华为智能企业上网行为管理安全解决方案(2)

本文承接:
https://blog.csdn.net/qq_37633855/article/details/133339254?spm=1001.2014.3001.5501
重点讲解华为智能企业上网行为管理安全解决方案的部署流程

华为智能企业上网行为管理安全解决方案(2)

    • 课程地址
    • 方案部署
      • 整体流程
      • 组网规划
      • 基础网络配置
        • 路由规划
        • 安全区域规划
      • 高可靠性配置
        • 防火墙双机热备
        • ASG双机热备
      • 业务部署
      • 上网行为管理

课程地址

本方案相关课程资源已在华为O3社区发布,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)

课程地址:

  1. 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
  2. 点击“培训赋能 > 向导式学习”;

在这里插入图片描述

  1. 在向导式课程中选择《华为智能企业上网行为管理安全解决方案》即可看到课程相关内容。
    在这里插入图片描述

华为O3社区平台会有课程配套技术文档和模拟试题。课程所有内容均为本人开发,学习过程中如有任何问题可随时在O3平台课程下方或者本文评论区留言讨论~

方案部署

整体流程

华为智能企业上网行为管理安全解决方案整体部署流程如下:

在这里插入图片描述

  • 组网规划:设计方案底层组网与设备网络参数,确保设备合理部署;规划业务主备路径,保证业务韧性;
  • 基础网络配置:完成设备基础网络参数配置与路由配置,确保底层业务网络基础路由可达;完成防火墙安全区域划分;
  • 高可靠性配置:组建防火墙与ASG双机热备系统,提高整体网络可靠性,避免单点故障导致业务中断;
  • 业务部署:配置防火墙侧NAT技术与安全策略,确保客户业务可正常交互;
  • 上网行为管理:在ASG设备上基于客户具体需求配置对应的行为管理、行为审计策略,满足客户行为管理需求。

组网规划

华为智能企业上网行为管理安全解决方案组网规划如下图所示:

在这里插入图片描述

  • 出口交换机为企业出口设备,负责接入运营商访问外网;
  • 防火墙工作在三层,组建基于VRRP的主备模式双机热备系统,负责企业网络安全防护及NAT;
  • ASG设备通过网桥模式部署在防火墙与核心交换机之间,组建主备模式双机热备,负责企业上网行为管理;
  • 正常情况下业务走左侧主设备所在链路,主链路出现故障后,防火墙与ASG双机热备系统同步切换主备状态,将流量切换至右侧备用链路,保障企业关键业务不中断。

华为智能企业上网行为管理安全解决方案中使用到的网络地址段,具体规划如下所示。

在这里插入图片描述

说明:上表参数仅供参考,实际生产环境需根据实际情况合理调整。

基础网络配置

路由规划

以上文规划的网络参数为例,完成所有设备的接口IP地址后,需要在出口交换机和核心交换机上规划路由,基于本方案组网架构,具体的路由规划如下所示:

在这里插入图片描述
在这里插入图片描述

安全区域规划

防火墙是企业进行安全防护的核心设备,通过将业务网络划分为多个不同的安全区域,并根据企业的业务需求合理配置安全策略,即可实现域间业务流量的过滤,满足企业安防需求。本案例安全区域规划如下:

在这里插入图片描述

  • Untrust区域:主要用于连接外部网络,确保企业有上网能力。
  • Trust区域:主要连接企业内部业务网络,是防火墙重点保护的网络资产片区。
  • DMZ区域:主备防火墙之间的心跳线规划到DMZ区域中,实现防火墙双机热备功能。
  • Local区域:防火墙自身属于Local区域,主要包括防火墙的本地接口。

高可靠性配置

防火墙双机热备

为保证底层网络的可靠性,确保客户关键业务不因单台防火墙故障而中断,需组建防火墙双机热备系统,本方案选择基于VRRP的主备模式双机热备系统,具体配置流程如下:

在这里插入图片描述

  • 配置防火墙心跳接口,用于交互HRP报文与VGMP报文;
  • 配置HRP认证秘钥,确保防火墙双机热备系统安全性;
  • 配置Link-Group,将所有业务接口作为一个整体监控,便于及时发现链路或端口故障,完成业务路径切换;
  • 配置防火墙HRP设备角色,用于区分主备防火墙;
  • 开启防火墙HRP协议,组建主备备份双机热备系统。
ASG双机热备

为保证底层网络的可靠性,确保客户关键业务不因单台ASG故障而中断,需组建ASG设备HA系统,本方案选择HA主备透明桥模式,具体配置流程如下:

在这里插入图片描述

  • 工作模式选择主备;
  • 开启配置同步和运行状态同步;
  • 开启抢占模式,延迟时间建议和防火墙侧保持一致;
  • 选择HA通讯接口(同防火墙心跳接口);
  • 配置端口状态同步组(同Link-Group)监控业务线路;
  • HA主备配置同步(可选)。

业务部署

为保证客户上网业务可顺利交互,同时保护内网核心业务网段,需在防火墙上配置安全策略放行业务流量;配置源NAT技术,保证内外网通信正常,同时隐藏内网业务网段,保证企业内网安全,具体配置流程如下:

在这里插入图片描述

  • 在防火墙上配置安全策略,允许从Trust区域至Untrust区域的业务流量;
  • 在防火墙上创建公网地址池(建议使用防火墙上行接口IP创建地址池);
  • 在防火墙上配置源NAT策略,对流量源IP地址和端口进行转换,使得内网用户能够正常访问Internet。

上网行为管理

为规避企业各类上网业务安全风险、满足日趋严格的企业网安相关法律法规、避免网络资源的不合理使用,企业必须进行上网行为管理和审计。本方案将介绍华为ASG5510产品的以下功能来满足企业上网行为管理和审计需求:

在这里插入图片描述
具体实验操作可通过华为O3社区在线实验室预约相关实验进行操作练习,实验链接如下:

https://o3community.huawei.com/o3/1663500457860972546/detail?activeIndex=4&subIndex=1&o3src=https%3A%2F%2Fcn.o3.huawei.com%2Fcommunity%2Ftraining%2Flab-online-detail-shixizhi%3FlabType%3D1%26labId%3D5634%26domainCode%3DFORUM_221126001

在线实验界面如下:

在这里插入图片描述
本方案系列博客到此完结~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.xdnf.cn/news/147064.html

如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!

相关文章

ARM-day2

ARM-day2

1、1到100累加 .text .global _start_start:MOV r0, #1ADD r1,r0, #1fun:ADD r0,r0,r1ADD r1,r1, #1cmp r1, #0x65moveq PC,LRbl funstop:b stop.end2、思维导图
阅读更多...
Spring Boot的自动装配中的@ConditionalOnBean条件装配注解在Spring启动过程中,是如何保证处理顺序靠后的

Spring Boot的自动装配中的@ConditionalOnBean条件装配注解在Spring启动过程中,是如何保证处理顺序靠后的

前言 为什么Spring Boot条件注解那么多,而标题中是ConditionalOnBean呢? 因为,相比之下我们用的比较多的条件装配注解也就是ConditionalOnClass、ConditionalOnBean了,而ConditionalOnClass对顺序并不敏感(说白了就是判…
阅读更多...
uniapp app 导出excel 表格

uniapp app 导出excel 表格

直接复制运行 <template><view><button click"tableToExcel">导出一个表来看</button><view>{{ successTip }}</view></view> </template><script>export default {data() {return {successTip: }},metho…
阅读更多...
2023年【道路运输企业安全生产管理人员】最新解析及道路运输企业安全生产管理人员考试技巧

