华为智能高校出口安全解决方案(2)

news2024/12/22 19:44:24

本文承接:
https://qiuhualin.blog.csdn.net/article/details/131475315?spm=1001.2014.3001.5502
重点讲解华为智能高校出口安全解决方案的基础网络安全&业务部署与优化的部署流程

华为智能高校出口安全解决方案(2)

    • 课程地址
    • 基础网络安全部署
      • 基础网络安全部署步骤
      • 网络出口区组网规划
      • IP地址规划
      • 安全区域规划
      • 路由协议部署
        • 协议规划
        • 策略规划
      • 防火墙双机热备部署
        • 初始部署
        • 主备切换
    • 业务部署与优化
      • 业务部署与优化配置步骤
      • 出方向业务部署
      • 上网行为管理
      • 入方向业务部署
      • 远程VPN接入部署
      • 智能选路

课程地址

本方案相关课程资源已在华为O3社区发布,各位同学如有视频观看需求,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)

课程地址:

  1. 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
  2. 点击“培训赋能 > 向导式学习”;
    在这里插入图片描述
  3. 在向导式课程中选择《华为智能高校出口安全解决方案》即可看到课程相关内容。
    在这里插入图片描述
    视频为本人讲解,课程包含方案讲解及方案相关技术文档,学习过程中如有任何问题可随时在视频课程下方或者本文评论区留言讨论~

基础网络安全部署

基础网络安全部署步骤

在这里插入图片描述

  • 网络出口区组网规划:高校的网络出口区通常包含多种类型的网络设备,如路由器、交换机、防火墙、Anti-DDoS设备等,首先需要进行组网规划。
  • IP地址规划:组网拓扑确定后,需要进一步规划IP地址,如设备互联地址、业务/管理地址等。
  • 安全区域规划:在防火墙上规划安全区域,配置安全级别,隔离不同区域之间的数据流量。
  • 路由协议部署:在高校园区网中部署路由协议,实现内网互联互通。
  • 双机热备部署:配置防火墙双机热备功能,提升基础网络的可靠性。

网络出口区组网规划

在这里插入图片描述
网络出口区的整体组网规划如下:

  • 出口路由器/交换机主要负责与外部网络互联,如教育网、电信网、联通网、移动网等;
  • Anti-DDoS设备采用直路方式部署在路由器和防火墙之间,用于抵御各种DDoS攻击;
  • 防火墙部署在Anti-DDoS设备的下游,采用双机热备方式组网,提高网络可靠性;
  • 防火墙配置安全策略、入侵防御、反病毒、APT防御等安全技术,保护内网安全;
  • ASG上网行为管理设备旁路部署在核心交换机上,对师生的上网行为进行精细化管控;
  • 安全管理区的设备用于安全运维和日志审计。

IP地址规划

本方案中智能高校园区网使用192.168.0.0/16和10.175.X.0/24私网地址段,具体规划如下所示。
在这里插入图片描述
说明:上表数据规划仅为参考,实际生产环境可按需调整。

安全区域规划

在这里插入图片描述
防火墙是高校出口区的核心网络设备,其主要作用是隔离不同的网络区域,根据智能高校的业务特点,可以划分如下四个安全区域:

  • Untrust区域:主要连接外部网络,如教育网、电信网、联通网、移动网等。
  • Trust区域:主要连接校内网络,如教学区、宿舍区、办公区、公共区域等内部网络。
  • DMZ区域:主备防火墙之间的心跳线以及与沙箱的互联链路规划到DMZ区域中;实现防火墙双机热备功能以及防火墙与沙箱的联动。
  • Local区域:防火墙自身属于Local区域,主要包括防火墙的本地接口。

路由协议部署

协议规划

在这里插入图片描述

  • 智能高校园区网内部统一部署OSPF协议,确保高校内部网络互联互通。
  • 高校出口区规划为OSPF骨干区域(即Area 0),其他业务区域规划为OSPF非骨干区域(即Area 1、Area 2、Area 3等)。
  • 为了确保路由协议的通信安全,需要启用OSPF协议的邻居身份验证功能,验证方式可使用区域验证或接口验证,认证模式推荐使用安全性较高的HMAC-SHA256。
策略规划

在这里插入图片描述
缺省情况下,防火墙上不同安全区域之间的报文交互被禁止,为确保OSPF协议能够正常运行,可以配置如下的安全策略:

