華為電子政務外網互聯網出口解決方案
需求與挑戰
作為整個電子政務外網訪問互聯網的出口,同時承擔著兩方面的作用:一是電子政務外網的所有用戶訪問互聯網的出口;二是為公眾提供訪問政府信息的入口,同時也是可信用戶通過互聯網訪問政務外網的唯一通道。
為了統一管理互聯網出口的帶寬流量和安全,政府也逐步減少中央、省、市的互聯網出口數量。同時,業務集中辦理和信息共享與協同,也促使數據中心的數量逐漸變少,這也是各個國家普遍的發展思路。但是,這就造成政府業務流量更加集中化,安全環境更加復雜,需要一套完整的解決方案來支撐國家的發展戰略。
電子政務外網是辦公網和數據中心相結合的網絡,該網絡既要滿足外網日常辦公需要,同時其數據中心承載的外網數據還要對外提供訪問,互聯網出口是整個政府與外界信息交互的主要途徑,所以對于出口交互的各種重要數據和應用服務的安全性,必須要進行全面的保障。
因此,政務外網互聯網出口,面臨兩大挑戰:網絡帶寬優化和網絡安全防護。
網絡帶寬優化
(1) 多級NAT性能瓶頸
由于政務外網的層級和行政管理的級別對應,地方IP地址段與縱向VPN地址沖突,會出現多級NAT問題。一方面,政務園區網使用私有地址,訪問Internet需要進行NAT;另一方面,即使園區網絡通過 電信或者 網通的線路訪問外部資源,仍然需要進行NAT。多級NAT成了上網速度慢的一個重要原因,設備高NAT轉發性能才能解決。
(2) 多鏈路負載均衡
等級保護要求互聯網出口充分考慮到架構和設備的冗余,在與互聯網的線路連接的設備承載大容量的業務,需要在一臺設備上同時實現多線路的負載均衡,動態調整不同鏈路的帶寬占用比例,優化網絡性能。
(3) 互聯網緩存
用戶瀏覽網頁等行為屬于用戶體驗非常敏感的應用,除了需要帶寬保障外,還需要保障端到端的延時,希望能夠把主流的互聯網出口流量緩存到網內,從而大幅度降低互聯網出口的帶寬擴容壓力,減少互聯網出口帶寬租賃費用,并有效的提升政務外網用戶的上網體驗。
網絡安全防護
(1) 網絡中數據中心和辦公區網絡通過核心交換進行互聯,因特網用戶安全隱患可能會影響到電子政務外網數據中心網絡的安全性;
(2) 外來人員進入電子政務外網網絡由于自身安全級別不夠帶來安全隱患;
(3) 內網用戶登錄行為無認證,無相關控制手段,任何人使用筆記本均可以實現對電子政務外網網絡的訪問;
(4) 對于來自互聯網的安全攻擊,需要進行流量清洗和安全監測;
(5) 政府網站是政務對外的主要窗口,辦事大廳是和社會公眾交互主要手段,業務系統的安全防護是至關重要的;
(6) 全網安全事件無法監控,日志信息統一分析困難,只能做到事后審計,無法做到實時分析。
根據以上問題,華為推出的政務外網互聯網出口解決方案,解決了政府的網絡性能優化和網絡安全立體防護問題,為中國電子政務的發展提供強有力的ICT支撐。
電子政務外網互聯網出口解決方案
總體方案
圖1 互聯網出口解決方案架構圖
解決方案是一個靈活的、可自由組合的方案,可根據實際防護能力的需求,進行不同的組合,主要包括:防DDos攻擊、出口流量可視化分析、緩存加速、入侵監測/入侵防護、WEB應用防護、統一安全監控、上網行為管理、統一審計等。
防DDos攻擊方案
圖2 防DDos攻擊方案
華為方案特點:
- 高性能硬件平臺
- 旁路檢測
- 自愈合網絡
- 自動化響應
- 全流量DPI檢測
- 靈活多樣的部署
SIG流量可視化分析方案
圖3 流量可視化分析方案架構
對網絡中承載的應用進行識別,并可以呈現不同的應用占用的帶寬是多少,而且可以給不同應用設置優先級和帶寬比例,從而進行智能流量管理,保障政府優先級較高的業務應用先行通過。
方案特點:
- 多維度的流量流向分析,幫助政府全面掌握網內用戶-流量-流向-業務的分布組成,為網絡優化提供數據支持;
- 多維度的流量優化和帶寬管理手段,可以有效控制機構寶貴帶寬資源的濫用,解決網絡擁塞問題,保障關鍵業務的服務質量,減緩擴容壓力,提升員工上網體驗;
- URL過濾 + 網絡應用控制 + 時間 + 用戶控制功能,可以有效管理員工的上網行為,使其聚焦于工作;
- 動態惡意網址過濾功能,可以有效保障員工的日常上網安全;
- 信息推送功能,為日常信息發布提供新的便捷手段。
iCache互聯網緩存方案
