华为智能高校出口安全解决方案(2)

本文承接:
https://qiuhualin.blog.csdn.net/article/details/131475315?spm=1001.2014.3001.5502
重点讲解华为智能高校出口安全解决方案的基础网络安全&业务部署与优化的部署流程

华为智能高校出口安全解决方案(2)

    • 课程地址
    • 基础网络安全部署
      • 基础网络安全部署步骤
      • 网络出口区组网规划
      • IP地址规划
      • 安全区域规划
      • 路由协议部署
        • 协议规划
        • 策略规划
      • 防火墙双机热备部署
        • 初始部署
        • 主备切换
    • 业务部署与优化
      • 业务部署与优化配置步骤
      • 出方向业务部署
      • 上网行为管理
      • 入方向业务部署
      • 远程VPN接入部署
      • 智能选路

课程地址

本方案相关课程资源已在华为O3社区发布,各位同学如有视频观看需求,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)

课程地址:

  1. 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
  2. 点击“培训赋能 > 向导式学习”;
    在这里插入图片描述
  3. 在向导式课程中选择《华为智能高校出口安全解决方案》即可看到课程相关内容。
    在这里插入图片描述
    视频为本人讲解,课程包含方案讲解及方案相关技术文档,学习过程中如有任何问题可随时在视频课程下方或者本文评论区留言讨论~

基础网络安全部署

基础网络安全部署步骤

在这里插入图片描述

  • 网络出口区组网规划:高校的网络出口区通常包含多种类型的网络设备,如路由器、交换机、防火墙、Anti-DDoS设备等,首先需要进行组网规划。
  • IP地址规划:组网拓扑确定后,需要进一步规划IP地址,如设备互联地址、业务/管理地址等。
  • 安全区域规划:在防火墙上规划安全区域,配置安全级别,隔离不同区域之间的数据流量。
  • 路由协议部署:在高校园区网中部署路由协议,实现内网互联互通。
  • 双机热备部署:配置防火墙双机热备功能,提升基础网络的可靠性。

网络出口区组网规划

在这里插入图片描述
网络出口区的整体组网规划如下:

  • 出口路由器/交换机主要负责与外部网络互联,如教育网、电信网、联通网、移动网等;
  • Anti-DDoS设备采用直路方式部署在路由器和防火墙之间,用于抵御各种DDoS攻击;
  • 防火墙部署在Anti-DDoS设备的下游,采用双机热备方式组网,提高网络可靠性;
  • 防火墙配置安全策略、入侵防御、反病毒、APT防御等安全技术,保护内网安全;
  • ASG上网行为管理设备旁路部署在核心交换机上,对师生的上网行为进行精细化管控;
  • 安全管理区的设备用于安全运维和日志审计。

IP地址规划

本方案中智能高校园区网使用192.168.0.0/16和10.175.X.0/24私网地址段,具体规划如下所示。
在这里插入图片描述
说明:上表数据规划仅为参考,实际生产环境可按需调整。

安全区域规划

在这里插入图片描述
防火墙是高校出口区的核心网络设备,其主要作用是隔离不同的网络区域,根据智能高校的业务特点,可以划分如下四个安全区域:

  • Untrust区域:主要连接外部网络,如教育网、电信网、联通网、移动网等。
  • Trust区域:主要连接校内网络,如教学区、宿舍区、办公区、公共区域等内部网络。
  • DMZ区域:主备防火墙之间的心跳线以及与沙箱的互联链路规划到DMZ区域中;实现防火墙双机热备功能以及防火墙与沙箱的联动。
  • Local区域:防火墙自身属于Local区域,主要包括防火墙的本地接口。

路由协议部署

协议规划

在这里插入图片描述

  • 智能高校园区网内部统一部署OSPF协议,确保高校内部网络互联互通。
  • 高校出口区规划为OSPF骨干区域(即Area 0),其他业务区域规划为OSPF非骨干区域(即Area 1、Area 2、Area 3等)。
  • 为了确保路由协议的通信安全,需要启用OSPF协议的邻居身份验证功能,验证方式可使用区域验证或接口验证,认证模式推荐使用安全性较高的HMAC-SHA256。
策略规划

在这里插入图片描述
缺省情况下,防火墙上不同安全区域之间的报文交互被禁止,为确保OSPF协议能够正常运行,可以配置如下的安全策略:

  • 安全策略1:防火墙需要双向允许Local和Untrust区域之间的OSPF报文。
  • 安全策略2:防火墙需要双向允许Local和Trust区域之间的OSPF报文。

