解决方案
华为电子政务外网互联网出口解决方案
电子政务十二五规划中,更加注重了政务应用的实际效果,关注信息化系统的建设对解决社会问题的推动作用上来。政府信息化的趋势更加多元化、综合化,电子政务外网承载的业务也越来越丰富,社会公众对政府网上办事的依赖程度也越来越大,这些业务和流量都需要经过互联网出口承担,这对政务外网互联网出口的带宽和安全防护提出了新的挑战。
需求与挑战
作为整个电子政务外网访问互联网的出口,同时承担着两方面的作用:一是电子政务外网的所有用户访问互联网的出口;二是为公众提供访问政府信息的入口,同时也是可信用户通过互联网访问政务外网的唯一通道。
为了统一管理互联网出口的带宽流量和安全,政府也逐步减少中央、省、市的互联网出口数量。同时,业务集中办理和信息共享与协同,也促使数据中心的数量逐渐变少,这也是各个国家普遍的发展思路。但是,这就造成政府业务流量更加集中化,安全环境更加复杂,需要一套完整的解决方案来支撑国家的发展战略。
电子政务外网是办公网和数据中心相结合的网络,该网络既要满足外网日常办公需要,同时其数据中心承载的外网数据还要对外提供访问,互联网出口是整个政府与外界信息交互的主要途径,所以对于出口交互的各种重要数据和应用服务的安全性,必须要进行全面的保障。
因此,政务外网互联网出口,面临两大挑战:网络带宽优化和网络安全防护。
网络带宽优化
(1) 多级NAT性能瓶颈
由于政务外网的层级和行政管理的级别对应,地方IP地址段与纵向VPN地址冲突,会出现多级NAT问题。一方面,政务园区网使用私有地址,访问Internet需要进行NAT;另一方面,即使园区网络通过电信或者网通的线路访问外部资源,仍然需要进行NAT。多级NAT成了上网速度慢的一个重要原因,设备高NAT转发性能才能解决。
(2) 多链路负载均衡
等级保护要求互联网出口充分考虑到架构和设备的冗余,在与互联网的线路连接的设备承载大容量的业务,需要在一台设备上同时实现多线路的负载均衡,动态调整不同链路的带宽占用比例,优化网络性能。
(3) 互联网缓存
用户浏览网页等行为属于用户体验非常敏感的应用,除了需要带宽保障外,还需要保障端到端的延时,希望能够把主流的互联网出口流量缓存到网内,从而大幅度降低互联网出口的带宽扩容压力,减少互联网出口带宽租赁费用,并有效的提升政务外网用户的上网体验。
网络安全防护
(1) 网络中数据中心和办公区网络通过核心交换进行互联,因特网用户安全隐患可能会影响到电子政务外网数据中心网络的安全性;
(2) 外来人员进入电子政务外网网络由于自身安全级别不够带来安全隐患;
(3) 内网用户登录行为无认证,无相关控制手段,任何人使用笔记本均可以实现对电子政务外网网络的访问;
(4) 对于来自互联网的安全攻击,需要进行流量清洗和安全监测;
(5) 政府网站是政务对外的主要窗口,办事大厅是和社会公众交互主要手段,业务系统的安全防护是至关重要的;
(6) 全网安全事件无法监控,日志信息统一分析困难,只能做到事后审计,无法做到实时分析。
根据以上问题,华为推出的政务外网互联网出口解决方案,解决了政府的网络性能优化和网络安全立体防护问题,为中国电子政务的发展提供强有力的ICT支撑。
电子政务外网互联网出口解决方案
总体方案
图1 互联网出口解决方案架构图
解决方案是一个灵活的、可自由组合的方案,可根据实际防护能力的需求,进行不同的组合,主要包括:防DDos攻击、出口流量可视化分析、缓存加速、入侵监测/入侵防护、WEB应用防护、统一安全监控、上网行为管理、统一审计等。
防DDos攻击方案
图2 防DDos攻击方案
华为方案特点:
1、高性能硬件平台
2、旁路检测
3、自愈合网络
4、自动化响应
5、全流量DPI检测
6、灵活多样的部署
2、多维度的流量优化和带宽管理手段,可以有效控制机构宝贵带宽资源的滥用,解决网络拥塞问题,保障关键业务的服务质量,减缓扩容压力,提升员工上网体验;
3、URL过滤 + 网络应用控制 + 时间 + 用户控制功能,可以有效管理员工的上网行为,使其聚焦于工作;
4、动态恶意网址过滤功能,可以有效保障员工的日常上网安全;
5、信息推送功能,为日常信息发布提供新的便捷手段。
1、缓存平台采用将链路进行分光和流量镜像的旁路部署模式,不对现网的业务连续性造成影响。
