NGFW

产品描述
>>需求场景分析
 
当前,智能手机、iPad等终端已经普及,移动应用程序、Web2.0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊,信息安全问题日益复杂。通过IP和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。华为USG6300系列下一代防火墙面向中小企业,通过对应用、用户、内容、威胁、时间、位置6个维度的全面感知,提供精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV)等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。具备全面的防护功能,一机多能,有效降低管理成本。精细的带宽管理和QoS优化能力有效降低企业的带宽租用费,确保关键业务体验。持续、简单、高效地提供下一代网络安全。
 
>>NGFW园区安全解决方案
 
2.1方案概述
 
大中型企业的内网构成往往比较复杂,因此需要对内部不同业务网络进行安全等级划分和安全隔离,并对不同网络间交互的流量进行实时监控。同时,通过建立用户管理体系,对内网主机接入用户进行权限控制、配额控制以及带宽资源管理。华为USG系列防火墙可以作为大中型企业的内网边界,实现内网管控与安全隔离,有效避免潜在风险。
 
 
2.2方案亮点
 
精准的访问控制
 
传统防火墙主要通过端口和IP进行访问控制,下一代防火墙的核心功能依然是访问控制。USG6000在控制的维度和精细程度上都有很大的提高:
 
 
全面的防护范围
 
越来越多的信息资产连接到了互联网上,网络攻击和信息窃取形成巨大的产业链,这对下一代防火墙的防护范围提出了更高要求。USG6000具备全面的防护功能 
 
 
简单的安全管理
 
下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为USG6000利用Smart Policy功能降低对使用者的要求,更好的进行防护。
 
 
2.3关键特性
 
2.3.1企业内网边界防护 
 
• 在企业内网部门和无线接入的汇聚网络部署下一代防火墙。对PC用户通过防火墙策略基于用户信
• 息进行访问控制。
• 对移动用户采用基于用户+应用的策略控制,实现精细权限管理,并记录日志。
• 对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。
 
2.3.2互联网出口防护
 
• 在互联网出口部署下一代防火墙,在出口进行访问控制,阻止一切非认证访问。
• 启用入侵防御功能,提供万兆级应用层威胁实时防护。
• 对邮件、IM、文件传输等进行内容过滤和审计,监控社交类应用,避免数据泄露。
• 基于用户、应用、时间进行QoS管理,优先保障核心用户和关键业务的服务质量。
• 通过URL分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站,根据角色监控员工可以访问的网站和可以使用的网络应用。
 
2.3.3VPN远程互联
 
• 通过下一代防火墙的VPN接入,在互联网上构建一条可信、可控、可管的安全传输隧道。
• 在外人员可通过SSL VPN接入,提供Windows、IOS、Android多种操作系统支持,提供泛终端的接入能力。
 
2.4应用案例
 
2.4.1光大银行数据中心边界防护
 
 
(项目简化拓扑)
 
通过分析光大银行数据中心的特点,通过部署抗DDoS设备阻挡来自互联网的DDoS冲击, 保障业务支持不间断,提高其核心竞争力。
 
解决方案中的三个层面:管理层面、检测层面和清洗层面全方位消除了银行数据中心遭遇DDoS攻击时的困扰。
 
• 秒级响应,快速准确。采用业务模型流量自学习和逐包进行深度检测技术,一旦发现流量和报文异常,启动立即防护策略,确保攻击发生到防御之间时延小于2秒。同时,华为异常流量清洗方案基于层层过滤的清洗思路,通过七层的流量分析处理,从IP信誉、传输层、应用层、特征识别、会话防范、网络行为、流量整形七个方面逐层识别过滤,提高整体防御的性能,有效的保障了光大银行数据中心的网络安全。
• 检、控分离,高效可靠。检测中心和清洗中心的分离式部署方案,可以保障清洗中心故障后,检测中心可以继续工作,并实时生成检测报表和告警通知,最大限度地显现光大银行遭受的每次攻击。
• 灵活管理,扩展无忧。华为Anti-DDoS解决方案可选择三种管理方式:只检测不清洗、自动检测清洗防护、人工交互式防护。三种管理方式的灵活使用可以满足光大银行在新业务上线时,降低实施风险,提高可用性的业务要求。
 
2.4.2中煤保险公司VPN建设
 
 
客户需求
 
中煤保险企业内部运行有核心业务系统,办公相关系统以及财务系统等。现有业务系统都部署于总部中心,所有非总部内网访问都需要通过IP网络IPSecVPN方式接入。由于各地市业务团队移动性较强,原有的VPN设备不具备支持SSLVPN的能力,且功能简单不具备丰富的用户管理和权限划分等功能,给公司业务扩展带来不便;
 
华为解决方案
 
采用SVN一体化VPN解决方案,为中煤保险建立新的整合IPSecVPN和SSLVPN的VPN接入平台,原有的地市机构与总部间的IPSecVPN连接不变,为出差人员提供SSLVPN接入方式
基于用户权限、业务类型以及应用进行精细化接入管控。杜绝违规接入,确保核心用户访问保障;
 
客户价值
 
中煤保险公司采用华为一体化VPN解决方案后,用户通过VPN访问总部内网的效率极大提高,有效支持一线人员快速扩展业务;
利用权限划分,按业务系统进行管理等手段,保证正常访问同时,避免非授权人员访问公司核心数据。提高的了业务系统安全性;
 
2.4.3上海电子政务外网出口安全
 
 
(项目简化拓扑)
 
项目伊始华为紧贴山东地税客户需求,结合现网存在的问题与未来业务发展趋势,以高性能、高扩展、高可靠、全面防护为目标,精心设计了一套安全防护方案:在省局数据中心的互联网接入域、应用域和管理域边界双机部署华为USG系列高性能防火墙,通过域间隔离和访问控制,实现对纵向流量和横向流量的安全防护;通过完善的虚拟防火墙功能,实现对数据中心各分区的隔离防护,提升地税系统数据中心的安全防护能力;在17地市局的网络出口部署华为USG系列高性能防火墙,实现各地市局网络的攻击防护和访问控制。
凭借出色的POC测试表现以及完备的安全防护方案,华为USG系列防火墙最终赢得山东地税客户的一致认可。
未找到相应参数组,请于后台属性模板中添加
上一个
下一个