2023年【道路运输企业安全生产管理人员】最新解析及道路运输企业安全生产管理人员考试技巧

题库来源&#xff1a;安全生产模拟考试一点通公众号小程序 道路运输企业安全生产管理人员最新解析参考答案及道路运输企业安全生产管理人员考试试题解析是安全生产模拟考试一点通题库老师及道路运输企业安全生产管理人员操作证已考过的学员汇总&#xff0c;相对有效帮助道路运…
阅读更多...
JavaSE | 初识Java(五) | 方法的使用

JavaSE | 初识Java(五) | 方法的使用

方法就是一个代码片段&#xff0c; 类似于 C 语言中的 " 函数 "。 方法可以是我们代码逻辑更清晰&#xff0c;并且可以服用方法使代码更简洁 方法语法格式 // 方法定义 修饰符 返回值类型 方法名称([参数类型 形参 ...]){ 方法体代码; [return 返回值]; } 实例&…
阅读更多...
数据结构:KMP算法的原理图解和代码解析

数据结构:KMP算法的原理图解和代码解析

文章目录 应用场景算法方案算法原理完整代码 本篇总结的是关于串中的KMP算法解析 应用场景 现给定两个串&#xff0c;现在要看较短的一个串是不是较长的串的子串&#xff0c;如果是就输出子串后面的内容&#xff0c;如果不是则输出Not Found 能匹配到&#xff1a; 长串&…
阅读更多...
【办公自动化】在Excel中按条件筛选数据并存入新的表(文末送书)

【办公自动化】在Excel中按条件筛选数据并存入新的表(文末送书)

&#x1f935;‍♂️ 个人主页&#xff1a;艾派森的个人主页 ✍&#x1f3fb;作者简介&#xff1a;Python学习者 &#x1f40b; 希望大家多多支持&#xff0c;我们一起进步&#xff01;&#x1f604; 如果文章对你有帮助的话&#xff0c; 欢迎评论 &#x1f4ac;点赞&#x1f4…
阅读更多...
Java环境配置无效

Java环境配置无效

Java环境配置无效 老是使用1.8版本&#xff0c;象牛皮癣。 查找java来源 where java 打开C:\Windows\System32 删掉java.exe javaaw.exe javaaws.exe 正常
阅读更多...
机器人过程自动化(RPA)入门 3. 顺序、流程图和控制流程

机器人过程自动化(RPA)入门 3. 顺序、流程图和控制流程

到目前为止&#xff0c;我们已经了解了RPA是什么&#xff0c;并且我们已经看到了通过记录任务的活动并运行它来训练UiPath机器人是多么简单。使用记录器的UiPath可以很容易地自动化日常任务。在我们开始自动化复杂的任务之前&#xff0c;让我们学习如何控制从一个到另一个的活动…
阅读更多...
python复习

python复习

1.python属于解释型语言&#xff0c;解释器逐行解释每一句代码&#xff0c;然后执行 编译型语言需要由编译器生成最终可执行文件再执行 2. #单行注释""" 多行注释 """ 注释快捷键ctrl/ 3.变量是在计算机语言中能储存计算结果或表示某个数据…
阅读更多...
探索腾讯企业邮箱替代方案:选择适合你的新邮件服务

探索腾讯企业邮箱替代方案:选择适合你的新邮件服务

腾讯企业邮箱作为一款广受欢迎的企业级电子邮件服务&#xff0c;已经在国内市场占据了相当大的份额。然而&#xff0c;随着全球市场竞争的加剧&#xff0c;腾讯企业邮箱也面临着海外市场的挑战。本文将探讨腾讯企业邮箱出海的劣势&#xff0c;并推荐一些替代品牌&#xff0c;以…
阅读更多...
从其它环境转移到Nacos的方法-NacosSync

