网络改造解决方案ppt.ppt

网络改造解决方案2018年3月全省环保网络现状网络建设现状分析目前已有的网络主要分为互联网和外网2个区域。主要存在的问题是安全防护手段不完善、设备数量众多，网络运维困难等问题。安全建设省厅安全建设规划安全建设主要是对原有机房进行安全加固。提升云平台内的安全防护能力。提升全网的安全检测能力。增强统一维护统一管理的水平。整体互联设计通过现有的在线监控网和环统专网，实现各处业务互通。考虑到使用单位较多，使用静态路由较为复杂。本次建设计划采用OSPF和BGP协议。实现各单位的连通。单点网络建设本次对各处的3套网络设备进行整合，对原有老旧网络设备进行替换，从而实现设备和链路双层面的冗余。规避单点故障的问题。同时简化各处网络设备，以分区分域的方式进行安全建设。提升安全防护能力。网络出口建设整合，网络出口建设整合，并实现冗余部署并实现冗余部署局域网改造原有架构改造架构各处出口通过路由器、防火墙等设备实现网络互通和安全防护。局域网方面，通过2台核心交换机将3套网络进行整合，将下联设备分为核心业务区、安全管理区以及局域网区3个区域。在核心业务区域前新增数据中心防火墙，提升业务区域安全级别，提升地市业务系统的安全防护能力。同时淘汰掉原有的IDS、漏洞扫描系统。通过数据中心防火墙功能实现。简化现有地市单位网络架构。1、三网整合，核心、三网整合，核心设备冗余部署设备冗余部署2、业务区域、业务区域安全防护提升安全防护提升各处网络规划各处网络出口部署路由器，连接政务外网和环统网，满足链路层面的冗余，实现政务外网和环统网的故障切换。提升县区单位网络稳定性。路由器下部署综合网关设备满足各处对上网行为管理、应用防火墙等网络设备的要求。综合网关统一接入到各处集中管控平台，实现对各处设备的集中管理，统一进行策略下发和设备运维。边界安全传统边界安全只是在事中堆叠防御AVIPSWAFFWUTM/NGFWWAF方案一方案二事前事中事后是否有新漏洞？绕过能否检测？能否快速响应？缺乏检测和响应缺乏检测和响应有哪些资产？有哪些漏洞？是否有策略？缺乏风险预知能力缺乏风险预知能力安全日志碎片化静态策略的防御，无法应对新威胁割裂的保护手段，难以协同配合关注事中的攻击，缺乏全过程保护2、割割裂裂的的防防御御手手段段FWIPSWAF漏扫漏扫L只能看见碎片化碎片化的攻击日志只能看见图形化图形化的统计报表缺乏资产/风险的视角1、碎碎片片化化的的安安全全认认知知碎片化无效的难看懂难管理投资高用不好192.168.1.23DOS攻击SQL注入恶意软件僵尸主机DDOS攻击DNS请求192.168.5.XDenny跨站脚本泛洪攻击Strucks2病毒IE漏洞攻击系统漏洞攻击蠕虫permit跨站伪造请求木马IP flood中间件漏洞webshellWin漏洞攻击XSS攻击202.30.5.XCRSF攻击熊猫烧香网页篡改200.2.3.X网页木马Linux漏洞攻击202.222.1.X由此导致安全事件频发根源：被篡改无法及时发现，并快速响应西南某西南某政府政府因因网页篡改而被通报网页篡改而被通报根源：无法及时发现新资产，并部署策略某企业某企业资产资产变化导致的信息变化导致的信息泄露泄露结果：日志散落在多设备，无专业安全人员，无法关联分析，至今不清楚原因。某机关内某机关内网数据库网数据库密码密码被被改改根源：无法及时发现业务是否存在最新漏洞，并更新策略某省政府厅级某省政府厅级单位单位Struts2漏洞被通报漏洞被通报根源：多设备分析定位困难；策略添加不及时，导致事故。某省能源工业厅某省能源工业厅持续被攻击导致业务瘫痪持续被攻击导致业务瘫痪根源：安全体系中缺乏检测潜伏威胁的能力某高校学生某高校学生机房肉鸡机房肉鸡泛滥泛滥还还不知道不知道2、攻击、攻击日志的关联、防御的日志的关联、防御的联动能有效提升防御的效果联动能有效提升防御的效果3、持续、持续检测被绕过的安全事检测被绕过的安全事件并快速看见快速响应更件并快速看见快速响应更关键关键事前事前不能预知风险不能预知风险事中事中无法有效防御无法有效防御事后事后无法及时发现被黑无法及时发现被黑案例3案例4案例5案例61、对资产变化、风险状况、对资产变化、风险状况、策略有效性的预知是安全基础策略有效性的预知是安全基础案例1案例2解决之道-融合安全事前事前事中事中事后事后预知预知防御防御检测响应检测响应让安全更有效、更简单让安全更有效、更简单云平台设计替换仅需x86服务器和交换机借助于超融合技术构建企业云基础架构超融合一体机交换机企业云基础架构.超融合一体机超融合一体机服务器存储交换外置存储网络交换安全传统云基础架构.