Agile Controller 产品概述.ppt

修订记录 本页不打印 AgileController Campus产品介绍 前言 在企业网络中对于接入用户的策略管理和网络的安全监控是很重要的工作 但是基于传统的网络管理无法精确 统一管理用户策略和监控网络安全 为解决这些问题 华为公司推出了AgileController Campus产品 AgileController Campus产品具有操作简单 功能齐全等特点 本课程介绍AgileController Campus软硬件组成和常见应用场景 目标 学完本课程后 您将能够 列举AgileController Campus的亮点描述AgileController Campus的软硬件组成描述AgileController Campus的应用场景 目录 AgileController Campus产品定位AgileController Campus产品概述AgileController Campus应用场景 移动化势不可挡 2011年 移动智能终端出货量首次超过PCGartner预测 2015年 Tablets销量达3 26亿台 智能手机销量达10亿台 占手机市场比重50 企业办公人群使用比例为最高 如何快速在企业实现移动化 有线无线接入管理在移动化时代 有线无线同时存在 用户可能同时拥有移动或者固定终端 需要实现统一管理 一致体验保障移动化 追求随时随地 一致的体验 网络策略需要能够随着用户 应用快速调整移动应用快速推广当企业需要部署新的应用 网络能够快速 灵活调整 以适应变化 移动化趋势 呼唤一致的业务体验 新业务部署周期 关系企业能否抢得先机 网络现状 静态网络通常由管理员手动配置 当开通新业务时 网络无法快速变更 以适应新业务诉求 虚拟化要求高度自动化 移动化要求策略灵活调整 移动化 虚拟化趋势不可阻挡 网络配置策略如何随着虚拟机的迁移而快速变更 整网安全策略及接入策略如何随用户接入位置的改变而快速变更 用户权限用户带宽安全策略应用策略工作组 14万条用户配置 怎么办呀 传统网络接入方式 位置固定 攻击点和攻击手段单一 移动化后 办公场所无限扩展 接入终端非常丰富 导致攻击点和攻击手段也多样化 WAN Internet 单点有效防御 外部攻击 WAN Internet 防火墙单点防御失效 移动终端攻击 AP AP 外部传统攻击 AP 无线窃听攻击 移动网络攻击 传统边界消失 导致防火墙单点防御失效 AgileController Campus 智慧的园区大脑 AP AP LSW 核心 接入 汇聚 LSW 出口 分支网 L2SW AR 分支网 L2SW AR 互联网接入 WAN Internet NGFW SVN AgileController Campus 安全资源中心 NGFW LSW LSW AgileController Campus 基于5W1H情景感知 Users 有线 无线 有线 敏捷交换机 随板AC 数据中心 AgileController WAN Internet WAN Internet VIP员工远程接入 出差用户 企业分支 企业园区 AgileController Campus 全网策略统一管理 VIP优先级保障 权限策略 带宽保障 执行点设备 NGFW SVN 业务流策略 VIP远程接入资源保障 1 组 策略定义和下发同步 2 用户认证上线 用户组识别 3 策略执行 交换机 S12700 S9700 S7700 S5720HINGFW USG6300 6500 6600系列SVN SVN5800系列 安全保障 认证点设备 WAN Internet 财务员工访问财务数据 数据中心 敏捷交换机 随板AC Step1业务流策略 AgileController Campus 基于用户组的业务流安全策略 安全资源中心 Step1业务流策略 结合敏捷园区中的安全资源动态分配方案 可以实现在认证点交换机上对特定组流量按照指定的编排顺序进行流量调度 在Controller中配置基于组的安全资源调用策略 规定流量需要被哪些安全设备处理 以及处理的先后顺序 例子 财务员工访问财务数据的流量须要引到安全资源中心进行安全控制 其它流量不进行流策略 Step2应用安全策略 