华为教育城域网安全解决方案技术建议书-设计报告

1、 DOCPROPERTY Product&Project Name 园区网解决方案 DOCPROPERTY DocumentName 技术建议书华为专有和保密信息 版权所有 华为技术有限公司文档版本 DOCPROPERTY DocumentVersion 01( DOCPROPERTY ReleaseDate 2011-09-15)华为教育城域网安全解决方案技术建议书 DOCPROPERTY Confidential 华为技术有限公司 STYLEREF Contents 目录 DOCPROPERTY Product&Project Name 园区网解决方案 DOCPROPERTY Docume

2、ntName 技术建议书华为专有保密信息 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版权所有 华为技术有限公司 PAGE i版权所有华为技术有限公司2016。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文

3、档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址： HYPERLINK 客户服务邮箱： HYPERLINK mailto:ChinaEnterprise_TAC ChinaEnterprise_TAC客户服务电话：400-822-9999华为教育城域网安全解决方案技术建议书 STYLEREF Contents 目 录华为专有保密信息 DOCPROPERTY ProprietaryDe

4、claration * MERGEFORMAT 版权所有 华为技术有限公司 PAGE iii目 录 TOC h z t Heading 2,2,Heading 3,3,Style1,1 HYPERLINK l _Toc474834211 1XX教育城域网安全需求 PAGEREF _Toc474834211 h 1 HYPERLINK l _Toc474834212 1.1 教育城域网安全风险分析 PAGEREF _Toc474834212 h 1 HYPERLINK l _Toc474834213 1.2 XX市教育城域网安全需求评估 PAGEREF _Toc474834213 h 2 HYP

5、ERLINK l _Toc474834214 2XX教育网安全方案设计 PAGEREF _Toc474834214 h 4 HYPERLINK l _Toc474834215 2.1 安全方案设计原则 PAGEREF _Toc474834215 h 4 HYPERLINK l _Toc474834216 2.2 安全方案整体设计 PAGEREF _Toc474834216 h 5 HYPERLINK l _Toc474834217 2.3 边界安全防护方案 PAGEREF _Toc474834217 h 6 HYPERLINK l _Toc474834218 2.3.1 方案综述 PAGERE

6、F _Toc474834218 h 6 HYPERLINK l _Toc474834219 2.3.2 NGFW防火墙威胁防护方案概述 PAGEREF _Toc474834219 h 8 HYPERLINK l _Toc474834220 2.3.3 Anti-DDOS异常流量清洗方案概述 PAGEREF _Toc474834220 h 10 HYPERLINK l _Toc474834221 2.4 Web网站安全方案 PAGEREF _Toc474834221 h 14 HYPERLINK l _Toc474834222 2.5 入侵防御方案 PAGEREF _Toc474834222 h

7、 17 HYPERLINK l _Toc474834223 2.5.1 签名符合国际标准，漏洞快速防御 PAGEREF _Toc474834223 h 18 HYPERLINK l _Toc474834224 2.5.2 先进的环境感知能力，敏捷的引擎 PAGEREF _Toc474834224 h 19 HYPERLINK l _Toc474834225 2.5.3 本地和云端结合的IP&CC信誉体系 PAGEREF _Toc474834225 h 19 HYPERLINK l _Toc474834226 2.5.4 SSL加密流量的防御能力 PAGEREF _Toc474834226 h

8、20 HYPERLINK l _Toc474834227 2.6 行为管控安全方案 PAGEREF _Toc474834227 h 20 HYPERLINK l _Toc474834228 2.6.1 概述 PAGEREF _Toc474834228 h 20 HYPERLINK l _Toc474834229 2.6.2 P2P业务监控 PAGEREF _Toc474834229 h 21 HYPERLINK l _Toc474834230 2.6.3 用户行为分析 PAGEREF _Toc474834230 h 21 HYPERLINK l _Toc474834231 2.6.4 异常流量

9、监控 PAGEREF _Toc474834231 h 22 HYPERLINK l _Toc474834232 2.6.5 垃圾邮件检测 PAGEREF _Toc474834232 h 22 HYPERLINK l _Toc474834233 2.6.6 僵尸网络检测 PAGEREF _Toc474834233 h 22 HYPERLINK l _Toc474834234 2.6.7 智能流量镜像 PAGEREF _Toc474834234 h 22 HYPERLINK l _Toc474834235 2.6.8 URL监控 PAGEREF _Toc474834235 h 23 HYPERLI

10、NK l _Toc474834236 2.6.9 管理IM即时通讯工具 PAGEREF _Toc474834236 h 23 HYPERLINK l _Toc474834237 2.7 统一管理安全方案 PAGEREF _Toc474834237 h 24 HYPERLINK l _Toc474834238 2.7.1 方案综述 PAGEREF _Toc474834238 h 24 HYPERLINK l _Toc474834239 2.7.2 eSight集中网管方案概述 PAGEREF _Toc474834239 h 25 HYPERLINK l _Toc474834240 2.7.3 e

