等保2.0之校园网出口安全解决方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

等保2.0之校园网出口安全

解决方案

目 录01校园网出口安全需求02H3C安全解决方案03典型应用案例

01校园网出口安全需求

NAT ALG/IPS

LLB ACG

校园网出口安全需求

01

安全防护:

•DDos/L4攻击防护•大容量NAT转换及溯源•支持IPV6协议栈•

支持各种VPN接入

02

DPI报文深度识别:

•应用层入侵防御•木马病毒防护•

URL自定义过滤

03

多出口负载:

出入方向的多出口智能选路•

基于ISP、应用、用户、域名的智能选路04

应用控制及行为审计:

•基于用户、应用的带宽管理•

基于用户、应用提供行为审计

校园网出口安全传统解决方案

01出口部署防火墙,实现安全

防护、NAT等基础功能

02网络二层部署IPS设备实现应用层安全防护

04

独立部署单独VPN设备实现移动终端远程接入

05

部署独立负载均衡设备解决出口链路负载均衡问题

电信出口

出口防火墙

SSL 远程接入

教育网

联通出口

IPS

ACG

校园内网

负载均衡

SSL VPN

03

网络透明部署应用控制设备进行带宽管理及应用审计

传统解决方案的挑战与问题

多设备串联增加管理复杂度低端盒式设备易引发单点故障

盒式安全设备性能扩展能力不足

不同厂家设备也难以统一安全日志格式,无法实现安全风险综合分析

报文重复拆解,增加业务延迟应用层设备容易形成性能瓶颈

出口负载均衡策略不灵,带宽利用率低;缺少链路拥塞、故障的保护机制对内访问流量负载均衡策略缺失

02H3C安全解决方案

安全防护智能选路

深度识别流量管控

一站式校园网出口安全解决方案

安全防护+NAT

智能选路报文深度识别流量管控

•基于ISP、应用、用户、DNS的智能选路

•链路质量的智能探测及就近检测算法;

•DNS透明代理从访问层智能解决出口带宽拥堵问题

入方向访问校园资源时基于最优链路质量的DNS响应

•基于通用应用识别引擎(UAAE)技术的报文深度识别

基于精确状态的全面检测,采用并行检测技术,提高入侵检测精度和效率;

采用Kaspersky公司的流引擎查毒技术,防御网络病毒

•基于用户、地址、服务、应用、时间细粒度管理•支持上下行带宽及多优先级控制

•支持通道带宽嵌套

支持带宽限流、带宽保证、新建连接数、并发连接数等多种形式的带宽管理

基于150+应用的行为审计

•支持Ddos防护•支持L4层攻击阻断•黑白名单

•无限连接的NAT转换;•NAT日志溯源•IPV6协议

•多种VPN接入方式

H3C 下一代防火墙提供以上功能一站式交付的能力!

用户地址转换及溯源(NAT)

千万级NAT能力单板卡支持千万级并发能力可支持10万人同时上网支持多种NAT模式支持NAT Server

支持NAT outbound/static

支持NAT 44运营商级溯源NAT日志有效追踪用户访问地址NAT 溯源

通过SSM安全管理中心实现NAT转换日志存储及溯源

出口安全防护

硬件优势

可防护的攻击类型

Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP 分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文等,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常见DDoS攻击的检测防御。

全分布式架构,控制引擎、交换引擎、业务引擎及接口单元硬件分离,支撑高性能安全业务处理,天然具有抗攻击能力。安全业务引擎采用最新多核高性能处理器,可同时提供L2~L7的全面安全防御,包括状态防火墙、IPS、AV、ACG等。

软件优势

DPI深度安全提供了一种对数据报文进行一体化检测和多DPI业务(如内容过滤、URL 过滤等)处理相结合的安全机制,提高了设备的安全检测以及DPI业务处理性能,简化了多DPI业务策略配置的复杂度。

通用应用识别引擎(UAAE)技术——一次拆包、多次解析

状态检测

&

攻击防范

基础协议

识别

应用

识别

用户

识别

终端

识别

URL

过滤

AV

过滤

IPS

过滤

IPS

检测

AV

查杀

ACG

整流

H3C DPI Process Team

多业务并行处理,有效保障高性能!

病毒库

APP库

IP/Web

信誉库

恶意URL库URL库

漏洞库针对最流行的病毒检测,支持僵木蠕的查

杀,兼顾性能和识别率

6000+符合国情的高热门应用,覆

盖数十种典型应用场景

和国际知名安全情报厂商合作,本地和远端相结合,提供针对性的Web防护

提供专业的恶意安全URL数据库,确保业务在访

问之前就实现主动安全

本地查找+云端相结合,提供主流的URL识

别及符合国情的URL分类。

2万+条预置攻击/漏洞防御规则,支持正则表达式快速

匹配,支持用户自定义规则模板

深度安全

特征库

专业的安全研究队伍,联合全球知名安全情报厂商,构建了新华三下一代防火墙

的多样化、高质量的安全研究交付能力

入侵防御及防病毒能力:内置丰富的特征库

相关文档
最新文档