NGFW根据接收到的业务流进行深度应用识别 6000 应用识别能力 并基于用户组和应用进行安全策略控制 包括 阻断 IPS 防病毒 内容过滤 例子 研发员工BYOD工作时间的流量引到安全资源中心 对其非工作应用 比如社交应用 游戏 进行过滤 Step2应用安全策略 业务流路径 AgileController Campus 基于大数据的全网安全日志采集 关联分析与响应 安全设备 网络设备 终端管理 主机设备 数据库 扫描器 数据压缩 数据归并 格式标准化 日志 日志 关联分析 数据采集 数据处理 SNMPTrap 第三方接口 安全响应 AgileController Campus通过对全网设备上报海量日志进行关联分析 快速发现安全事件并做出响应 AgileController Campus 支持160多类设备的日志采集和识别 强大的关联分析引擎 跨设备 跨类型 多条事件进行关联分析能力 基于规则 分组 时间 计数多维度分析 常用关联规则 usercase 内网接入威胁类网络和业务威胁类安全运维类可定制化 事件处理建议 SMS E Mail 安全策略下发 目录 AgileController Campus产品定位AgileController Campus产品概述AgileController Campus应用场景 网络资源 物理网络 接入控制组件 访客管理组件 业务随行组件 业务编排组件 安全协防组件 终端安全组件 网络拓扑 用户信息 位置信息 权限 AgileController Campus AgileController Campus软件功能全景图 移动存储介质管理组件 AgileController Campus产品架构 业务管理器 SM 业务控制器 SC 安全态势管理 SV AnyOffice客户端 WebPortal Web Webagent 系统自带802 1x客户端 windows linux MAC Android iOS 防火墙 AR 交换机 AP 管理中心 MC 日志采集与管理分析器 iRadar AgileController Campus组网 主要分为三种方式 集中式分布式分级式 集中部署 轻松管理 业务资源1 ERP系统 AP AC 核心交换机 业务资源2 OA邮件系统 认证后域3 互联网区域 AP 认证前域 AgileController SM SC 统一集中管理 操作简易所有终端都集中到总部认证提供系统状态监控工具 轻松管理 有效提高工作效率 分布式部署 满足多分支机构需求 终端规模较大存在多个分支机构分支机构间终端直接到分支的SC认证 灵活部署 满足复杂网络环境要求 分级式部署 满足大型规模网络需求 Admin ProvinceB 制定全局策略 ProvinceA MC 全局策略下发 Headquarters 认证前域 AgileController系统 SM SC 认证前域 AgileController系统 SM SC 统一集中管理 操作简易所制定全局安全策略 强制全网统一遵循 集中管理 允许定制本级个性化业务认证在分支机构进行 管理维护方便 分级维护 适合网络规模超大 需要部署多套系统 分级管理 满足超大规模组网 客户端的类型和具体差异 AgileController Campus软硬件配置要求 License整体介绍 License文件是一种加密过的授权文件 包含了用户与华为公司签署的合同信息 安装AgileController Campus系统所在的服务器信息 用户手动加载到AgileController Campus系统中 激活受License控制功能的使用权限 可靠性 多服务器集中组网 1 SC的可靠性设计 1 1 1方案 集中式场景 2 N 1方案 总部与分支分布式场景 2 数据库的可靠性设计3 SC上的关键业务数据缓存机制设计4 外部身份源的可靠性设计 安全性 根据安全模型 AgileController安全解决方案从网络安全 平台安全 应用安全三个层次进行设计 网络安全 包括安全域划分 防火墙隔离等安全方案 通过安全组网对AgileController提供防护 平台安全 包括系统加固 安全补丁等防护手段 通过提升操作系统的安全级别为AgileController业务应用提供安全可靠的平台 应用安全 包括传输安全 用户管理 