  • 安全策略1:防火墙需要双向允许Local和Untrust区域之间的OSPF报文。
  • 安全策略2:防火墙需要双向允许Local和Trust区域之间的OSPF报文。

除了配置安全策略的方式外,还可以通过命令行配置,使OSPF报文不受安全策略管控,达到相同的目的。配置命令如下所示:

<Firewall> system-view 
[Firewall] undo firewall packet-filter basic-protocol enable
[Firewall] quit

防火墙双机热备部署

初始部署

在这里插入图片描述

  • 为保障网络的高可靠性,防火墙采用主备备份的双机热备方式进行部署。
  • 正常情况下,主用防火墙的设备优先级较高,承载所有业务流量,备用防火墙不承载任何业务。
  • 由于防火墙的上下行链路均运行OSPF协议,所以可以基于路由协议来实现双机热备功能。
  • 主用防火墙正常发布OSPF路由(千兆网络接口的cost值为1),备用防火墙将OSPF开销值调整为65500后,再发布路由。
  • 由于OSPF协议中,路由开销值越小越优先,所以业务流量将会由主用防火墙进行转发。
主备切换

在这里插入图片描述
以主用防火墙上行链路发生故障为例,介绍防火墙主备切换的整体过程。

  • 主用防火墙上行链路发生故障后,导致防火墙上行接口GE0/0/1的物理状态由UP变为Down。
  • 主用防火墙实时监控接口状态,发现接口状态由UP变为Down后,将会降低设备优先级。
  • 备用防火墙通过心跳报文发现主用防火墙的优先级降低,则触发主备切换,备用防火墙切换为新的主用防火墙,同时对应链路OSPF网段开销随之调整,流量被引至新链路转发。

业务部署与优化

业务部署与优化配置步骤

在这里插入图片描述

  • 出方向业务部署:在出口防火墙上配置安全策略放行出方向业务流,并配置源NAT技术确保业务正常访问。
  • 上网行为管理:在核心交换机上旁挂ASG设备并配置行为审计策略,对校内人员上网行为进行监管和审计。
  • 入方向业务部署:在出口防火墙上配置安全策略放行校外访客访问高校门户网站的流量,并配置目的NAT技术确保正常访问。
  • 远程VPN接入部署:在出口防火墙上创建SSL VPN网关并配置网络扩展功能,使校外师生可以远程接入高校内网访问内网资源。
  • 智能选路:在出口防火墙上配置智能选路,动态选择网络出口,确保高校关键业务流的通信质量及带宽资源的合理利用。

出方向业务部署

在这里插入图片描述
出方向业务主要包括高校师生主动访问教育网和Internet的数据流量,其部署步骤如下:

  • 在防火墙上配置安全策略,允许从Trust区域至Untrust区域的业务流量。
  • 在防火墙上配置源NAT策略,对流量源IP地址和端口进行转换,使得内网用户能够正常访问Internet。

上网行为管理

在这里插入图片描述
高校学生访问教育网和Internet的数据流量若不进行有效管理,可能会带来信息安全及法律风险,如:学生浏览非法网站、发布不良言论、恶意占用公网带宽等。

通过在核心交换机上旁路部署ASG上网行为管理设备,可有效实时监控学生的上网行为,为后续行为控制策略优化提供数据支撑,其部署步骤如下:

  • 在核心交换机上配置流量镜像,将学生上网的流量镜像至ASG设备;
  • 在ASG设备上配置审计策略,对学生的上网行为进行实时监控分析,记录日志,为后期优化安全策略提供数据支撑。

入方向业务部署

在这里插入图片描述
入方向业务主要包括外部用户访问高校门户网站的数据流量,其部署步骤如下:

  • 在防火墙上配置安全策略,允许从Untrust区域至Trust区域的访问流量;
  • 在防火墙上配置目的NAT策略,对外部用户访问流量的目的IP地址和端口进行转换,使得外部用户可以访问高校内网的各类服务器,同时隐藏服务器真实地址。

因在防火墙上对外开放了各种服务及端口,服务器存在被攻击的风险,故后续需要进一步部署攻击防御策略,保障服务器的安全。

远程VPN接入部署

在这里插入图片描述
远程VPN接入流主要包括校外师生基于SSL VPN远程接入高校内网的流量,其部署步骤如下:

  • 在防火墙上配置安全策略,放行用户与VPN网关建立SSL VPN隧道的协议流;放行用户访问高校内网资源的业务流;
  • 在防火墙上配置“安全组”和“用户”用于远程接入用户的身份校验;配置“地址池”用于远程用户接入内网时分配内网地址;
  • 在防火墙上创建SSL VPN虚拟网关,并设置相关参数;
  • 在防火墙上配置SSL VPN网络扩展功能,并设置可以访问的内网资源;
  • 在防火墙上配置SSL VPN的角色,并将角色和安全组及允许访问的内网资源关联。

智能选路

在这里插入图片描述
为确保高校关键业务流的通信质量及出口链路带宽的合理利用,需使用防火墙智能选路技术合理选择网络出口线路,本方案采用策略路由智能选路方式,具体部署步骤如下:

  • 开启健康检查功能,并为不同出口链路分别新建一个健康检查实例;
  • 配置策略路由,将访问教育网的流量绕过Anti-DDoS设备直送出口,确保访问质量,将访问互联网的流量引导至Anti-DDoS设备所在链路,避免占用教育网出口链路带宽资源。

攻击防御&安全运维部署细节会在后续同系列博客中持续更新~

待续……

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1039049.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

前端web常用的基础案例

html案例&#xff1a; <!DOCTYPE html> <html> <head><title>My Website</title> </head> <body><header><h1>Welcome to My Website</h1><nav><ul><li><a href"#">Home</a…

华为云API对话机器人CBS的魅力—要是有AI,我要做“李白”- 5分钟开发作诗机器人

云服务、API、SDK&#xff0c;调试&#xff0c;查看&#xff0c;我都行 阅读短文您可以学习到&#xff1a;人工智能AI自言语言的情感分析、文本分词、文本翻译 1 IntelliJ IDEA 之API插件介绍 API插件支持 VS Code IDE、IntelliJ IDEA等平台、以及华为云自研 CodeArts IDE&a…

【数据结构】排序合集(万字详解)

文章目录 前言插入排序希尔排序选择排序堆排序快速排序hoare原生版本挖坑法前后指针法三数取中优化随机数取key优化三路划分版非递归 归并排序递归非递归调整边界单次归并单次拷贝 总结 前言 排序&#xff0c;以字面意思来说就是通过特定的算法将一组或多组无序或者接近有序的…

Vue 组件开发总结

Vue 组件开发思路 1. 组件划分 首先&#xff0c;你需要明确定义组件的划分。将大型界面划分为小型、可重用的组件是一个关键步骤。这有助于提高代码的可维护性和可复用性。 2. 组件设计 在设计组件时&#xff0c;考虑组件的输入&#xff08;props&#xff09;和输出&#xf…

Redis_注册为服务

Redis注册服务 1、windowsR ---->services.msc 先查看服务中是否存在redis服务 不存在的话就找到redis解压目录 输入redis-server --service-install&#xff0c;展示如下即为成功 查看服务 此时已经注册成功服务。 卸载服务 使用redis-server --service-uninst…

攻防演练篇 | 企业安全运营之攻防演练——以攻促防

随着互联网技术的发展和企业信息化程度的提高&#xff0c;企业面临的网络安全威胁越来越多。**为了保护企业的信息安全&#xff0c;攻防演练已经成为企业安全运营中不可或缺的一部分。**攻击者通常会利用各种方法来破坏企业的安全系统和数据&#xff0c;因此企业需要像攻击者一…

蓝桥杯 题库 简单 每日十题 day9

01 特殊年份 问题描述 今年是2021年&#xff0c;2021这个数字非常特殊&#xff0c;它的千位和十位相等&#xff0c;个位比百位大1&#xff0c;我们称满足这样条件的年份为特殊年份。输入5个年份&#xff0c;请计算这里面有多少个特殊年份。 输入格式 输入5行&#xff0c;每行一…

高效管理体验?试试docker registry连接

Linux 本地 Docker Registry本地镜像仓库远程连接 文章目录 Linux 本地 Docker Registry本地镜像仓库远程连接1. 部署Docker Registry2. 本地测试推送镜像3. Linux 安装cpolar4. 配置Docker Registry公网访问地址5. 公网远程推送Docker Registry6. 固定Docker Registry公网地址…

C++之list成员函数应用总结(二百三十七)

简介&#xff1a; CSDN博客专家&#xff0c;专注Android/Linux系统&#xff0c;分享多mic语音方案、音视频、编解码等技术&#xff0c;与大家一起成长&#xff01; 优质专栏&#xff1a;Audio工程师进阶系列【原创干货持续更新中……】&#x1f680; 人生格言&#xff1a; 人生…

【pdf密码】打开PDF文件之后发现不能编辑,什么原因?

