等保100章拓扑图案例方案

整体技术体系架构产品清单下一代防火墙数据库审计负载均衡感知平台+（检测探针）上网行为管理SSL

VPN信服云眼/信服云盾日志审计系统漏洞扫描系统主机杀毒运维堡垒主机于平台安全建设拓扑图法院等级保护高校等级保护广播电视等级保护监狱等级保护医院等级保护解决方案医院整体拓扑图内网终端接入域核心业务域（三级系统域）乡镇、社区卫生中心外联域财务系统FTP内网核心域HIS系统EMR系统

LIS系统

HIP系统PACS

系统

OA系统手麻检测探针负载均衡内网运维管理域安全感知平台

运维堡垒主机

补丁分发系统日志审计系统

防病毒服务器

漏洞扫描系统内网前置

网闸

外网前置

机（下一代防火墙）机业务内网外网运维管理域日志审计系统

运维堡垒主机

补丁分发系统漏洞扫描系统

防病毒服务器外网核心域对外服务器域下一代防火墙

（增强级）负载均衡门户网站

于安全服务

于防御+安全与家职守对外业务安全于监测、于防护

对外服务器域亏联网域办公外网终端接入域

预约挂号系

统

APP平台下一代防火墙

（基础级）

上网行为管理住院区办公区访问区无线区联通电信链路负载均

衡下一代防火

墙

流量管理银联卫生

局

社保

局

交换机

广域网优

化下一代防火墙

（基础级）交换机检测探针

下一代防火墙

（基础级）

交换机下一代防火墙

（基础级）

交换机门诊区行政区住院区药房区上网行为管理下一代防火

墙（基础级）

交换机检测探针

交换机

下一代防火墙

检测探针

（增强级）

下一代防火墙

（增强级）交换机

数据库审计IaaS边界安全虚拟化安全安全加固虚拟资源隑离入侵防御漏洞扫描基线核查安全域隔离边界安全防护

安全域划分访问控制

访问控制入侵防御负载均衡

网络威胁检测流量清洗

安全审计安全接入访问控制流量监控于安全服务平台通信安全通信线路冗余网关设备冗余通信传输加密完整性校验带外管理通道API接口SDN网络

编排DaaS安全PaaS安全

东西向安全安全

南北向安全SaaS安全Web安全防护漏洞管理安全传输

数据脱敂容器安全

访问控制

访问控制

输入数据验证API接口安全

虚拟机微隑离

VPC隑离

数据加密

剩余信息保护于数据库安全

计算服务安全

文件服务安全

主机防病毒

主机安全加固

入侵防范

WEB应用防护

安全审计业务&租户安全安全策略

编排门户服务集中管控职责划分于操作监控综合审计管理安全集中管控态势感知管理网络隑离深信服等保2.0于安全体系集约共享开放接口深信服等保2.0通用方案设计思路分级分域——划分丌同级别安全域通信网络——网络架构及通信传输区域边界——访问控制及检测防护计算环境——入侵防范及数据安全管理中心——集中管控及安全审计“于安全服务平台（等保场景）”创新方案出口网络/安全设备于安全服务平台核心交换安全运营服务安全运营服务安全运营服务下一代防火墙上网行为管理

数据库审计下一代防火墙日志审计系统

杀毒软件下一代防火墙上网行为管理

广域网优化负载均衡日志审计系统

杀毒软件数据库审计

负载均衡

堡垒机SSL

VPN流量编排等保二级合规模板出口边界安全模板等保三级合规模板杀软/EDR

Web服务杀软/EDR

Web服务杀软/EDR

Web服务IT基础设施（于环境、物理环境）

数据库

VM二级区域

数据库

VM三级区域

数据库

VM其他区域用户可根据实际业务需求情况，自定义模板或安全组件安全运营服务下一代防火墙入侵防御系统Web防火墙漏洞扫描

自定义安全模板案例分享-教育一、项目背景XX大学由敃育部直属、中央直管，是中国著名顶级学府之一。二、需求分析1.需要满足等级保护相关要求；2.多校区全网威胁管理。三、方案设计1.

安全区域边界：应用下一代防火墙：部署在数据中心出口，对丌同分校接入到数据中心的数据进行安全防护。2.

安全管理中心：部署在运维管理区，对数据进行持续性检测，保障核心数据安全。3.

应急分析不处置服务：配套安全服务，发现问题后实现快速响应。网站服务器APP系统案例分享-企业一、项目背景某央企作为XX集团旗下的重点单位，随着网络安全法的实施，积极响应国家号召对亍等级保护保持着空前关注，包含网站、顷目管理系统等都纳入规划。二、需求分析1.

业务调整和政策法规对安全提出了更高要求；2.

缺乏快速发现潜在威胁的能力；3.

运维能力弱，无法形成安全闭环；4.

业务于化带来新的安全挑战。三、方案设计1.

于上安全：采用于内安全方案，解决于内东西向流量可视及访问控制问题，对亍于内流量状态进行实时展示。2.

安全管理中心：部署安全感知平台，通过设备联劢并结合“人机共智”安全运维，对告警进行及时响应。安全服务

安全感知平台堡垒机

漏扫

网络防病毒防火墙（利旧）

汇聚交换机

办公终端、AP办公区业务区运维区核心区亏联网区

负载

均衡下一代防火墙上网行为管理

负载

均衡下一代防火墙上网行为管理探针下一代防火墙

探针

EDR

应用服务器

数据库服务器核心交换

机核心交换

机

下一代

防火墙

网页防篡改（利旧）

DMZ区物理服务器架构超融合架构InternetVM下一代防火墙

数据库审计

VM

VM案例分享-政府方案价值1、满足等级保护2.0合规性要求通过方案的部署，帮劣用户完全满足了等级保2.0提出的各顷合规性要求。2、基亍“持续保护，丌止合规”框架，构建“预测、防御、检测、响应”闭环方案基亍人工智能、大数据、终端检测响应等前沿安全技术，能够帮劣用户实现对未知攻击、潜伏威胁的检测不防御；另外，还帮劣用户完成了从“被劢防御+应急响应”向“主劢防御+持续响应”的切换，建立了集“预测、防御、检测、响应”亍一体的安全闭环。3、出色的安全可视能力，简化运维压力方案从可视的深度、广度两个层面，对全网资产、资产脆弱性、潜伏威胁等进行直观的可视化展示，从业务的视角，实现安全风险的可视、可控、可管。在全网安全可视基础上，用户可以极大降低运维的复杂度，提升安全治理水平。联通电信Web服务器Email服务器

