华为智能企业上网行为管理安全解决方案(2)

news2024/11/24 5:25:31

本文承接:
https://blog.csdn.net/qq_37633855/article/details/133339254?spm=1001.2014.3001.5501
重点讲解华为智能企业上网行为管理安全解决方案的部署流程

华为智能企业上网行为管理安全解决方案(2)

    • 课程地址
    • 方案部署
      • 整体流程
      • 组网规划
      • 基础网络配置
        • 路由规划
        • 安全区域规划
      • 高可靠性配置
        • 防火墙双机热备
        • ASG双机热备
      • 业务部署
      • 上网行为管理

课程地址

本方案相关课程资源已在华为O3社区发布,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)

课程地址:

  1. 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
  2. 点击“培训赋能 > 向导式学习”;

在这里插入图片描述

  1. 在向导式课程中选择《华为智能企业上网行为管理安全解决方案》即可看到课程相关内容。
    在这里插入图片描述

华为O3社区平台会有课程配套技术文档和模拟试题。课程所有内容均为本人开发,学习过程中如有任何问题可随时在O3平台课程下方或者本文评论区留言讨论~

方案部署

整体流程

华为智能企业上网行为管理安全解决方案整体部署流程如下:

在这里插入图片描述

  • 组网规划:设计方案底层组网与设备网络参数,确保设备合理部署;规划业务主备路径,保证业务韧性;
  • 基础网络配置:完成设备基础网络参数配置与路由配置,确保底层业务网络基础路由可达;完成防火墙安全区域划分;
  • 高可靠性配置:组建防火墙与ASG双机热备系统,提高整体网络可靠性,避免单点故障导致业务中断;
  • 业务部署:配置防火墙侧NAT技术与安全策略,确保客户业务可正常交互;
  • 上网行为管理:在ASG设备上基于客户具体需求配置对应的行为管理、行为审计策略,满足客户行为管理需求。

组网规划

华为智能企业上网行为管理安全解决方案组网规划如下图所示:

在这里插入图片描述

  • 出口交换机为企业出口设备,负责接入运营商访问外网;
  • 防火墙工作在三层,组建基于VRRP的主备模式双机热备系统,负责企业网络安全防护及NAT;
  • ASG设备通过网桥模式部署在防火墙与核心交换机之间,组建主备模式双机热备,负责企业上网行为管理;
  • 正常情况下业务走左侧主设备所在链路,主链路出现故障后,防火墙与ASG双机热备系统同步切换主备状态,将流量切换至右侧备用链路,保障企业关键业务不中断。

华为智能企业上网行为管理安全解决方案中使用到的网络地址段,具体规划如下所示。

在这里插入图片描述

说明:上表参数仅供参考,实际生产环境需根据实际情况合理调整。

基础网络配置

路由规划

以上文规划的网络参数为例,完成所有设备的接口IP地址后,需要在出口交换机和核心交换机上规划路由,基于本方案组网架构,具体的路由规划如下所示:

在这里插入图片描述
在这里插入图片描述

安全区域规划

防火墙是企业进行安全防护的核心设备,通过将业务网络划分为多个不同的安全区域,并根据企业的业务需求合理配置安全策略,即可实现域间业务流量的过滤,满足企业安防需求。本案例安全区域规划如下:

在这里插入图片描述

  • Untrust区域:主要用于连接外部网络,确保企业有上网能力。
  • Trust区域:主要连接企业内部业务网络,是防火墙重点保护的网络资产片区。
  • DMZ区域:主备防火墙之间的心跳线规划到DMZ区域中,实现防火墙双机热备功能。
  • Local区域:防火墙自身属于Local区域,主要包括防火墙的本地接口。

高可靠性配置

防火墙双机热备

为保证底层网络的可靠性,确保客户关键业务不因单台防火墙故障而中断,需组建防火墙双机热备系统,本方案选择基于VRRP的主备模式双机热备系统,具体配置流程如下:

在这里插入图片描述

  • 配置防火墙心跳接口,用于交互HRP报文与VGMP报文;
  • 配置HRP认证秘钥,确保防火墙双机热备系统安全性;
  • 配置Link-Group,将所有业务接口作为一个整体监控,便于及时发现链路或端口故障,完成业务路径切换;
  • 配置防火墙HRP设备角色,用于区分主备防火墙;
  • 开启防火墙HRP协议,组建主备备份双机热备系统。
ASG双机热备

为保证底层网络的可靠性,确保客户关键业务不因单台ASG故障而中断,需组建ASG设备HA系统,本方案选择HA主备透明桥模式,具体配置流程如下:

在这里插入图片描述

  • 工作模式选择主备;
  • 开启配置同步和运行状态同步;
  • 开启抢占模式,延迟时间建议和防火墙侧保持一致;
  • 选择HA通讯接口(同防火墙心跳接口);
  • 配置端口状态同步组(同Link-Group)监控业务线路;
  • HA主备配置同步(可选)。

业务部署

为保证客户上网业务可顺利交互,同时保护内网核心业务网段,需在防火墙上配置安全策略放行业务流量;配置源NAT技术,保证内外网通信正常,同时隐藏内网业务网段,保证企业内网安全,具体配置流程如下:

在这里插入图片描述

  • 在防火墙上配置安全策略,允许从Trust区域至Untrust区域的业务流量;
  • 在防火墙上创建公网地址池(建议使用防火墙上行接口IP创建地址池);
  • 在防火墙上配置源NAT策略,对流量源IP地址和端口进行转换,使得内网用户能够正常访问Internet。

上网行为管理

为规避企业各类上网业务安全风险、满足日趋严格的企业网安相关法律法规、避免网络资源的不合理使用,企业必须进行上网行为管理和审计。本方案将介绍华为ASG5510产品的以下功能来满足企业上网行为管理和审计需求:

在这里插入图片描述
具体实验操作可通过华为O3社区在线实验室预约相关实验进行操作练习,实验链接如下:

https://o3community.huawei.com/o3/1663500457860972546/detail?activeIndex=4&subIndex=1&o3src=https%3A%2F%2Fcn.o3.huawei.com%2Fcommunity%2Ftraining%2Flab-online-detail-shixizhi%3FlabType%3D1%26labId%3D5634%26domainCode%3DFORUM_221126001

在线实验界面如下:

在这里插入图片描述
本方案系列博客到此完结~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1045049.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【云上探索实验室】编程范式变革进行时——CodeWhisperer实践全流程及测评分析报告

目录 一、基于LLM的辅助编程——编程范式变革进行时二、CodeWhisperer VS Code 安装与配置2.1、扩展安装2.2、配置 三、CodeWhisperer实践全流程3.1、CodeWhisperer基础实验3.2、CodeWhisperer项目实践——Web端宝可梦图鉴 四、CodeWhisperer测评分析报告4.1、功能性分析4.2、…

AI赋能的3D资产管理

推荐:用 NSDT编辑器 快速搭建可编程3D场景 想象一下,作为一名视频游戏设计师,你希望在游戏中使用 3D 龙模型。 以前,你可以通过两种方式执行此操作: 自己制作复杂的 3D 模型或从多个角度拍摄龙模型的照片。前往 3D 模…

远程计算机或设备不接受连接解决方法

远程计算机或设备不接受连接解决方法 点击左下角开始,点击运行,输入inetcpl.cpl,点击确定,打开Internet选项。 将三个框的勾勾去掉,即为不选中状态,点击确定。 当你的电脑浏览器不能正常上网时&#xff…

文件拖拽上传功能已经烂大街了,你还不会吗?

说在前面 🖼文件拖拽上传功能现在已经随处可见,大家应该都用过了吧,那么它具体是怎么实现的大家有去了解过吗?今天我们一起来实现一下这个功能,并封装一个拖拽上传组件吧。 效果展示 体验地址:http://jyeon…

typora+python打造舒适的文档写作环境

shigen的一大特点就是爱好折腾,今天上班的时候发现了一篇有趣的文章:TyporaMinIOPython代码打造舒适协作环境。开始还觉得不就这样吗?还在用minIO,shigen早就用上COS了!但是接下来的设置简直是美到天,直接在…

求求你们别学了,已经追不上了,JDK21已经发布了

目录 引言特性介绍2.1 字符串模版(预览版)2.1.1 在 Java 21 字符串拼接2.1.2 JDK 21 字符串模板 2.2 顺序集合*2.2.1 SequencedCollection 接口2.2.2 SequencedSet 和 SequencedMap 类 2.3 switch语句的改进2.4 Lambda表达式的新特性2.5 Structural Patt…

Java 华为真题-新员工座位安排

需求: 工位由序列F1,F2…Fn组成,Fi值为0、1或2。其中0代表空置,1代表有人,2代表障碍物. 1、某一空位的友好度为左右连续老员工数之和 2、为方便新员工学习求助,优先安排友好度高的空位给出工位序列,求所…

Python入门之【循环语句】全网最详细!