11、Sight方案特点 PAGEREF _Toc474834240 h 25 HYPERLINK l _Toc474834241 2.7.4 安全事件管理方案 PAGEREF _Toc474834241 h 25 HYPERLINK l _Toc474834242 3 设备清单 PAGEREF _Toc474834242 h 27 HYPERLINK l _Toc474834243 4 产品介绍 PAGEREF _Toc474834243 h 29 HYPERLINK l _Toc474834244 4.1 防火墙 PAGEREF _Toc474834244 h 29 HYPERLINK l _T

12、oc474834245 4.1.1 USG9500 T级下一代防火墙 PAGEREF _Toc474834245 h 29 HYPERLINK l _Toc474834246 4.1.2 USG6600下一代防火墙 PAGEREF _Toc474834246 h 30 HYPERLINK l _Toc474834247 4.1.3 USG6500下一代防火墙（桌面型） PAGEREF _Toc474834247 h 32 HYPERLINK l _Toc474834248 4.1.4 USG6500下一代防火墙（盒式） PAGEREF _Toc474834248 h 33 HYPERLINK

13、l _Toc474834249 4.1.5 USG6300下一代防火墙（桌面型） PAGEREF _Toc474834249 h 34 HYPERLINK l _Toc474834250 4.1.6 USG6300下一代防火墙（盒式） PAGEREF _Toc474834250 h 36 HYPERLINK l _Toc474834251 4.2 NIP入侵防御系统 PAGEREF _Toc474834251 h 37 HYPERLINK l _Toc474834252 4.2.1 NIP6000 下一代入侵防御系统 PAGEREF _Toc474834252 h 37 HYPERLINK l

14、 _Toc474834253 4.2.2 NIP2000/5000入侵防御系统 PAGEREF _Toc474834253 h 39 HYPERLINK l _Toc474834254 4.3 ASG2000上网行为管理产品 PAGEREF _Toc474834254 h 41 HYPERLINK l _Toc474834255 4.4 SVN5600/5800安全接入网关 PAGEREF _Toc474834255 h 42 HYPERLINK l _Toc474834256 4.5 WAF2000/5000 Web应用防火墙 PAGEREF _Toc474834256 h 44 HYPER

15、LINK l _Toc474834257 4.6 LogCenter 安全事件管理中心 PAGEREF _Toc474834257 h 46 HYPERLINK l _Toc474834258 4.7 FireHunter6000沙箱 PAGEREF _Toc474834258 h 47 HYPERLINK l _Toc474834259 4.8 DDoS攻击防御 PAGEREF _Toc474834259 h 48 HYPERLINK l _Toc474834260 4.8.1 AntiDDoS1000 DDoS防御系统 PAGEREF _Toc474834260 h 48 HYPERLIN

16、K l _Toc474834261 4.8.2 AntiDDoS8000 DDoS防御系统 PAGEREF _Toc474834261 h 49 HYPERLINK l _Toc474834262 4.9 网管 PAGEREF _Toc474834262 h 50 HYPERLINK l _Toc474834263 4.9.1 eSight PAGEREF _Toc474834263 h 50华为教育城域网安全解决方案技术建议书 STYLEREF Style1 n * MERGEFORMAT 4 STYLEREF Style1 * MERGEFORMAT 产品介绍华为专有保密信息 DOCPRO

17、PERTY ProprietaryDeclaration * MERGEFORMAT 版权所有 华为技术有限公司 PAGE 52XX教育城域网安全需求教育城域网安全风险分析教育信息化是国家信息技术发展的重要组成部分，而作为教育网络的延伸，区域教育城域网连接区域范围内的中小型教育机构，为区域内国民中小学教育提供信息网络服务，对包括教务信息的管理、教学资源的分享传播、教学业务以及教学安全的管理控制等各个教学信息化方面提供基础保障。教育信息化建设依托于网络的发展，随着互联网的飞速发展，网络中的安全风险与日俱增。在教育网领域主要体现在：信息外泄学校科研成果、文献、师生档案、教育决策、财务数据等资料越来

18、越容易外泄内部师生上网行为不规范，可能造成信息非法外泄考试试题窃取，学生考试成绩被篡改；恶意攻击恶意大流量攻击，使教育网站陷入瘫痪；攻击终端：通过网络攻击在终端置于木马，窃取机密信息攻击服务器：通过攻击服务器获取权限，窃取信息数据上网行为不规范学生访问非法网站、发布反动或敏感言论，造成违规违法大型游戏、P2P下载侵占学校带宽，使正常教学应用受阻师生网络行为无记录、无留存，造成安全时间溯源无据安全管理网络设备多，安全事件独立，无法端到端分析安全事件当安全事件发生时，如何快速定位解决并分析回溯安全策略如何集中快速部署尤其是近年来，教育网络安全事件层出不穷，教育网站非法篡改、教务系统被入侵窃取考题、

19、非法篡改成绩、教育网站被攻瘫等恶意事件屡见不鲜。对教育网的网络安全建设提出了史无前例的挑战，急需全面加固教育城域网的网络安全建设，打造健康、绿色、稳固、高校的新一代教育网。XX市教育城域网安全需求评估安全需求评估表安全区域存在问题及风险风险等级部署建议部署价值网络出口区大流量僵尸网络攻击应用层拒绝服务攻击僵尸、木马、蠕虫入侵、APT攻击基于浏览器和应用漏洞发起的客户端攻击高DDoS防护设备防火墙（FW+IPS）沙箱FireHunter解决DDoS攻击、APT攻击、业务非法访问、NAT转换、远程用户安全接入，流量控制问题Web网站区网站篡改网站挂马、感染病毒跨站脚本攻击SQL注入、扫描器扫描、敏