2、旁路部署时,将网内上行报文复制一份给后端的iCache重定向子系统(RSS),RSS将网内用户的请求重定向到缓存平台,使用户从缓存平台获取资源。
3、本缓存系统采用统一的管理系统集中化管理所有的缓存子系统。
4、本缓存系统支持业务网络与管理网络分离,使用单独的网络进行带外管理。
1、多种业务集成:Firewall、内容过滤、流量控制、上网行为管理等
2、简单有效的统一管理
3、更低的TCO
4、更好的支持和响应
1、精准检测:业内最高的注入攻击检出率>99%
2、全面防护:攻击全防御+“零”中断篡改恢复机制+未知攻击检测能力
3、绝佳用户体验:页面缓存加速+策略自学习机制+全透明部署
4、SQL攻击高检出率、支持网页防篡改、应用层DDoS防护、支持黑白名单、攻击者自动锁定
5、提供应用层保护,具有全面支持HTTPS、WEB应用实时深度防御、应用加速及敏感信息泄露防护等功能,使网站更安全、使访问更快速、使运维更轻松。
6、通过大量的漏洞挖掘与实践工作,吸纳了国内外主流的安全漏洞库特库、主流CMS漏洞特征库、主流扫描器特征库,从而使防御能力全面提升。
7、经权威WEB漏扫测试漏报率0%,CMS兼容性测试,误报率<3%。
8、支持全透明部署模式,满足等级保护等各类法律法规要求。
1、协议流量日志分析
2、上网行为追踪和取证
3、海量日志存储管理
4、威胁防护、应用控制管理
1、报表任务管理
2、多粒度时间周期报表
3、自定义报表
4、综合报表
1、设备自动发现
2、拓扑图自动发现
3、人性化故障告警
4、性能指标采集
1、防御策略管理
2、业务集中配置管理,
3、报表呈现
1、丰富的股票和游戏类应用识别库和不良网站分类库
2、全面互联网行为和外发内容审计,有效降低互联网风险、满足法律法规要求
1、统一安全审计解决方案从体系架构上可以分为5个层面:
2、终端审计:基于办公终端,业务终端(包含移动智能终端)的各种操作,外设使用,网络接入,以及文档操作行为进行监控审计,对于违规行为、操作进行记录,告警;
3、网络审计:针对internet网络访问行为审计,实现针对网络访问操作,内容,协议的分析审计;
4、内容与应用审计:对核心业务系统,主机服务器,以及办公系统,重要的数据库系统的访问操作的审计,基于关键内容,应用协议的分析审计;
5、运维审计:基于对网络设备,安全设备,主机,应用系统管理运维操作审计;
6、审计监控平台:日志收集,管理,查询;关联分析,预警,溯源,审计报告;整体安全策略管控,联动;
1、满足等级保护要求中对互联网接入区的要求
2、可视化全景监控视图,在全网范围内收集所有安全事件,实现统一安全防护,消除“零小时”威胁
3、依托华为全球安全能力,整网联动防御,一点检测,全局共享
4、端到端事件关联分析处理能力EPS>5000;预置130多个场景规则模板,并可动态扩展,更准确的检测出未知安全威胁;
5、防火墙首家双主控墙、毫秒级主备倒换、99.9999%可靠性,100+DDoS攻击防御、秒级响应
6、支持7层DDoS流量学习,支持直路防御和旁路检测, 支持1200+种应用识别
1、流量可视化分析和监测,有助于运维人员方便的控制带宽优化,保障优先级别较高的政府业务优先通过。
2、立体安全防护,免除来自互联网的各种攻击。
3、统一审计对各种网络行为、运维操作进行记录,有安全威胁时可以追溯。
4、WEB应用安全,保障了政府门户网站和业务系统的安全运行。
5、以委办局为单位进行安全监测,及时定位安全问题。
SIG流量可视化分析方案
图3 流量可视化分析方案架构
对网络中承载的应用进行识别,并可以呈现不同的应用占用的带宽是多少,而且可以给不同应用设置优先级和带宽比例,从而进行智能流量管理,保障政府优先级较高的业务应用先行通过。
方案特点:
1、多维度的流量流向分析,帮助政府全面掌握网内用户-流量-流向-业务的分布组成,为网络优化提供数据支持;
iCache互联网缓存方案
图4 iCache互联网缓存方案架构
方案特点:
入侵检测/入侵防护方案
图5 UTM+集成防火墙、入侵防护、防病毒等功能
方案特点:
WEB应用安全方案
图6 WEB应用安全方案
方案特点:
统一安全管理方案
图7 统一安全管理方案
业务管理
报表管理
网元管理
运营管理
上网行为管理方案
图8 上网行为管理
方案特点:
统一安全审计方案
图9 统一安全审计方案
方案特点:
方案亮点
客户价值