日志管理 用户数据管理等方案 这些安全策略针对具体的业务应用 参考通信系统安全模型 ITU TX 805 系统安全架构模型由三个安全层次 Layer 10个纬度组成 如下图所示 与PolicyCenter的差异 与AnyOffice的差异 在策略控制方面 AgileController相比PolicyCenter的增强主要有 全网策略自动部署与同步 以前是在每台设备上手工配置命令 工作量大 很难调整 无法监控 现在全局策略保证一致 业务变更时可在Controller上灵活调整 当设备策略有变化时Controller可实时监控和自动同步 新增用户组到用户组 资源组到用户组的访问控制 以前只能实现用户组到资源组的访问控制 新增基于用户组的QoS策略部署 以前QoS是针对业务类型部署的 现在可以基于用户组的部署 接入控制 MAC认证用户终端以MAC地址作为身份凭据到认证服务器进行认证主要用于IP电话 打印机等哑终端设备802 1X认证使用EAP ExtensibleAuthenticationProtocol 认证协议 实现客户端 设备端和认证服务器之间认证信息的交换 可与华为全系列交换机 路由器及Wlan设备以及第三方标准802 1x交换机联动Portal认证也称为WEB认证 用户可以通过Web认证页面 输入用户帐号信息 实现对终端用户身份的认证可与华为全系列交换机 路由器及Wlan设备联动SACG认证采用USG防火墙旁挂在路由器或者交换机 通过策略路由控制终端访问 全面的准入控制技术 适用各种网络 丰富的用户管理特性 数字证书 第三方认证系统 普通账号 研发 财务 市场 访客 场景 企业无身份数据系统 采用AgileController Campus自身的数据库 普通账号是管理员创建的账号 包括用户名密码账号 MAC地址账号 访客账号等 场景 适用于企业已有身份数据系统 可与AD LDAP联动 身份数据源储存在MicrosoftAD域控制器或者LDAP服务器上可以同时支持多个AD LDAP数据源 场景 强认证场景 企业已有数字证书认证 支持CSP CryptographicServiceProvider 接口的USBKey 利用USBKey的签名和加密功能 完成对终端用户身份的确认和验证如 大明五洲ESAFE上海维豪Welhop浙江汇信 灵活动态授权策略 交换机 AC 游客组策略配置 带宽授权 30 50KbpsACL授权 拒绝访问内部资源业务VLAN 游客业务VLAN用户隔离 用户间禁止通信 员工组策略配置 带宽授权 2MbpsACL授权 可以访问公司业务平台业务VLAN 员工业务VLAN用户隔离 允许组内用户通信 禁止组间用户通信 用户认证 Radius下发用户组至AC SW AC SW执行用户组策略 VIP组策略配置 带宽授权 3MbpsACL授权 拒绝访问内部资源业务VLAN 游客业务VLAN用户隔离 用户间禁止通信 访客管理 PCs Phones 注册 审批 分发 认证 审计 注销 账号申请 用户认证 审计及注销 访客 Internet Wireless Wired Network AC Switch ASG 注册员工申请自助申请 审批自动审批管理员审批接待人审批 分发手机SMSEmailWeb 审计及注销用户上下线审计上网行为审计到期后自动注销定时清理账号 认证用户名 密码认证passcode认证vlan acl权限隔离L3层GRE 全生命周期访客管理 定制化企业门户展示 方案简述 通过Portal自定义方式 为企业提供个性化的展示界面 企业可自主定制Portal界面展示信息 方案亮点 企业界面风格统一 企业形象展示 相关产品 WLAN无线网络 Portal 认证服务器 AgileController Campus 注册页面定制 认证页面定制 页面模板管理 基于位置的信息推送 这里有Wi Fi 太好了 速度加入 Portal 认证 Web服务器 这里有促销啊 马上去逛逛 AP 相关产品 WLAN无线网络 Portal 认证服务器 AgileController Campus Web服务器 提供定制化的广告内容 方案简述 通过Portal认证方式向无线智能终端提供网络接入和互联网服务 在Portal重定向消息中携带SSID和APMAC