20、感信息泄露、盗链行为等攻击高防火墙（FW+IPS）WEB防火墙解决非法业务访问，病毒防护，WEB防护，入侵检测问题应用和数据区恶意攻击和非法入侵核心数据被非法访问审计记录不足数据泄露与篡改高防火墙（FW+应用管控）IPS设备数据库审计解决业务非法访问，入侵检测，数据库审计问题学校、教学机构学生沉湎网络游戏电影下载、大型游戏等占用教学带宽学生在发帖、网页浏览过程中存在违规违法行为缺乏上网记录，无法追溯事件缘起中UTM上网行为管理解决业务非法访问，病毒传播，入侵检测，上网行为管理，流量控制问题管理区无法了解安全现状、及时感知安全事件人为误操作错误、滥用权限审计记录不足，究责困难无法满足法律法规的要

21、求低防火墙（FW+IPS）安全接入系统运维审计系统解决业务非法访问，安全事件关联、安全设备管理与运维审计问题 XX教育网安全方案设计安全方案设计原则通过对XX教育城域网的深入分析，建议网络安全方案在设计时应遵循如下原则：安全性原则充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。可靠性原则保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。先进性原则具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。可推广性原则方案及其采用的技术应该支持系统规模的扩大和网点数量的增加，易于广泛推广。可扩展性原则

22、IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的投资和利益。兼容性原则要求系统的标准化程度高，可以做到不同应用系统间的完全兼容；同时，也可以根据特殊的要求给出不兼容的设计。可管理性原则所有安全系统都应具备在线式的安全监控和管理模式。遵循以上设计原则，华为提供了完整的教育城域网安全方案，如下详述。安全方案整体设计根据每个安全区域的不同需求和特点，XX教育城域网整体安全方案由若干个子方案组成。在信息中心机房电信出口、市教委出口，采用边界安全防护方案，通过部署下一代防火墙和Anti-DDOS异常流量清洗系统来抵御各种网络安全威胁、大流量攻击，通过出口的用户行为管理、协议

23、识别、应用管控来优化网络访问行为、出口带宽使用效率。在机房的web服务器区，采用web网站防护方案，通过部署下一代防火墙、web应用防火墙，有效防护各种针对教育网网站的跨站脚本攻击、注入攻击、请求伪造攻击、网站挂马、恶意扫描等，保障web网站的安全平稳运行。安全方案整体设计在滨机房数据中心出口，采用数据中心防护方案，通过部署下一代防火墙、IPS入侵防御设备，防范各种针对服务器的漏洞攻击，并提供抵御木马后门、广告软件、恶意程序等恶意软件的能力，保障数据中心的数据完整性、安全性、真实性和稳定性。在XXX个教学机构，包括XX市中小学、教育社区、教育部门的网络出口，采用上网行为管理方案，部署基于应用的

24、下一代防火墙设备。对师生的上网行为、发帖内网、流量使用等情况进行全面管理，防止教学流量被电影、游戏流量侵占，避免学生发表不当言论，同时防止各种病毒、木马、蠕虫等入侵到教育机构网络。在信息中心机房，针对远程维护、安全管理问题，采用统一安全管理方案，部署安全接入网关和esight集中网管系统，对管理员的远程维护、师生的远程接入进行身份认证、权限管理，对全网海量的网络事件进行有效识别，形成统一有效的管理策略，提高网络管理的有效性。边界安全防护方案方案综述在信息中心机房电信出口、市教委出口，采用边界安全防护方案，通过部署下一代防火墙和Anti-DDOS异常流量清洗系统来抵御各种网络安全威胁、大流量攻击

25、，通过防火墙和沙箱FireHunter联动，构建一个基于文件检测的APT防御方案，对各种未知威胁进行防御，通过出口的用户行为管理、协议识别、应用管控来优化网络访问行为、出口带宽使用效率。边界安全防护方案网络深层防护基于DPI的七层DDoS防护 通过防火墙进行安全域划分，DMZ域隐蔽、访问控制 基于漏洞和启发式的入侵检测，对付新型/变种攻击 对零日漏洞和采用高级逃逸技术的APT攻击进行有效防御网络高性能防护单台Anti-DDoS设备性能达1Tbps，10000个IP地址精细化防护，100万个IP地址的普通防护 平均无故障时长50万小时，99.9999%可靠性 七层防御架构，全面防御应用层攻击和I

26、PV6攻击 秒级检测、秒级清洗 易管理易扩容 分布部署，集中管理；差异化防御、丰富报表；灵活取证方式，方便审计 线性扩容，提高投资利用率，节约扩容成本 NGFW防火墙威胁防护方案概述精准的应用访问控制 在Web2.0时代，社交网络、即时通讯工具广泛应用，学校能够更轻松地进行沟通、共享信息。一个重要的特点是应用数量多，多数基于http协议，使用相同的端口。传统防火墙产品主要通过IP地址和协议端口感知网络，无法感知用户、业务环境和应用层信息。而感知是实现访问控制和安全防护的基础，只有全面感知用户及业务环境，才能对业务和应用采用精确动作，实现对学校信息安全的全面防护。 华为USG系列防火墙通过“应用

