远程安全接入解决方案.ppt

1、远程安全接入解决方案,打造国内安全第一品牌,您的安全顾问,密级：公开,杭州华三通信技术有限公司,版本说明,注意：正式交流时请删除此页,杭州华三通信技术有限公司 版权所有，保留一切权利 分经本公司书面许可，任何单位何个人不得擅自摘抄、复制本文档的部分或者全部，并不得以任何形式传播,提纲,用户远程安全接入需求分析 H3C远程安全接入解决方案 H3C远程安全接入解决方案典型案例 H3C远程安全接入解决方案产品介绍,道路的变迁,栈道,驿道,高速公路,业务发展，推动远程接入的建设！,社会的发展，推动交通建设：,远程接入时，用户的关注点一：,以下接入需求同时满足 分支节点如何接入 合作伙伴如何接入 移动办

2、公如何接入 价值客户如何接入,“通则不痛，痛则不通 ” 黄帝内经,远程接入时，用户的关注点二：,接入传输需要安全 如何保证传输内容是安全的 如何保证接入者是可信赖的 如何保证传输过程不被窃听、篡改,“居安思危，思则有备，有备无患” 左传,最佳远程接入之道：VPN,VPN：虚拟专用网。通过组合数据封装和加密技术，实现私有数据通过公共网络平台进行安全传输，从而以经济、灵活的方式实现两个局域网络通过公共网络平台进行衔接，或者提供移动用户安全的通过公共网络平台接入内网。,加密：保证数据传输不被窃听、篡改 灵活：接入地点灵活，分支、移动用户方便接入 经济：无需专用线路建设,建设和维护成本低 相对专线，V

3、PN建设和维护成本很低 移动客户接入方便 移动客户可以在任何能上internet的地方接入 数据传输更安全 采用先进加密技术，保证数据的安全性及完整性 可扩展性强 有Internet的地方就可以互联,VPN技术相对专线的优点,VPN建设中，用户还关注如何管理：,整网VPN如何管理 设备的配置如何统一部署 接入状况如何实时监控 隧道中跑的都是什么流量,“舜有臣五人，而天下治。” 论语,所有网络建设，用户还关注可靠性,VPN建设的可靠性 一个运营商链路不能满足要求，两个出口备份是否更好 一台设备是否还有单点故障问题，能否考虑备份 建网络是为了业务发展，关键业务应该具有带宽保证,“鲁城门久朽欲顿，孔

4、子过之，趋而疾行” 论衡,赵州桥,每个用户网络有独到之处：,需要兼容现有网络 用户原有的用户认证系统，能否在移动用户远程接入时兼容 原有的动态路由，跨VPN后全网动态路由还有么 原有网络是MPLS的，VPN能支持么 ,“海纳百川，有容乃大” 庄子,提纲,用户远程安全接入需求分析 H3C远程安全接入解决方案 方案技术介绍 方案最佳实践 H3C远程安全接入解决方案典型案例 H3C远程安全接入解决方案产品介绍,H3C远程安全接入解决方案设计原则,设计原则 满足不同用户接入需求，满足随时随地可连通 安全第一，充分考虑公网传输的威胁 注重管理需求，降低维护成本 以业务为导向，保护业务的持续可靠运行 满足

5、对用户各种组网兼容性的需求,H3C远程安全接入解决方案概览,不同用户，最适宜的接入方式： 大型分支：通过IPSec+GRE接入 中小分支机构、合作伙伴：通过IPSec VPN接入 移动用户：免客户端的SSL VPN的方式接入,安全性：VPN 可保证数据传输的高安全性,VPN技术通过集合下面系列技术，保证了安全性，不逊于专线： 隧道技术：L2TP，IPSEC，GRE 加密技术：DES/3DES/AES/国密办的加密算法 消息完整性技术：MD5/SHA-1 认证技术：RSA数字证书认证、Pre-Shared Key认证,安全的VPN 传输,不安全的Internet传输,安全性： IPSec-PKI

6、认证保障接入者可信赖,身份认证方式 PKI/CA认证 认证算法 MD5 SHA-1 加密算法 DES/3DES AES,PKI/CA,共享密钥,共享密钥,数字证书,IKE 2,IKE 1,Proposals,Proposals,Proposals,Proposals,数字证书,IKE SA,IPsec SA,1.,2.,3.,IPsec 隧道,移动用户SSL接入,服务器,内网用户,SOHO,酒店,无线接入,安全性： 传输加密 身份认证、权限管理、细粒度控制 终端安全检查 易使用： 免客户端、免维护 多接入方式： 任意接入方式 多认证方式： 本地认证、Radius认证 LDAP认证、AD认证 证

