网络改造解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
环统网 政务外网 环统网 政务外网
• •
网络复杂度 高 单点故障多
无线控 制器
流量控 制 防火墙
打印服 务 办公 OA 邮 件 文件共 享
• •
网络复杂度 低 业务稳定性 高
FTP HTTP CIFS
无线 桌面
各单位综合网关设计
全网安全检测设计
安全检测设计
原先的安全建设大部分
为安全防御设备投入。对全 网的安全情况无法实现及时
根源:被篡改无法及时发现,并快速响应
1、对资产变化、风险状况、 策略有效性的预知是安全基础
2、攻击日志的关联、防御的 联动能有效提升防御的效果
3、持续检测被绕过的安全事 件并快速看见快速响应更关键
解决之道-融合安全
事前
事中
事后
预知
防御
检测/响应
让安全更有效、更简单
云平台设计
云平台 - 建设模式
虚拟机内部隔离
在每个业务虚拟机上部署 安全防护组件EDR,以agent 的形式存在,为每个业务虚拟 机实现精细化的访问权限控制。 实现业务虚拟机安全加固。 也可以规避目前频繁爆发 的勒索病毒问题。避免病毒在 内网横向感染。
分支综合安全网关-各单位出口的最佳选择
县区综合网关设计
传统网络架构 VS 综合网关架构
网络出口建设整合, 并实现冗余部署
同时简化各处网络
设备,以分区分域的方 式进行安全建设。提升 安全防护能力。
局域网改造
各处出口通过路由器、防火墙等设备实现 网络互通和安全防护。 局域网方面,通过2台核心交换机将3套网 络进行整合,将下联设备分为核心业务区、安 全管理区以及局域网区3个区域。 在核心业务区域前新增数据中心防火墙,
aSv服务器虚拟化内核 内置WAF功能
平台层安全
云数据中心-深信服云安全设计
云数据中心 – 第三方云安全设计
网络出口
等保一体机
分支接入包 网站基础包 移动接入包 网站高级包 基础防护包 失陷主机包
通过部署在核心 交换机旁的云安全资 源池,实现对云平台 内东西向和南北向的 安全防护。 为每个业务系统、 每个虚拟机配备不同 的安全防护能力。提 升云平台内部的安全 防护水平
蠕虫 网页木马 僵尸主机 192.168.5.X 跨站伪造请求 跨站脚本 中间件漏洞 Win漏洞攻击 网页篡改 泛洪攻击
FW
IPS
WAF
只能看见碎片化的攻击日志 只能看见图形化的统计报表 缺乏资产/风险的视角
碎片化 无效的 难看懂
漏扫 L 割裂的保护手段,难以协同配合
2、 割 裂 的 防 御 手 段
平台提供自动运维检测功能,支持检测软件故障的同时,也能检测硬件异常
云平台-全网流量可视
全网流量可视,并可以通过联通性探测工具实现一站式的故障定位
云平台-全方位业务监控
招式一:提供大屏监控、业务状态一目了然 招式二:主动探测业务可用性,并实时告警 招式三:对 Oracle、SQLServer、WebLogic等关键应用深入监控
X86服务器组合
超融合机柜
超融合机柜
超融合机柜
按需购买
随需而变
交付简单
配置按3-5年规划,超额投资 扩容需要数据迁移,风险高 存在单点瓶颈,无法支撑业务发展
按需购买,精确控制成本 扩容简单,业务不停机 横向扩容无瓶颈,支撑业务高性能需求
云平台-故障处理更便捷
更换区
超融合机柜
超融合机柜
超融合机柜
备件区
云平台 - 可视化极简运维和排障
全资源管理
服务器运维 存储运维
所画即所得 分钟Biblioteka Baidu部署
企业云运维 网络运维 安全运维
一键定位故障
云平台-全资源统一监控
平台监控
所有资源的监控
主机监控
服务器IPMI
业务监控
业务的健康状态
流量监控
正/异常的流量
云平台-全方位资源预警
完善的平台风险预警机制
云平台-自动运维检测
难管理 投资高 用不好
Linux漏洞攻击
静态策略的防御,无法应对新威胁
关注事中的攻击,缺乏全过程保护
由此导致安全事件频发
某企业 资产变化导致的信息泄露
根源:无法及时发现新资产,并部 署策略
某机关内网数据库密码 被改
结果:日志散落在多设备,无专业安全人员, 无法关联分析,至今不清楚原因。
某高校学生机房肉鸡泛滥 还不知道
传统云基础架构
网络交换 安全
企业云基础架构
交换机
...