27、（Application）、内容（Content）、时间（Time）、用户（User）、威胁（Attack）和位置（Location）”六个维度解析学校的业务流量，并结合各种维度进行防护： 应用：综合运用特性识别、端口识别、关联识别、行为识别等技术手段，准确识别包括移动应用及Web应用内的6000+应用协议。通过应用感知可以区分各类应用流量，不病毒扫描结合，发现隐藏于应用中的病毒，木马和恶意软件，识别隐藏在应用中的威胁和攻击。 用户：通过Radius、LDAP、AD等8种用户识别手段，将流量中的IP地址不现实丐界中的用户信息联系起来。感知到用户后，在逡辑上将流量做了更精细的区分，为基于用户的安

28、全管理提供了基础。 威胁：基于特征检测，支持超过3000+特征的攻击检测和防御。支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。可以识别和防范SYN flood、UDP flood等10+种DDoS攻击，识别500多万种病毒。采用基于云的URL分类过滤，预定义的URL分类库已超过8500万，阻止员工访问恶意网站带来的威胁。 内容：对传输的文件和内容进行识别过滤。能对Word、Excel、PPT、PDF、RAR等30+文件进行还原和内容过滤，防止学校关键信息泄露。支持识别100+种文件类型，防止通过修改后缀名的病毒攻击和数据泄露。 时间：记弽流量异常戒安全事件发生的时间，为事后审计提

29、供依据。 位置：不全球位置信息结合，识别流量发起的位置信息；根据位置信息可以实现对不同区域访问流量的差异化控制。支持根据IP自定义位置。 全面的未知威胁防护 未知威胁是指暂时未掌握特征的威胁。未知威胁主要的攻击方式是邮件和WEB访问。用户在接收邮件时下载了恶意附件，点击邮件内容中的恶意URL链接，戒访问WEB网站时执行了恶意攻击脚本戒下载恶意文件，都会触发未知威胁的攻击。由于缺乏已知的特征，安全设备面对未知威胁束手无策。 FireHunter与NGFW联合部署后，可以使用户在通过NGFW抵御已知安全威胁的基础上，同时具备防御恶意文件和网站等未知威胁的能力，对于恶意程序或载有恶意代码的其他文件，

30、华为的解决方案能够从网络和文件等多个层面进行全面检测和深度分析，及时发现潜藏于数字洪流中的高级未知威胁。从而提升整个网络的安全性。未知威胁防护解决方案运行流程如下：文件还原。流经NGFW的网络流量，在匹配了预配置的安全策略之后，将被过滤并还原出流量中承载的文件。文件检测。NGFW还原出文件之后，根据预配置的策略，可以先进行IPS检测和AV检测，对于仍不能确认是否是恶意的文件（可称作未知文件），则将其送到沙箱进行更深入的检测和分析。沙箱在检测完成之后生成检测结果并本地保存。结果查询。NGFW定时向FireHunter查询未知文件的检测结果，可以一次查询一个，也可以一次查询多个。日志上报。查询到的

31、检测结果如果是恶意或可疑文件，NGFW将生成日志并报给LogCenter，而对于正常文件则不必上报。威胁呈现。LogCenter汇总并分析NGFW以及其他网络设备上报的日志，统一呈现全网安全态势，以及恶意和可疑文件的发现趋势、类型占比、文件传播轨迹、下载用户列表以及疑似中招用户的网络轨迹等，给安全管理员一个直观可视化界面，方便采取进一步的隔离或其他管控措施。优异的性能体验 当前，网络攻击成为一种产业，黑客们为了追求经济利益有组织、有预谋的开展攻击，应用层访问控制、入侵防御等深度应用防护不再是可有可无的。UTM产品当开启应用层防护时性能下降明显，无法满足当前应用层防护的性能要求。 USG系列防火

32、墙采用全新架构的智能感知引擎（IAE, Intelligence Aware Engine），在实施七层防护的同时，具备四层网关的性能。传统威胁检测引擎根据逐个报文进行威胁特征匹配，这种方式容易造成攻击者逃避检测。IAE摒弃了此种方式，采用了一次解析多业务并行处理的架构。其核心的应用解析和特征匹配处理由硬件加速模块高速处理，各个安全业务并行的跟踪处理结果并更新状态。这种架构确保了多安全业务开启情冴下，对整体性能影响最小。在硬件层面，采用与用多核平台，多个CPU并行处理。同时，使用硬件加速技术，用CPU提供的内容安全加速芯片，配合IAE进行应用解析和特征匹配，极大的提升检测效率。智能感知引擎不弹

33、性硬件架构的结合，实现了万兆级的全威胁防护性能，可以满足教育城域网的安全防护要求。 简单的安全管理 使用传统的安全网关和其他的下一代防火墙，网关只是一个执行体，网络是否安全更多依赖于人。在实际的使用过程中，通常威胁已经造成了损失人才能法现，进行亡羊补牢式的防护。可以预见到，基于人的防护很难长期保证安全质量。USG防火墙像一个安全咨询师，能主动的发现风险，并动态提出防护和优化建议。让安全更多依赖于设备，有利于持久保持稳定的安全质量。 华为防火墙最大的优势就是对应用的精细化控制，以及对这些应用的进一步深度防护。在下一代防火墙上，仅使用五元组策略并步能带来更多的安全性。因此，要充分发挥下一代防火墙的

