华为典型安全场景解决方案

华为安全部署场景及解决方案华为等保解决方案设计思想1安全管理中心2通信网络防护3安全边界防护4计算环境防护核心信息资产边界安全防护边界已知威胁全面防护未知威胁深度防护计算环境安全防护主机安全应用安全数据安全安全管理中心统一管理集中审计安全态势感知通信网络安全防护传输信息加密可信接入保护物理环境建设“一个中心”管理下的“三重防护”体系园区安全解决方案Internet办公区研发区生产区内部服务器区DMZ区ASGASG财务区NIPUSGUSGUSGWAFUSG方案说明在网络出口部署USG防火墙，对Internet进行第一层隔离防护，FireHunter旁路部署对未知威胁进行检测，与NGFW联动对未知威胁进行拦截在DMZ区域部署专业的NIP设备，防止外部用户和内部对DMZ区服务器的各种攻击，包括跨站攻击、SQL注入等。在核心交换机上旁路部署SVN设备，对远程访问内网数据流进行加密，保证数据传输安全。针对企业内部不同区域的重要程度，需要在重要的区域前端部署USG设备，将给区域进行有效的安全隔离。另外，在WEB服务器前端建议部署WAF应用防火墙拦截针对WEB应用的攻击。分支机构USG上下游合作伙伴…SVNSVN堡垒机USGFireHunterExecutiveR&DDMZMKT互联网出口访客/网吧区…市场研发行政数据中心园区接入运维管理区安全产品典型部署场景互联网出口数据中心园区接入运维管理区防护网络层威胁抗DDoS攻击设备下一代防火墙(含IPS、防病毒)未知威胁检测沙箱防护网络层\应用\主机层威胁Web防火墙IPS设备（或下一代防火墙）防护网络层\主机层威胁网络准入控制主机防病毒管理安全日志审计运维审计大数据安全分析NGFW抗DDoS沙箱NGFWNGFWNGFW运维审计大数据安全分析主机杀软终端安全管理WAFIPS分支接入InternetNGFW分支接入防护网络层\主机层威胁下一代防火墙（VPN、安全审计）DB审计日志审计园区勒索病毒防护方案FilesResultsNGFW本地沙箱类型华为H3C山石启明天融信深信服360本地沙箱有无无有，弱有无有，弱云沙箱有无有无无有无防火墙与沙箱联动有无无无无无无国内唯一，小型化自动闭环APT方案！未知病毒检测：沙箱检测未知新型勒索病毒自动闭环阻断：防火墙同步沙箱检测结果，自动闭环阻断勒索病毒的内网扩散分支互联安全解决方案Internet（IPSECVPN）

总部SVN分支机构分支机构分支机构USGUSGUSG方案说明分支与总部之间、分支机构与分支结构之间通过USG防火墙设备进行安全互联，机构之间的数据传输通过IPSecVPN技术进行加密，保证数据传输的安全性。同时在USG设备上开启AV反病毒和IPS入侵防御功能，对网络攻击进行有效地防御，防止病毒在分支和总部之间的传播、防止垃圾邮件泛滥等安全，还能够有效地防范网络中面临的各种应用层攻击。对于移动办公的需求，可以通过SSLVPN对传输数据进行加密，防止数据被窃取或篡改SSLVPN远程接入

USGVPN网关会自动探测IPSec隧道质量，根据探测结果动态切换到高质量的IPSec隧道支持安全+Wlan+LTE款型小型分支多合一安全网关部署挑战创新网络质量不稳定的地区，如偏远山区VPN链路作为专线备份，链路质量要求高总部和分支都有多个公网出口价值保障IPSec隧道质量，减少网络稳定性对业务流量造成的影响确保分支和总部之间始终使用满足高质量的IPSec隧道通信在IPSec足够稳定安全的情况下，可减少偏远地区对专线租用的依赖。Internet总部分支VPNAVPNBISP1ISP2分支多出口场景方案优势：可对接24+以上公安网监平台用户上下线的日志通过ASG来发送给后台系统，AC只需把用户上下线的信息同步到ASG，无需和后台系统对接分支无线非经方案前端系统后台系统（公安）XX地市业务中心（公共无线管控平台）ASGAgileControllerWLANAC

FTP+BCP方式上传审计数据（用户上网日志、用户网络虚拟身份轨迹）

同步场所信息、设备信息场所信息、设备信息、安全厂商信息

命令配置到ASG

信息同步信息同步FTP+BCP方式上传审计数据（用户终端上下线日志）123456管理中心InternetUSGUSGWAFUSGUSG核心业务区WEB服务器应用服务器数据灾备区USGUSGNIPNIP方案说明在互联网出口，双机部署USG防火墙对数据中心进行隔离防护，同时部署NIP入侵防御设备，阻断外界对数据中心的应用层攻击,旁路部署FireHunter沙箱对未知威胁进行检测。在数据中心的管理区，部署USG或NIP设备，阻断各层面对管理区的威胁，部署UMA堡垒机对运维行为进行监控和审计；在数据中心内部，按照不同区域的重要程度进行分区，对重要的分区，如核心业务区，应用服务器区等，配置USG实现安全的区域隔离，同时在这些区域，开启IPS功能，阻止对这些重要区域的攻击行为，保证这些业务的安全DDoS管理中心非核心业务区…USG堡垒机eLogFireHuntereSight数据中心安全解决方案华为二级等保解决方案日志审计系统办公用户办公用户网络边界区WEB服务器E-mail服务器NGFW管理区堡垒机NGFWAPT沙箱NGFW数据库服务器ISP2ISP1服务器区办公区NGFWIDS红色字体：安全设备公众用户远程办公分支机构、办事处WAFIPS华为三级等保解决方案基础版日志审计系统办公用户办公用户网络边界区DDoS检测中心DDoS清洗中心抗DDoS管理WEB服务器E-mail服务器NGFW管理区网络管理平台堡垒机NGFWAPT沙箱NGFW数据库服务器ISP2ISP1服务器区办公区NGFWWAFIPS红色字体：等保设备公众用户远程办公分支机构、办事处IPSWAFSSLVPNSSLVPNIPS华为三级等保解决方案高级版数据库审计网络边界区DDoS检测中心DDoS清洗中心抗DDoS管理WEB服务器E-mail服务器NGFW管理区网络管理平台堡垒机终端安全管理NGFW漏洞扫描日志审计系统APT沙箱防病毒网关NGFW数据库