圖4 iCache互聯網緩存方案架構
方案特點:
- 緩存平臺采用將鏈路進行分光和流量鏡像的旁路部署模式,不對現網的業務連續性造成影響。
- 旁路部署時,將網內上行報文復制一份給后端的iCache重定向子系統(RSS),RSS將網內用戶的請求重定向到緩存平臺,使用戶從緩存平臺獲取資源。
- 本緩存系統采用統一的管理系統集中化管理所有的緩存子系統。
- 本緩存系統支持業務網絡與管理網絡分離,使用單獨的網絡進行帶外管理。
入侵檢測/入侵防護方案
圖5 UTM+集成防火墻、入侵防護、防病毒等功能
方案特點:
- 多種業務集成:Firewall、內容過濾、流量控制、上網行為管理等
- 簡單有效的統一管理
- 更低的TCO
- 更好的支持和響應
WEB應用安全方案
圖6 WEB應用安全方案
方案特點:
- 精準檢測:業內最高的注入攻擊檢出率>99%
- 全面防護:攻擊全防御+“零”中斷篡改恢復機制+未知攻擊檢測能力
- 絕佳用戶體驗:頁面緩存加速+策略自學習機制+全透明部署
- SQL攻擊高檢出率、支持網頁防篡改、應用層DDoS防護、支持黑白名單、攻擊者自動鎖定
- 提供應用層保護,具有全面支持HTTPS、WEB應用實時深度防御、應用加速及敏感信息泄露防護等功能,使網站更安全、使訪問更快速、使運維更輕松。
- 通過大量的漏洞挖掘與實踐工作,吸納了國內外主流的安全漏洞庫特庫、主流CMS漏洞特征庫、主流掃描器特征庫,從而使防御能力全面提升。
- 經權威WEB漏掃測試漏報率0%,CMS兼容性測試,誤報率<3%。
- 支持全透明部署模式,滿足等級保護等各類法律法規要求。
統一安全管理方案
圖7 統一安全管理方案
業務管理
- 協議流量日志分析
- 上網行為追蹤和取證
- 海量日志存儲管理
- 威脅防護、應用控制管理
報表管理
- 報表任務管理
- 多粒度時間周期報表
- 自定義報表
- 綜合報表
網元管理
- 設備自動發現
- 拓撲圖自動發現
- 人性化故障告警
- 性能指標采集
運營管理
- 防御策略管理
- 業務集中配置管理,
- 報表呈現
上網行為管理方案
圖8 上網行為管理
方案特點:
- 豐富的股票和游戲類應用識別庫和不良網站分類庫
- 全面互聯網行為和外發內容審計,有效降低互聯網風險、滿足法律法規要求
統一安全審計方案
圖9 統一安全審計方案
方案特點:
- 統一安全審計解決方案從體系架構上可以分為5個層面:
- 終端審計:基于辦公終端,業務終端(包含移動智能終端)的各種操作,外設使用,網絡接入,以及文檔操作行為進行監控審計,對于違規行為、操作進行記錄,告警;
- 網絡審計:針對internet網絡訪問行為審計,實現針對網絡訪問操作,內容,協議的分析審計;
- 內容與應用審計:對核心業務系統,主機服務器,以及辦公系統,重要的數據庫系統的訪問操作的審計,基于關鍵內容,應用協議的分析審計;
- 運維審計:基于對網絡設備,安全設備,主機,應用系統管理運維操作審計;
- 審計監控平臺:日志收集,管理,查詢;關聯分析,預警,溯源,審計報告;整體安全策略管控,聯動;
方案亮點
- 滿足等級保護要求中對互聯網接入區的要求
- 可視化全景監控視圖,在全網范圍內收集所有安全事件,實現統一安全防護,消除“零小時”威脅
- 依托華為全球安全能力,整網聯動防御,一點檢測,全局共享
- 端到端事件關聯分析處理能力EPS>5000;預置130多個場景規則模板,并可動態擴展,更準確的檢測出未知安全威脅;
- 防火墻首家雙主控墻、毫秒級主備倒換、99.9999%可靠性,100+DDoS攻擊防御、秒級響應
- 支持7層DDoS流量學習,支持直路防御和旁路檢測, 支持1200+種應用識別
客戶價值
- 流量可視化分析和監測,有助于運維人員方便的控制帶寬優化,保障優先級別較高的政府業務優先通過。
- 立體安全防護,免除來自互聯網的各種攻擊。
- 統一審計對各種網絡行為、運維操作進行記錄,有安全威脅時可以追溯。
- WEB應用安全,保障了政府門戶網站和業務系統的安全運行。
- 以委辦局為單位進行安全監測,及時定位安全問題。
- 上一篇:華為電子政務網絡平臺解決方案 2014/10/2
- 下一篇:華為電子政務外網縣級網絡解決方案 2014/10/2