上海外贸建站商城,wordpress default,网站备案需要准备哪些资料,2022永久免费的看电视软件本文承接#xff1a; https://qiuhualin.blog.csdn.net/article/details/131475315?spm1001.2014.3001.5502 重点讲解华为智能高校出口安全解决方案的基础网络安全业务部署与优化的部署流程。 华为智能高校出口安全解决方案#xff08;2#xff09; 课程地址基础网络…本文承接 https://qiuhualin.blog.csdn.net/article/details/131475315?spm1001.2014.3001.5502 重点讲解华为智能高校出口安全解决方案的基础网络安全业务部署与优化的部署流程。 华为智能高校出口安全解决方案2 课程地址基础网络安全部署基础网络安全部署步骤网络出口区组网规划IP地址规划安全区域规划路由协议部署协议规划策略规划 防火墙双机热备部署初始部署主备切换 业务部署与优化业务部署与优化配置步骤出方向业务部署上网行为管理入方向业务部署远程VPN接入部署智能选路 课程地址
本方案相关课程资源已在华为O3社区发布各位同学如有视频观看需求可按照以下步骤进行访问需要有华为账号哦普通的个人账号即可~
课程地址
复制链接 https://o3community.huawei.com/ 进入华为O3社区点击“培训赋能 向导式学习” 在向导式课程中选择《华为智能高校出口安全解决方案》即可看到课程相关内容。 视频为本人讲解课程包含方案讲解及方案相关技术文档学习过程中如有任何问题可随时在视频课程下方或者本文评论区留言讨论~
基础网络安全部署
基础网络安全部署步骤 网络出口区组网规划高校的网络出口区通常包含多种类型的网络设备如路由器、交换机、防火墙、Anti-DDoS设备等首先需要进行组网规划。IP地址规划组网拓扑确定后需要进一步规划IP地址如设备互联地址、业务/管理地址等。安全区域规划在防火墙上规划安全区域配置安全级别隔离不同区域之间的数据流量。路由协议部署在高校园区网中部署路由协议实现内网互联互通。双机热备部署配置防火墙双机热备功能提升基础网络的可靠性。
网络出口区组网规划 网络出口区的整体组网规划如下
出口路由器/交换机主要负责与外部网络互联如教育网、电信网、联通网、移动网等Anti-DDoS设备采用直路方式部署在路由器和防火墙之间用于抵御各种DDoS攻击防火墙部署在Anti-DDoS设备的下游采用双机热备方式组网提高网络可靠性防火墙配置安全策略、入侵防御、反病毒、APT防御等安全技术保护内网安全ASG上网行为管理设备旁路部署在核心交换机上对师生的上网行为进行精细化管控安全管理区的设备用于安全运维和日志审计。
IP地址规划
本方案中智能高校园区网使用192.168.0.0/16和10.175.X.0/24私网地址段具体规划如下所示。 说明上表数据规划仅为参考实际生产环境可按需调整。
安全区域规划 防火墙是高校出口区的核心网络设备其主要作用是隔离不同的网络区域根据智能高校的业务特点可以划分如下四个安全区域
Untrust区域主要连接外部网络如教育网、电信网、联通网、移动网等。Trust区域主要连接校内网络如教学区、宿舍区、办公区、公共区域等内部网络。DMZ区域主备防火墙之间的心跳线以及与沙箱的互联链路规划到DMZ区域中实现防火墙双机热备功能以及防火墙与沙箱的联动。Local区域防火墙自身属于Local区域主要包括防火墙的本地接口。
路由协议部署
协议规划 智能高校园区网内部统一部署OSPF协议确保高校内部网络互联互通。高校出口区规划为OSPF骨干区域即Area 0其他业务区域规划为OSPF非骨干区域即Area 1、Area 2、Area 3等。为了确保路由协议的通信安全需要启用OSPF协议的邻居身份验证功能验证方式可使用区域验证或接口验证认证模式推荐使用安全性较高的HMAC-SHA256。
策略规划 缺省情况下防火墙上不同安全区域之间的报文交互被禁止为确保OSPF协议能够正常运行可以配置如下的安全策略
安全策略1防火墙需要双向允许Local和Untrust区域之间的OSPF报文。安全策略2防火墙需要双向允许Local和Trust区域之间的OSPF报文。
除了配置安全策略的方式外还可以通过命令行配置使OSPF报文不受安全策略管控达到相同的目的。配置命令如下所示