7、书认证 双因素认证,SSL网关,多种内置攻击防范功能，保证传输内容是安全的： 防止基于3层/4层协议的网络/传输层攻击 内容深度识别 多种DoS/DDoS攻击防范,防火墙,受信区域,非受信区域,DoS攻击,黑客,正常用户,策略阻止,非法访问,正常访问,策略允许,安全性：防火墙保证传输内容安全,易管理：BIMS自动配置,配置集中管理和批量下发 动态IP地址节点配置管理 易操作和安全性,VPN Manager,应用和业务服务器,应用和业务服务器,总部网络中心,远程VPN网关,分支机构1,BIMS,BIMS作为配置文件中心，根据网络规划，生成每个安全设备的配置文件； 它还是一个系统软件中心，集中控制

8、整网设备的版本。,安全设备作为BIMS client主动发起和BIMS管理中心的连接，并索取配置文件或系统软件，完成配置文件、系统软件自动更新；,收集&分析,数据,知识,Syslog,NetStream,二进制日志,WMI、API,H3C SecCenter,从分布式系统中集中收集、监控&分析数据，并把原始数据转换为安全有效信息。,安全事件,网络事件,系统事件,应用事件,Netflow,网络安全本质上是管理问题。,易管理：安全管理中心SecCenter,易管理：全网事件的统一收集与处理,事件过滤漏洞匹配锁定位置告警通知,支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Sp

9、am、路由器、交换机、Unix、Linux、Windows等各类IT资源的管理 支持安全事件、网络事件、系统事件、应用事件,易管理：SecCenter可管理异构网络和多厂家设备,支持近100家厂商的Firewalls / IDS / IPS / Routers / Anti-Virus Servers / Proxy / Web Security / Hosts,易管理：SecCenter网络流量的实时监控,实时监控每台设备流量 实时监控带宽利用率 实时按协议统计网络流量 实时按应用查看流量 实时按地址、按时间,易管理： VPN Manager的VPN监控,支持对关键指标的监视 支持对IPSe

10、c/IKE隧道监视 支持对协商过程的监视 提供关键参数的查询,高可靠：双出口隧道自动备份,双出口自动备份 L3 Monitor可侦测整条链路状态,网管系统,认证系统,Server业务系统,总部网络中心,分支机构2,分支机构1,SecPath,SecPath,L3 Monitor可侦测运营商内部链路发现故障,高可靠： QOS保证关键业务,数据流,语音流,视频流,VPN隧道,SecPath,SecPath,专业网络厂商的QoS特性 流量监管 拥塞检测及避免 流量整形,丢弃,兼容并可靠：动态路由切换,OSPF+GRE+IPSec 支持全网OSPF动态路由,网管系统,认证系统,Server业务系统,总

11、部网络中心,分支机构2,分支机构1,SecPath,SecPath,OSPF侦测发现故障,兼容性：支持MPLS组网,VPN专利技术-VPE 解决分支IPSec接入问题 IPSec隧道映射至MPLS VPN 移动用户通过用户名映射MPLS VPN,P,P,MPLS CORE,VPN-1,VPN-2,PE,PE,移动办公用户 VPN-2,LSP隧道,隧道映射,LSP隧道,企业分支 VPN-1,VPE,CE,IPSEC 隧道,SSL 隧道,提纲,用户远程安全接入需求分析 H3C远程安全接入解决方案 方案技术介绍 方案最佳实践 H3C远程安全接入解决方案典型案例 H3C远程安全接入解决方案产品介绍,大

12、量分支接入,电信internet,网通internet,Secpath F100-C,Secpath F1000,ADSL,服务器区,VPN接入区,接入分支,VPN Manager,BIMS,方案特点 总部集中管理，统一升级 各种接入分支均能通过BIMS管理 电信、网通隧道分离，提高传输效率 双出口双机备份，保证高可靠,SecCenter,ADSL,ADSL,专线备份,方案特点 全网动态路由备份 专线故障时，快速动态路由切换至VPN备份,专线 SDH,internet,Secpath F100,Secpath F1000,ADSL,服务器区,总部,分支,VPN Manager,BIMS,Sec

13、Center,ADSL,Secpath F100,分支,视频终端,视频电话,PC,专线 专线,视频终端,视频电话,PC,移动用户接入,方案特点 满足移动用户接入需求 双SSL网关备份，满足可靠性需求 认证方式灵活,认证服务器,局域网,SOHO,酒店,无线接入,SSL网关,SSL网关,内网安全传输,方案特点 满足高安全性业务内网传输需求 可嵌入交换机进行加密传输 认证、监控保证安全可控,核心交换机,安全管理中心SecCenter,安全管理平台,其他部门,市场部门,保密部门,SecBlade,保密服务器,BIMS/VPN Manager/iMC,加密传输,H3C远程安全接入解决方案特点,统一接入