...
服务器
存储交换
替换
超融合 一体机
超融合 一体机
超融合 一体机
外置存储
仅需x86服务器和交换机 借助于超融合技术 构建企业云基础架构
云平台 - 基础单元
计算
存储
网络
安全
管理
超融合一体机 架构完整 架构安全 运维便捷 敏捷交付
云平台-扩展更简单
的感知。
通过部署安全感知平台, 实现对全网安全日志的收集
和分析。通过大屏展示的方
式帮助管理人员及时感知内 网风险,降低未知威胁对内 网的影响
行为数据分析
行为集中管控设计
通过部署行为集中管理
分析平台,实现对全网用户
上网行为日志的集中存储和 分析。
帮助管理人员对用户上
网的流量分布、行为分布进 行直观了解,为后续的策略
根源:安全体系中缺乏检测潜伏威胁的能力
事前
不能预知风险
某省政府厅级单位 Struts2漏洞被通报
根源:无法及时发现业务是否存在 最新漏洞,并更新策略
事中
无法有效防御
某省能源工业厅 持续被攻击导致业务瘫痪
根源:多设备分析定位困难;策略添加不 及时,导致事故。
事后
无法及时发现被黑
西南某政府 因网页篡改而被通报
缺乏风险预知能力
缺乏检测和响应
安全日志碎片化
1、 碎 片 化 的 安 全 认 知
木马 202.222.1.X
恶意软件
CRSF攻击 IP flood
200.2.3.X
SQL注入 XSS攻击 Strucks2 病毒 192.168.1.23 DOS攻击 系统漏洞攻击 DDOS攻击 DNS请求 webshell Denny 熊猫烧香 202.30.5.X IE漏洞攻击 permit
通过大屏实时展示所有虚拟机、业务和数据库等健康状态。 主动探测业务系统,实时监控业务可用性,当业务出现故障时, 可视化应用内部数据流,提供锁、Session、事件等待、解析、重做日志等细粒度性能指标情况,
通过多种方式(短信、邮箱)告知管理员进行排障。 让业务人员能更快识别应用瓶颈。
云平台-真实的物理部署拓扑
路由器 县区综合网 关 政务外网 环统网
综合网关统一接入到各处集中管控平台,
实现对各处设备的集中管理,统一进行策略下 发和设备运维。
交换机
边界安全
传统边界安全只是在事中堆叠防御
方案一
FW AV IPS
WAF
方案二
UTM/NGFW WAF
事前
事中
事后
有哪些资产? 有哪些漏洞? 是否有策略?
是否有新漏洞? 绕过能否检测? 能否快速响应?
整体互联设计
通过现有的在线监控网 和环统专网,实现各处业务 互通。 考虑到使用单位较多, 使用静态路由较为复杂。本 次建设计划采用OSPF和BGP 协议。实现各单位的连通。
单点网络建设
本次对各处的3套网 络设备进行整合,对原 有老旧网络设备进行替 换,从而实现设备和链 路双层面的冗余。规避 单点故障的问题。
调整提供数据依据
集中管理设计
县区集中管理
通过部署集中管理平台,
实现对各单位出口综合网关 的集中管理。 帮助管理人员对每个单 位单位设备的运行状况进行 预警和远程处理,降低省厅 管理人员的运维压力。提升 县区单位的故障恢复速度。
2、全网设 备信息 3、全网设 备数量
1、基于GIS展示的流 量状态展示
1、地市、县区划分组 织架构
2、每一个单位设备的运行 情况,包括硬件设备和内部 虚拟化产品
1、网关内部虚拟组件 告警
2、硬件情况告警
谢谢!