除了配置安全策略的方式外,还可以通过命令行配置,使OSPF报文不受安全策略管控,达到相同的目的。配置命令如下所示:

<Firewall> system-view 
[Firewall] undo firewall packet-filter basic-protocol enable
[Firewall] quit

防火墙双机热备部署

初始部署

在这里插入图片描述

  • 为保障网络的高可靠性,防火墙采用主备备份的双机热备方式进行部署。
  • 正常情况下,主用防火墙的设备优先级较高,承载所有业务流量,备用防火墙不承载任何业务。
  • 由于防火墙的上下行链路均运行OSPF协议,所以可以基于路由协议来实现双机热备功能。
  • 主用防火墙正常发布OSPF路由(千兆网络接口的cost值为1),备用防火墙将OSPF开销值调整为65500后,再发布路由。
  • 由于OSPF协议中,路由开销值越小越优先,所以业务流量将会由主用防火墙进行转发。
主备切换

在这里插入图片描述
以主用防火墙上行链路发生故障为例,介绍防火墙主备切换的整体过程。

  • 主用防火墙上行链路发生故障后,导致防火墙上行接口GE0/0/1的物理状态由UP变为Down。
  • 主用防火墙实时监控接口状态,发现接口状态由UP变为Down后,将会降低设备优先级。
  • 备用防火墙通过心跳报文发现主用防火墙的优先级降低,则触发主备切换,备用防火墙切换为新的主用防火墙,同时对应链路OSPF网段开销随之调整,流量被引至新链路转发。

业务部署与优化

业务部署与优化配置步骤

在这里插入图片描述

  • 出方向业务部署:在出口防火墙上配置安全策略放行出方向业务流,并配置源NAT技术确保业务正常访问。
  • 上网行为管理:在核心交换机上旁挂ASG设备并配置行为审计策略,对校内人员上网行为进行监管和审计。
  • 入方向业务部署:在出口防火墙上配置安全策略放行校外访客访问高校门户网站的流量,并配置目的NAT技术确保正常访问。
  • 远程VPN接入部署:在出口防火墙上创建SSL VPN网关并配置网络扩展功能,使校外师生可以远程接入高校内网访问内网资源。
  • 智能选路:在出口防火墙上配置智能选路,动态选择网络出口,确保高校关键业务流的通信质量及带宽资源的合理利用。

出方向业务部署

在这里插入图片描述
出方向业务主要包括高校师生主动访问教育网和Internet的数据流量,其部署步骤如下:

  • 在防火墙上配置安全策略,允许从Trust区域至Untrust区域的业务流量。
  • 在防火墙上配置源NAT策略,对流量源IP地址和端口进行转换,使得内网用户能够正常访问Internet。

上网行为管理

在这里插入图片描述
高校学生访问教育网和Internet的数据流量若不进行有效管理,可能会带来信息安全及法律风险,如:学生浏览非法网站、发布不良言论、恶意占用公网带宽等。

通过在核心交换机上旁路部署ASG上网行为管理设备,可有效实时监控学生的上网行为,为后续行为控制策略优化提供数据支撑,其部署步骤如下:

  • 在核心交换机上配置流量镜像,将学生上网的流量镜像至ASG设备;
  • 在ASG设备上配置审计策略,对学生的上网行为进行实时监控分析,记录日志,为后期优化安全策略提供数据支撑。

入方向业务部署

在这里插入图片描述
入方向业务主要包括外部用户访问高校门户网站的数据流量,其部署步骤如下:

  • 在防火墙上配置安全策略,允许从Untrust区域至Trust区域的访问流量;
  • 在防火墙上配置目的NAT策略,对外部用户访问流量的目的IP地址和端口进行转换,使得外部用户可以访问高校内网的各类服务器,同时隐藏服务器真实地址。

因在防火墙上对外开放了各种服务及端口,服务器存在被攻击的风险,故后续需要进一步部署攻击防御策略,保障服务器的安全。

远程VPN接入部署

在这里插入图片描述
远程VPN接入流主要包括校外师生基于SSL VPN远程接入高校内网的流量,其部署步骤如下:

  • 在防火墙上配置安全策略,放行用户与VPN网关建立SSL VPN隧道的协议流;放行用户访问高校内网资源的业务流;
  • 在防火墙上配置“安全组”和“用户”用于远程接入用户的身份校验;配置“地址池”用于远程用户接入内网时分配内网地址;
  • 在防火墙上创建SSL VPN虚拟网关,并设置相关参数;
  • 在防火墙上配置SSL VPN网络扩展功能,并设置可以访问的内网资源;
  • 在防火墙上配置SSL VPN的角色,并将角色和安全组及允许访问的内网资源关联。