34、作用，需要比传统安全网关更好的安全管理。然而，做好下一代防火墙的安全管理并不容易。无论哪一个厂家提供的下一代防火墙产品，包含的网络应用数量都是数以千计的。想充分发挥NGFW的作用，需要安全管理员具备更多的技能，更多的工作量，这意味更高的安全运营成本。 Anti-DDOS异常流量清洗方案概述方案组成如下图所示，华为Anti-DDOS解决方案由三部分组成：检测中心、清洗中心和管理中心。三者通过策略联动和控制联动最终为客户提供管理简单、部署灵活等专业防DDOS解决方案。Anti-DDoS异常流量清洗方案检测中心：作为整个解决方案的“触角”，检测中心设备接受管理中心的下发检测策略，并根据该策略实现对网

35、络中DDOS流量的识别和检测，并将检测结果反馈给管理中心。清洗中心：作为整个解决方案的“响应执行者”，清洗中心根据管理中心下发的控制指令，完成对网络流量中的DDOS攻击流量清洗。管理中心：作为整个解决方案的“大脑”，用户通过管理中心制定检测策略和清洗策略，并下发至检测中心设备和清洗中心设备上，来控制整个检测和清洗过程。同时，用户还可以通过管理中心生成和查看攻击报表和清洗记录。方案功能基于业务的防护策略本方案能够针对防护对象的业务流量进行持续的周期性的学习和分析，勾勒出业务流量正常曲线，针对不同的业务流量类型、同一业务不同时段，采取不同的防御防护类型和防护策略，实现精细化防护。精准的异常流量清洗

36、华为Anti-DDoS解决方案采用逐包深度分析技术，一旦攻击发生立即启动防护。防护采用七层过滤、行为分析、会话监控等多种技术手段，能精确防护各种Flood类攻击流量、web应用类攻击流量、DNS攻击流量、SSL DoS/DDoS类攻击流量和协议栈漏洞类攻击流量，保护应用服务器安全。DNS流量智能Cache华为Anti-DDoS解决方案，不但能够精确防护针对DNS服务器的各种漏洞攻击、应用攻击、和Flood类攻击，还可提供DNS Cache功能，缓解DNS服务器大流量下的性能压力。流行僵木蠕防护黑客通过木马蠕虫感染网络中的大量主机，分层控制组成僵尸网络，以便其发动各种攻击行为，因此可谓僵尸网络是

37、黑客发起DDoS攻击的温床。华为Anti-DDoS解决方案能够支持全球最流行200+种僵尸工具/木马/蠕虫流量识别与阻断，从而达到摧毁僵尸网络的目的。完善的IPv4-v6双栈防护2011年2月，IANA宣告IPv4地址分配告罄，学校面临无新的v4地址使用局面，纷纷将IPv6网络建设纳入网络规划建设议程。华为Anti-DDoS解决方案独有的IPv4-v6双栈合一技术，能够同时防御IPv6，IPv4组网内的DDoS攻击，满足双栈DDoS防御需求，帮助用户无忧过渡到下一代网络。灵活的组网部署方式Anti-DDoS解决方案作为对已有网络的保护措施，必须能够适应客户多种不同的网络环境，并满足客户不同的业

38、务等级要求。正是基于此，华为Anti-DDOS解决方案为客户提供了直路和旁路等多种网络部署方式，客户可以根据业务需要和网络结构灵活选择，具体包括如下方式：灵活的组网部署方式直路接入模式：将清洗检测模块串接在客户需要保护的网络中，直接对客户流量进行检测和清洗。华为基于高性能多核硬件平台，在高效的保证检测和清洗的准确性的同时，也将处理时延做到最小。此外，华为Anti-DDOS方案提供Bypass模块，当出现意外时，流量自动透传清洗模块，避免为客户引入新的故障点。旁路引流模式：将清洗模块部署在客户网络旁路上，对客户流量进行旁路检测，一旦发现DDOS攻击流量，清洗检测中心可以根据客户在管理中心上制定的

39、检测清洗策略执行相应的动作。方案特点高效快速：1.44Tbps防护性能、秒级防护响应基于高性能多核CPU，提供2G-1T的全系列Anti-DDoS产品，轻松应对各种规模DDoS攻击；采用业务模型流量自学习和逐包深度检测技术，一旦发现流量和报文异常，自动触发防护策略，从攻击发生到防御启动时延小于2秒钟； 精确全面：百余种攻击防御和IPv6防护七层过滤、行为分析和会话监控等多种技术结合手段， 可精确防御100+种DDoS攻击，防护类型业界最多；七层过滤可提供全球最新 200+种僵木蠕防护，保护用户远离黑客网络； 智能IPv4-v6双栈合一，率先全面支持IPv6攻击防御，首家的同时支持IPv4-v6