Web服务器根据AP信息获取关联此AP的广告内容 在Portal认证界面上推送此广告信息 方案亮点 基于位置的广告推送 广告效果佳 精细的业务广告运营 吸引商户的加盟合作 增加盈利方式 在Portal重定向消息中携带SSID和APMAC 推送此AP关联景点的信息 业务随行 业务随行 以业务和体验为中心 策略随行体验随身 Beijing Shenzhen Siliconvalley AgileController WAN Internet UserXXX LocationXXX 优先级带宽 权限 Permit Deny 业务流安全 IPS AV 应用安全 体验有保障 接入无差别 策略随行 组间权限精细控制 用户组定义 将新用户加入用户组 User市场小李GroupID13IPXXX WAN Internet 研发员工园区接入 数据中心 敏捷交换机 随板AC 用户上线认证 认证交换机上报用户IP地址 策略定义下发同步 用户发起业务流 业务流到达认证交换机 检测源组目的组 执行组间策略 矩阵直观定义组间策略 AgileController 策略随行 全局集中式策略控制 基于SDN 全局统一思想以Controller为核心集中式配置和维护全网的用户策略 一次配置 统一生效 减少不一致矛盾自动化策略部署一键下发 自动翻译 减少配置工作量 组间控制基于源和目的用户之间的策略 替代基于源用户到IP地址的策略 更灵活的用户间控制提高网络资源效率二维组间策略 相比原来的方案可以支持更多的策略 减少设备资源ACL消耗 全局集中式策略控制 组间策略控制 AgileController 销售员工 研发员工 外包员工 访客 VIP 数据中心 交换机 随板AC WAN VIP员工远程接入 出差用户 企业分支 企业园区 NGFW SVN Internet Internet 体验随身 统一的用户体验保障 Router 分支路由器根据Controller下发的策略 自动将VIP用户流量送入高优先级队列调度 园区出口防火墙根据Controller下发的策略 自动将VIP流量送入高优先级队列调度 SVN根据Controller下发的策略 自动将VIP流量送入高优先级队列调度 认证点在用户认证上线过程中获取到用户身份 根据Controller下发的策略对各个用户进行限速 业务编排 业务编排 动态分配安全资源 实现全网深层次防护 功能介绍 将安全资源池化 形成安全资源中心 可依据资源 用户 区域等属性灵活调用安全能力 提升全网的安全防护能力 实现组件 AgileController 可基于业务安全需求 下发安全策略 灵活调用安全资源中心的安全能力 敏捷交换机 依据controller下发的安全策略将引流对应业务流到安全资源中心进行检测 安全资源中心 安全设备资源池话 可清洗不同业务流 可同时被不同的敏捷交换机调用 支持NGFW 并开放接口支持第三方安全设备集成 典型应用 哑终端的安全防护安全资源快速调用 安全资源中心 资源组 隧道 隧道 核心层 敏捷交换机 汇聚层 敏捷交换机 安全策略配置 防毒墙 上网行为管理 防火墙 AgileController 拖拽调整业务链 针对不同业务实施策略 应用场景 配合业务随行 针对不同用户不同业务规划有不同的业务链 访客上网 防火墙上网行为管理研发访问DC 防火墙防病毒销售办公 防火墙上网行为管理防病毒 配合安全协防 针对高危资产或区域 下发业务链 核心价值 不受地理位置限制 灵活实施安全策略减少用户投资 提高安全资源的利用率 根据业务需要创建业务流 编排设备选择敏捷交换机 定义业务链资源 安全协防 CampusController支持130多类设备的日志采集和识别 包括主流的主机系统 数据库 网络设备 安全设备和存储设备等支持多种日志采集方式 Syslog ODBC JDBC SNMP 通用文件和专用日志采集接口 安全响应 日志采集 关联分析 安全态势 日志采集 多类设备日志采集 安全响应 日志采集 关联分析 安全态势 关联分析 关联流程原理 准备工作 熟悉安全威胁产生流程的专家 针对某安全事件梳理出事件触发网络和安全设备上产生的日志和顺序关联流程 用户创建一个关联规则 Correlationrule 用户将一个或多个动作关联到该关联规则 用户在关联引擎上部署该规则 