Firewall system-view
[Firewall] undo firewall packet-filter basic-protocol enable
[Firewall] quit防火墙双机热备部署
初始部署 为保障网络的高可靠性防火墙采用主备备份的双机热备方式进行部署。正常情况下主用防火墙的设备优先级较高承载所有业务流量备用防火墙不承载任何业务。由于防火墙的上下行链路均运行OSPF协议所以可以基于路由协议来实现双机热备功能。主用防火墙正常发布OSPF路由千兆网络接口的cost值为1备用防火墙将OSPF开销值调整为65500后再发布路由。由于OSPF协议中路由开销值越小越优先所以业务流量将会由主用防火墙进行转发。
主备切换 以主用防火墙上行链路发生故障为例介绍防火墙主备切换的整体过程。
主用防火墙上行链路发生故障后导致防火墙上行接口GE0/0/1的物理状态由UP变为Down。主用防火墙实时监控接口状态发现接口状态由UP变为Down后将会降低设备优先级。备用防火墙通过心跳报文发现主用防火墙的优先级降低则触发主备切换备用防火墙切换为新的主用防火墙同时对应链路OSPF网段开销随之调整流量被引至新链路转发。
业务部署与优化
业务部署与优化配置步骤 出方向业务部署在出口防火墙上配置安全策略放行出方向业务流并配置源NAT技术确保业务正常访问。上网行为管理在核心交换机上旁挂ASG设备并配置行为审计策略对校内人员上网行为进行监管和审计。入方向业务部署在出口防火墙上配置安全策略放行校外访客访问高校门户网站的流量并配置目的NAT技术确保正常访问。远程VPN接入部署在出口防火墙上创建SSL VPN网关并配置网络扩展功能使校外师生可以远程接入高校内网访问内网资源。智能选路在出口防火墙上配置智能选路动态选择网络出口确保高校关键业务流的通信质量及带宽资源的合理利用。
出方向业务部署 出方向业务主要包括高校师生主动访问教育网和Internet的数据流量其部署步骤如下
在防火墙上配置安全策略允许从Trust区域至Untrust区域的业务流量。在防火墙上配置源NAT策略对流量源IP地址和端口进行转换使得内网用户能够正常访问Internet。
上网行为管理 高校学生访问教育网和Internet的数据流量若不进行有效管理可能会带来信息安全及法律风险如学生浏览非法网站、发布不良言论、恶意占用公网带宽等。
通过在核心交换机上旁路部署ASG上网行为管理设备可有效实时监控学生的上网行为为后续行为控制策略优化提供数据支撑其部署步骤如下
在核心交换机上配置流量镜像将学生上网的流量镜像至ASG设备在ASG设备上配置审计策略对学生的上网行为进行实时监控分析记录日志为后期优化安全策略提供数据支撑。
入方向业务部署 入方向业务主要包括外部用户访问高校门户网站的数据流量其部署步骤如下
在防火墙上配置安全策略允许从Untrust区域至Trust区域的访问流量在防火墙上配置目的NAT策略对外部用户访问流量的目的IP地址和端口进行转换使得外部用户可以访问高校内网的各类服务器同时隐藏服务器真实地址。
因在防火墙上对外开放了各种服务及端口服务器存在被攻击的风险故后续需要进一步部署攻击防御策略保障服务器的安全。
远程VPN接入部署 远程VPN接入流主要包括校外师生基于SSL VPN远程接入高校内网的流量其部署步骤如下
在防火墙上配置安全策略放行用户与VPN网关建立SSL VPN隧道的协议流放行用户访问高校内网资源的业务流在防火墙上配置“安全组”和“用户”用于远程接入用户的身份校验配置“地址池”用于远程用户接入内网时分配内网地址在防火墙上创建SSL VPN虚拟网关并设置相关参数在防火墙上配置SSL VPN网络扩展功能并设置可以访问的内网资源在防火墙上配置SSL VPN的角色并将角色和安全组及允许访问的内网资源关联。
智能选路 为确保高校关键业务流的通信质量及出口链路带宽的合理利用需使用防火墙智能选路技术合理选择网络出口线路本方案采用策略路由智能选路方式具体部署步骤如下
开启健康检查功能并为不同出口链路分别新建一个健康检查实例配置策略路由将访问教育网的流量绕过Anti-DDoS设备直送出口确保访问质量将访问互联网的流量引导至Anti-DDoS设备所在链路避免占用教育网出口链路带宽资源。
攻击防御安全运维部署细节会在后续同系列博客中持续更新~
待续……