🏅我是默,这是我的个人主页。📚📚 🌟在这里,我要推荐给大家我的专栏《Python》。🎯🎯 🚀无论你是编程小白,还是有一定基础的程序员,这个专栏都能满…

用智能文字识别技术赋能古彝文数字化之路

目录 1、前言 2、对古彝文古籍的保护迫在眉睫 3、古彝文识别的难点问题 4、古彝文文字识别的关键技术 4.1、智能高清滤镜技术 4.2、图像矫正 4.3、图像增强 4.4、版面还原 5、合合信息识别技术赋能古彝文数字化 1、前言 古彝文指的是在云南、贵州、四川等地的彝族人之…

一款免费的响应式界面调试工具

不知道大家平时开发响应式前端代码是如何调试的?是不是也跟我一样,通过浏览器的开发者工具来切换不同的界面尺寸来看验证效果呢? 可能是因为习惯了,平时就不停的切换不同尺寸来看效果。直到TJ君看到今天要推荐的这个免费工具&…

产品经理如何科学的进行需求调研?

导语:作为产品经理,需求调研是开展工作的重要环节之一。科学、有效地进行需求调研不仅可以帮助产品经理更好地了解用户需求,还能指导产品设计和功能开发,提升产品的竞争力。本文将介绍几种科学的方法和技巧,帮助产品经…

【linux基础】linux中文件权限的含义并修改

linux中文件权限的含义 前言文件类型字段访问权限字段如何修改访问权限基本语法:常用选项包括:数字形式权限模式:符号形式权限模式:示例用法: 总结 前言 在 Linux 中,文件的权限字段(Permissio…

adjustText库解决深度学习、视觉模型matplotlib画散点图时由于标签非常多导致的重叠现象

pytorch框架 import matplotlib.pyplot as plt import numpy as np from adjustText import adjust_texty [30.48, 30.71, 30.52, 31.35, 31.53, 31.54, 31.82, 32.13, 32.21, 32.15, 31.92, 32.24, 32.21, 32.20, 32.35] x [0.057, 0.012, 0.025, 0.665, 1.774, 0.813, 0.55…

【面试必刷TOP101】寻找峰值 数组中的逆序对

目录 题目:寻找峰值_牛客题霸_牛客网 (nowcoder.com) 题目的接口: 解题思路: 代码: 过啦!!! 题目:数组中的逆序对_牛客题霸_牛客网 (nowcoder.com) 题目的接口: …

Python二级 每周练习题20

练习一: 日期计算器 设计一款日期计算程序,能否实现下面的功能: (1)要求用户分别输入年、月、日(分三次输入); (2)程序自动会根据输入的年月日计算出这一天是这一年的第几天; (3)输出格式为:这…

低功耗引擎Cliptrix为什么可以成为IOT的高效能工具

在万物互联的时代,现代人已普遍接受电视、音箱等电器设备具备智能化能力,也是在这个趋势下,我们身边越来越多的iOT设备联网和交互成为刚需。 但iot设备也面临到一些非常显著的痛点,例如iot设备的内存、处理器等核心元件无法与手机…

Selenium Web自动化测试 —— 高级控件交互方法!

一、使用场景 使用场景对应事件复制粘贴键盘事件拖动元素到某个位置鼠标事件鼠标悬停鼠标事件滚动到某个元素滚动事件使用触控笔点击触控笔事件(了解即可) https://www.selenium.dev/documentation/webdriver/actions_api 二、ActionChains解析 实例…

内网即时通讯软件:提升政企办公效率与数据安全的利器

在当今信息快速传播的社会中,即时通讯软件已经成为了人们生活中不可或缺的一部分。然而,对于政府机构和企业来说,传统的大众即时通讯软件已经不再满足他们日常工作的需求。市面上大多数个人即时通讯软件都是为大众用户设计的,它们…

【文末送书】用Chat GPT轻松玩转机器学习与深度学习

欢迎关注博主 Mindtechnist 或加入【智能科技社区】一起学习和分享Linux、C、C、Python、Matlab,机器人运动控制、多机器人协作,智能优化算法,滤波估计、多传感器信息融合,机器学习,人工智能等相关领域的知识和技术。关…

PY32F003F18之RTC

一、RTC振荡器 PY32F003F18实时时钟的振荡器是内部RC振荡器,频率为32.768KHz。它也可以使用HSE时钟,不建议使用。HAL库提到LSE振荡器,但PY32F003F18实际上没有这个振荡器。 缺点:CPU掉电后,需要重新配置RTC&#xff…