等保2.0之校园网出口安全解决方案

等保2.0之校园网出口安全

解决方案

目 录01校园网出口安全需求02H3C安全解决方案03典型应用案例

01校园网出口安全需求

NAT ALG/IPS

LLB ACG

校园网出口安全需求

01

安全防护：

•DDos/L4攻击防护•大容量NAT转换及溯源•支持IPV6协议栈•

支持各种VPN接入

02

DPI报文深度识别：

•应用层入侵防御•木马病毒防护•

URL自定义过滤

03

多出口负载：

•

出入方向的多出口智能选路•

基于ISP、应用、用户、域名的智能选路04

应用控制及行为审计：

•基于用户、应用的带宽管理•

基于用户、应用提供行为审计

校园网出口安全传统解决方案

01出口部署防火墙，实现安全

防护、NAT等基础功能

02网络二层部署IPS设备实现应用层安全防护

04

独立部署单独VPN设备实现移动终端远程接入

05

部署独立负载均衡设备解决出口链路负载均衡问题

电信出口

出口防火墙

SSL 远程接入

教育网

联通出口

IPS

ACG

校园内网

负载均衡

SSL VPN

03

网络透明部署应用控制设备进行带宽管理及应用审计

传统解决方案的挑战与问题

多设备串联增加管理复杂度低端盒式设备易引发单点故障

盒式安全设备性能扩展能力不足

不同厂家设备也难以统一安全日志格式，无法实现安全风险综合分析

报文重复拆解，增加业务延迟应用层设备容易形成性能瓶颈

出口负载均衡策略不灵，带宽利用率低；缺少链路拥塞、故障的保护机制对内访问流量负载均衡策略缺失

02H3C安全解决方案

安全防护智能选路

深度识别流量管控

一站式校园网出口安全解决方案

安全防护+NAT

智能选路报文深度识别流量管控

•基于ISP、应用、用户、DNS的智能选路

•链路质量的智能探测及就近检测算法；

•DNS透明代理从访问层智能解决出口带宽拥堵问题

•

入方向访问校园资源时基于最优链路质量的DNS响应

•基于通用应用识别引擎（UAAE）技术的报文深度识别

•

基于精确状态的全面检测，采用并行检测技术，提高入侵检测精度和效率；

•

采用Kaspersky公司的流引擎查毒技术，防御网络病毒

•基于用户、地址、服务、应用、时间细粒度管理•支持上下行带宽及多优先级控制

•支持通道带宽嵌套

•

支持带宽限流、带宽保证、新建连接数、并发连接数等多种形式的带宽管理

•

基于150+应用的行为审计

•支持Ddos防护•支持L4层攻击阻断•黑白名单

•无限连接的NAT转换；•NAT日志溯源•IPV6协议

•多种VPN接入方式

H3C 下一代防火墙提供以上功能一站式交付的能力！

用户地址转换及溯源（NAT）

千万级NAT能力单板卡支持千万级并发能力可支持10万人同时上网支持多种NAT模式支持NAT Server

支持NAT outbound/static

支持NAT 44运营商级溯源NAT日志有效追踪用户访问地址NAT 溯源

通过SSM安全管理中心实现NAT转换日志存储及溯源

出口安全防护

硬件优势

可防护的攻击类型

Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP 分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文等，还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常见DDoS攻击的检测防御。

全分布式架构，控制引擎、交换引擎、业务引擎及接口单元硬件分离，支撑高性能安全业务处理，天然具有抗攻击能力。安全业务引擎采用最新多核高性能处理器，可同时提供L2～L7的全面安全防御，包括状态防火墙、IPS、AV、ACG等。

软件优势

DPI深度安全提供了一种对数据报文进行一体化检测和多DPI业务（如内容过滤、URL 过滤等）处理相结合的安全机制，提高了设备的安全检测以及DPI业务处理性能，简化了多DPI业务策略配置的复杂度。

通用应用识别引擎（UAAE）技术——一次拆包、多次解析

状态检测

&

攻击防范

基础协议

识别

应用

识别

用户

识别

终端

识别

URL

过滤

AV

过滤

IPS

过滤

IPS

检测

AV

查杀

ACG

整流

H3C DPI Process Team

多业务并行处理，有效保障高性能！

病毒库

APP库

IP/Web

信誉库

恶意URL库URL库

漏洞库针对最流行的病毒检测，支持僵木蠕的查

杀，兼顾性能和识别率

6000+符合国情的高热门应用，覆

盖数十种典型应用场景

和国际知名安全情报厂商合作，本地和远端相结合，提供针对性的Web防护

提供专业的恶意安全URL数据库，确保业务在访

问之前就实现主动安全

本地查找+云端相结合，提供主流的URL识

别及符合国情的URL分类。

2万+条预置攻击/漏洞防御规则，支持正则表达式快速

匹配，支持用户自定义规则模板

深度安全

特征库

专业的安全研究队伍，联合全球知名安全情报厂商，构建了新华三下一代防火墙

的多样化、高质量的安全研究交付能力

入侵防御及防病毒能力：内置丰富的特征库