40、攻击同时防护的方案； 独有的终端识别技术，可精确识别客户端类型，如：智能终端、机顶盒、普通客户端等，不同客户端采用不同的防护技术，确保不对正常用户产生误判；Web网站安全方案在XXXX机房的web服务器区，采用web网站防护方案，通过部署UTM防火墙、web应用防火墙，有效防护各种针对教育网网站的跨站脚本攻击、注入攻击、请求伪造攻击、网站挂马、恶意扫描等，保障web网站的安全平稳运行。Web网站安全方案Web防护能力是基于7层防护技术，深入理解应用层内容，引入了安全白名单、安全黑名单等技术，同时对于网络层实际访问控制只允许开放的端口，有效对扫描器扫描、手工探测与渗透、恶意攻击、蠕虫攻击、应用层

41、CC攻击、应用层流量攻击、盗链攻击、恶意商业数据抓取、SQL注入、跨站点脚本攻击、表单/cookie篡改、敏感信息泄漏、目录遍历等应用层攻击进行防护。为用户解决传统架构难以防护的慢HTTP攻击、TCP分片绕过等攻击。特征库黑名单华为web应用防火墙内置了30余类的通用Web攻击特征，精炼出580多个类别的攻击特征，全面覆盖了Web应用安全存在的主要安全威胁，通过规则库匹配技术实现各类SQL注入、跨站、挂马、CC、扫描器等攻击的安全防护。策略自学习建模及白名单防护技术华为web应用防火墙引入了安全白名单技术，从而能实现快速安全检测，与安全特征库不同，安全白名单并不是对Web攻击行为的分析与提取，

42、而是对正常访问行为的分析与总结规律，从而实现了假定安全的检测逻辑。不同网站有着各自独立的特性与访问规律，因此华为web防火墙的白名单安全特征采用了自学习建模技术，针对所防护的网站进行流量学习，在概率统计学为基础不断的安全分析与收敛，最终形成一套针对网站特性的安全白名单规则。最终，通过策略自学习模建技术为用户节省学习相关安全知识的时间及精力，使管理人员可以更多的精力保障业务的使用；通过自学习白名单防护功能有效防护0day等攻击，误报率低。同时，大大提高了网站访问性能，避免特征库黑名单技术带来的局限性，如规则库的庞大及复杂，对管理员的安全技术水平要求高等。访问审计华为web防火墙支持对所有的Web

43、请求进行审计分析记录，提供详细的访问日志分析，以图表的形势展现Web服务的业务访问情况。同时，通过对访问记录的深度分析，可发掘潜在安全威胁，对于攻击防护遗漏的请求，仍然可以起到追根索源的目的。Web应用加速华为web防火墙通过高速缓存、TCP协议加速实现应用加速。 为了提高被保护系统的访问速度，同时消除WAF过滤分析过程中带来的延时，定制提供了应用加速功能，通过高速缓存和相关算法镜像及管理相关的静态内容，一旦有用户访问，客户端直接通过WAF缓存中获取，避免了用户重复通过Web服务器并进行协议解析等相关操作，从而加快了访问速度，减轻了Web服务器的负担。此外，当一个TCP连接开始传输数据时，由于

44、并不知道双方通道的带宽，所以为了最大利用带宽。传输是一个逐渐加速的过程，起初，假设带宽是一个比较小的值，通过另一端的反馈来逐渐增大对带宽的估计值。通过增大该估计值，TCP允许在未收到反馈时传输更多的包（即在途的包数目），最终该值达到稳定值，接近带宽，这个过程为TCP慢启动，这个时间的长短，直接影响了用户的Web体验。为此，华为WAF通过优化与客户端的TCP协议栈，优化后使得传输速度大幅度提升，特别是电信联通之间往返时间较长时，效果非常明显。网页篡改监测华为WAF通过内置自学习功能获取Web站点的页面信息，对整个站点进行爬行，爬行后根据设置的文件类型（如html、css、xml、jpeg、png

45、、gif、PDF、word、flash、excel、zip等类型）进行缓存，并生成唯一的数字水印，实时监测网站服务器的相关是否给非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。与此同时，WAF系统将对外显示之前的正确页面，防止被篡改的内容被访问到。Web站点隐藏成功的Web攻击往往由探测网络漏洞开始，在网络上很容易找到漏洞扫描工具对一个网站的应用程序、服务器、URL等进行扫描。华为WAF提供站点隐藏功能，黑客将无法查看Web的源信息、Web应用防火墙的URL返回码、HTTP头信息以及终端服务器的IP。 华为WAF支持Web站点隐藏，即能完全的中止所有的会话，使用户无法直接连接

46、到Web服务器上，无法直接访问服务器、操作系统或补丁程序。访问出错信息也将由华为WAF提供，后端服务器的出错信息不会直接返回给用户。这样，避免了服务器敏感信息泄露，也同时让一些高明的黑客就无法通过出错信息发动攻击。站点自动侦测Web站点的主要属性有网络IP地址、服务端口、访问域名，由于特别是有虚拟主机的环境中如果域名对应关系配置失误将导致业务访问错误跳转，而且很难分析出原因。为此，华为WAF设计站点自动侦测功能，可自动发现网络IP地址、服务端口、访问域名等服务属性，便于管理人员配置。入侵防御方案在XXXX机房数据中心出口，采用数据中心恶意入侵防护方案，通过部署NGFW防火墙、沙箱、IPS入侵防