关联引擎自动处理实时事件流中的事件 判断这些事件是否触发处于激活状态的规则 并触发规则的关联动作 如果事件符合该规则对应的条件 系统产生关联事件并执行关联动作 管理员在iRadarWeb上创建一个关联规则 将动作关联到关联规则上 将关联规则部署到关联分析引擎上 采集日志 监控事件 触发规则 产生安全事件 动作执行 安防专家针对某安全事件梳理出网络和安全设备产生的日志和发生顺序 专家 CampusController iRadar CampusController SecurityView 安全响应 日志采集 关联分析 安全态势 整网安全态势 基于地理位置和关键资产的安全态势展示 通过威胁度清晰直观展示存在风险的区域和资产 多维度威胁展示 基于拓扑展示威胁源及攻击路线 TOP10高位资产 TOPN告警 TOPN设备阻断等 实时安全事件列表 安全事件分级 安全事件的处理状态等详情展示 整网安全态势 某区域关键资产安全态势 安全态势 多维度安全展示 安全响应 日志采集 关联分析 安全态势 安全响应 多种安全事件响应方式 安全响应方式 告警 向管理员发送邮件或短信对实时发生的安全事件进行告警信息通知策略联动 对交换机下发阻断或引流策略安全响应接口 邮件告警 Controller通过邮件服务器发送告警邮件短信告警 Controller通过短信猫或短信网关发送告警短信策略联动 Controller通过SSH接口下发联动策略命令 SSH接口 日志采集模块 Syslog接口 iRadar主机 CampusController SecurityView 关联分析模块 告警接口 邮件服务器 短信网关 邮件告警 短信告警 CampusController iRadar 终端安全管理 终端安全加固与桌面管理及防泄密一体化 终端安全加固防病毒检查 可疑进程 注册项补丁管理 安全加固桌面管理软件分发 资产管理 远程协助终端防泄密移动存储管理 网络访问监控 非法外联监控 文件操作审计 关键特性 移动存储介质管理 USB管理功能特点 形式建议 组网图 文字标注 备注描述 数据加密防止泄密 文件夹加密 全盘加密 灵活的授权规则 基于终端维度授权 基于用户维度授权 设备全方位控制 禁用 只读 写加密 文件监控 文件操作全程日志审计 设备插拔 文件拷贝 编辑 删除 目录 AgileController产品定位AgileController产品概述AgileController应用场景 接入控制 访客管理 无线接入推荐部署方案 1 2 3 4 SSIDEmployee SSIDGuest 部署方案 AP空口侧分别给予访客 员工独立的SSID 员工SSID实施802 1X接入控制方案 启用WPA 在无线链路上开启安全加密功能 保障员工对企业数据访问的安全性 访客SSID实施Portal接入控制方案 为了简化访客接入 无线链路侧不开启WPA 不提供无线链路的加密功能 对于需要在无线设备上部署NAC客户端的PC设备 推荐通过访客SSID接入网络 并且通过访客SSID下载和部署NAC客户端 在访客能够访问的开放区域 部署PolicyCenter的独立Portal服务器 提供给访客申请访客账号 以及进行访客身份认证 为了防止访客对企业内部网络的访问 在AC和AP之间建立独立的隧道 以及在AC和互联网出口上建立隧道 是的访客流量只能通过WIFI访问互联网 约束 当前不支持单SSID做1X接入和下载NAC客户端 已有有线网络的接入推荐部署方案 部署方案 核心层交换机旁路部署SACG网关 通过策略路由将用户的上行流量引流到SACG网关进行控制 依赖 通常要求部署NAC客户端 约束 SACG不支持对哑终端实施控制 该方案不适合用于终端区域使用IPPHONE的场景 如果网络中实施了IPPHONE 则需要把SACG部署在数据中心前 避免因为SACG隔离了IPPHONE的流量 新建园区二层接入推荐部署方案 部署方案一 在接入层交换机开启802 1X功能 提供基于端口的准入控制 开启802 1X的时候 启用其上的GUESTVLAN功能 是的终端在安装NAC客户端之前能够接入 下线客户端 网络中部署DHCP 给不同的VLAN分配不同的IP地址 并且在三层交换机上针对GUESTVLAN配置ACL 