智能选路

在这里插入图片描述
为确保高校关键业务流的通信质量及出口链路带宽的合理利用,需使用防火墙智能选路技术合理选择网络出口线路,本方案采用策略路由智能选路方式,具体部署步骤如下:

  • 开启健康检查功能,并为不同出口链路分别新建一个健康检查实例;
  • 配置策略路由,将访问教育网的流量绕过Anti-DDoS设备直送出口,确保访问质量,将访问互联网的流量引导至Anti-DDoS设备所在链路,避免占用教育网出口链路带宽资源。

攻击防御&安全运维部署细节会在后续同系列博客中持续更新~

待续……

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/144804.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

正在等待操作系统重新启动。 请重新启动计算机以安装autocad 2024。

正在等待操作系统重新启动。 请重新启动计算机以安装autocad 2024。 这是刚启动Autodesk 2024产品就弹出的弹窗&#xff0c;重启之后启动还是有这个 一直阻止安装程序运行 出现问题的原因是安装包存在问题 使用正确的安装包即可解决这个问题 需要的朋友查看图片或者评伦取…

手动实现Transformer

Transformer和BERT可谓是LLM的基础模型&#xff0c;彻底搞懂极其必要。Transformer最初设想是作为文本翻译模型使用的&#xff0c;而BERT模型构建使用了Transformer的部分组件&#xff0c;如果理解了Transformer&#xff0c;则能很轻松地理解BERT。 一.Transformer模型架构 1…

Qt扩展-QCustomPlot 简介及配置

QCustomPlot 简介及配置 一、概述二、安装教程三、帮助文档的集成 一、概述 QCustomPlot是一个用于绘图和数据可视化的Qt 控件。它没有进一步的依赖关系&#xff0c;并且有良好的文档记录。这个绘图库专注于制作好看的、发布质量的2D绘图、图形和图表&#xff0c;以及为实时可…

洗衣行业在线预约小程序系统源码搭建 支持直播功能+在线预约下单+上门取件

目前&#xff0c;人们对生活品质的追求不断提高&#xff0c;但生活节奏却也不断加快。对品质的追求遇到了忙碌的生活节奏&#xff0c;人们更渴望以最简单、便捷的方式达到追求品质的目的。同时&#xff0c;由于线上支付的普及&#xff0c;大家更希望足不出户就可以解决自己生活…

DevSecOps 将会嵌入 DevOps

通常人们在一个项目行将结束时才会考虑到安全&#xff0c;这么做会导致很多问题&#xff1b;将安全融入到DevOps的工作流中已产生了积极结果。 DevSecOps&#xff1a;安全正当时 一直以来&#xff0c;开发人员在构建软件时认为功能需求优先于安全。虽然安全编码实践起着重要作…

react.js在visual code 下的hello World

想学习reacr.js &#xff0c;就开始做一个hello world。 我的环境是visual code &#xff0c;所以我找这个环境下的例子。参照&#xff1a; https://code.visualstudio.com/docs/nodejs/reactjs-tutorial 要学习react.js &#xff0c;还得先安装node.js&#xff0c;我在visual …

电脑技巧:推荐一款桌面增强工具AquaSnap

目录 一、软件介绍 二、功能介绍 2.1 窗口边缘停靠 2.2、 窗口平铺 2.3、 窗口对齐 2.4 窗口自动拉伸 2.5、同时移动多个窗口 2.6 、支持窗口置顶 2.7、 鼠标快捷方式 2.8、 键盘快捷键 三、软件特色 四、软件获取 一、软件介绍 AquaSnap(界面增强软件)是一款功能…

Yolov8-pose关键点检测:模型轻量化创新 | OREPA结合c2f,节省70%的显存!训练速度提高2倍! | CVPR2022

💡💡💡本文解决什么问题:浙大&阿里提出在线卷积重新参数化OREPA,节省70%的显存!训练速度提高2倍! OREPA | GFLOPs从9.6降低至8.2, mAP50从0.921提升至0.931 Yolov8-Pose关键点检测专栏介绍:https://blog.csdn.net/m0_63774211/category_12398833.html ✨✨…

渲染路径RenderingPath

文章目录 前言一、什么是渲染路径二、渲染路径有哪些1、前向渲染路径2、延迟渲染路径3、顶点照明渲染路径(已过时)4、旧的渲染路径&#xff08;已过时&#xff09; 前言 渲染路径RenderingPath 一、什么是渲染路径 为进行光照计算而设计的渲染方式 二、渲染路径有哪些 1、前向…