47、御设备，防范各种针对服务器的漏洞（含零日漏洞）攻击，并提供抵御木马后门、广告软件、恶意程序等恶意入侵的能力，保障数据中心的数据完整性、安全性、真实性和稳定性。入侵防御方案入侵防御方案的优势主要体现在以下几个方面：签名符合国际标准，漏洞快速防御随着信息技术的发展，新型的攻击层出不穷，威胁日新月异。当新的漏洞被发现时，华为会在第一时间发布对应的签名，来防御针对该漏洞的已知的和未知的攻击，真正实现零日防御。华为通过专业的签名开发团队密切跟踪全球知名安全组织和软件厂商发布的安全公告，并与微软等知名软件厂商深度合作，对这些威胁进行分析和验证，生成保护各种软件系统（操作系统、应用程序、数据库）漏洞的签名库

48、。在此基础上，华为在最短时间内发布最新的签名，并遵从国际权威组织CVE的兼容性认证要求，及时升级检测引擎和签名库，及时防御已知威胁攻击。先进的环境感知能力，敏捷的引擎传统IPS设备就像是一个黑盒子，24小时持续不断的记录攻击事件。留下数量庞大的事件日志，需要花费大量的人力和时间去分析，管理人员很难进行有效的风险管理。任何环境的变化，包括系统的变化，应用的变化，如果不人工进行调整，策略都会保持一致。这样的结果是系统会产生大量的误报或者无需关注的告警日志。华为NGIPS解决方案通过环境感知的能力，设备知晓所保护的网络的各种应用、漏洞等，并通过静态风险并展示出来，让管理人员即可知晓环境中的可能潜在的

49、风险并进行相关的预防工作。华为NGIPS解决方案通过流量应用感知能力，设备知晓环境中的各种网络应用，结合各种应用可能被利用的潜在风险，识别环境的动态风险并展示出来，让管理人员能清楚知晓流量中变化，各种潜在风险并能做出预防措施。更为重要的是，华为NGIPS基于环境感知，通过敏捷的引擎，识别环境的动态变化，以及这些变化带来的威胁和风险，自动判断威胁相关性与威胁严重性，再根据这些信息，自动提供策略调整的建议或者自动进行调整，使得在系统始终处于一个最佳的防御状态。环境的变化可能是由于客户环境的操作系统、应用程序出现了更新、搬迁，也有可能是IPS本身的签名进行了更新，不管是哪种，NGIPS都可以自动地感

50、知这些变化，并动态地自适应环境。本地和云端结合的IP&CC信誉体系现今的安全态势表明，从攻击开始到完成控制主机，再到最初的数据泄露，整个时间是越来越短，整个过程往往是在数小时完成，甚至有些攻击可以是分钟或者秒级。这样短的时间不太可能完全依赖人工响应的方式，必须有一种自动化的方法来控制威胁的发展，直接阻截相关流量、防止重大危害的发生。作为全球同步的信息安全技术，利用和借鉴全球的检测历史信息，快速有效的实现预防攻击是性价比最高的预防措施。华为NGIPS解决方案支持本地和云端信誉系统，利用自身或者第三方提炼出恶意软件信息、动态域名信息、命令控制服务器地址信息，进行整合形成的各种类别的信誉库。NGIP

51、S网络设备利用这些信誉库，来进行自动化的快速攻击防御。利用云端信誉库可以得到更完整的信誉信息。当后门软件连接控制服务器时，可以快速的根据后门数据包中的动态域名信息来检测，将动态域名和C&C信誉库中的域名进行对比，如果能匹配，则认为是恶意的连接，直接快速的阻断后门软件和控制服务器之间的连接。SSL加密流量的防御能力为保护数据传输安全，越来越多的网站或企业选择通过SSL对流量进行加密传输。据统计企业网络中有 26% 的应用程序都在某种程度上以某种形式或方式使用SSL加密。由于SSL流量是加密传输的，传统IPS设备无法直接对其做威胁检测，使得这种攻击行为也越来越多的被采用，安全的盲区也越来越大。另外

52、，当APT类型的攻击获得服务器的控制权限后，服务器和控制端之间通常会使用SSL 等加密通信方式，并且由于是从内部主机发起的对外连接，不太容易被注意到。而传统的IPS设备完全无法应对加密攻击。NGIPS支持对SSL加密流量的解密和检测的能力。NGIPS对SSL流量进行解密，当HTTPS请求报文匹配解密策略时，NGIPS作为SSL代理首先对客户端（或服务器）发来的HTTPS流量解密，对解密的流量完成威胁检测，然后重新加密发送给服务器（或客户端），通过检测解密后的流量，实现对加密流量的威胁识别和拦截。行为管控安全方案在140个教学机构，包括XX市中小学、教育社区、教育部门的网络出口，采用上网行为管理

53、方案，部署基于应用的NGFW设备。对师生的上网行为、发帖内网、流量使用等情况进行全面管理，防止教学流量被电影、游戏流量侵占，避免学生发表不当言论，同时防止各种病毒、木马、蠕虫等入侵到教育机构网络。概述校园网除常规的资源共享、教学教务管理、WWW服务等外，还有丰富的多媒体资源，如课件点播、计算机辅助教学、VOD点播、远程教学等，这些都需要高效的带宽管理保证。但随着应用的逐步深入，接入校园网节点日渐增多,如何让学生更有效的利用网络学习而非其他，是校园网络管理者面对的一个难题。学生思维活跃，对新事物接受能力强，往往喜欢尝试网络中各种新应用，例如通过网络P2P下载、在线游戏、在线看电影、听音乐、论坛发

