安全广域网

套用背景

访问控制：如何实现各分支机构和总部间、各分支机构之间複杂的访问控制？

安全威胁：边远分支机构的安全级别低、安全管理鬆散，易引入蠕虫、木马、病毒、黑客等，如何防範这些安全威胁在广域网上快速扩散？

频宽保障：非关键业务或垃圾流量占用了有限的广域网频宽资源，造成广域网拥塞，如何保证数据流在广域网中按业务的重要程度进行不同优先权的调度？

安全管理：如何实现广域网集中的安全管理，整网部署统一的安全策略，进行统一的安全事件监控？

H3C新一代广域网安全解决方案全面地考虑了广域网的安全问题和性能问题，通过部署H3C的防火墙、IPS、ACG、UTM、SecCenter等安全产品组成了立体的安全防御和性能最佳化体系，确保了广域网的高安全和高性能。

安全设计

总部安全设计

总部包含了广域网业务的核心数据，安全级别最高，所以在总部的广域网出口採用功能专一的安全设备实现安全防护和性能保护。另外，对于大型广域网的总部，H3C可以提供高端万兆的安全产品F5000、T5000、ACG8800，以满足大型广域网总部对安全业务的高性能需求。

防火墙实现分支机构针对总部资源的访问控制，H3C防火墙具有虚拟化、ACL加速等技术优势，其虚拟化特性可大大简化访问控制策略的部署，ACL加速特性可提升总部大业务量下的访问控制效率。

IPS产品实现套用层安全威胁防御，H3C IPS具有三库合一、高性能等技术优势，其中病毒特徵库採用了专业防病毒厂商卡巴斯基授权的SafeStream库，可以有效防护各种诡异的混合型安全威胁；其独特的FIRST引擎技术可保证IPS开启所有特徵规则(上万条)后，性能不衰减。同时，H3C IPS产品可以有效阻断蠕虫、病毒等产生的扫描探测流量，以避免这些垃圾流量侵蚀宝贵的广域网频宽资源。

ACG实现广域网频宽最佳化，H3C ACG可识别各种广域网业务，如Notes等办公业务、电力调度业务、Oracle等资料库业务、视频会议、SNMP等网管业务;并提供自定义协定接口，可根据客户自身套用的负载特徵和互动特徵自定义套用协定。在识别出各种广域网业务的基础上，ACG可对关键业务进行频宽保证，对其他业务按优先权进行智慧型流量调度。同时，对于广域网上的一些网路滥用业务(如线上多媒体、上传下载等)，ACG可自动识别并进行限流或阻断。

二级网安全设计

二级网在整个广域网中承上启下，安全级别较高，访问控制策略複杂，所以在二级网的广域网出口採用功能专一的安全设备实现安全防护和性能保护。

相对总部而言，二级网的流量相对较小，所以，对于大型广域网的二级网，可以採用H3C高端千兆安全产品F1000、T1000、ACG2000等，在确保获得专业安全业务的同时，又能满足二级网对性能的需求。

三级网安全设计

三级网的安全级别相对较低，但分布广、网点多，要求安全设备易管理、易部署，所以在三级网的广域网出口部署功能综合的安全产品UTM。H3C UTM集成了防火墙、IPS、防病毒、频宽管理等功能，同时支持基于TR069的安全策略分发，非常方便于远程分支机构的安全业务部署。

安全管理设计

特点

立体化的安全防护

通过防火墙和IPS的有机结合和功能互补，为用户提供2-7层的全面安全防护，确保了总部和二级网的安全，同时UTM综合的安全功能确保了三级网的安全。H3C IPS、UTM可以定期更新攻击特徵和病毒特徵规则，为用户提供持续的专业安全保护。

精细化的流量调度和广域网频宽最佳化

通过ACG的7层QOS功能，可以针对各种关键业务进行频宽保障和频宽的动态分配，实现精细化流量调度，节约频宽资源。H3C ACG产品可根据报文负载特徵识别包括广域网常见套用在内的3000多种套用协定，并可以根据不同用户广域网的特殊业务定製协定特徵。在识别后，H3C ACG可以定义出最多三层通道，在每层通道里都可以部署精细化的流量调度策略，包括频宽保证、频宽借用、频宽限制、封堵、连线限制、优先权改写等， 可方便地实现对广域网关键业务(如视频会议等)的频宽保证，对滥用业务(如上传下载等)的限制;同时，H3C ACG支持通道频宽的动态分配，并根据用户数量的变化动态调整频宽分配，保证频宽资源高效与公平利用。

广域网的安全体系的建设，既离不开通用安全建设理论的指导，也需要考虑广域网在自身业务开展过程中的实际的安全需求。在理论结合实际的基础上，通过不断研究安全威胁的新变化，并及时动态调整自身的安全防护策略，可以使得整个广域网的安全防护体系与时俱进，为多业务广域分支的建设保驾护航。