華為電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口解決方案
需求與挑戰
作為整個(gè)電子政務(wù)外網(wǎng)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的出口,同時(shí)承擔著(zhù)兩方面的作用:一是電子政務(wù)外網(wǎng)的所有用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)的出口;二是為公眾提供訪(fǎng)問(wèn)政府信息的入口,同時(shí)也是可信用戶(hù)通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)政務(wù)外網(wǎng)的唯一通道。
為了統一管理互聯(lián)網(wǎng)出口的帶寬流量和安全,政府也逐步減少中央、省、市的互聯(lián)網(wǎng)出口數量。同時(shí),業(yè)務(wù)集中辦理和信息共享與協(xié)同,也促使數據中心的數量逐漸變少,這也是各個(gè)國家普遍的發(fā)展思路。但是,這就造成政府業(yè)務(wù)流量更加集中化,安全環(huán)境更加復雜,需要一套完整的解決方案來(lái)支撐國家的發(fā)展戰略。
電子政務(wù)外網(wǎng)是辦公網(wǎng)和數據中心相結合的網(wǎng)絡(luò ),該網(wǎng)絡(luò )既要滿(mǎn)足外網(wǎng)日常辦公需要,同時(shí)其數據中心承載的外網(wǎng)數據還要對外提供訪(fǎng)問(wèn),互聯(lián)網(wǎng)出口是整個(gè)政府與外界信息交互的主要途徑,所以對于出口交互的各種重要數據和應用服務(wù)的安全性,必須要進(jìn)行全面的保障。
因此,政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口,面臨兩大挑戰:網(wǎng)絡(luò )帶寬優(yōu)化和網(wǎng)絡(luò )安全防護。
網(wǎng)絡(luò )帶寬優(yōu)化
(1) 多級NAT性能瓶頸
由于政務(wù)外網(wǎng)的層級和行政管理的級別對應,地方IP地址段與縱向VPN地址沖突,會(huì )出現多級NAT問(wèn)題。一方面,政務(wù)園區網(wǎng)使用私有地址,訪(fǎng)問(wèn)Internet需要進(jìn)行NAT;另一方面,即使園區網(wǎng)絡(luò )通過(guò) 電信或者 網(wǎng)通的線(xiàn)路訪(fǎng)問(wèn)外部資源,仍然需要進(jìn)行NAT。多級NAT成了上網(wǎng)速度慢的一個(gè)重要原因,設備高NAT轉發(fā)性能才能解決。
(2) 多鏈路負載均衡
等級保護要求互聯(lián)網(wǎng)出口充分考慮到架構和設備的冗余,在與互聯(lián)網(wǎng)的線(xiàn)路連接的設備承載大容量的業(yè)務(wù),需要在一臺設備上同時(shí)實(shí)現多線(xiàn)路的負載均衡,動(dòng)態(tài)調整不同鏈路的帶寬占用比例,優(yōu)化網(wǎng)絡(luò )性能。
(3) 互聯(lián)網(wǎng)緩存
用戶(hù)瀏覽網(wǎng)頁(yè)等行為屬于用戶(hù)體驗非常敏感的應用,除了需要帶寬保障外,還需要保障端到端的延時(shí),希望能夠把主流的互聯(lián)網(wǎng)出口流量緩存到網(wǎng)內,從而大幅度降低互聯(lián)網(wǎng)出口的帶寬擴容壓力,減少互聯(lián)網(wǎng)出口帶寬租賃費用,并有效的提升政務(wù)外網(wǎng)用戶(hù)的上網(wǎng)體驗。
網(wǎng)絡(luò )安全防護
(1) 網(wǎng)絡(luò )中數據中心和辦公區網(wǎng)絡(luò )通過(guò)核心交換進(jìn)行互聯(lián),因特網(wǎng)用戶(hù)安全隱患可能會(huì )影響到電子政務(wù)外網(wǎng)數據中心網(wǎng)絡(luò )的安全性;
(2) 外來(lái)人員進(jìn)入電子政務(wù)外網(wǎng)網(wǎng)絡(luò )由于自身安全級別不夠帶來(lái)安全隱患;
(3) 內網(wǎng)用戶(hù)登錄行為無(wú)認證,無(wú)相關(guān)控制手段,任何人使用筆記本均可以實(shí)現對電子政務(wù)外網(wǎng)網(wǎng)絡(luò )的訪(fǎng)問(wèn);