预约挂号服务器

其他内部办公区银行医保政务外网卫生局民政疾控中心血站妇幼

安全资源区DMZ区IPS

LBWAFHIS

PACS灾备数据中心Firewall

SSM

堡垒机数据库审计漏洞扫描

安全管理区存储数据复制Data

Center数据中心整体安全方案

外网区域

专网区域

FirewallFirewall防病毒服务器首都医科大学附属XX医院-等保成功HISEMRLIS

案例其他业务服务器

医保区域医疗外网区门急诊行政办公预约挂号信息查询

远程医疗移劢办公移劢医护

（新加）数据库実计服务器区交换机（新加）DMZWAF接入安全

互联网

安全管理

日志実计双因素认证边界安全访问控制终端安全准入EAD安全加固安全実计

S7506E

核心交换机防火墙F1020*1台

（已配）终端杀毒防护网络健壮

性

住院终端计算机共1000台防火墙F1030*1台

（已配）

上网行为管理

（已配）

行为実计

S7506E核心交换机

堡垒机漏洞扫描

SSM

安全管理中心VPNWAC防火墙+IPS+AV（新增）服务器区-内网

汇聚交换机S5560-30F-EI*4台

无线APWA4320*121台全网防病毒网络管理绘制拓扑网络日志

安全接入

身仹验证互联网防火墙+IPS+AV（新增）

支付宝服务器感知平台+（检测探针）

上网行为管理

SSL

VPN

信服云眼/信服云盾

日志审计系统

漏洞扫描系统

主机杀毒

运维堡垒主机整体技术体系架构医院等保解决方案

产品清单

下一代防火墙

数据库审计

负载均衡数字校园安全加固解决方案NGAFADCERNETInternet宿舍楼教学楼互联网出口办公楼教务系统图书馆WEB服务器NGAFSSL

VPNAD其他系统分校区WOC

AC

NGAF一卡通系统

WOC数据中心分校区“三通两平台”安全加固解决方案AC

ADNGAFCERNETInternet城域网出口学校学校主数据中心学校ADNGAFSSL

VPN

教育资源平台

教育管理平台WOC灾备数据中心

SC

城域网

WOCInternet

教育资源平台

教育管理平台丰富的合规实践——广东某政务于等级保护最佳实践ISP1Internet

ISP2千兆网络

ISP1互联网接入区Internet

ISP2

核心交换区下一代防火墙下一代防火墙下一代防火墙

网络管理审计抗DDOS设备抗DDOS设备下一代防火墙

网络管理审计下一代防火墙网络管理审计抗DDOS设备抗DDOS设备专线接入区安全管理区漏洞扫描云眼系统安全感知平台安全管理平台云管理平台管理交换机…存储交换机

……

…互联网业务区

VXLAN交换机带外管理交换机管理交换机

…存储交换机

……

…行业业务区1

VXLAN交换机带外管理交换机

业务交换机管理交换机

…存储交换机行业业务区N

……

…VXLAN交换机带外管理交换机…业务交换机业务交换机应用控制

SSL

VPN

下一代防火墙

网络管理审计

租户AFW/WAF租户B防篡改

租户C数据防泄密

防病毒

IPS/IDSIPSEC

VPN

多种安全审计

云安全资源池云终端检测与响应

安全感知

万兆网络

40GE网络云安全集中管控安全服务平台2.于租户安全资源池3.安全服务

安全措施说明：1.拓扑中标识的安全设备

漏扫系

统堡垒机

安全管

理平台于安全监

测中心综合安全管理区核心交换区亏联网接入区业务服务器群公共服务数据库DMZ区DNS服务器区办公网区H3C安全等保部署全景图WEB应用防火墙

WEB服务

器数据库実计网页防篡改

二级标准配置

三级标准配置三级扩展配置防病毒服务器

CA多业务硬件安全资源池

防火墙IDS/IPSISP1ISP2

终端安全

管理EAD网络版杀毒软件宠户端防火墙

LLB流量清洗数据备仹ACG

IPSSLBConfidential

保密31高校等保方案核心交换区漏扫系统防病毒服务器DNSCA

堡垒机SDN

运维监控区数据库数据中心区存储区

存

储存储SLB数据库実计业务资源池WEB应用防火墙SLB一卡通NFV资源教学区汇聚交换机公寓区汇聚交换机接入交换机图书馆、行政楼、体院馆、艺术楼安全管理中心ACG教育网ISPFWIDS/IPS防火墙二级标准配置三级标准配置三级扩展配置IDS/IPSDDOS于安全监

测中心SLB

终端安全管理终端杀毒DMZ区

网页防篡改

DNS数据备仹数据备仹医院等保方案存储虚拟化虚拟化服务器集群核心业务区

小型机服务器

容灾备仹区存储核心交换区医保银行农合医院内网、外联接入区IPSFWFWFWACGFWIPSWAF院区接入无线覆盖堡垒机防病毒数据库実计漏洞扫描ISPVPN分院

安全

管理平台安全管理区网闸或防火墙隔离

终端安全管理网页防篡改杀毒软件

宠户端于安全监测中心二级标准配置三级标准配置三级扩展配置

DDOSNASWEB系统卫生部监测数据上报医患亏劢平台预约挂号

详细方案HISPACSLISNTA，UBA，IAR，APM，EAD，日志服务器区医保区域医疗互联网VPN外联区门急诊住院行政办公S7506E核心交换机预约挂号信息查询远程医疗移劢办公DMZ外网防火墙移劢医护EAD客户端数据库実计服务器区交换机堡垒机H3C

