华为敏捷园区网解决方案

一、应用移动化带来的挑战：静态 vs 动态
网络 不安全
自带设备办公（BYOD） 安全策略如何部署？
流量 难预测
蜂群的冲击，动态 的流量如何调配？
权限 难管理
用户位置多变，手工 配置权限如何应对？
体验 不一致
不同位置/终端接入,如 何获得一致的体验?
HUAWEI TECHNOLOGIES CO., LTD.
客户价值：
快速发现终端的攻击行为，在安全事故发生前及时阻断，保护 企业业务数据和业务环境的安全。
病情发作之初：基于特殊组的安全检查，防止终端仿冒
Agile Controller
① 安全资源动态调用
核心敏捷交换机
安全资源中心
权限策略 2、用户认证上线， 用户组识别
敏捷交换机/ 随板AC
SVN
W AN/Internet
3、策略执行
出差用户
企业园区
VIP员工 远程接入
应用场景一：移动办公业务随行
接接入入权权限限策策略略、、 QQooSS策策略略、、带带宽宽 策策略略、、安安全全策策略略
西安园 区
北京园 区
南京园 区
出差
应用场景二：VIP用户体验保障
版本信息（含发布/修改时间）：
发布时间：2015-10-31 含15年发布的敏捷方案2.0的特性
HUAWEI TECHNOLOGIES CO., LTD.
Page 1
目录
1 挑战与解决方案 2 四个故事和一个背景 3 敏捷园区网全家福
你的网络准备好了吗？
移动化
云计算
大数据
社交网络
物联网
• 仅支持用户组到资源组的策略执行。 • 支持48个组。 • 不支持基于用户组的安全资源动态分配。 • 支持对用户进行单向上行限速。
策略执行点： • 收到用户的业务报文，向Controller查询报文的源组和目的组，并执行组间策略。 • 根据Controller下发的策略，将VIP用户的流量送入高优先级队列调度。 • 本地配置基于组的应用安全策略，对业务流进行安全检查和策略执行。
认证点 • 认证交换机配合Controller完成用户的准入认证，上报用户IP地址。 策略执行点 • 作为策略执行点识别报文的源组和目的组，执行组间策略。 • 根据Controller下发的策略对用户进行限速。 • 根据Controller下发的策略，自动实现基于用户组的安全资源动态分配。
• 支持用户组到用户组、用户组到资源组、资源组到用户组的策略执行。 • 支持512个组。 • 支持基于用户组的安全资源动态分配。 • 支持对用户进行双向限速。
解决方案：
1、恶意终端攻击行为：恶意终端对每台设备进行密码猜解，每 台设备仅登陆一到两次，在单设备看来属于正常的操作。 2、日志收集：设备将终端操作日志上报到Agile Controller， 如：登陆日志等。 3、大数据关联分析： 关联规则制定： 同一IP在20分钟内，收集到来自不同设备（包 括网络、安全、服务器等）登陆失败信息合计超过20次。 关联分析：发现恶意终端，并生成安全事件通知运维人员。 4、下发安全策略：运维人员依据分析结果下发安全策略，快速 阻断非法用户。
TOP高危资产
快速识别全网安全态势瓶 颈点； 可主动实施有针对性的安 全策略；
病情发作之初:深度关联分析，及时阻断恶意终端违规行为
服务器区
Agile NGFW Controller
③ 大数据关联分析
客户问题：
随着园区无线网络和BYOD办公普及，园区网络无边界化，各类 终端可以随时随地接入园区网络，需要及时发现恶意终端并阻 断其恶意行为，防止攻击和泄密事件的发生。
Agile Controller
认证点设备
执行点设备 交换机：S12700/S9700/S7700/S5720HI NGFW：USG6300/6500/6600系列 SVN：SVN5800系列
企业分支
W AN/Internet
VIP优先级保障 安全保障
VIP远程接入资源保障
带宽保障 NGFW 业务流策略
AP
无线窃听攻击 移动终端攻击
移动化后，办公场所无限扩展，接入终端非常丰富，导 致攻击点和攻击手段也多样化
小偷 VS
小黑
偷偷溜进小区 看谁不在家 撬门 进门。。。 视频监控
混进园区网（木马或病毒） 看哪些终端在线 找漏洞 复制。。。。。
？？？
全网安全协防：从单点防护步入全网防护年代
② 大数据关联分析
远端处理+交互
Page 5
三、物联网带来的挑战：标准、开放、复杂环境
HUAWEI TECHNOLOGIES CO., LTD.