(4) 對于來(lái)自互聯(lián)網(wǎng)的安全攻擊,需要進(jìn)行流量清洗和安全監測;
(5) 政府網(wǎng)站是政務(wù)對外的主要窗口,辦事大廳是和社會(huì )公眾交互主要手段,業(yè)務(wù)系統的安全防護是至關(guān)重要的;
(6) 全網(wǎng)安全事件無(wú)法監控,日志信息統一分析困難,只能做到事后審計,無(wú)法做到實(shí)時(shí)分析。
根據以上問(wèn)題,華為推出的政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口解決方案,解決了政府的網(wǎng)絡(luò )性能優(yōu)化和網(wǎng)絡(luò )安全立體防護問(wèn)題,為中國電子政務(wù)的發(fā)展提供強有力的ICT支撐。
電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口解決方案
總體方案
圖1 互聯(lián)網(wǎng)出口解決方案架構圖
解決方案是一個(gè)靈活的、可自由組合的方案,可根據實(shí)際防護能力的需求,進(jìn)行不同的組合,主要包括:防DDos攻擊、出口流量可視化分析、緩存加速、入侵監測/入侵防護、WEB應用防護、統一安全監控、上網(wǎng)行為管理、統一審計等。
防DDos攻擊方案
圖2 防DDos攻擊方案
華為方案特點(diǎn):
- 高性能硬件平臺
- 旁路檢測
- 自愈合網(wǎng)絡(luò )
- 自動(dòng)化響應
- 全流量DPI檢測
- 靈活多樣的部署
SIG流量可視化分析方案
圖3 流量可視化分析方案架構
對網(wǎng)絡(luò )中承載的應用進(jìn)行識別,并可以呈現不同的應用占用的帶寬是多少,而且可以給不同應用設置優(yōu)先級和帶寬比例,從而進(jìn)行智能流量管理,保障政府優(yōu)先級較高的業(yè)務(wù)應用先行通過(guò)。
方案特點(diǎn):
- 多維度的流量流向分析,幫助政府全面掌握網(wǎng)內用戶(hù)-流量-流向-業(yè)務(wù)的分布組成,為網(wǎng)絡(luò )優(yōu)化提供數據支持;
- 多維度的流量?jì)?yōu)化和帶寬管理手段,可以有效控制機構寶貴帶寬資源的濫用,解決網(wǎng)絡(luò )擁塞問(wèn)題,保障關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量,減緩擴容壓力,提升員工上網(wǎng)體驗;
- URL過(guò)濾 + 網(wǎng)絡(luò )應用控制 + 時(shí)間 + 用戶(hù)控制功能,可以有效管理員工的上網(wǎng)行為,使其聚焦于工作;
- 動(dòng)態(tài)惡意網(wǎng)址過(guò)濾功能,可以有效保障員工的日常上網(wǎng)安全;
- 信息推送功能,為日常信息發(fā)布提供新的便捷手段。
iCache互聯(lián)網(wǎng)緩存方案
圖4 iCache互聯(lián)網(wǎng)緩存方案架構
方案特點(diǎn):
- 緩存平臺采用將鏈路進(jìn)行分光和流量鏡像的旁路部署模式,不對現網(wǎng)的業(yè)務(wù)連續性造成影響。
- 旁路部署時(shí),將網(wǎng)內上行報文復制一份給后端的iCache重定向子系統(RSS),RSS將網(wǎng)內用戶(hù)的請求重定向到緩存平臺,使用戶(hù)從緩存平臺獲取資源。
- 本緩存系統采用統一的管理系統集中化管理所有的緩存子系統。
- 本緩存系統支持業(yè)務(wù)網(wǎng)絡(luò )與管理網(wǎng)絡(luò )分離,使用單獨的網(wǎng)絡(luò )進(jìn)行帶外管理。
入侵檢測/入侵防護方案
圖5 UTM+集成防火墻、入侵防護、防病毒等功能
方案特點(diǎn):
- 多種業(yè)務(wù)集成:Firewall、內容過(guò)濾、流量控制、上網(wǎng)行為管理等
- 簡(jiǎn)單有效的統一管理
- 更低的TCO
- 更好的支持和響應
WEB應用安全方案
圖6 WEB應用安全方案
方案特點(diǎn):
- 精準檢測:業(yè)內最高的注入攻擊檢出率>99%
- 全面防護:攻擊全防御+“零”中斷篡改恢復機制+未知攻擊檢測能力
- 絕佳用戶(hù)體驗:頁(yè)面緩存加速+策略自學(xué)習機制+全透明部署
- SQL攻擊高檢出率、支持網(wǎng)頁(yè)防篡改、應用層DDoS防護、支持黑白名單、攻擊者自動(dòng)鎖定
