华为下一代USG系列统一安全网关技术建议书
大中型企业员工人数通常都比较多,一般在500人以上的企业。大中型企业通常具有以下业务特征:
? 企业人员众多,业务复杂,流量构成丰富多样。 ? 对外提供网络服务,例如公司网站、邮件服务等。
? 容易成为DDoS攻击的目标,而且一旦攻击成功,业务损失巨大。 ? 对设备可靠性要求较高,需要边界设备支持持续大流量运行,即使设备故障也
不能影响网络运转。
基于以上特征,USG系列防火墙作为大中型企业的出口网关提供如下功能: ? 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区
域间的流量进行检测和保护
? 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对
图1中的文件服务器开启文件过滤和数据过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。
? 针对内网员工访问外部网络的行为,开启URL过滤、文件过滤、数据过滤、
反病毒、应用行为控制等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。
? 在USG系列防火墙与出差员工、分支机构间建立VPN隧道,使用VPN保护
公司业务数据,使其在Internet上安全传输。
? 开启DDoS防御功能,抵抗外网主机对内网服务器进行的大流量攻击,保证企
业业务的正常开展。
? 对内外网之间的流量部署带宽策略,控制流量带宽和连接数,避免网络拥塞,
同时也可辅助进行DDoS攻击的防御
? 部署eSight网管系统(需要单独采购),记录网络运行的日志信息。日志信
息可以帮助管理员进行配置调整、风险识别和流量审计
? 采用双机热备部署,提高系统可靠性。单机故障时可以将业务流量从主机平滑
切换至备机上运行,保证企业业务持续无间断的运行。
2017-3-23
华为机密,未经许可不得扩散 第11页, 共45页
华为下一代USG系列统一安全网关技术建议书
4.1.2 内网管控与安全隔离方案
市场部生产部服务器区MarketingProductionServer研发部1 USG出口网关研发部2ResearchUntrust区域间流量区域内流量图2 内网管控与安全隔离典型部署
如上图所示,对于一个大中型企业网络,通常其内部网络也需要划分安全等级。例如研发网络、生产网络、营销网络之间需要进行隔离,并对不同网络间的流量进行监控,以实现以下目的:
? 不同网络的业务类型和安全风险不同,需要部署不同的安全策略; ? 不同网络间的流量需要受控,避免企业核心信息资产通过网络泄露 ? 将网络进行隔离,避免一个网络感染病毒扩散到整个企业内网
? 大部分流量主要发生在同一网络内,而同一网络内的流量传输往往无需过多干
预。所以通过网络划分,可以降低安全设备的检测负担,提高检测效率,使网络更加通畅。
基于以上特征,USG系列防火墙作为大中型企业的内网边界,提供如下功能: ? 在内网部署一个或多个USG系列防火墙作为内部不同网络的边界网关,隔离
不同网络。
? 建立用户管理体系,对内网主机接入进行用户权限控制。
2017-3-23
华为机密,未经许可不得扩散 第12页, 共45页
华为下一代USG系列统一安全网关技术建议书
? 相同安全等级的网络划分到同一个安全区域,只部署少量的安全功能,例如“研
发部1”和“研发部2”同属于Research安全区域,但是两者间通信的流量仍可进行简单的包过滤、黑白名单、反病毒等功能。
? 不同安全等级的网络划分到不同的安全区域,根据业务需求部署不同的安全
功能,例如仅允许部分研发网络主机访问指定的市场部主机,并在Research与Marketing、Production、Server之间应用反病毒、文件类型过滤、数据过滤等功能。
? 在各个区域之间应用带宽策略,控制带宽与连接数,避免内网网络拥塞。 ? 内网各个区域与外网之间应用入侵防御、反病毒、文件类型过滤、数据过滤、
URL过滤、应用行为控制等功能。