从其它环境转移到Nacos的方法-NacosSync

理解 NacosSync 组件启动 NacosSync 服务通过一个简单的例子&#xff0c;演示如何将注册到 Zookeeper 的 Dubbo 客户端迁移到 Nacos。 介绍 NacosSync是一个支持多种注册中心的同步组件,基于Spring boot开发框架,数据层采用Spring Data JPA,遵循了标准的JPA访问规范,支持多种…
阅读更多...
Neural Networks for Fingerprint Recognition

Neural Networks for Fingerprint Recognition

Neural Computation ( IF 3.278 ) 摘要&#xff1a; 在采集指纹图像数据库后&#xff0c;设计了一种用于指纹识别的神经网络算法。当给出一对指纹图像时&#xff0c;算法输出两个图像来自同一手指的概率估计值。在一个实验中&#xff0c;神经网络使用几百对图像进行训练&…
阅读更多...
基于SSM的微博系统网站的设计与实现

基于SSM的微博系统网站的设计与实现

末尾获取源码 开发语言&#xff1a;Java Java开发工具&#xff1a;JDK1.8 后端框架&#xff1a;SSM 前端&#xff1a;采用Vue技术开发 数据库&#xff1a;MySQL5.7和Navicat管理工具结合 服务器&#xff1a;Tomcat8.5 开发软件&#xff1a;IDEA / Eclipse 是否Maven项目&#x…
阅读更多...
十四天学会C++之第一天(入门和基本语法)

十四天学会C++之第一天(入门和基本语法)

C的起源和历史 C诞生于20世纪80年代初&#xff0c;它的创造者是计算机科学家Bjarne Stroustrup。当时&#xff0c;Stroustrup在贝尔实验室工作&#xff0c;他希望为C语言添加一些功能&#xff0c;以便更好地支持系统开发。这个愿望促使他创建了C。 C的名字来源于它的基因&…
阅读更多...
BIT.8_Linux 多线程

BIT.8_Linux 多线程

lesson35: 一、 1.OS调度的基本单位&#xff08;0&#xff1a;13&#xff1a;5&#xff09; 2.进程XXXX&#xff08;0&#xff1a;14&#xff1a;15&#xff09; a.进程的内核数据结构包含哪几个部分&#xff1f;&#xff08;n个&#xff09;&#xff08;0&#xff1a;15&a…
阅读更多...
24Hibench

24Hibench

1. Hibench 官网 ​ HiBench is a big data benchmark suite that helps evaluate different big data frameworks in terms of speed, throughput and system resource utilizations. It contains a set of Hadoop, Spark and streaming workloads, including Sort, WordCou…
阅读更多...
中断向量控制器(NVIC)

中断向量控制器(NVIC)

1. 什么是中断 在处理器中&#xff0c;中断是一个过程&#xff0c;即CPU在正常执行程序的过程中&#xff0c;遇到外部/内部的紧急事件需要处理&#xff0c;暂时中止当前程序的执行&#xff0c;转而去为处理紧急的事件&#xff0c;待处理完毕后再返回被打断的程序处继续往下执行…
阅读更多...
博客无限滚动加载(html、css、js)实现

博客无限滚动加载(html、css、js)实现

介绍 这是一个简单实现了类似博客瀑布流加载功能的页面&#xff0c;使用html、css、js实现。简单易懂&#xff0c;值得学习借鉴。&#x1f44d; 演示地址&#xff1a;https://i_dog.gitee.io/easy-web-projects/infinite_scroll_blog/index.html 代码 index.html <!DOCT…
阅读更多...
[Linux 基础] 一篇带你了解linux权限问题

[Linux 基础] 一篇带你了解linux权限问题

文章目录 1、Linux下的两种用户2、文件类型和访问权限&#xff08;事物属性&#xff09;2.1 Linux下的文件类型2.2 基本权限2.3 文件权限值的表示方法&#xff08;1&#xff09;字符表示方法&#xff08;2&#xff09;8进制数值表示方法 2.4 文件访问权限的相关设置方法(1) chm…
阅读更多...
最新文章

Copyright @ 2022~2023