云平台-建设模式超融合一体机计算网络存储安全管理云平台-基础单元云平台-扩展更简单X86服务器组合超融合机柜超融合机柜超融合机柜按需购买随需而变交付简单按需购买，精确控制成本扩容简单，业务不停机横向扩容无瓶颈，支撑业务高性能需求配置按3-5年规划，超额投资扩容需要数据迁移，风险高存在单点瓶颈，无法支撑业务发展云平台-故障处理更便捷备件区超融合机柜超融合机柜超融合机柜更换区冗余性高，单点故障不影响业务事后合适时间替换节点，运维压力小运维零排障，直接快速更换从备件中替换即可，操作简单单节点故障，存在业务中断风险故障处理紧急程度高，运维压力大设备故障排障难度大，修复周期长设备返修，替换过程复杂云平台-业务敏捷交付，所画即所得业务编排Sangfor cloud 深信服企业级云管理平台云平台-可视化极简运维和排障服务器运维存储运维网络运维安全运维企业云运维所画即所得分钟级部署一键定位故障全资源管理云平台-全资源统一监控平台监控平台监控所有资源的监控主机监控主机监控服务器IPMI业务监控业务监控业务的健康状态流量监控流量监控正/异常的流量云平台-全方位资源预警完善的平台风险预警机制云平台-自动运维检测平台提供自动运维检测功能，支持检测软件故障的同时，也能检测硬件异常云平台-全网流量可视全网流量可视，并可以通过联通性探测工具实现一站式的故障定位云平台-全方位业务监控招式一招式一：提供大屏监控、业务状态一目了然提供大屏监控、业务状态一目了然通过大屏实时展示所有虚拟机、业务和数据库等健康状态。招式二招式二：主动探测业务可用性，并实时告警主动探测业务可用性，并实时告警主动探测业务系统，实时监控业务可用性，当业务出现故障时，通过多种方式（短信、邮箱）告知管理员进行排障。招式三招式三：对对Oracle、SQLServer、WebLogic等关键等关键应用应用深入监控深入监控可视化应用内部数据流，提供锁、Session、事件等待、解析、重做日志等细粒度性能指标情况，让业务人员能更快识别应用瓶颈。PDU云平台-真实的物理部署拓扑云安全设计云数据中心-深信服云安全设计aFw分布式防火墙AntiVirusCenterAPPAgentOSvNGAFAPPAgentOSAPPAgentOSAPPAgentOSAPPAgentOS风险扫描漏洞监测Web安全防护入侵防御aSwitch分布式虚拟交换机aSv服务器虚拟化内核 内置WAF功能应用层安全网络层安全平台层安全租户层安全云数据中心-深信服云安全设计云数据中心 第三方云安全设计通过部署在核心交换机旁的云安全资源池，实现对云平台内东西向和南北向的安全防护。为每个业务系统、每个虚拟机配备不同的安全防护能力。提升云平台内部的安全防护水平平台层安全设备平台层安全设备等保一体机等保一体机接入出口设备网络出口网络出口云环境云环境引流口引流口引流口引流交换机核心核心分支接入包移动接入包基础防护包网站基础包网站高级包失陷主机包南北向安全能力南北向安全能力东西向隔离密码暴力破解Webshell检测安全审计数据安全应用安全安全生态能力安全生态能力VM操作系统操作系统EDR应用应用VM操作系统操作系统应用应用EDR微隔离微隔离端点防护端点防护等等保保一一体体机机管管控控平平台台东西（东西（EDREDR）向安全能力）向安全能力EDREDR受控流受控流等保一体机虚拟机内部隔离在每个业务虚拟机上部署安全防护组件EDR，以agent的形式存在，为每个业务虚拟机实现精细化的访问权限控制。实现业务虚拟机安全加固。也可以规避目前频繁爆发的勒索病毒问题。避免病毒在内网横向感染。分支综合安全网关各单位出口的最佳选择县区综合网关设计传统网络架构 VS 综合网关架构网络复杂度 低业务稳定性 高网络复杂度 高单点故障多无线桌面FTPHTTPCIFS办公OA邮件文件共享打印服务流量控制防火墙无线控制器环统网政务外网环统网政务外网各单位综合网关设计全网安全检测设计安全检测设计原先的安全建设大部分为安全防御设备投入。对全网的安全情况无法实现及时的感知。通过部署安全感知平台，实现对全网安全日志的收集和分析。通过大屏展示的方式帮助管理人员及时感知内网风险，降低未知威胁对内网的影响行为数据分析行为集中管控设计通过部署行为集中管理分析平台，实现对全网用户上网行为日志的集中存储和分析。帮助管理人员对用户上网的流量分布、行为分布进行直观了解，为后续的策略调整提供数据依据集中管理设计县区集中管理通过部署集中管理平台，实现对各单位出口综合网关的集中管理。帮助管理人员对每个单位单位设备的运行状况进行预警和远程处理，降低省厅管理人员的运维压力。提升县区单位的故障恢复速度。1、基于、基于GIS展示展示的流的流量状态展示量状态展示2、全网设、全网设备信息备信息3、全网设、全网设备数量备数量1、地市、县区划分组、地市、县区划分组织架构织架构2、每一个单位设备的运行情、每一个单位设备的运行情况，包括硬件设备和内部虚况，包括硬件设备和内部虚拟化产品拟化产品1、网关内部虚拟组件、网关内部虚拟组件告警告警2、硬件情况告警、硬件情况告警谢谢！