1、安全 2、严酷环境 3、标准化 4、开放
Page 6
四、网络安全带来的挑战：单点静态防御 VS 多点动态未知威胁
安全防护边界模糊 攻击手段多样化
BYOD
• BYOD导致终端安全和信息安全问题激增 • 企业全球化使网络边界模糊
2. 带宽
3. 安全（IPS/AV/应用安全）
W AN/Internet
User XXX Location XXX
rPesooliucirecse,s
Silicon valley
Beijing
Shenzhen
接入无差别 体验有保障
Agile Controller
业务随行：方案部署逻辑图
数据中心
1、组/策略定 义和下发同步
策略执行点： • 收到用户的业务报文，向Controller查询报文的源组和目的组，并执行组间策略。 • 根据Controller下发的策略，将VIP用户的流量送入高优先级队列调度。 远程VPN网关： • 为VIP用户保证VPN接入资源，当SVN资源用尽可以自动强制P普a通ge用2户3 下线，保证VIP用户接入。
Agile Controller
④ 安全资源动态分配
安全资源中心
NGFW
第三方 安全设备
安全事件采集 安全策略生效
1、全网安全事件采集
网络设备、安全设备、主机设备、终端等事件日志
2、大数据关联分析
对海量日志信息进行关联分析，呈现全网安全状态，发现安全 隐患
3、全网安全快速响应
实时告警，并给出处理建议 灵活下发安全策略，快速进行安全事件响应
敏捷汇聚
敏捷交换机
融合接入
交换机 AP AP 敏捷交换机
敏捷交换机
敏捷感知和执行 • 用户&应用 • 质量&问题 • 安全事件
让网络更敏捷地为业务服务
（灵活） （快速）
业务 随行
全网安 全协防
有线无线 深度融合
质量 感知
SDN& 平滑演进
目录
1 挑战与解决方案 2 四个故事和一个背景 3 敏捷园区网全家福
Page 4
二、云计算带来的挑战：强安全、虚拟化、优质体验
1、公有云的安全问题 2、虚拟机迁移、网络需要动态调整 3、用户体验对网络质量要求更加苛刻
公有云Public cloud
私有云Private cloud Internet
本地处理+交互 HUAWEI TECHNOLOGIES CO., LTD.
故事一
一个员工的投诉
一个员工的投诉：
为什么换个办公楼我就访问不了原来的 服务器了？ --基于IP的权限控制
为什么在北京出差总显示接到独联体俄 罗斯去，电话会议根本开不了！ --资源占满
业务随行：以用户为中心的业务体验保障
策略随行
体验随身
1. 权限(Permit/Deny)
1. 优先级
2. 业务流
HCS-Solution-数通安全-华为敏捷园区网 解决方案
课程负责人：魏伟 部门：中国企业业务网络解决方案销售部
内容简介：
主要向合作伙伴介绍华为敏捷园区方案
课程面向对象：
合作伙伴售前
课程目标：
合作伙伴可以了解华为敏捷园区有哪些敏捷特性，相对友商有哪些亮点， 该如何向客户传递华为敏捷方案的价值点
• 75%的威胁发生在应用层 • >50%攻击是有组织的团队行为
从已知威胁到未知威胁
• 攻击转向使用未知威胁变种，以躲避传统防护手段 • 仅中国，10年新增网络病毒1798万
HUAWEI TECHNOLOGIES CO., LTD.
Page 7
五、网络运维人员面临的挑战：状态不可知、管理不自动
用户感受到的，网络并不知道
VIP用户VPN 远程接入
通过Controller和网络设备的协作为VIP用户分配更多的资 源保障，集中式的控制使得VIP用户得到端到端一致的体验 保障。 • 带宽 • 优先级 • VPN资源
应用场景三：临时团队随时建立
数据中心
销售员工
研发员工
外包员工
VIP
目的组 研发
源组
研发
允许
销售 允许
VIP 禁止
全网攻击拓扑
全面、直观； 分区域、不同颜色展示； 可钻取分支机构查看详情；
攻击源与路径
受攻击时闪烁警示； 显示攻击路径；
全网安全事件
严重级别告警靠前； 点击查看详细信息；
安全威胁度
直观度量； 点击查看评分细节；
安全事件概况
显示总数和未处理事件； 点击查看更多详情；
上网慢、马赛克、听不清…..