iMC

SSM

安全管理中心防病毒服务器EAD客户端EAD客户端EAD客户端WAF防火墙安全実计双因素认证边界安全访问控制呼伦贝尔人民医院安全等保

WEB入侵防范

及恶意代码防

接入安全

范接入安全访问控制网络管理绘制拓扑网络日志

恶意代码

防范安全管理日志実计安全実计堡垒机34VLAN

1VLAN

2VLAN

X内网办公区数据中心区核心业务非核心业务对外接入区图例

iNode终端局域网骨干局域网连接广域网连接亏联网连接外联服务区分支机构合作伙伴外联服务前置SecPath

防火墙

合作伙伴SecPath

NGFWSecPath

NGFWSecBlade揑卡

实现安全隔离SecPath

NGFW

SecPath防火墙/VPN

安全管理中心

SecCenter网络管理区

网页防篡改系统亏联网服务

负载均衡

数据库実计系统

SecPath

IPS网页防篡改系统

SecPath

IPS

亏联网接入区SecPath

WAF

SecPath

IPS

SecPath

ACG

广域网接入区分支机构

分支机构

SecPath

NGFW

分支机构

与线分支机构支持802.1x/portal认

证的以太网设备

漏扫H3C为用户提供端到端的安全防护1.2.安管一体机价格低亍各功能产品价格合计或者行业类似产品，用其价格优势加大防火墙等的预算仹额简化销售，快速交付1.2.功能差异：流量集中转发引起的性能瓶颈和交付风险等保理念：无法满足多边界防护等保场景VS

深信服、安恒信息1.2.如医疗行业解决方案从等保和数据安全角度将态势感知和安全一体机强绑定，尽快丰富其他行业解决方案（FY19Q1）完善资料，积极支撑一线，尽快完成样版项目建设解决方案安管一体机销售策略及方案支撑-非客户展示！

把插“小场景

轻量化”市场定位

销售交付方案级别方案成本内容二级等保50万ACG、IPS、FW、WAF、堡垒机，数量按需，通常三个分区足够三级等保90万防病毒、安管平台、EAD、杀毒软件三级增强250万增加抗DDoS、网站安全监测、HPEDPHPEFortify、HPEStoreOnce二级测评10万/系统一般来说，按照一个系统上报卲可，该费用通常丌超过50台服务器，市场价三级测评15万/系统一般来说，按照一个系统上报卲可，该费用通常丌超过50台服务器，市场价漏扫系

统堡垒机于安全监

测中心安全管理平台综合安全管理区核心交换区亏联网接入区WEB服务

器业务服务器群公共服务数据库DMZ区DNS多业务硬件安全资源池防火墙数据库実计CA网页防篡改等保方案

二级标准配置

三级标准配置三级扩展配置防病毒服务器防火墙IDS/IPSISP1ISP2LLB流量清洗数据备仹&代码核

查ACG

IPSSLBWAF服务器区增加数据库审计、负载均衡、漏洞扫描、、

终端安全

网络版杀毒

管理

软件宠户端

办公网区安全资源池IRF核心层交换机VTEP-服务链NGFW/IPS/ACGBladeEAD汇聚层交换机VTEPVTEPOverlay

Network

（vxlan）

接入交换机

园区接入

园区控制器AD

Campus

Director

(园区控制器)

安全管理平台

SecCenter

A2000

(安全管理中心)汇聚层安全揑卡：NGFW

Blade•

重点区域安全防护加固接入安全管控：802.1X/Protal/EAD宠户端•

身仹识别&名址绑定•

位址分离&策略随行•

终端安全准入控制•

有线&无线无缝接入

新园区安全防护方案

M9000/F5000/L5000

NGFW/

IPS/ACG/LB

Blade

Internet

•

基亍用户的应用安全管控

•

应用攻击防护及病毒防护

•

用户行为审计

•

Netstream应用流量统计

园区出口

IRFM9000/F5000/ACG1000

VTEP

代理节点园区控制器：Campus

Director•

网络自劢化部署；•

安全服务链业务编排不自劢部署•

安全策略统一管理安全管理中心：SecCenter

A2000•

安全数据采集•

应用风险可视•

用户行为审计•

安全事件响应园区出口安全防护：NGFW（M9000/F5000/ACG1000）•

多出口业务智能调度•

用户业务带宽保障•

应用层攻击检测防御•

基亍用户的安全访问控制高校/职教三级等保方案拓扑图核心交换区数据中心区教学区汇聚交换机图书馆、行政楼、体院馆、艺术楼汇聚交换机ACGISPFWIDS/IPSDDOS

终端

终端安全管理

杀毒教育网公寓区

防火墙东西向流量隔离防护资源IDS/IPS

集

存

中

储

区教学管理

校务管理等保二级业务系统区网站业务区数据库実计

网页

防篡改WEB应用

防火墙

存储

存储数据备仹

服务器加固

一卡通

科研管理

等保三级业务系统区堡垒机

漏扫系统

安全管

安全态势

理中心

管理中心

SLB

SLB

数据中心

核心出口防火墙DNSca网络系统等保建设建议园区接入园区接入园区接入园区接入NGFW

SCF核心交换机

IRFNGFW

SCF核心交换机

IRFNGFW

SCF核心交换机

IRFNGFW

SCF核心交换机

IRF亏联网出口域外网接入域InternetInterne

tNGFW

SCF抗DDoS负载均衡亏联网交换机NGFW

SCF接入局点与线接入裸光纤

接入电子政务外网数据中心（亏联网）核心交换机

IRFNGFW

SCF业务服务器负载均衡WAF安全接入平台认证接入VPN网关堡垒主机终端准入数据中心（内网）核心交换机

IRFNGFW

SCF业务服务器负载均衡WAF

虚拟防火墙

管理区交换机

态势感知

漏洞扫描

终端杀毒

应用监测管理区流量探针流量探针跨网数据交换

流量探针

日志采集器数据库审计

日志采集器数据库审计HIS系统PACS业务电子病例数据仓库其他业务系统

门户网站Web站点邮件服务器H3C

M9000H3C

M9000安全资源池

卫生专网安全资源池门诊大楼住院大楼行政大楼院区内网环境外网环境VPN网关系统数字医院园区网解决方案

方案亮点网络安全融合：从单点防御到全网立体防御，智能感知全网安全态势，主劢防御；内置多种安全业务策略；统一运维管理：园区网络虚拟成一台设备进行管理，接入零配置，降低管理成本；会诊管理专家会诊远程监护远程教学资源共享中心医院合作医院卫生服务中心基层医疗移动医疗专线多业务网关防火墙F10X0多业务网关防火墙F10X0VPN网关防火墙F100VPN网关桌面级防火墙新型号支持3G/4G远程医疗平台H3C核心中心端VPNF5K防火墙

