廣域網(wǎng)安全與優(yōu)化解決方案

1、廣域網(wǎng)安全與優(yōu)化解決方案廣域網(wǎng)安全與優(yōu)化解決方案WAN連接地理范圍較大，常常是一個(gè)國(guó)家或是一個(gè)洲。其目的是 為了讓分布較遠(yuǎn)的各局域網(wǎng)互連，所以它的結(jié)構(gòu)又分為末端系統(tǒng)（兩 端的用戶(hù)集合）和通信系統(tǒng)（中間鏈路）兩部分。下面是廣域網(wǎng)安全與 優(yōu)化解決方案，為大家提供參考。一、應(yīng)用背景廣域網(wǎng)確保了總部和各級(jí)分支機(jī)構(gòu)之間的互聯(lián)互通，但是，隨著 廣域網(wǎng)上各種應(yīng)用的業(yè)務(wù)量和復(fù)雜度不斷提升，其安全及性能問(wèn)題 變得越來(lái)越突出，主要問(wèn)題包括：訪問(wèn)控制：如何實(shí)現(xiàn)各分支機(jī)構(gòu)和總部間、各分支機(jī)構(gòu)之間復(fù)雜 的訪問(wèn)控制？安全威脅：邊遠(yuǎn)分支機(jī)構(gòu)的安全級(jí)別低、安全管理松散，易引入 蠕蟲(chóng)、木馬、病毒、黑客等，如何防范這些安全威脅在

2、廣域網(wǎng)上快 速擴(kuò)散？帶寬保障：非關(guān)鍵業(yè)務(wù)或垃圾流量占用了有限的廣域網(wǎng)帶寬資源, 造成廣域網(wǎng)擁塞，如何保證數(shù)據(jù)流在廣域網(wǎng)中按業(yè)務(wù)的重要程度進(jìn) 行不同優(yōu)先級(jí)的調(diào)度？安全管理：如何實(shí)現(xiàn)廣域網(wǎng)集中的安全管理，整網(wǎng)部署統(tǒng)一的安 全策略，進(jìn)行統(tǒng)一的安全事件監(jiān)控？二、總部安全設(shè)計(jì)總部包含了廣域網(wǎng)業(yè)務(wù)的核心數(shù)據(jù)，安全級(jí)別最高，所以在總部 的廣域網(wǎng)出口采用功能專(zhuān)一的安全設(shè)備實(shí)現(xiàn)安全防護(hù)和性能保護(hù)。 另外，對(duì)于大型廣域網(wǎng)的總部，H3C可以提供高端萬(wàn)兆的安全產(chǎn)品F5000、T5000、ACG8800,以滿(mǎn)足大型廣域網(wǎng)總部對(duì)安全業(yè)務(wù)的高性 能需求。防火墻實(shí)現(xiàn)分支機(jī)構(gòu)針對(duì)總部資源的訪問(wèn)控制，H3C防火墻具有 虛擬化、A

3、CL加速等技術(shù)優(yōu)勢(shì)，其虛擬化特性可大大簡(jiǎn)化訪問(wèn)控制 策略的部署，ACL加速特性可提升總部大業(yè)務(wù)量下的訪問(wèn)控制效率。IPS產(chǎn)品實(shí)現(xiàn)應(yīng)用層安全威脅防御，H3CIPS具有三庫(kù)合一、高性 能等技術(shù)優(yōu)勢(shì)，其中病毒特征庫(kù)采用了專(zhuān)業(yè)防病毒廠商卡巴斯基授 權(quán)的SafeStream庫(kù)，可以有效防護(hù)各種詭異的混合型安全威脅;其 獨(dú)特的FIRST引擎技術(shù)可保證IPS開(kāi)啟所有特征規(guī)則（上萬(wàn)條）后， 性能不衰減。同時(shí)，H3CIPS產(chǎn)品可以有效阻斷蠕蟲(chóng)、病毒等產(chǎn)生的 掃描探測(cè)流量，以避免這些垃圾流量侵蝕寶貴的廣域網(wǎng)帶寬資源。ACG產(chǎn)品實(shí)現(xiàn)廣域網(wǎng)帶寬優(yōu)化，H3CACG可識(shí)別各種廣域網(wǎng)業(yè)務(wù)， 如Notes等辦公業(yè)務(wù)、電力調(diào)度

4、業(yè)務(wù)、Oracle等數(shù)據(jù)庫(kù)業(yè)務(wù)、視頻 會(huì)議、SNMP等網(wǎng)管業(yè)務(wù);并提供自定義協(xié)議接口，可根據(jù)客戶(hù)自身 應(yīng)用的負(fù)載特征和交互特征自定義應(yīng)用協(xié)議。在識(shí)別出各種廣域網(wǎng) 業(yè)務(wù)的基礎(chǔ)上，ACG可對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行帶寬保證，對(duì)其他業(yè)務(wù)按優(yōu) 先級(jí)進(jìn)行智能流量調(diào)度。同時(shí)，對(duì)于廣域網(wǎng)上的一些網(wǎng)絡(luò)濫用業(yè)務(wù) （如在線多媒體、上傳下載等），ACG可自動(dòng)識(shí)別并進(jìn)行限流或阻斷。三、二級(jí)網(wǎng)安全設(shè)計(jì)二級(jí)網(wǎng)在整個(gè)廣域網(wǎng)中承上啟下，安全級(jí)別較高，訪問(wèn)控制策略 復(fù)雜，所以在二級(jí)網(wǎng)的廣域網(wǎng)出口采用功能專(zhuān)一的安全設(shè)備實(shí)現(xiàn)安 全防護(hù)和性能保護(hù)。相對(duì)總部而言，二級(jí)網(wǎng)的流量相對(duì)較小，所以, 對(duì)于大型廣域網(wǎng)的二級(jí)網(wǎng)，可以采用H3C高端千兆安全產(chǎn)品