海量的设备、复杂的配置、割裂的管理
1、海量的设备 2、复杂静态的手工配置 3、有线网、无线网缺乏统一管理
HUAWEI TECHNOLOGIES CO., LTD.
Page 8
下一代网络需要什么？
移动性 云计算 大数据 社交网络 物联网
1. 从关注技术、设备和连通，转向关注业务、体验 2. 从关注单点，转向关注整网协同 3. 从IP尽力而为，转向IP实时感知质量 4. 从设备静态手工配置，转向设备动态自动部署 5. 网络从硬件定义，转向软件定义
数据中心
W AN/Internet
W AN/Internet
NGFW根据Controller 下发的策略将VIP用户 流量送入高优先级队 列调度
认证交换机根据 Controller下发的策 略为VIP用户分配 更高的带宽
VIP
敏捷交换机/ 随板AC
为VIP用户保证VPN接 入资源，当SVN资源 用尽可以自动强制普 通用户下线，保证VIP 用户接入
策略，将访客流量引至安全资源中心。 2. 应用安全策略：安全资源中心对访客组的业务流
进行应用安全策略控制，包括阻断、策略路由、 IPS、防病毒、内容过滤。
Biblioteka Baidu访客
业务随行：面向自然语言的策略编排
HUAWEI TECHNOLOGIES CO., LTD.
Page 21
业务随行：精细化的策略控制
HUAWEI TECHNOLOGIES CO., LTD.
4、安全资源动态分配
全网的安全设备资源池化，可根据区域、用户组、安全事件动态 分配安全资源，提升全网安全防护能力
扁鹊评论三兄弟的医术： 长兄最好，中兄次之，我最差。 我长兄治病， 是治病于病情发作之前； 我中兄治病， 是治病于病情初起之时； 而我扁鹊治病， 是治病于病情严重之时。
病情发作之前：丰富的安全态势呈现，帮助用户快速感知网络现状
快速响应新业务需求，让权限策略、 安全策略、体验策略灵活的跟着用 户走。
——业务随行
故事二
小偷与小黑
边界消失、传统安全失效
WAN/Internet
单点有效防御
外部攻击
移动网络攻击
WAN/Internet
外部传统攻击
Ⅹ 防火墙单点防御失效
传统网络接入方式、位置固定，攻击点和攻击手段单一
AP AP
访客 允许
服务器 允许
销售
允许 禁止 允许 允许 允许
VIP
允许 允许 允许 允许 允许
访客
访客
禁止 禁止 禁止 禁止 允许
服务器 允许 允许 允许 允许 允许
应用场景四：访客流量引至安全中心进行安全控制
数据中心
W AN/Internet
敏捷交换机/ 随板AC
访客的流量因其终端非公司管控，存在安全威胁，故 策略上将其流量引到安全资源中心。 1. 业务流策略：在Controller上定义业务流对应的流
Page 22
业务随行方案组件
设备型号 Controller
S12700/S9700/S7700/S5720HI
交换机
ENP板卡
ASIC板卡
NGFW： USG6300/6500/6600系列
SVN：SVN5800系列 HUAWEI TECHNOLOGIES CO., LTD.
功能
• 业务随行方案的核心设备，定义用户组和组间策略，并向全网执行点设备推送。 • 作为统一的认证服务器，根据用户的5W1H条件将用户关联某用户组。 • 将上报的用户IP地址与用户组关联并记录。
敏捷园区网：第一次把SDN思想引入园区
L2 SW 分支网
AR
L2 SW 分支网
AR
互联网接入
WAN/Internet
园区出口
NE/AR/SVN
安全资源中心 敏捷核心
NGFW
敏捷交换机
eSight 统一管理
Agile Controller
Agile Controller
全网协同控制 • 网络资源动态分配 • 全网安全控制 • 安全资源动态分配