等保2.0之校园网出口安全解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保2.0之校园网出口安全
解决方案
目 录01校园网出口安全需求02H3C安全解决方案03典型应用案例
01校园网出口安全需求
NAT ALG/IPS
LLB ACG
校园网出口安全需求
01
安全防护:
•DDos/L4攻击防护•大容量NAT转换及溯源•支持IPV6协议栈•
支持各种VPN接入
02
DPI报文深度识别:
•应用层入侵防御•木马病毒防护•
URL自定义过滤
03
多出口负载:
•
出入方向的多出口智能选路•
基于ISP、应用、用户、域名的智能选路04
应用控制及行为审计:
•基于用户、应用的带宽管理•
基于用户、应用提供行为审计
校园网出口安全传统解决方案
01出口部署防火墙,实现安全
防护、NAT等基础功能
02网络二层部署IPS设备实现应用层安全防护
04
独立部署单独VPN设备实现移动终端远程接入
05
部署独立负载均衡设备解决出口链路负载均衡问题
电信出口
出口防火墙
SSL 远程接入
教育网
联通出口
IPS
ACG
校园内网
负载均衡
SSL VPN
03
网络透明部署应用控制设备进行带宽管理及应用审计
传统解决方案的挑战与问题
多设备串联增加管理复杂度低端盒式设备易引发单点故障
盒式安全设备性能扩展能力不足
不同厂家设备也难以统一安全日志格式,无法实现安全风险综合分析
报文重复拆解,增加业务延迟应用层设备容易形成性能瓶颈
出口负载均衡策略不灵,带宽利用率低;缺少链路拥塞、故障的保护机制对内访问流量负载均衡策略缺失
02H3C安全解决方案
安全防护智能选路
深度识别流量管控
一站式校园网出口安全解决方案
安全防护+NAT
智能选路报文深度识别流量管控
•基于ISP、应用、用户、DNS的智能选路
•链路质量的智能探测及就近检测算法;
•DNS透明代理从访问层智能解决出口带宽拥堵问题
•
入方向访问校园资源时基于最优链路质量的DNS响应
•基于通用应用识别引擎(UAAE)技术的报文深度识别
•
基于精确状态的全面检测,采用并行检测技术,提高入侵检测精度和效率;
•
采用Kaspersky公司的流引擎查毒技术,防御网络病毒
•基于用户、地址、服务、应用、时间细粒度管理•支持上下行带宽及多优先级控制
•支持通道带宽嵌套
•
支持带宽限流、带宽保证、新建连接数、并发连接数等多种形式的带宽管理
•
基于150+应用的行为审计
•支持Ddos防护•支持L4层攻击阻断•黑白名单
•无限连接的NAT转换;•NAT日志溯源•IPV6协议
•多种VPN接入方式
H3C 下一代防火墙提供以上功能一站式交付的能力!
用户地址转换及溯源(NAT)
千万级NAT能力单板卡支持千万级并发能力可支持10万人同时上网支持多种NAT模式支持NAT Server
支持NAT outbound/static
支持NAT 44运营商级溯源NAT日志有效追踪用户访问地址NAT 溯源
通过SSM安全管理中心实现NAT转换日志存储及溯源
出口安全防护
硬件优势
可防护的攻击类型
Land、Smurf、UDP Snork attack、UDP Chargen DoS attack (Fraggle)、Large ICMP Traffic 、Ping of Death、Tiny Fragment 、Tear Drop、IP Spoofing、IP 分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文等,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、CC等常见DDoS攻击的检测防御。
全分布式架构,控制引擎、交换引擎、业务引擎及接口单元硬件分离,支撑高性能安全业务处理,天然具有抗攻击能力。安全业务引擎采用最新多核高性能处理器,可同时提供L2~L7的全面安全防御,包括状态防火墙、IPS、AV、ACG等。
软件优势
DPI深度安全提供了一种对数据报文进行一体化检测和多DPI业务(如内容过滤、URL 过滤等)处理相结合的安全机制,提高了设备的安全检测以及DPI业务处理性能,简化了多DPI业务策略配置的复杂度。
通用应用识别引擎(UAAE)技术——一次拆包、多次解析
状态检测
&
攻击防范
基础协议
识别
应用
识别
用户
识别
终端
识别
URL
过滤
AV
过滤
IPS
过滤
IPS
检测
AV
查杀
ACG
整流
H3C DPI Process Team
多业务并行处理,有效保障高性能!
病毒库
APP库
IP/Web
信誉库
恶意URL库URL库
漏洞库针对最流行的病毒检测,支持僵木蠕的查
杀,兼顾性能和识别率
6000+符合国情的高热门应用,覆
盖数十种典型应用场景
和国际知名安全情报厂商合作,本地和远端相结合,提供针对性的Web防护
提供专业的恶意安全URL数据库,确保业务在访
问之前就实现主动安全
本地查找+云端相结合,提供主流的URL识
别及符合国情的URL分类。
2万+条预置攻击/漏洞防御规则,支持正则表达式快速
匹配,支持用户自定义规则模板
深度安全
特征库
专业的安全研究队伍,联合全球知名安全情报厂商,构建了新华三下一代防火墙
的多样化、高质量的安全研究交付能力
入侵防御及防病毒能力:内置丰富的特征库