限制GUESTVLAN能够访问的网络范围 哑终端采用MAC旁路认证的方式接入网络 依赖 客户的二层交换机均支持802 1X 并且支持GUESTVLAN的802 1X 目前哑终端的MAC旁路认证 仅支持HW的交换机 部署方案二 在接入层 汇聚交换机开启802 1X功能 提供基于端口的准入控制 接入控制点可以是接入侧二层交换机 也可以是网关位置的三层交换机 在交换机上配置FREE RULE和WEB推送功能 支持NAC客户端快速安装 哑终端采用MAC旁路认证的方式 接入网络 依赖 实施802 1X的交换机支持FREE RULE和WEB推送功能目前了解的情况 1 H3C的802 1X交换机支持该功能 2 HW的802 1X交换机支持该功能 目前哑终端的MAC旁路认证 仅支持HW的交换机 新建园区二层接入推荐部署方案 续 业务随行 场景解析 策略随行之用户访问数据中心权限控制 Web服务器 园区互联网边界防火墙 公共服务器 报表服务器 Internet资源 SVN Internet出口区 DC Campus Branch 用户在任意位置接入 均可以控制其网络权限 最靠近用户的认证点对用户访问数据中心进行控制 边界执行防火墙对回程流量 数据中心 Internet主动发起的流量进行控制 外包 财经 财经 DC边界防火墙 分支WAN边界防火墙 交换机A 交换机B 交换机C 园区WAN边界防火墙 核心防火墙 策略自动部署 权限策略由Controller统一自动部署 管理员只需关注组间互访关系设计 并选取园区中关键位置设备作为策略执行点 通常为认证点交换机 核心防火墙 边界防火墙 SVN 初始化部署完成之后 无论用户在何位置 以何种方式接入 都可以控制其访问权限 财经 财经 Controller 场景解析 策略随行之用户间互访控制 Web服务器 园区互联网边界防火墙 公共服务器 报表服务器 Internet资源 SVN Internet出口区 DC Campus Branch 用户在任意位置接入 均可以控制其网络权限 最靠近用户的认证点可以对本地用户互访进行控制 边界防火墙及核心防火墙可以对跨认证点间用户互访进行控制 财经部 外包 财经部 财经部 DC边界防火墙 分支WAN边界防火墙 交换机A 交换机B 交换机C 园区WAN边界防火墙 核心防火墙 外包 外包 跨团队协作办公 基于策略与IP的解耦 结合 策略自动部署 功能 管理员不需要修改任何配置 就可以快速实现多团队在一起办公 同时保证每个用户都能够拥有正确的网络访问权限 还可根据需要控制团队成员间的数据直接共享行为 保障企业数据的安全 Controller 场景解析 体验随身之VIP体验保证 Web服务器 园区互联网边界防火墙 公共服务器 报表服务器 Controller Internet资源 SVN Internet出口区 DC Campus Branch VIP用户在任意位置接入都享有更优先的网络权利 VIP用户可以获得更大带宽 更优的出口链路 SVN资源不足时 还可以主动释放普通用户资源 以保证VIP体验 外包 VIP VIP 外包 DC边界防火墙 分支WAN边界防火墙 交换机A 交换机B 交换机C VIP 园区WAN边界防火墙 出口选路 在广域和公网出口 可以根据源和目的组选择不同质量保证的出口 SSLVPN优先上线 SVN网关资源有限 结合自动优选网关和VIP优先上线 可以保证VIP用户一定可以接入离其最近的SVN网关 享有优质网络体验 核心防火墙 业务编排 业务编排典型场景一 用户访问数据中心 方式一 方式一 核心层交换机作为编排引流点客户需求 公共用户访问数据中心时需要进行访问控制和杀毒处理 部门A访问数据中心时只需要进行访问控制 编排设备选择 用户访问数据中心的流量通常均经由核心层交换机转发 建议选择核心层交换机作为编排设备进行引流 业务设备位置 业务设备通常部署在核心层 供不同的业务链共同使用 部署说明 针对不同需求指定不同的业务链 公共用户到数据中心使用业务链1 防病毒 防火墙 部门A到数据中心使用业务链2 防火墙 汇聚层 接入层 数据中心 网管中心 分支 访客 应用层 部门A 部门B 访客接入区 内部公共区域 Controller 园区出口 业务链结点 防火墙 上网监控 暂不支持 防病毒 暂不支持 业务链1 