打开PDF文件的时候&#xff0c;没有提示带有密码&#xff0c;但是打开文件之后发现没有办法编辑PDF文件&#xff0c;这个是因为PDF文件设置了限制编辑&#xff0c;我们需要将限制取消才能够编辑文件。 那么&#xff0c;我们应该如何取消密码&#xff0c;编辑文件呢&#xff1f…

redhat 6.1 测试环境安装 yum

redhat 6.1 测试环境安装 yum 记录 1. 新建虚拟机 1.1 自定义建立虚拟机 自定义创建新的虚拟机 选择硬件兼容性 创建空白硬盘&#xff0c;稍后选择 iso 文件创建系统。 选择操作系统类型 为虚拟机命名 选择处理器配置 选择虚拟机内存 选择虚拟机网络类型 选择…

零基础学JavaScript(二)ECMAScript 基础

一、变量 1. 我们JavaScript代码写在 script标签里面 2. 我们定义一个变量名字为name&#xff0c;它的值是“张三” 3. 打开开发者工具的控制台&#xff0c;查看打印结果 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"…

asp.net企业生产管理系统VS开发sqlserver数据库web结构c#编程Microsoft Visual Studio

一、源码特点 asp.net 企业生产管理系统 是一套完善的web设计管理系统&#xff0c;系统具有完整的源代码和数据库&#xff0c;系统主要采用B/S模式开发。开发环境为vs2010&#xff0c;数据库为sqlserver2008&#xff0c;使用c#语 言开发 二、功能介绍 (1)用户管理&…

java使用正则提取数据

一、正则提取文本指定数据 需要对一个json结构做数据的提取,提取label和value的值&#xff0c;组成新的结构&#xff0c;西瓜:0、苹果:1、草莓:2 原始json字符串如下格式 [{"label": "西瓜","value": 0},{"label": "苹果"…

http协议与tomcat

目录 引言 抓包 fiddler的基本使用及设置 HTTP请求 请求首行请求头空行正文 请求的首行方法URL版本号 ​编辑 响应首行响应头空行正文 响应的首行版本号状态码 URL(网址) url基本格式 urlencode 常见方法 get和post区别 认识请求"报头"(header) Host Content-Len…

Kubernetes的容器批量调度引擎 Volcano

一个用于高性能工作负载场景下基于Kubernetes的容器批量调度引擎 Volcano是在Kubernetes上运行高性能工作负载的容器批量计算引擎。 它提供了Kubernetes目前缺少的一套机制&#xff0c;这些机制通常是许多高性能 工作负载所必需的&#xff0c;包括&#xff1a; - 机器学习/深度…

某金融机构在数据安全及等保合规背景下的网络安全规划项目案例

前言 **近年来网络入侵、信息泄露以及网络病毒等事件频发&#xff0c;国家层面陆续出台多部数据安全相关法律法规&#xff0c;金融行业作为国家强监管的重点行业&#xff0c;参照上层法律法规起草发布了各类相关行业标准和规范。另外&#xff0c;结合笔者所在公司基础架构和信…

国产芯片ZT1826亮相IOTE展 以物联网技术助力行业数字化转型

9月20日&#xff0c;备受物联网行业瞩目的IOTE 2023第20届国际物联网展&#xff0c;在深圳宝安国际会展中心盛大开幕&#xff01;本届展会为期三天&#xff0c;从9月20日到22日&#xff0c;以“IoT构建数字经济底座”为主题&#xff0c;汇聚了全球超600家参展企业&#xff0c;参…

计算机毕业设计 智慧养老中心管理系统的设计与实现 Java实战项目 附源码+文档+视频讲解

博主介绍&#xff1a;✌从事软件开发10年之余&#xff0c;专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ &#x1f345;文末获取源码联系&#x1f345; &#x1f447;&#x1f3fb; 精…

简单线性回归(Simple Linear Regression)

简单线性回归(Simple Linear Regression) 简单线性回归(Simple Linear Regression)简介理解数据数据处理读取数据数据预览数据探索数据统计信息数据类型查看数据的直方图通过散点图查看数据的相关关系相关系数建立模型创建训练数据和测试数据建立简单线性回归模型查看回归方…