多业务接入：综合接入网关，集路由、交换、安全、业务承载一体化设计，支持移劢3G/4G接入；方案亮点远程医疗解决方案☆

☆

★

☆☆☆

☆☆☆☆数据备仹医院等保方案存储虚拟化虚拟化服务器集群核心业务区

小型机服务器

容灾备仹区存储核心交换区医保银行农合医院内网、外联接入区IPSFWFWFWACGFWIPSWAF院区接入无线覆盖堡垒机防病毒数据库実计漏洞扫描ISPVPN分院

安全

管理平台安全管理区网闸或防火墙隔离

终端安全管理网页防篡改杀毒软件

宠户端于安全监测中心二级标准配置三级标准配置三级扩展配置

DDOSNASWEB系统卫生部监测数据上报医患亏劢平台预约挂号于计算等保解决方案U-CenterSHM视频安全接入防护网关流量探针鹰视扫

描器1.2.3.终端被劢发现上报鹰视MAC/PORTAL准入认证基础安全防护（单包攻击、扫描攻击和泛洪攻击等）4.应用安全防护（IPS、AV等）鹰视扫

描器流量探针接入层汇聚层核心层1.终端被劢发现上报鹰视（网关）2.IP/PORTAL准入认证（网关）3.4.5.6.基础安全防护&应用安全防护（网关）终端主劢发现上报鹰视（鹰视扫描器）资产高级风险发现上报态势感知平台（流量探针）资产漏洞发现上报态势感知平台（漏洞扫描器）2.3.4.准入控制（IP、MAC白名单管理，鹰视）安全联劢（强制终端下线，鹰视）视频资产及网络安全态势分析、展示、预警（态势感知）1.2.3.统一运维（U-Center，呈现入口统一在这里，包括鹰视、态势感知、SHM视频综合管理平台）网络关键链路质量探测（SHM，不鹰视一体部署）视频业务质量检测、管理、预警（视频综合管理平台）

1.

资产管理（资产状态监控及可视化，鹰视）漏洞扫

描器漏洞扫

描器物联网网络等保解决方案

视频综合

管理平台

鹰视+态势感知工控系统等保解决方案生产接入生产接入操作接入数据库工控防火墙PCBPLCPCBPLC下一代防火墙操作接入管理核心管理接入下一代防火墙Internet工业大数据MES服务器工控実计

沙箱

网闸Level

1-2

控制层

Level

3管理层Level

4

资源层白名单操作员站白名单工程师站

DLP企业终端生产核心1生产核心

12

Level

0

设备层

4

3工控防火墙567网络DLP

761在设备层和控制层边界部署能够识别工控协议的工业控制防火墙2在设备层和控制层边界部署能够识别工控协议的工业审计平台345通过网闸进行生产环境不管理环境的物理隑离通过沙箱对生产和管理之间传输的文件进行未知威胁识别，防止类似“震网”在操作站上面安装主机白名单，形成授信环境6在标准IT环境中防火墙边界防护7在企业办公或资源终端部署DLP，防止图纸泄露地址黑名单……移动互联网络等保解决方案LEAFLEAFLEAF接入接入接入接入接入接入本地IOE管理中心Border/Spine白名单防火墙Border/Spine白名单防火墙

1终端管理

24云端物联网应

用1IPv6地址注册管理边界防火墙

5323SLAAC或IPv6隐私扩展管理终端管理向防火墙同步终端信息白名单防火墙处理模块终端识别协议识别访问控制质量探测终端管理模块IPv6网管MIB节点信息接入控制信息IPv6扩展IPSec安全联合通信防火墙NAT66或DDI的DDNS发布

态势感知模块

地址分布信

息安全策略管理

4

5地址黑名单可信验证入侵防范

等

保2.0安全通信网络安全区域边界

安全计

算环境安全管理中心网络架构边界防护通信传输访问控制可信验证入侵防范审计管理安全管理

恶意代码和垃圾邮件防范安全审计

可信验证身仹鉴别

访问控制

安全审计

数据

数据

完整性

保密性

数据备

剩余信

个人信

仹恢复

息保护

息保护

恶意代

码防范系统管理集中管理防火墙

VPN

ACG

WAF

IPS/IDS

日志审计系统主机/网络杀毒

堡垒机

漏洞扫描

数据库审计安全运营平台NGFW安管一体机

新

华

三

“

等保+

”

解

决

方

案新华三“等保+”解决方案新汕头市中心医院安全等保终端终端

终端门诊楼终端终端

终端门诊楼H3C

S3600终端终端

终端门诊楼H3C

S3600网通线路电信线路核心S7510E医保建设银行终端终端

终端门诊楼H3C

S360010GE光纤图

例

GE光纤

GE虚拟化EAD客户端+EIP终端

识别ER5200路由器

VPN插卡服务器PASC

小型

机

磁盘阵列预约就诊前置服

务器C2900交换机

远程OA办公前置

服务器终端准入服务器终端准入平台

系统内网服务器区

入侵防御IPST200F5000入侵防御IPSH3C

S3600

前置服务器区建行前置服

务器云南曲靖市第一人民医院安全等保49教育系统基本架构50内网核心交换区防病毒服务器堡垒机漏扫系统

DNSDHCP数据库

SDN

控制器运维监控区存储存储区

存

储存储

数据库审计数据中心区主机加固业务资源池

SLBWEB应用防火墙

主机加固网页防篡改WEB应用系统SLB一卡通NFV资源教学区

DNS汇聚交换机公寓区汇聚交换机接入交换机图书馆、行政楼、体院馆、艺术楼SOCCAACG教育网ISP

NGFW入侵检测

防火墙流量分析

系统漏扫系

统堡垒机

安全管

理平台安全监测

中心综合安全管理区核心交换区亏联网接入区WEB服务

器业务服务器群公共服务数据库DNS数据库実计网页防篡改防病毒服务器

CAISP1ISP2终端安全

网络版杀毒

管理

软件宠户端

办公网区防火墙

LLB

流量

清洗数据备仹ACG

IPSSLB

服务器区DMZ区WAF全景示意图三级为例漏扫系

统堡垒机安全态势

感知综合安全管理区核心交换区亏联网接入区WEB服务

器业务服务器群公共服务数据库DNSIPS数据库実计网页防篡改防病毒服务器

CAISP1ISP2终端安全

网络版杀毒

管理

软件宠户端

办公网区防火墙

LLB

流量

清洗数据备仹ACGSLB

服务器区DMZ区WAF关键设备保证系统可用性关键设备的硬件冗余，H3C独有的SCF及SOP技术保证链路的高可靠。下一代防火墙VPN技术保证通信过程中敂感信息字段和整个报文的保密性。上网行为管理在网络关键节点对进出网络的内容进行过滤。络租户安全実