14、SecPath集成IPSec 、GRE 、SSL 、MPLS VPN技术，一台设备满足用户所有接入需求 高安全性 SecPath集成专业防火墙功能，网关处防攻击 支持多种认证方式，保证接入安全 易管理性 SecCenter对全网安全事件的集中采集、智能分析 BIMS对分支智能管理 高可靠性 SecPath双机热备 双出口链路备份 QoS保障关键业务优先 OSPF动态路由保障 L3 Monitor侦测链路状态,提纲,用户远程安全接入需求分析 H3C远程安全接入解决方案 H3C远程安全接入解决方案典型案例 H3C远程安全接入解决方案产品介绍,电信internet,网通internet,3000台S

15、ecpath10F,2台Secpath1000,交换机,路由器,服务器区,VPN接入区,营业网点,VPN网络管理,BIMS分支网点智能管理服务器,平安保险全国VPN网络,QUIDVIEW网管平台,数据中心,地市,2 E1,2 E1,区县中心,E1,E1,SecPath 100,SecPath 1000,SecPath 10F,SecPath 10F,SecPath 10F,工商所1,工商所2,工商所n,甘肃工商,700个工商所,双中心负载分担 冗余备份,下辖,600,多个加油站点,SecPath 1000,大连石油销售公司,下辖600多个加油站点,SecPath 10 F,加油站n,加油站1,

16、加油站2,SecPath 10F,SecPath 10F,SecPath 10F,大连石油销售公司全市销售网点VPN组网,外网部级节点,NE08E,SDH,SecPath 1000,155M CPOS,2M E1,100M FE,AR46,SecPath 1000F,SecPath 100F,SecPath 100V,10M,视频终端,视频电话,服务器,MCU,GK,视频终端,视频电话,外网省级节点,PC,接入交换机,接入交换机,Internet,交通部全国广域骨干网,2M E1,AR46,SecPath 100F,SecPath 100V,视频终端,视频电话,外网省级节点,PC,FE,FE,

17、FE,FE,S3528G,Secpath 100V,Secpath 100V,Secpath 1000,S8505,S8505,S6506R,Secpath 1000,S6506R,业务服务器群,OA服务器群,S3528G,S3528G,S3528G,汉口地税中心,汉阳地税中心,各个税务点,各个税务点,电信10M专线 IP Over ATM,广电城域网20M,武汉地税数据城域网,Secpath 100V,伊利集团,13台R1760,17台Secpath100,Secpath1000,Secpath1000,呼和浩特,北京,上海,237套Secpoint VPN客户端,伊利内部核心网络,杭州市数

18、字城管,SecPath1000,SecPath1000,共采用8台SecPath 1000 近千个SecPoint,中外运集团,提纲,用户远程安全接入需求分析 H3C远程安全接入解决方案 H3C远程安全接入解决方案典型案例 H3C远程安全接入解决方案产品介绍,H3C 应用 控制与优化,H3C T系列I PS,T200,H3C 安全业务管理,SecCenter A1000,EAD,iMC,BIMS,ASE 5000,T200-E,T1000-S,T1000-M,T1000-A,ACG 2000-M,H3C SecPath UTM,U200-C,U200-S,U200-M,U200-A,U2000

19、-S,U2000-A,ACG 8800-A,T5000-A,安全评估与咨询,H3C安全产品全家福,H3C Secpath 防火墙/VPN,F5000-A,F1000-A,F1000-S,F100-E,F100-C,V100-E,F100-A-SI,F1000-E,V1000-A,F100-S,F100-A,V100-S,F1000-C,SecPath F1000-A,SecPath F1000-S,SecPath V100-S,SecPath F100-M,SecPath F1800-A,SecPath V1000-A,SecPath F100-C,SecPath F100-S,SecPath

20、 F100-E,SecBlade FW/VPN,SecPath F100-A,ISP/大型数据中心,大型企业总部,大型分支/中型企业,中型分支/小型企业,SOHO/小型分支,SecPath F1000-E,SecPath防火墙产品系列,SecPath F5000-A,在具有不同安全级别的区域之间实施网络安全策略，进行访问控制,防止基于3层/4层协议的网络/传输层攻击,防火墙基本功能,网络特性,客户需求为导向,安全功能,智能管理,防火墙的其他功能包括： 安全身份认证 智能地址转换 丰富VPN特性 内容深度识别 流量QoS保障 强大路由能力,SecPath防火墙的其他功能,IPSec VPN： 解决企业分支机构安全地接入总部网络的问题。 SSL VPN： 解决移动办公用户远程接入的问题，还具有细粒度控制、免客户端的特点。,SecPath防火墙/VPN支持：,L2TP VPN IPSec VPN GRE VPN MPLS VPN DVPN（H3C专利）,SecPath系列防火墙支持全面的VPN功能,基于OAA先进体系构架，独立计算和处理能力 专利技术实现对未知病毒防御 图形化界面管理，配置灵活 强大日志审计、告警功能 高效的流引擎，优异的流处理能力 灵活升级模式，保障