华为FusionCloud多网隔离方案

1、华为FusionCloud多网隔离方案Content数据中心双网隔离方案双网隔离的需求瘦终端双网隔离方案1234双网隔离传统方案全网组合方案5Color ThemeCombination of three colors, main theme: company red政府行业需求：电子政务网隔离需求国家保密局发布的计算机信息系统国际联网保安管理规定中第二章第六条规定：“涉及国家秘密的计算机系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离”电子政务系统包含着大量的国家机密内容。因此，电子政务系统涉及涉密网络与非涉密网络之间的连接，也有政府办公外网与非涉密网的连接，故拓

2、扑结构非常复杂。要根据涉密规定作具体分析。接入方式分为物理隔离、逻辑隔离、基于物理隔离的数据交换等几种不同形式，原则上办公单位与数据中心的连接均用防火墙进行逻辑隔离，保证可信的数据传输及对非法访问的拒绝。Color ThemeCombination of three colors, main theme: company red政府行业的三张网政务内网: 政府的内部办公业务信息网，处理政府部门间涉密信息。政务内网是涉密网络，主要运行国家秘密和工作秘密信息。 政务专网: 党政机关的非涉密内部办公网，主要用于机关非涉密公文、信息的传递和业务流转，政务专网不是涉密网，又可实现广泛的内部互联，还可与外

3、网实现安全信息交换。政务外网: 政府对外服务的业务专网，与国际互联网通过防火墙逻辑隔离，主要用于机关访问国际互联网，发布政府公开信息，受理、反馈公众请求和运行安全级别不需要在政务专网运营的业务。从承建部门来看，只有两个网：政务内网和政务外网。1：保密局负责建设政务内网: 加密机+MPLS+物理隔离（网闸也不许连），务是涉密的。2：国家/省信息中心（发改委下属）负责建设政务外网，包含“专网”和“外网”，20+部委采用MPLS隔离，不加密。专网运行内部公文、办公系统；外网即互联网服务区，防止各种对外的网站、服务系统，也有公务员的上网PC；专网和外网用网闸隔离。Color ThemeCombinat

4、ion of three colors, main theme: company red金融行业：银监会指引文件 要求金融机构业务网络与办公网络实施隔离银行业金融机构信息系统风险管理指引2006第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险。商业银行信息科技风险管理指引2009第二十四条 商业银行应根据信息安全级别，将网络划分为不同的逻辑安全域（以下简称为域）。应该对下列安全因

5、素进行评估，并根据安全级别定义和评估结果实施有效的安全控制，如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等监管部门要求金融机构业务网络与办公网络实施隔离，但没明确限制为物理还是逻辑分区Color ThemeCombination of three colors, main theme: company red公安行业需求：公安城域网包括内部的公安专网和外部的INTERNET两部分。公安内网是独立于互联网的应用专网，与外网的连接采用物理隔离方式。在既要访问互联网又要访问公安网络的机器上面安装了物理隔离设备。Color ThemeComb

6、ination of three colors, main theme: company red物理隔离安全需求分析物理隔离在安全上主要有以下3点要求： （1）在物理传导上使内外网络隔断，确保外部网络不能通过网络连接而侵入内部网络；同时防止内部网络信息通过网络连接泄漏到外部网络。 （2）在物理辐射上隔断内部网络与外部网络，确保内部网络信息不会通过电磁辐射或耦合方式泄漏到外部网络。 （3）在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时清除处理，防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘等存储设备，内部网与外部网要分开存储。Conten

7、t数据中心双网隔离方案双网隔离的需求瘦终端双网隔离方案12345双网隔离传统方案全网组合方案Color ThemeCombination of three colors, main theme: company red传统双网隔离解决方案-硬盘隔离卡形式硬盘隔离卡技术存在的各类弊端数据驻留客户端本地易致造成错误的网络连接客户端本地易受攻击客户端存储影响用户数据安全可靠方案整体稳定可靠性差双系统切换时间长EnterpriseInternetColor ThemeCombination of three colors, main theme: company red传统双网隔离解决方案-双硬盘形式

8、双硬盘形式存在的各类弊端数据驻留客户端本地易致造成错误的网络连接客户端本地易受攻击客户端存储影响用户数据安全可靠双系统切换时间长EnterpriseInternet外网硬盘内网硬盘双硬盘/双系统传统双网隔离解决方案-双网机形式联想ThinkCentreM8000t（双网机）方正君逸M530/M580（双网机）开机/切换画面Color ThemeCombination of three colors, main theme: company red传统双网隔离解决方案-双PC形式双PC存在的各类弊端数据驻留客户端本地易致造成错误的网络连接客户端本地易受攻击客户端存储影响用户数据安全可靠成本高昂、