- 提供應用層保護,具有全面支持HTTPS、WEB應用實(shí)時(shí)深度防御、應用加速及敏感信息泄露防護等功能,使網(wǎng)站更安全、使訪(fǎng)問(wèn)更快速、使運維更輕松。
- 通過(guò)大量的漏洞挖掘與實(shí)踐工作,吸納了國內外主流的安全漏洞庫特庫、主流CMS漏洞特征庫、主流掃描器特征庫,從而使防御能力全面提升。
- 經(jīng)權威WEB漏掃測試漏報率0%,CMS兼容性測試,誤報率<3%。
- 支持全透明部署模式,滿(mǎn)足等級保護等各類(lèi)法律法規要求。
統一安全管理方案
圖7 統一安全管理方案
業(yè)務(wù)管理
- 協(xié)議流量日志分析
- 上網(wǎng)行為追蹤和取證
- 海量日志存儲管理
- 威脅防護、應用控制管理
報表管理
- 報表任務(wù)管理
- 多粒度時(shí)間周期報表
- 自定義報表
- 綜合報表
網(wǎng)元管理
- 設備自動(dòng)發(fā)現
- 拓撲圖自動(dòng)發(fā)現
- 人性化故障告警
- 性能指標采集
運營(yíng)管理
- 防御策略管理
- 業(yè)務(wù)集中配置管理,
- 報表呈現
上網(wǎng)行為管理方案
圖8 上網(wǎng)行為管理
方案特點(diǎn):
- 豐富的股票和游戲類(lèi)應用識別庫和不良網(wǎng)站分類(lèi)庫
- 全面互聯(lián)網(wǎng)行為和外發(fā)內容審計,有效降低互聯(lián)網(wǎng)風(fēng)險、滿(mǎn)足法律法規要求
統一安全審計方案
圖9 統一安全審計方案
方案特點(diǎn):
- 統一安全審計解決方案從體系架構上可以分為5個(gè)層面:
- 終端審計:基于辦公終端,業(yè)務(wù)終端(包含移動(dòng)智能終端)的各種操作,外設使用,網(wǎng)絡(luò )接入,以及文檔操作行為進(jìn)行監控審計,對于違規行為、操作進(jìn)行記錄,告警;
- 網(wǎng)絡(luò )審計:針對internet網(wǎng)絡(luò )訪(fǎng)問(wèn)行為審計,實(shí)現針對網(wǎng)絡(luò )訪(fǎng)問(wèn)操作,內容,協(xié)議的分析審計;
- 內容與應用審計:對核心業(yè)務(wù)系統,主機服務(wù)器,以及辦公系統,重要的數據庫系統的訪(fǎng)問(wèn)操作的審計,基于關(guān)鍵內容,應用協(xié)議的分析審計;
- 運維審計:基于對網(wǎng)絡(luò )設備,安全設備,主機,應用系統管理運維操作審計;
- 審計監控平臺:日志收集,管理,查詢(xún);關(guān)聯(lián)分析,預警,溯源,審計報告;整體安全策略管控,聯(lián)動(dòng);
方案亮點(diǎn)
- 滿(mǎn)足等級保護要求中對互聯(lián)網(wǎng)接入區的要求
- 可視化全景監控視圖,在全網(wǎng)范圍內收集所有安全事件,實(shí)現統一安全防護,消除“零小時(shí)”威脅
- 依托華為全球安全能力,整網(wǎng)聯(lián)動(dòng)防御,一點(diǎn)檢測,全局共享
- 端到端事件關(guān)聯(lián)分析處理能力EPS>5000;預置130多個(gè)場(chǎng)景規則模板,并可動(dòng)態(tài)擴展,更準確的檢測出未知安全威脅;
- 防火墻首家雙主控墻、毫秒級主備倒換、99.9999%可靠性,100+DDoS攻擊防御、秒級響應
- 支持7層DDoS流量學(xué)習,支持直路防御和旁路檢測, 支持1200+種應用識別
客戶(hù)價(jià)值
- 流量可視化分析和監測,有助于運維人員方便的控制帶寬優(yōu)化,保障優(yōu)先級別較高的政府業(yè)務(wù)優(yōu)先通過(guò)。
- 立體安全防護,免除來(lái)自互聯(lián)網(wǎng)的各種攻擊。
- 統一審計對各種網(wǎng)絡(luò )行為、運維操作進(jìn)行記錄,有安全威脅時(shí)可以追溯。
- WEB應用安全,保障了政府門(mén)戶(hù)網(wǎng)站和業(yè)務(wù)系統的安全運行。
- 以委辦局為單位進(jìn)行安全監測,及時(shí)定位安全問(wèn)題。
- 上一篇:華為電子政務(wù)網(wǎng)絡(luò )平臺解決方案 2014/10/2
- 下一篇:華為電子政務(wù)外網(wǎng)縣級網(wǎng)絡(luò )解決方案 2014/10/2