网络改造解决方案
2018年3月
全省环保网络现状
网络建设现状分析
目前已有的网络
主要分为互联网和外 网2个区域。 主要存在的问题 是安全防护手段不完 善、设备数量众多, 网络运维困难等问题。
安全建设
省厅安全建设规划
安全建设主要 是对原有机房进行 安全加固。 提升云平台内 的安全防护能力。 提升全网的安 全检测能力。 增强统一维护 统一管理的水平。
2、业务区域 安全防护提升 1、三网整合,核 心设备冗余部署
原有架构
提升业务区域安全级别,提升地市业务系统的
安全防护能力。 同时淘汰掉原有的IDS、漏洞扫描系统。通 过数据中心防火墙功能实现。简化现有地市单 位网络架构。 改造架构
各处网络规划
各处网络出口部署路由器,连接政务外网 和环统网,满足链路层面的冗余,实现政务外 网和环统网的故障切换。提升县区单位网络稳 定性。 路由器下部署综合网关设备满足各处对上 网行为管理、应用防火墙等网络设备的要求。
出口设备
平台层安全设备 引流口 核心 引流口
引流交换机
接入
EDR受控流
等 保 一 体 机 管 控 平 台
南北向安全能力
东西向隔离 密码暴力破解 Webshell检测
东西(EDR)向安全能力
安全审计 数据安全 应用安全
应用 VM
EDR
端点防护 微隔离
EDR VM
应用
安全生态能力
操作系统
操作系统
云环境
等保一体机
单节点故障,存在业务中断风险 故障处理紧急程度高,运维压力大 设备故障排障难度大,修复周期长
冗余性高,单点故障不影响业务 事后合适时间替换节点,运维压力小 运维零排障,直接快速更换
设备返修,替换过程复杂
从备件中替换即可,操作简单
云平台-业务敏捷交付,所画即所得业务编排
深信服企业级云管理平台
Sangfor cloud
PDU
云安全设计
云数据中心-深信服云安全设计
Anti Virus Center
APP Agent OS
APP Agent OS vNGAF
APP Agent OS
APP Agent OS
APP Agent OS
租户层安全 应用层安全 网络层安全
aFw分布式防火墙
aSwitch分布式虚拟交换机
风险扫描 漏洞监测 Web安全防护 入侵防御
• •
网络复杂度 高 单点故障多
无线控 制器
流量控 制 防火墙
打印服 务 办公 OA 邮 件 文件共 享
• •
网络复杂度 低 业务稳定性 高
FTP HTTP CIFS
无线 桌面
各单位综合网关设计
全网安全检测设计
安全检测设计
原先的安全建设大部分
为安全防御设备投入。对全 网的安全情况无法实现及时
根源:被篡改无法及时发现,并快速响应
1、对资产变化、风险状况、 策略有效性的预知是安全基础
2、攻击日志的关联、防御的 联动能有效提升防御的效果
3、持续检测被绕过的安全事 件并快速看见快速响应更关键
解决之道-融合安全
事前
事中
事后
预知
防御
检测/响应
让安全更有效、更简单
云平台设计
云平台 - 建设模式
虚拟机内部隔离
在每个业务虚拟机上部署 安全防护组件EDR,以agent 的形式存在,为每个业务虚拟 机实现精细化的访问权限控制。 实现业务虚拟机安全加固。 也可以规避目前频繁爆发 的勒索病毒问题。避免病毒在 内网横向感染。
分支综合安全网关-各单位出口的最佳选择
县区综合网关设计
传统网络架构 VS 综合网关架构
网络出口建设整合, 并实现冗余部署
同时简化各处网络
设备,以分区分域的方 式进行安全建设。提升 安全防护能力。
局域网改造
各处出口通过路由器、防火墙等设备实现 网络互通和安全防护。 局域网方面,通过2台核心交换机将3套网 络进行整合,将下联设备分为核心业务区、安 全管理区以及局域网区3个区域。 在核心业务区域前新增数据中心防火墙,
aSv服务器虚拟化内核 内置WAF功能
平台层安全
云数据中心-深信服云安全设计
云数据中心 – 第三方云安全设计
网络出口
等保一体机
分支接入包 网站基础包 移动接入包 网站高级包 基础防护包 失陷主机包
通过部署在核心 交换机旁的云安全资 源池,实现对云平台 内东西向和南北向的 安全防护。 为每个业务系统、 每个虚拟机配备不同 的安全防护能力。提 升云平台内部的安全 防护水平
蠕虫 网页木马 僵尸主机 192.168.5.X 跨站伪造请求 跨站脚本 中间件漏洞 Win漏洞攻击 网页篡改 泛洪攻击