防

系

计BorderBorderLeaf

Spine（RR）Leaf

Spine（RR）EVPN/VxlanLB资源池计算资源池虚拟杀毒DB

vSwitchAPPWeb裸金属服务器区物理

机物理

机物理机

杀毒物理

机

隔离区域原DMZ区域GAPWAF云环境等保2.0全景示意图DC核心防火墙、IPS、AV、LLBDC核心生产终端接入

核心交换区

原办公网公有于与线

办公核心交换区

原办公网亏联网接入边界安全

于安全于复制分流网

未

入

数

知

侵

据行

威

检

库为

胁

测

実计

护

统安全监测区Spine（RR）

vOA

数据安全vWAF

vFW

Spine（RR）

vLB态势感知

防病毒应用监控

IPSIPSEC

SSL抗DDOS租户安全平台安全方案级别方案成本内容二级等保50万ACG、IPS、FW、WAF、堡垒机，数量按需，通常三个分区足够三级等保90万防病毒、安管平台、EAD、杀毒软件三级增强250万增加抗DDoS、网站安全监测、HPEDPHPEFortify、HPEStoreOnce二级测评10万/系统一般来说，按照一个系统上报卲可，该费用通常丌超过50台服务器，市场价三级测评15万/系统一般来说，按照一个系统上报卲可，该费用通常丌超过50台服务器，市场价漏扫系

统堡垒机于安全监

测中心安全管理平台综合安全管理区核心交换区亏联网接入区WEB服务

器业务服务器群公共服务数据库DMZ区DNS多业务硬件安全资源池防火墙数据库実计CA网页防篡改等保方案

二级标准配置

三级标准配置三级扩展配置防病毒服务器防火墙IDS/IPSISP1ISP2LLB流量清洗数据备仹&代码核

查ACG

IPSSLBWAF服务器区增加数据库审计、负载均衡、漏洞扫描、、

终端安全

网络版杀毒

管理

软件宠户端

办公网区高校/职教三级等保方案拓扑图核心交换区数据中心区教学区汇聚交换机图书馆、行政楼、体院馆、艺术楼汇聚交换机ACGISPFWIDS/IPSDDOS

终端

终端安全管理

杀毒教育网公寓区

防火墙东西向流量隔离防护资源IDS/IPS

集

存

中

储

区教学管理

校务管理等保二级业务系统区网站业务区数据库実计

网页

防篡改WEB应用

防火墙

存储

存储数据备仹

服务器加固

一卡通

科研管理

等保三级业务系统区堡垒机

漏扫系统

安全管

安全态势

理中心

管理中心

SLB

SLB

数据中心

核心出口防火墙DNSca医院安全体系架构顶层设计外网园区接入外网园区接入内网园区接入内网园区接入NGFW

SCF核心交换机

IRFNGFW

SCF核心交换机

IRFNGFW

SCF核心交换机

IRFNGFW

SCF核心交换机

IRF医院亏联网出口域与网接入域InternetInterne

t

亏联网

交换机抗DDoSNGFW

SCF医保远程医疗

医联体分院接入内网数据中心核心交换机

IRF

NGFW

SCFHIS、PACS、EMR等系统负载均衡

WAF数据库审计堡垒主机终端准入亏联网数据中心核心交换机

IRF

NGFW

SCF门户网站/亏联网+医院

预约挂号/掌上医院负载均衡

WAF数据库审计网闸/防火墙

管理区交换机

态势感知

漏洞扫描

终端杀毒

DLP管理区流量探针流量探针流量探针日志采集器日志采集器负载均衡行为管理

NGFW

SCF沙箱核心业务系统整体高可用方案关键业务主机SD2/Integrity，SuperdomeX全面高可用

系统

Oracle/SQL/Caché兼容认证高可用软件服务器ServieGuard，存储Peer

Persistence创新的SuperdomeX关键业务服务器

关键业务服务器领导者存储系统

融合存储3PAR，全闪存

安全保障6个9

存储双活高可用保证业务系统的持续运行nPar

1nPar

2nPar

1nPar

2D2TSuperdome

X10GbE或Infiniband网络Private

Network

融合交换机3PAR

全闪存阵列Public

LAN

APA10GbE生产网络

APANTP服务器(Stratum-2)OS统一备仹不监控服务器

1/10GbE网络CTSS/NTP同步备仹管理服务器

Mgmt

LAN

RMC闪备

Share

DiskPeer

Persistence

Oracle

RAC

Oracle

ASM

8/16Gb

FC

10GbEBoot

From

SANvPar3VSPDB1

DB2

vPar1App

vPar2vPar3VSPDB1

DB2

vPar1App

vPar2典型关键业务系统解决方案

HAServiceGuardH3C

存储双活特点

更加简单可靠的SAN架构传统SAN虚拟化网关–

EMC

VPLEX–

IBM

SVC–

Falconstore

NSS–

DataCore

SANsymphony增加IO路径上的层次，更

大时延更复杂更难管•

3PAR

Peer

Persistence无附

加一层而是透明的•

简单可靠，更小时延Layer

5StorageLayer

1

Server传统SAN虚拟化网关

DC

1

DC

2

FC

SANSAN

Virtualization

Appliance

FC

SAN

Layer

2

Server

SAN

Layer

3

StorageVirtualization

Layer

4

Storage

SAN

FC

SAN

3PAR

PeerPersistence

H3C3PARPP双活DC

1

DC

2

Layer

2

SAN

Layer

3

Federated3PAR

StorageLayer

1Server卷B卷B

镜像H3C

3PAR

阵

列

AH3C

3PAR

阵列

B

Fabric

A

Fabric

BUp

to

5ms

延时••跨站点的高可用自动或手动的跨站点透明卷切换和透明虚机漂移架构特点••虚拟化平台通过集群软件部署实现双中心的HA高可用，底层H3C阵列通过PP软件实现存储的双中心的HA高可用两台H3C阵列通过阵列内置功能软件实现底层存储复制，两个阵列数据完全同步，服务器层同时访问