4.1.3 数据中心边界防护方案
网管及日志服务器DMZ黑客Web服务器邮件服务器个人客户文件服务器 USG双机热备Untrust图3 数据中心边界防护部署
企业客户Trust 数据中心(Internet Data Center,IDC),是基于Internet网络提供的一整套设施与相关维护服务体系。它可以实现数据的集中式收集、存储、处理和发送。通常由大型网络服务器提供商建设,为中小型企业或个人客户提供服务器托管、虚拟域名空间等服务。
数据中心的网络结构通常具有以下特征:
2017-3-23
华为机密,未经许可不得扩散
第13页, 共45页
华为下一代USG系列统一安全网关技术建议书
? 主要针对数据中心内的服务器进行保护,使用的安全功能需要根据服务器类型
综合考虑。
? 数据中心可能部署有多家企业的服务器,更容易成为黑客的攻击目标。 ? 数据中心的核心功能是对外提供网络服务,保证外网对数据中心服务器的正常
访问极其重要,这不仅要求边界防护设备拥有强大的处理性能和完善的可靠性机制,还可以在发生网络攻击时仍不影响正常的网络访问。
? 数据中心流量复杂,如果流量可视度不高,则不能进行有针对性的配置调整。 基于以上特征,USG系列防火墙作为数据中心的边界,提供如下功能: ? 开启流量统计功能,基于IP、用户、应用对流量状况进行长期统计分析,以
帮助安全策略的制定。
? 基于IP地址和应用进行限流,使服务器稳定运行,也避免网络出口拥塞,影
响网络服务。
? 开启入侵防御、反病毒功能,使服务器免受入侵以及蠕虫、木马等病毒危害。 ? 开启DDoS及其他攻击防范功能,避免服务器受到外网攻击导致瘫痪。 ? 开启垃圾邮件过滤功能,保护内网邮件服务器不受垃圾邮件侵扰,也避免其无
意中转发垃圾邮件被反垃圾邮件组织列入黑名单,影响正常邮件的发送。 ? 开启文件过滤和数据过滤,避免数据泄露。
? 部署eSight网管系统(需要单独采购),记录网络运行的日志信息。日志信
息可以帮助管理员进行配置调整、风险识别和流量检查。
? 采用双机热备部署,提高系统可靠性。单机故障时可以将业务流量平滑切换至
备机上运行,保证服务器业务持续无间断的运行。
4.1.4 VPN远程接入与移动办公
2017-3-23
华为机密,未经许可不得扩散 第14页, 共45页
华为下一代USG系列统一安全网关技术建议书
SSL VPN企业总部USGIPSecUSG分支机构合作伙伴L2TP over IPSecUSG图4 VPN远程接入与移动办公典型部署方案
现代企业为了在全球范围内开展业务,通常都在公司总部之外设立了分支机构,或者与外地机构进行业务合作。分支机构、合作伙伴、出差员工都需要远程接入企业总部网络开展业务,目前通过VPN技术可以实现安全、低成本的远程接入和移动办公。远程接入和移动办公通常都具有以下特征:
? 分支机构通常都需要无缝接入总部网络,并且持续不间断地开展业务。
? 合作伙伴需要根据业务开展的情况,灵活进行授权,限制合作伙伴可以访问的网络
范围、可以传输的数据类型。
? 出差员工的地理接入位置不固定,使用的IP地址不固定,接入时间不固定,需要
灵活地随时接入。而且出差员工所处位置往往不受企业其他信息安全措施的保护,所以需要对出差员工进行严格的接入认证,并且对出差员工可以访问的资源和权限进行精确内网控制。
? 所有远程接入的通信过程都需要进行加密保护,防止窃听、篡改、伪造、重放等行
为,同时还需要从应用和内容层面防止机密数据的泄露。
基于以上特征,USG系列防火墙作为企业VPN的接入网关,提供如下功能: ? 对于拥有固定VPN网关的分支机构和合作伙伴,使用IPSec或者L2TP over IPSec
建立静态永久隧道。当需要进行接入账号验证时,建议使用L2TP over IPSec。 ? 对于地址不固定的出差员工,可以使用VPN Client 或者SSL VPN技术,对于VPN
Client可以免费下载使用,对于SSL VPN无需安装VPN客户端,只需使用网络浏
2017-3-23
华为机密,未经许可不得扩散 第15页, 共45页