FW
IPS
WAF
只能看见碎片化的攻击日志 只能看见图形化的统计报表 缺乏资产/风险的视角
碎片化 无效的 难看懂
漏扫 L 割裂的保护手段,难以协同配合
2、 割 裂 的 防 御 手 段
平台提供自动运维检测功能,支持检测软件故障的同时,也能检测硬件异常
云平台-全网流量可视
全网流量可视,并可以通过联通性探测工具实现一站式的故障定位
云平台-全方位业务监控
招式一:提供大屏监控、业务状态一目了然 招式二:主动探测业务可用性,并实时告警 招式三:对 Oracle、SQLServer、WebLogic等关键应用深入监控
X86服务器组合
超融合机柜
超融合机柜
超融合机柜
按需购买
随需而变
交付简单
配置按3-5年规划,超额投资 扩容需要数据迁移,风险高 存在单点瓶颈,无法支撑业务发展
按需购买,精确控制成本 扩容简单,业务不停机 横向扩容无瓶颈,支撑业务高性能需求
云平台-故障处理更便捷
更换区
超融合机柜
超融合机柜
超融合机柜
备件区
云平台 - 可视化极简运维和排障
全资源管理
服务器运维 存储运维
所画即所得 分钟Biblioteka Baidu部署
企业云运维 网络运维 安全运维
一键定位故障
云平台-全资源统一监控
平台监控
所有资源的监控
主机监控
服务器IPMI
业务监控
业务的健康状态
流量监控
正/异常的流量
云平台-全方位资源预警
完善的平台风险预警机制
云平台-自动运维检测
难管理 投资高 用不好
Linux漏洞攻击
静态策略的防御,无法应对新威胁
关注事中的攻击,缺乏全过程保护
由此导致安全事件频发
某企业 资产变化导致的信息泄露
根源:无法及时发现新资产,并部 署策略
某机关内网数据库密码 被改
结果:日志散落在多设备,无专业安全人员, 无法关联分析,至今不清楚原因。
某高校学生机房肉鸡泛滥 还不知道
传统云基础架构
网络交换 安全
企业云基础架构
交换机
...
...
服务器
存储交换
替换
超融合 一体机
超融合 一体机
超融合 一体机
外置存储
仅需x86服务器和交换机 借助于超融合技术 构建企业云基础架构
云平台 - 基础单元
计算
存储
网络
安全
管理
超融合一体机 架构完整 架构安全 运维便捷 敏捷交付
云平台-扩展更简单
的感知。
通过部署安全感知平台, 实现对全网安全日志的收集
和分析。通过大屏展示的方
式帮助管理人员及时感知内 网风险,降低未知威胁对内 网的影响
行为数据分析
行为集中管控设计
通过部署行为集中管理
分析平台,实现对全网用户
上网行为日志的集中存储和 分析。
帮助管理人员对用户上
网的流量分布、行为分布进 行直观了解,为后续的策略
根源:安全体系中缺乏检测潜伏威胁的能力
事前
不能预知风险
某省政府厅级单位 Struts2漏洞被通报
根源:无法及时发现业务是否存在 最新漏洞,并更新策略
事中
无法有效防御
某省能源工业厅 持续被攻击导致业务瘫痪
根源:多设备分析定位困难;策略添加不 及时,导致事故。
事后
无法及时发现被黑
西南某政府 因网页篡改而被通报
缺乏风险预知能力
缺乏检测和响应
安全日志碎片化
1、 碎 片 化 的 安 全 认 知
木马 202.222.1.X
恶意软件
CRSF攻击 IP flood
200.2.3.X
SQL注入 XSS攻击 Strucks2 病毒 192.168.1.23 DOS攻击 系统漏洞攻击 DDOS攻击 DNS请求 webshell Denny 熊猫烧香 202.30.5.X IE漏洞攻击 permit
通过大屏实时展示所有虚拟机、业务和数据库等健康状态。 主动探测业务系统,实时监控业务可用性,当业务出现故障时, 可视化应用内部数据流,提供锁、Session、事件等待、解析、重做日志等细粒度性能指标情况,
通过多种方式(短信、邮箱)告知管理员进行排障。 让业务人员能更快识别应用瓶颈。
云平台-真实的物理部署拓扑
路由器 县区综合网 关 政务外网 环统网
综合网关统一接入到各处集中管控平台,
实现对各处设备的集中管理,统一进行策略下 发和设备运维。
交换机
边界安全
传统边界安全只是在事中堆叠防御
方案一
FW AV IPS
WAF
方案二
UTM/NGFW WAF
事前
事中
事后
有哪些资产? 有哪些漏洞? 是否有策略?