华为云云耀云服务器L实例评测 | 实例使用教学之简单使用:通过部署宝塔面板可视化管理华为云云耀云服务器

华为云云耀云服务器L实例评测 &#xff5c; 实例使用教学之简单使用&#xff1a;通过部署宝塔面板可视化管理华为云云耀云服务器 介绍华为云云耀云服务器 华为云云耀云服务器 &#xff08;目前已经全新升级为 华为云云耀云服务器L实例&#xff09; 华为云云耀云服务器是什么华为…

【C++】C++11新特性

目录 一、列表初始化C98中使用{}初始化的问题内置类型的列表初始化自定义类型的列表初始化 二、变量类型推导(decltype)类型推导类型推导的场景 四、类成员的新功能显示缺省参数删除默认函数final和override 四、可变参数列表五、lambda表达式引入lambda表达式语法 一、列表初始…

Git与Repo:开源开发的得力工具组合

Git与Repo&#xff1a;开源开发的得力工具组合 1. 引言 开源开发在当今的软件行业中扮演着至关重要的角色。它不仅推动了技术的创新和进步&#xff0c;也促进了开发者之间的合作与共享。随着越来越多的开源项目的涌现&#xff0c;有效的代码管理和版本控制成为了必不可少的工…

可观测平台如何存储时序曲线?滴滴实践全历程分享

滴滴的时序曲线量从 2017 年 到 2023 年增长了几十倍。整个过程中我们不断地调整和改进以应对这样的增长。例如时序数据库的选型从最初的 InfluxDB&#xff0c;到 RRDtool&#xff0c;又开发了内存 TSDB 分担查询压力&#xff0c;再到 2020 年开始使用 VictoriaMetrics。载体也…

四通道信息融合下的齿轮箱故障诊断(Python代码,SVM模型和CNN模型进行对比实验,解压缩即可运行,有详细中文注释)

1.效果运行视频&#xff1a;四通道信息融合下的齿轮箱故障诊断&#xff08;Python代码&#xff0c;SVM模型和CNN模型进行对比实验&#xff09;_哔哩哔哩_bilibili 用到的库&#xff1a; 2.数据集介绍&#xff1a;数据免费下载链接&#xff08;不要积分&#xff09;&#xff1a…

[RCTF2015]EasySQL 二次注入 regexp指定字段 reverse逆序输出

第一眼没看出来 我以为是伪造管理员 就先去测试管理员账号 去register.php 注册 首先先注册一个自己的账号 我喜欢用admin123 发现里面存在修改密码的内容 那么肯定链接到数据库了 题目又提示是sql 那我们看看能不能修改管理员密码 首先我们猜测闭合 通过用户名 admin…

ADworld reverse wp easyre-153

逆向分析 做逆向题先查壳, 就像做pwn先checksec一样 用PEid查不出来, 用Exeinfo PE可以查出ELF文件的壳 用工具直接脱upx壳, kali自带的工具或者手动安装一个windows的upx工具 脱壳之后拖入IDA32 int __cdecl main(int argc, const char **argv, const char **envp) {int …

媒体编解码器MediaCodec

目录 1.介绍MediaCodec类 2.创建MediaCodec的方式 3.MediaCodec流程 &#xff08;1&#xff09;配置编码参数 &#xff08;2&#xff09;创建编码器 &#xff08;3&#xff09;创建混合器 &#xff08;4&#xff09;开始编码 4.MediaCodec编码的工作方式 5.MediaCodec…

2023年十大开源项目:革新技术创新

来源整理 : 小托 | 开源社翻译组PM 翻译 : 张锋 | 开源社翻译 Open-source projects have revolutionized the world of software development by fostering innovation, collaboration, and community-driven contributions. These projects are often the backbone of countl…

iOS应用程序的签名、重签名和安装测试

目录 前言 打开要处理的IPA文件 设置签名使用的证书和描述文件 开始ios ipa重签名 前言 ipa编译出来后&#xff0c;或者ipa进行修改后&#xff0c;需要进行重新签名才能安装到测试手机&#xff0c;或者提交app store供apple 商店审核上架。ipaguard有签名和重签名功能&…

vue前端项目中添加独立的静态资源

如果想要在vue项目中放一些独立的静态资源&#xff0c;比如html文件或者用于下载的业务模板或其他文件等&#xff0c;需要在vue打包的时候指定一下静态资源的位置和打包后的目标位置。 使用的是 copy-webpack-plugin 插件&#xff0c;如果没有安装则需要先安装一下&#xff0c;…