5、F1000、 T1000、ACG2000等，在確保獲得專(zhuān)業(yè)安全業(yè)務(wù)的同時(shí)，又能滿(mǎn)足二 級(jí)網(wǎng)對(duì)性能的需求。四、三級(jí)網(wǎng)安全設(shè)計(jì)三級(jí)網(wǎng)的安全級(jí)別相對(duì)較低，但分布廣、網(wǎng)點(diǎn)多，要求安全設(shè)備 易管理、易部署，所以在三級(jí)網(wǎng)的廣域網(wǎng)出口部署功能綜合的安全 產(chǎn)品UTM。H3CUTM集成了防火墻、IPS、防病毒、帶寬管理等功能，同時(shí)支持基于TR069的安全策略分發(fā)，非常方便于遠(yuǎn)程分支機(jī)構(gòu)的 安全業(yè)務(wù)部署。安全管理設(shè)計(jì)在總部部署H3C的安全管理平臺(tái)SecCenter,實(shí)現(xiàn)廣域網(wǎng)全網(wǎng)安 全威脅統(tǒng)一監(jiān)控和安全策略統(tǒng)一管理。對(duì)于大型的廣域網(wǎng)，還需要 在二級(jí)網(wǎng)也部署SecCenter,實(shí)現(xiàn)分級(jí)的安全管理。五、方案特點(diǎn)1.

6、立體化的安全防護(hù)通過(guò)防火墻和IPS的有機(jī)結(jié)合和功能互補(bǔ)，為用戶(hù)提供2-7層的 全而安全防護(hù)，確保了總部和二級(jí)網(wǎng)的安全，同時(shí)UTM綜合的安全 功能確保了三級(jí)網(wǎng)的安全。H3CIPS、UTM可以定期更新攻擊特征和 病毒特征規(guī)則，為用戶(hù)提供持續(xù)的專(zhuān)業(yè)安全保護(hù)。2. 精細(xì)化的流量調(diào)度和廣域網(wǎng)帶寬優(yōu)化通過(guò)ACG的7層QoS功能，可以針對(duì)各種關(guān)鍵業(yè)務(wù)進(jìn)行帶寬保障 和帶寬的動(dòng)態(tài)分配，實(shí)現(xiàn)精細(xì)化流量調(diào)度，節(jié)約帶寬資源。H3CACG 產(chǎn)品可根據(jù)報(bào)文負(fù)載特征識(shí)別包括廣域網(wǎng)常見(jiàn)應(yīng)用在內(nèi)的3000多種 應(yīng)用協(xié)議，并可以根據(jù)不同用戶(hù)廣域網(wǎng)的特殊業(yè)務(wù)定制協(xié)議特征。 在識(shí)別后，H3CACG可以定義出最多三層通道，在每層通道里

7、都可以 部署精細(xì)化的流量調(diào)度策略，包括帶寬保證、帶寬借用、帶寬限制、 封堵、連接限制、優(yōu)先級(jí)改寫(xiě)等，可方便地實(shí)現(xiàn)對(duì)廣域網(wǎng)關(guān)鍵業(yè)務(wù) （如視頻會(huì)議等）的帶寬保證，對(duì)濫用業(yè)務(wù)（如上傳下載等）的限制；同 時(shí)，H3CACG支持通道帶寬的動(dòng)態(tài)分配，并根據(jù)用戶(hù)數(shù)量的變化動(dòng)態(tài) 調(diào)整帶寬分配，保證帶寬資源高效與公平利用。3. 安全與網(wǎng)絡(luò)的融合H3C的防火墻、IPS、ACG等安全業(yè)務(wù)都可通過(guò)插卡的形式嵌入到 廣域網(wǎng)路由器或交換機(jī)上，形成融合的安全解決方案，可減少管理 運(yùn)維成本、提高整網(wǎng)可靠性。同時(shí)，H3C的安全產(chǎn)品與廣域網(wǎng)上的 網(wǎng)絡(luò)設(shè)備和EAD終端形成整網(wǎng)聯(lián)動(dòng)，構(gòu)建動(dòng)態(tài)的安全防御體系。4. 高性能H3C的安全產(chǎn)品全線采用了多核分布式架構(gòu)，安全業(yè)務(wù)并行處理, 顯著降低處理時(shí)延。其中，H3CIPS產(chǎn)品的入侵防御引擎采用了多項(xiàng) 國(guó)家