是否有新漏洞? 绕过能否检测? 能否快速响应?
整体互联设计
通过现有的在线监控网 和环统专网,实现各处业务 互通。 考虑到使用单位较多, 使用静态路由较为复杂。本 次建设计划采用OSPF和BGP 协议。实现各单位的连通。
单点网络建设
本次对各处的3套网 络设备进行整合,对原 有老旧网络设备进行替 换,从而实现设备和链 路双层面的冗余。规避 单点故障的问题。
调整提供数据依据
集中管理设计
县区集中管理
通过部署集中管理平台,
实现对各单位出口综合网关 的集中管理。 帮助管理人员对每个单 位单位设备的运行状况进行 预警和远程处理,降低省厅 管理人员的运维压力。提升 县区单位的故障恢复速度。
2、全网设 备信息 3、全网设 备数量
1、基于GIS展示的流 量状态展示
1、地市、县区划分组 织架构
2、每一个单位设备的运行 情况,包括硬件设备和内部 虚拟化产品
1、网关内部虚拟组件 告警
2、硬件情况告警
谢谢!
网络改造解决方案
2018年3月
全省环保网络现状
网络建设现状分析
目前已有的网络
主要分为互联网和外 网2个区域。 主要存在的问题 是安全防护手段不完 善、设备数量众多, 网络运维困难等问题。
安全建设
省厅安全建设规划
安全建设主要 是对原有机房进行 安全加固。 提升云平台内 的安全防护能力。 提升全网的安 全检测能力。 增强统一维护 统一管理的水平。
2、业务区域 安全防护提升 1、三网整合,核 心设备冗余部署
原有架构
提升业务区域安全级别,提升地市业务系统的
安全防护能力。 同时淘汰掉原有的IDS、漏洞扫描系统。通 过数据中心防火墙功能实现。简化现有地市单 位网络架构。 改造架构
各处网络规划
各处网络出口部署路由器,连接政务外网 和环统网,满足链路层面的冗余,实现政务外 网和环统网的故障切换。提升县区单位网络稳 定性。 路由器下部署综合网关设备满足各处对上 网行为管理、应用防火墙等网络设备的要求。
出口设备
平台层安全设备 引流口 核心 引流口
引流交换机
接入
EDR受控流
等 保 一 体 机 管 控 平 台
南北向安全能力
东西向隔离 密码暴力破解 Webshell检测
东西(EDR)向安全能力
安全审计 数据安全 应用安全
应用 VM
EDR
端点防护 微隔离
EDR VM
应用
安全生态能力
操作系统
操作系统
云环境
等保一体机
单节点故障,存在业务中断风险 故障处理紧急程度高,运维压力大 设备故障排障难度大,修复周期长
冗余性高,单点故障不影响业务 事后合适时间替换节点,运维压力小 运维零排障,直接快速更换
设备返修,替换过程复杂
从备件中替换即可,操作简单
云平台-业务敏捷交付,所画即所得业务编排
深信服企业级云管理平台
Sangfor cloud
PDU
云安全设计
云数据中心-深信服云安全设计
Anti Virus Center
APP Agent OS
APP Agent OS vNGAF
APP Agent OS
APP Agent OS
APP Agent OS
租户层安全 应用层安全 网络层安全
aFw分布式防火墙
aSwitch分布式虚拟交换机
风险扫描 漏洞监测 Web安全防护 入侵防御