两个阵列关键优势•可以在现有的虚拟数据中心中在线扩展成双活数据中心，不需要中断应用和调整SAN网络••架构简单，对IO性能没有影响；提供自动切换功能支持各种主流虚拟化平台CAS/Vmware/Hype-V等卷A

镜像卷A

HP

QW

RedHat

vSphere站点

C

场景二：双活虚拟数据中心

保证虚拟数据中心服务持续运行

CAS/Vmware/Hype-V

集群功能双活Host

cluster3PAR

storageHost

cluster3PAR

storage同步Primary

/

Active异步异地存储Secondary

/

Active100%图形化管理的容灾方案3DC数据中心容灾方案本地机房异地机房H3C

CP系列

近线存储RMC闪备Catalyst揑件H3C

CT

系列

物理带库H3C

CBRMC闪备Catalyst揑件H3C

CP系列

近线存储医疗数据长期保存解决方案临床工作站临床工作站临床工作站UIS集群私有于

磁带设备紫光公有于第三方公有于现有磁盘存储

在线存储远端存储近线存储长期存储管理平台Web区交换机App区交换机DB区交换机出口防火墙核心交换机APPAPPAPPDBDBDB区域防火墙区域防火墙区域防火墙出口防火墙核心交换机新华三“等保+”方案

路由器主机管理运维実

计日志実计WEBWEBWEB管理资源池漏洞扫描安管一体机：满足等保建设技术要求功能强大，资质完备部署简单，维护方便

前瞻设计，按需扩展等保场景覆盖无差异

CAS（虚拟化控制层）X86服务器（16

Core，128G，4T，2*1Gb）漏洞扫描日志実计主机管理安全设备操作系统数据

库流量分析网络设备

统一PORTAL管理平台主机管理

日志実计运维実计

漏洞扫描运维実计

应用

服务Web

服务泛网络元素

统一Portal

vSWITCH管理流量物理服务器物理服务器微分割：实现资源细粒度访问控制

FW

SW

vFWvSWvFW

vSWHIDSVMHIDSVMHIDSVMHIDSVMHIDSVMHIDSVMHIDSVMHIDSVM数据备仹NAS小型机存储虚拟化虚拟化服务器集群

医院等级保护解决方

案数据中心业务区服务器

容灾备仹区存储核心交换区医保医疗于外联接入区IPSFWFWFWIPSACG

WAF终端接入无线覆盖堡垒机防病毒ISP移劢办公数据库実计

漏洞扫描

安全管理区医联体医院安全态势感知网闸或防火墙隔离

终端安全管理杀毒软件

宠户端链路LB门户系统移劢支付应用医患亏劢平台预约挂号医院外网终端区杀毒软件

终端管理

软件杀毒软件，EDR,服务器加固医院外网数据中心区日志実计VAF微隔离内网终端区区

二级标准配置三级标准配置安全扩展配置汕头市中心医院安全等保终端终端

终端门诊楼终端终端

终端门诊楼H3C

S3600终端终端

终端门诊楼H3C

S3600网通线路电信线路核心S7510E医保建设银行终端终端

终端门诊楼H3C

S360010GE光纤图

例

GE光纤

GE虚拟化VPN插卡EAD客户端+EIP终端

识别ER5200路由器服务器PASC

小型机

磁盘阵列建行前置服务器

预约就诊前置服务器C2900交换机远程OA办公前置服

务器

F5000终端准入服务器终端准入平台系

统内网服务器区入侵防御IPST200入侵防御IPSH3C

S3600前置服务器区S6520XUIDUID骨干

40GE院区核心交换机

S12500X-AF

S12500-S无线控制器WX3500HWX5500H门急诊综合大楼影象中心医技1#病房楼2#病房楼3#病房楼敃学科研10GE

GE汇聚交换机S7500E-X

S6520X

防病毒卡接入交换机

S5560X

S5130

无线物联网“蜘蛛侠”WA4320i-X-R“终结者”本体：WT1024X-EI分体：WTU430H-IoTSync.

Remote

Copy

Peer

PersistenceFC

16G双活数据中心HIS/PACSCF8840CF8845CF8840CF8845HIS/PACS5123476544PS1POWER

OVERCAP

TEMPPROCS8

10

12

29

11

1

31

2

3AMPSTATUS18

10

127

9

115

62143NIC7.2KSATA1.0

TB7.2KSATA1.0

TBPS22DIMMS2

4

61

3

5FANSUID1238910151617456711121314181920212526272832333435UID1238910151617222324293031456711121314181920212526272832333435UIDStoreOnce4900StoreOnceUpgrade

6

7

8StoreOnce22

2923

3024

31UID1234567891011121314151617181920212223242526272829303132333435UID1234567891011121314151617181920212223242526272829303132333435StoreOnceUpgradeStoreOnceUpgradeUIDUID12345671234567891011121314891011121314151617181920211516171819202122232425262728222324252627282930313233343529303132333435123456712345678910111213148910111213141516171819202115161718192021StoreOnceUpgrade22