9、维护困难EnterpriseInternetContent数据中心双网隔离方案双网隔离的需求瘦终端双网隔离方案12345双网隔离传统方案全网组合方案Color ThemeCombination of three colors, main theme: company red数据中心 安全隔方案简介按照客户对安全性的要求和设备网络的共享程度，在数据中心和接入网络，在数据中心，有三种方案：物理隔离方案：两套或多套物理计算单元和存储单元，两套或多套桌面云管理系统，虚拟机间通过物理网络进行隔离。集群隔离方案：一套物理计算单元和存储单元，一套云管理系统，虚拟机通过集群方式隔离。逻辑隔离方案：一套物理计算

10、单元和存储单元，一套桌面云管理系统，虚拟机通过VLAN、防火墙ACL进行逻辑隔离，使用双账号或者多虚拟机进行隔离。FusionSphereColor ThemeCombination of three colors, main theme: company red数据中心全部物理隔离涉密网云平台VMVMFusionSphere办公内网云平台VMVMFusionSphere办公外网云平台VMVM物理隔离物理隔离Color ThemeCombination of three colors, main theme: company red集群隔离，共用管理节点涉密网集群VRM（主备）CNAVMVMV

11、MVMVMVMVMVMVMVMCNACNACNACNASANSAN逻辑集群逻辑集群云管理FusionManager(主备)办公内网集群VRM（主备）CNAVMVMVMVMVMVMVMVMVMVMCNACNACNACNASANSAN办公外网集群VRM（主备）CNAVMVMVMVMVMVMVMVMVMVMCNACNACNACNASANSAN逻辑集群逻辑集群逻辑集群逻辑集群桌面管理FusionAccess(主备)IT基础服务DNSDHCPAD共用管理节点，运维方便Color ThemeCombination of three colors, main theme: company red防火墙安全域

12、/交换机VLAN隔离财务服务器ERP服务器营帐系统营业厅Internet办公室云平台服务器刀片服务器刀片服务器刀片服务器桌面云管理服务器防火墙移动办公虚拟营业厅虚机OA办公虚机交换机划分VLAN，防火墙划分安全域，作不同访问策略隔离移动办公GIS服务器OA服务器BOSS系统物理资源共用，逻辑隔离，满足低安全场景Color ThemeCombination of three colors, main theme: company red物理隔离的数据交换- - -网闸文件摆渡网闸在网络通信中的协议、应用、内容等各个层面真正做到物理隔离，确保用户信息系统安全。 信息交换： 网闸的外部主机把TCP/

13、IP协议全部剥离，以原始数据方式进行“摆渡”，可实现HTTP、FTP、邮件、数据库等内外网之间的安全数据交换。 网络访问控制： 可通过订制访问策略，进行安全检查，精细地控制传送的数据、时间。交换有记录，便于审计。注：网闸非我司产品Content数据中心双网隔离方案双网隔离的需求瘦终端双网隔离方案双网隔离传统方案1234全网组合方案5瘦终端双网隔离方案应用场景使用瘦终端单网口接入标准瘦终端双网口接入双系统瘦终端HA690-2双网口瘦终端CT6000标准瘦终端+网络切换器两台标准瘦终端，各接两台显示器，互不干扰双系统瘦终端HA690-2双系统独立：实现真正彻底的存储、内存、网络、运算的四重隔离，灵

14、活切换直联双显示器，无需切屏连击ScrLK键切换显示单显示器，使用软按键切屏CT6000是单系统的瘦终端，带2个千兆网卡有效满足双网连接需求，DVI-I接口支持双屏显示，可同时显示操作两个虚拟桌面。双网口瘦终端CT6000外网网口内网网口内网WI地址：外网WI地址：外网虚机内网虚机数据中心与网络交换 均物理隔离标准瘦终端+网线切换器方案FusionShpereFusionAccess外网桌面云办公应用系统FusionSphereFusionAccess内网桌面云关键信息资产数据中心与网络均 物理隔离TC内线Netscaler防火墙网线切换器任意瘦终端+网线切换器，轻轻一按，随意切换注：网线切换

15、器非我司产品瘦终端双网隔离方案Content数据中心双网隔离方案双网隔离的需求全网组合方案双网隔离传统方案12345Color ThemeCombination of three colors, main theme: company red华为桌面云-红、黄、绿三区隔离按机密等级建设“红黄绿”区桌面云、接入区，各区相互不能互访核心IP网数据中心机房：物理隔离红区接入区红区桌面云黄区桌面云绿区桌面云黄区接入区绿区接入区核心交换：逻辑隔离用户接入区：物理隔离Color ThemeCombination of three colors, main theme: company red数据中心逻辑隔离：每用户双虚机每用户在一朵云里双虚拟机，逻辑隔离。每用户一根网线，接入网部线简化普通业务网虚机涉密网虚机网络逻辑隔离一个WI地址：单点登录华为FusionAcces