用协议在识别出各种广域网业务的基础上ACG可对关键业务进行带宽保证对其他业务按优先级进行智能流量调度同时对于广域网上的一些网络滥用业务(如在线多媒体、上传下载等)ACG可自动识别并进行限流或阻断 三、二级网安全设计 二级网在整个广域网中承上启下安全级别较高访问控制策略复杂所以在二级网的广域网出口采用功能专一的安全设备实现安全防护和性能保护相对总部而言二级网的流量相对较小所以对于大型广域网的二级网可以采用H3C高端千兆安全产品F1000、T1000、ACG2000等在确保获得专业安全业务的同时又能满足二级网对性能的需求 四、三级网安全设计 三级网的安全级别相对较低但分布广、网点多要求安全设备易管理、易部署所以在三级网的广域网出口部署功能综合的安全产品UTMH3CUTM集成了防火墙、IPS、防病毒、带宽管理等功能同时支持基于TR069的安全策略分发非常方便于远程分支机构的安全业务部署 安全管理设计 在总部部署H3C的安全管理平台SecCenter实现广域网全网安全威胁统一监控和安全策略统一管理对于大型的广域网还需要在二级网也部署SecCenter实现分级的安全管理 五、方案特点 1.立体化的安全防护 通过防火墙和IPS的有机结合和功能互补为用户提供27层的全面安全防护确保了总部和二级网的安全同时UTM综合的安全功能确保了三级网的安全H3CIPS、UTM可以定期更新攻击特征和病毒特征规则为用户提供持续的专业安全保护 2.精细化的流量调度和广域网带宽优化 通过ACG的7层QoS功能可以针对各种关键业务进行带宽保障和带宽的动态分配实现精细化流量调度节约带宽资源H3CACG产品可根据报文负载特征识别包括广域网常见应用在内的3000多种应用协议并可以根据不同用户广域网的特殊业务定制协议特征在识别后H3CACG可以定义出最多三层通道在每层通道里都可以部署精细化的流量调度策略包括带宽保证、带宽借用、带宽限制、封堵、连接限制、优先级改写等可方便地实现对广域网关键业务(如视频会议等)的带宽保证对滥用业务(如上传下载等)的限制;同时H3CACG支持通道带宽的动态分配并根据用户数量的变化动态调整带宽分配保证带宽资源高效与公平利用 3.安全与网络的融合 H3C的防火墙、IPS、ACG等安全业务都可通过插卡的形式嵌入到广域网路由器或交换机上形成融合的安全解决方案可减少管理运维成本、提高整网可靠性同时H3C的安全产品与广域网上的网络设备和EAD终端形成整网联动构建动态的安全防御体系 4.高性能 H3C的安全产品全线采用了多核分布式架构安全业务并行处理显著降低处理时延其中H3CIPS产品的入侵防御引擎采用了多项国家专