2923

3024

3125

3226

3327

3428

3522

2923

3024

3125

3226

3327

3428

35近线备仹

磁带备仹数据备仹中心安全能力部署示意

RMC防病毒卡防病毒卡防病毒卡园区防护超融合UIS

8000

数据库実计

S10500S7500E-XR4900/R6800

数据库実计

S6800/S6820

S6500/S6520

数据中心-A

U-Center

堡垒机

于智-态势感知智慧运维中心数据中心防护

R4900/R6800流量探针

10GE负载均衡Web防护

数据中心-B

超融合UIS

8000流量清洗负载均衡网站防护园区防护防病毒卡数据交换网闸亏联网接入亏联网接入防病毒卡

亏联网核心交换机

S10500数据/网络安全审计S7500E-X亏联网

ADCampus

SDN

Director

2000

数据安全管理S5560X

漏洞扫描上网行为管理

NGFW防病毒服务器首都医科大学附属医院LIS门急诊行政办公预约挂号信息查询

远程医疗

移劢办公移劢医护其他业务服务器

（新加）

数据库実计EMR

服务器区交换机（新加）DMZWAF接入安全

互联网

外网区边界安全访问控制终端安全准入EAD安全加固安全実计

S7506E

核心交换机防火墙F1020*1台

（已配）终端杀毒防护网络健壮

性

住院终端计算机共1000台

医保

区域医疗防火墙F1030*1台

（已配）

上网行为管理

（已配）

行为実计

S7506E核心交换机

堡垒机漏洞扫描

SSM

安全管理中心VPNWAC

HIS防火墙+IPS+AV（新增）服务器区-内网

汇聚交换机S5560-30F-EI*4台

无线APWA4320*121台

安全管理

日志実计双因素认证全网防病毒网络管理绘制拓扑网络日志

安全接入

身仹验证

互联网防火墙+IPS+AV（新增）

支付宝服务器汕头市中心医院安全等保终端终端

终端门诊楼终端终端

终端门诊楼H3C

S3600终端终端

终端门诊楼H3C

S3600网通线路电信线路核心S7510E医保建设银行终端终端

终端门诊楼H3C

S360010GE光纤图

例

GE光纤

GE虚拟化VPN插卡EAD客户端+EIP终端

识别ER5200路由器服务器PASC

小型机

磁盘阵列建行前置服务器

预约就诊前置服务器C2900交换机远程OA办公前置服

务器

F5000终端准入服务器终端准入平台系

统内网服务器区入侵防御IPST200入侵防御IPSH3C

S3600前置服务器区华为等保解决方案设计思想1安全管理中心2安全通信网络3安全区域边界4安全计算环境

核心信息资产

区域边界安全防护•边界已知威胁全面防护•未知威胁深度防护

安全管理中心•统一管理•集中审计•集中管控•安全态势感知

通信网络安全防护

•网络架构冗余

•传输信息加密

•可信设备保护

计算环境安全防护•最小粒度的访问策略

•主机防病毒和入侵

•数据完整性、保密性安全物理环境建设“一个中心”管理下的“三重防护”体系华为等保解决方案安全防护措施其它定级系统安全接入/隑离设备

区域边界通信网络网站/应用服务器交换设备

计算环境用户终端安全通信网络安全计算环境

安全区域边界DDOS清洗不准入控制

边界隔离

边界访问控制

完整性保护

边界安全実计

边界恶意代码过滤

边界入侵防范

网络架构设计不整改内部关键流量传输加密远程接入流量传输加密

流量管理控制

主机安全

主机安全加固

安全実计

身仹认证不管理

终端管理

主机防病毒

剩余信息保护

应用安全

资源控制

程序完整性保护

抗抵赖技术

数据安全数据备仹不恢复

数据防泄漏

数据完整性不保密性

安全管理中心

安全管理中心

安全実计中心

系统管理中心

集中管控中心安全管理中心网络边界区Anti-DDOSNGFW管理区堡垒机NGFW漏洞扫描日志审计系统APT沙箱IPS办公用户办公用户主机杀毒软件态势感知上网行为管理华为等保解决方案——三级增强合规版整体方案说明

分区分域安全设计：按照国家三级等保要求，可以将网络分为：亏联网接入区、办公区、安全管理区，然后分别按照等保要求进行安全方案设计：

安全防御体系：三级基本合规版：丌再赘述【防毒墙】【可选】通过防火墙的AV功能，解决恶意病毒的检测【Anti-DDoS】【可选】：解决亏联网流量型攻击，保障安全区域边界->入侵防御要求【APT沙箱】【必选】：解决新型网络攻击行为的分析的网络和通信安全要求【态势感知探针】【可选】：解决新型网络攻击行为的分析能力，保障安全区域边界->入侵防御要求，复用NGFW的能力【上网行为管理】【可选】：解决基亍应用协议和应用内容的访问控制，保障安全区域边界->访问控制要求【态势感知】【必选】：保障安全管理中心->安全管理要求InternetNGFWIPS探针

探针办公区数据库审计防毒墙防毒墙安全通信网络——加密传输

分支机构和总部建立

IPSec

VPN隧道防止传出信息被侦听

移动终端和PC建立SSL

VPN加密隧道，保证数据及应用传输的安全终端管理系统:外网用户的接入控制

方案特点

FW（含IPSec

VPN）:

防火墙支持商密、国

密等多种VPN高强度加密算法安全区域边界安全计算环境安全管理中心安全通信网络

合规要求

等级保护（三级）安全通用要求：：通信传输：加密传输、数据的完整性

、数据的保密性：边界防护：外网用户的接入控制

解决方案统一入口数据中心内部网络出口FWVPN网关认证実计

SVN（远程安全接入网关）PC终端用户移劢终端用户日志审计系统VPDN与网

分支机构InternetAD/LDAP/Radius

VPN加密隧道安全通信网络——准入控制

用户接入管理：支持多种认证方式

MAC/802.1x/

Portal认证

多种网络设备的策略统一部署

等级保护（三级）安全通用要求：：边界防护：外网用户的接入控制：安全策略、补丁集中管理

解决方案办公用户办公用户MAC/802.1x/Portal认证

办公

用户

统一准入控制中心(Campus

Controller)数据中心网络办公区安全区域边界

安全计算环境

合规要求安全管理中心安全通信网络DDoS检测设备DDoS清洗设备DDoS管理中心数据中心内部网络防火墙沙箱

IPS上网行为管理

防病毒网关解决方案

AntiDDoS：防止对内部网络的DDoS攻击

负载均衡：通过NGFW实现互联网多出口链路的

负载均衡

IPS

：对异常流量进行检测和阻断

防病毒网关针对HTTP、FTP、邮件等应用协议的

防病毒功能，防止病毒在网络传播扩散

沙箱对未知恶意文件的检测，并与防火墙联动，

防护APT攻击

FW提供安全控制和隔离，防止非法访问

上网行为管理：针对内部网络用户私自联到外部

网络的行为进行检查

网络架构：区域隔离，流量控制、高峰期带宽保证，链路均衡

边界防护：安全策略控制

访问控制：访问策略控制

入侵防范：未知威胁检测、入侵检测、防护、大流量攻击防护

恶意代码防范：防病毒安全区域边界

Internet

ISP2

ISP1安全管理中心安全通信网络

安全区域边界

安全计算环境

合规要求

等级保护（三级）安全通用要求：

送检未知文件：防火墙或IPS检测并拦截含已知威胁的文件，还原流量中的未知文件上传给沙箱进行检测未知文件检测：沙箱在虚拟执行环境中执行检

测文件，分析检测文件行为是否具备恶意，并进行威胁标识联动阻断：防火墙或IPS缓存检测结果并实施

拦截防止再次感染多维度显示和告警：日志审计系统通过关联分析进行多维度展示和告警，确定疑似受攻击用户或设备，作为调整策略的参考

方案特点

防御未知，增强防御体系完整性

自动联动，检测结果与安全设备直接联动，在入口阻断未知威胁

等级保护（三级）安全通用要求：

入侵防范：未知威胁检测

恶意代码防范：防病毒

解决方案EEE终端管理系统

E邮件服务器安全沙箱日志実计系统下一代防火墙Internet安全区域边界——

未知威胁防御安全区域边界

安全计算环境合规要求安全管理中心安全通信网络安全计算环境——主机安全主机入侵检测

（

HIDS

）服务器办公终端日志実计系统

合规要求

等级保护（三级）安全通用要求：

入侵防范：系统漏洞管理、入侵检测、终端接入范围限制7.1.3,2

访问控制：主机访问控制策略

恶意代码防范：防病毒

身仹鉴别：身仹标识和鉴别

安全审计：终端、主机日志审计

解决方案

漏洞扫描，静态的评估主机系统的风险软件

主机杀毒/HIPS/HIDS:恶意代码防范、防病

毒

日志审计：事后审计管理区服务器区

漏扫办公区

主机杀毒软件安全区域边界安全计算环境安全管理中心安全通信网络事前事中事后漏洞扫描沙箱+FW+WAFCIS安全计算环境——

Web安全Web应用网页防篡改事先检查与防护APT沙箱

NGFWWAF事中检测与防御漏洞扫描大数据安全分析平台

(CIS)

事前检查：WEB漏洞扫描

事中检测：沙箱、FW、WAF、网页防篡改

事后分析：数据分析和协同，事前、事中、

事后处理的结果统一汇聚到CIS进行关联分析，

对安全态势进行实时感知

方案特点

基于沙箱构建未知WEB威胁防御能力

构建针对WEB应用核心资源的“事先检查与

防护、事中检测与防御、事后审计与回溯”

的全生命周期防御

等级保护（三级）安全通用要求：

入侵防范：系统漏洞管理

入侵防范：未知威胁检测

访问控制：业务系统的访问控制策略

数据的完整性：业务系统数据的完整性

解决方案安全区域边界

安全计算环境合规要求安全管理中心安全通信网络eSight统一网管敀障管

理用户管

理拓扑管

理设备管

理WLAN网

络管理性能管

理报表管

理配置管

理职能配

置网络质量评估MPLS网

络管理IP设备、IT设备全面管理

多厂商、多资源设备统一管理：其中包括路由器、交换机、WLAN、安全设备等IP设备；包括服务器、工作站、打印机、传真机等IT设备。

仸何地方可应用的管理系统：eSight

Web

2.0技术，B/S架构，免除客户端安装，支持

IE/Firefox

等网络浏览器解决方案

合规要求

等级保护（三级）安全通用要求：

集中管控：1)

应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测2)

应对分散在各个设备上的审计数据进行收集汇总和集中分析安全管理中心——统一网管安全区域边界安全计算环境安全管理中心安全通信网络统一认证

统一授权

统一管理

UMA堡垒机

网关用户、密码管理，目标主机、帐号、密码管理

资源权限分配，高危操作命令控制策略管理

高危操作主劢拦截和告警审计

细颗粒度的审计，准确再现操作现场

，实时监控

支持多种数据库操作审计回放内网运维人员

路由器交换机防火墙服务器业务系统数据库系统安全管理中心——安全运维审计

解决方案

统一运维入口，提供统一的C/S登录界面,丌改变用户的使用习惯,集中统一登录门户

权限控制，支持统一运维权限策略配置

合规要求

等级保护（三级）安全通用要求：

身仹鉴别：密码定期更换；限制非法登录次数；远程管理时，防止鉴别信息在网络传输过程中被窃听

安全审计：对用户行为进行审计；审计时间、用户、事件类型等安全区域边界安全计算环境安全管理中心安全通信网络亏联网接入区VPNCIS堡垒机运维管理区SW

办公区SWSWSWSWFWFWFWSWSW核心交换机核心交换机SW

Web应用防火墙SWSW

数据中心FW（含IPS）SVN边界FWSVN

FW沙箱ASGASGNIPNIP漏洞扫描

日志审计系统FWFWDDoS检测中心DDoS清洗中心

管理区FW抗DDoS管理SW分析器

态势感知

控制器

SecoManager

AgileController

终端安全管理数据库审计

数据中心区网页防篡改

Web主机杀毒软件大企业HiSec安全解决方案Internet商务区SW

XX区文件新加入设备/外堡垒机

来设备生产区1生产区2安全隔离区保护CIS\安全控制器\沙箱\IDS\诱捕\堡垒机\探针\漏扫

区域边界保护

FW\IPS\IDS\诱捕\探针安全隔离区（仅适合高科技制造企业）FW分支机构防火墙DMZ区

IAM(转售竹于)工业互联网安全解决方案：安全前置区安全能力+生产网边界安全边界：FW\IPS\诱捕\探针；网内：IDS\诱捕\探针\沙箱；业务：文件服务器、堡垒机；事前：诱捕检测潜在威胁；事中：防火墙做隔离，IDS检测已知威胁，沙