业务链2 GRE隧道 业务编排典型场景一 用户访问数据中心 方式二 方式二 汇聚层交换机作为编排引流点客户需求 公共用户访问数据中心时需要进行访问控制和杀毒处理 部门A访问数据中心时只需要进行访问控制 编排设备选择 园区网NAC认证点通常放在汇聚层交换机 如果希望基于用户组定义业务流 可以选择汇聚层交换机作为编排设备进行引流 业务设备位置 业务设备通常部署在核心层 供不同的业务链共同使用 部署说明 针对不同需求指定不同的业务链 公共用户到数据中心使用业务链1 防病毒 防火墙 部门A到数据中心使用业务链2 防火墙 汇聚层 接入层 数据中心 网管中心 分支 访客 应用层 部门A 部门B 访客接入区 内部公共区域 Controller 园区出口 业务链结点 防火墙 业务链1 业务链2 GRE隧道 上网管理 暂不支持 防病毒 暂不支持 业务编排典型场景二 用户访问Internet 客户需求 访客上Internet时需要进行防火墙NAT和上网行为管控 员工上Internet时只需要进行防火墙NAT 编排设备选择 用户访问Internet的流量通常均经由核心层交换机转发 建议选择核心层交换机作为编排设备进行引流 业务设备位置 业务设备通常部署在核心层 供不同的业务链共同使用 部署说明 针对不同需求指定不同的业务链 访客上Internet的流量使用业务链1 上网管控 防火墙 员工上Internet的流量使用业务链2 防火墙 注 选择汇聚层交换机作为编排引流点的方式同典型场景一方式二 汇聚层 接入层 数据中心 网管中心 分支 访客 应用层 部门A 部门B 访客接入区 内部公共区域 Controller 园区出口 业务链结点 防火墙 业务链1 业务链2 GRE隧道 上网管理 暂不支持 防病毒 暂不支持 业务编排典型场景三 Internet访问数据中心 客户需求 Internet到数据中心的流量需进行NAT转换和杀毒处理 编排设备选择 Internet访问数据中心的流量通常均经由核心层交换机转发 建议选择核心层交换机作为编排设备进行引流 业务设备位置 业务设备通常部署在核心层 供不同的业务链共同使用 部署说明 对于Internet访问数据中心服务器的流量 由于不存在NAC认证流程 所以仅能基于五元组ACL来定义业务流 由交换机重定向到指定的业务链进行安全处理 针对不同需求指定不同的业务链 例如 Internet到数据中心使用业务链 防火墙 防病毒 汇聚层 接入层 数据中心 网管中心 分支 访客 应用层 部门A 部门B 访客接入区 内部公共区域 Controller 园区出口 业务链结点 防火墙 GRE隧道 业务链 上网管理 暂不支持 防病毒 暂不支持 业务编排典型场景四 用户访问用户 该场景为业务随行 业务编排的混合场景 组网说明 汇聚交换机做认证 同一个汇聚内的用户互访由汇聚交换机控制 核心交换机作编排设备 将跨汇聚的用户互访流量引导至NGFW控制 NGFW开启业务随行 同步安全组信息 客户需求 园区各部门之间需要基于用户角色进行互访控制 编排设备选择 对于分布在不同汇聚交换机下的用户 互访流量会经过核心交换机 由于核心交换机上无用户信息 通过IP段定义业务流将流量编排至NGFW上 NGFW开启业务随行功能 同步安全组信息 即可进行基于用户信息的互访控制 对于分布在同一个汇聚交换机下的用户 通过汇聚交换机上的用户信息直接进行互访控制 业务设备位置 NGFW通常部署在核心层 供不同的业务链共同使用 部署说明 核心交换机上定义用户IP段到用户IP段的业务流使用业务链 防火墙 注 当NGFW上业务编排功能和业务随行功能同时开启使用时 因为业务随行的策略同步功能会周期性的刷新覆盖NGFW上的安全策略 所以若用户希望手动定义安全策略 要关闭策略同步开关 汇聚层 认证层 接入层 数据中心 网管中心 分支 访客 应用层 部门A 部门B 访客接入区 内部公共区域 Controller 园区出口 业务链结点 防火墙 GRE隧道 业务链 安全协防 内网接入威胁 某员工电脑病毒扩散终端网络攻击地址篡改冲突区域网络攻击交换机遭受可疑攻击 对企业园区面临的3类常见威胁设计了11个usecase内置在Controller中 典型场景 通过内置usecase发现网络安全威胁 场景描述 终端有异常网络行为