54、表言论等,很容易造成网络堵塞和病毒传播，尤其是P2P业务流量占用大量网络资源，已经严重影响正常的教学工作秩序。如果不采取防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。上网行为管理就是实现对互联网访问行为的全面管理。在P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面提供最有效的解决方案。在校园网络中，推荐采用旁路模式部署上网行为管理设备，将与交换机的镜像端口相连，部署实施简单，完全不影响原有的网络结构，降低了网络单点故障的发生概率。主要用于监听、审计局域网中的数据流及用户的网络行为。行为管控安全方案P2P业务监控当前P2P

55、下载应用不断发展，它在繁荣互联网的同时，消耗了大量的网络带宽，部分地区由于P2P下载的泛滥，影响了浏览网页、收发电子邮件等常规网络应用，引发用户对ISP的不满，同时，由于P2P下载泛滥，迫使ISP投入巨额资金不断地扩容带宽。目前ISP被消耗带宽的增长，已经远超过了用户数及收益的增长速度，如果不对P2P下载进行适当的控制，它将直接影响到ISP的服务质量。互连网识别和控制系统检测本地网中的用户业务流量，通过深度分析，判断用户的业务流量中P2P协议的类型和P2P流量信息，根据制定好的策略对用户的P2P数据流进行控制。用户行为分析对用户网络访问行为进行统计分析，通过分析网络流量，统计网络热点，发掘业务

56、增长空间。通过分析用户行为，统计用户兴趣，为个性化运营提供依据。异常流量监控随着互联网业务的高速发展，网络应用层出不穷，随着高强度加密技术、P2P 技术和IM 技术的结合，给最终用户、学校网络和电信网络带来多方位的安全威胁(DDoS等网络攻击)，异常的网络流量日益增加，不仅对ISP自身的设备造成沉重负担，更冲击了ISP自身的客户，影响其业务网络，对其正常业务产生了巨大的损失。互联网识别和控制系统检测分析流入本地IP网络流量，发现DDoS攻击等恶意网络流量，并采取相应策略，对攻击流量进行清洗保护，保证本地网安全。垃圾邮件检测垃圾邮件占用网络带宽，造成邮件服务器阻塞，降低网络运行效率，垃圾邮件传播

57、非法内容以及病毒和蠕虫，扰乱社会秩序和危害网络安全。互联网业务识别和控制系统能够识别网内、外垃圾邮件发送者，并支持黑白名单功能。僵尸网络检测僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染僵尸Bot程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸网络（Botnet）构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。互联网识别和控制系统应能够准确检测僵尸机传播者、感染者的详细信息，能够出具各类报表完成统计分析。智能流量镜

58、像流量镜像是按照一定配置需求把某些类型的流量转发到特定的第三方业务系统。可镜像的流量能力应该和和DPI识别能力是一致的，可以灵活的按应用协议类别、协议特征字、方向等标准来设置镜像条件。流量镜像功能可以把强大的深层报文识别能力充分发挥出来。通过把特定的流量发送给专门的业务系统，构建多种崭新的信息分析、信息控制和信息再利用的框架。例如把HttpVideo、文件共享、P2P下载等流量推送到缓存系统，并重定向客户的下载请求道Cache系统，可以在不增加出口带宽的同时为内网用户提供高速的外网资源下载，有效提升用户的上网体验。此外，还可以把HTTP流量镜像出来，发送给专门的用户行为深度发掘系统，提供更加精

59、准的广告推送服务。URL监控URL监控分为三类需求：网站访问统计、页面访问审计和URL 过滤。网站访问统计包括URL 访问统计和URL 备案。URL访问统计包含外网URL 统计，外网URL 域名统计，内网URL 统计，内网URL 域名统计。URL备案是指：对比内网域名汇总报表和URL 备案文件，刷新网站对应信息，并更新刷新时间，可以在Web页面进行展示，以便了解内网网站备案的情况。页面访问审计是指。系统根据用户访问的URL的分类（例如：新闻类、赌博类）对用户的Web 访问行为进行审计。URL过滤是要求系统根据用户访问的URL的分类（例如：新闻类、赌博类）对用户的Web 访问行为进行控制。管理I

60、M即时通讯工具权威统计显示国内网民最常使用的IM工具依次为QQ、飞信、MSN、Skype。办公室内IM聊天、影音文件分享、甚至游戏对战屡见不鲜，而QQ病毒、MSN蠕虫也让IT管理者记忆犹新，如何有效管理IM工具？借助现有防火墙等传统手段封堵IM并不奏效。以下是ASG设备提供的对IM从禁止、监管、再到安全防御的解决方案。禁止AC深度内容检测技术根据应用协议数据包特征字段全面封堵各种IM工具，包括QQ、MSN、新浪UC、网易泡泡、Yahoo Messenger、Skype、ICQ、Google Talk、飞信等；即使IM软件将数据包封装到80、443等端口传输，AC亦可区别IM流量和正常的Http