网络改造方案课件.pptx

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络改造解决方案,2018,年,3,月,全省环保网络现状,网络建设现状分析,目前已有的网络主要分为互联网和外网,2,个区域。,主要存在的问题是安全防护手段不完善、设备数量众多，网络运维困难等问题。,安全建设,省厅安全建设规划,安全建设主要是对原有机房进行安全加固。,提升云平台内的安全防护能力。,提升全网的安全检测能力。,增强统一维护统一管理的水平。,整体互联设计,通过现有的在线监控网和环统专网，实现各处业务互通。,考虑到使用单位较多，使用静态路由较为复杂。本次建设计划采用,OSPF,和,BGP,协议。实现,各,单位的连通。,单点,网络建设,本次对各处的,3,套网络设备进行整合，对原有老旧网络设备进行替换，从而实现设备和链路双层面的冗余。规避单点故障的问题。,同时简化各处网络设备，以分区分域的方式进行安全建设。提升安全防护能力。,网络出口建设整合，并实现冗余部署,局域网改造,原有架构,改造架构,各处,出口通过路由器、防火墙等设备实现网络互通和安全防护。,局域网方面，通过,2,台核心交换机将,3,套网络进行整合，将下联设备分为核心业务区、安全管理区以及局域网区,3,个区域。,在核心业务区域前新增数据中心防火墙，提升业务区域安全级别，提升地市业务系统的安全防护能力。,同时淘汰掉原有的,IDS,、漏洞扫描系统。通过数据中心防火墙功能实现。简化现有地市单位网络架构。,1,、三网整合，核心设备冗余部署,2,、业务区域安全防护提升,各处网络规划,各处网络出口部署路由器，连接政务外网和环统网，满足链路层面的冗余，实现政务外网和环统网的故障切换。提升县区单位网络稳定性。,路由器下部署,综合网关设备,满足各处对,上网行为管理、应用防火墙等网络设备的要求,。,综合网关统一接入到各处集中管控平台，实现对各处设备的集中管理，统一进行策略下发和设备运维。,边界安全,传统边界,安全只是在事中堆叠防御,AV,IPS,WAF,FW,UTM/NGFW,WAF,方案,一,方案,二,事前,事中,事后,是否有新漏洞？,绕过能否检测？,能否快速响应？,缺乏检测和响应,有哪些资产？,有哪些漏洞？,是否有策略？,缺乏风险预知能力,安全日志碎片化,静态,策略,的防御，无法应对新威胁,割裂,的保护手段，难以协同配合,关注,事中的攻击，缺乏全过程保护,2,、割裂的,防御,手段,FW,IPS,WAF,漏扫,L,只能看见,碎片化,的攻击日志,只能看见,图形化,的统计报表,缺乏资产,/,风险的视角,1,、,碎片化的安全认知,碎片化,无效的,难看懂,难管理,投资高,用不好,192.168.1.23,DOS,攻击,SQL,注入,恶意软件,僵尸主机,DDOS,攻击,DNS,请求,192.168.5.X,D,enny,跨,站脚本,泛洪攻击,Strucks2,病毒,IE,漏洞攻击,系统漏洞攻击,蠕虫,permit,跨站伪造请求,木马,IP,flood,中间,件漏洞,webshell,Win,漏洞攻击,XSS,攻击,202.30.5.X,CRSF,攻击,熊猫烧香,网页篡改,200.2.3.X,网页木马,Linux,漏洞攻击,202.222.1.X,由此导致安全事件频发,根源：被,篡改无法及时发现，并快速响应,西南某,政府,因,网页篡改而被通报,根源：无法,及时发现新资产，并部署,策略,某企业,资产,变化导致的信息,泄露,结果：日志,散落在多设备，无专业安全人员，无法关联分析，至今不清楚原因。,某机关内,网数据库,密码,被,改,根源,：无法,及时发现业务是否存在最新漏洞，并更新,策略,某省政府厅级,单位,Struts2,漏洞被通报,根源：多设备分析定位困难；策略添加不及时，导致事故。,某省能源工业厅,持续被攻击导致业务瘫痪,根源：安全,体系中缺乏检测潜伏威胁的能力,某高校学生,机房肉鸡,泛滥,还,不知道,2,、攻击,日志的关联、防御的联动能有效提升防御的效果,3,、持续,检测被绕过的安全事件并快速看见快速响应更,关键,事前,不能预知风险,事中,无法有效防御,事后,无法及时发现被黑,案例,3,案例,4,案例,5,案例,6,1,、对资产变化、风险状况、策略有效性的预知是安全基础,案例,1,案例,2,解决之道,-,融合安全,事前,事中,事后,预知,防御,检测响应,让安全更有效、更简单,云平台设计,替换,仅需,x86,服务器和,交换机,借助,于超融合,技术,构建企业云,基础架构,超融合,一体机,交换机,企业云,基础架构,.,超融合,一体机,超融合,一体机,服务器,存储交换,外置存储,网络交换,安全,传统云基础架构,.,云,平台,-,建设模式,超融合一体机,架构完整,运维便捷,架构安全,敏捷交付,计算,网络,存储,安全,管理,云,平台,-,基础单元,云平台,-,扩展更简单,X86,服务器组合,超融合机柜,超融合机柜,超融合机柜,按需购买,随需而变,交付简单,按需,购买,，,精确控制成本,扩容简单，,业务不,停机,横向扩容无瓶颈，支撑业务高性能需求,配置按,3-5,年规划，超额投资,扩容需要数据迁移，风险高,存在单点瓶颈，无法支撑业务发展,云平台,-,故障处理更便捷,备件区,超融合机柜,超融合机柜,超融合机柜,更换区,冗余性高，单点故障不影响业务,事后合适时间替换节点，运维压力小,运维零排障，直接快速更换,从备件中替换即可，操作简单,单节点故障，存在业务中断,风险,故障处理紧急,程度高，运维压力大,设备,故障排障难度大,，修复周期长,设备返修，替换过程复杂,云平台,-,业务敏捷交付,，,所画即所得业务编排,Sangfor,cloud,深信服企业级云管理平台,云平台,-,可视,化极简运维和排障,服务器运维,存储运维,网络运维,安全运维,企业云运维,所画即所得,分钟级部署,一键定位故障,全资源管理,云,平台,-,全资源统一监控,平台监控,所有资源的监控,主机监控,服务器,IPMI,业务监控,业务的健康状态,流量监控,正,/,异常的流量,云平台,-,全方位资源预警,完善的平台风险预警机制,云平台,-,自动运维检测,平台提供自动运维检测功能，支持检测,软件,故障的同时，,也能检测硬件异常,云平台,-,全网流量可视,全网流量可视，并可以通过联通性探测工具实现一站式的故障定位,云平台,-,全方位业务监控,招式一,：,提供大屏监控、业务状态一目了然,通过,大屏实时展示,所有虚拟机、业务和数据库等健康状态。,招式二,：,主动探测业务可用性，并实时告警,主动探测业务系统，实时监控业务可用性，当业务出现故障时,，,通过,多种方式（短信、邮箱）告知管理员进行排障。,招式三,：,对,Oracle,、,SQLServer,、,WebLogic,等关键,应用,深入监控,可视化应用内部数据流，提供锁、,Session,、事件等待、解析、重做日志等细粒度性能指标情况,，,让,业务人员能更快识别应用瓶颈,。,PDU,云平台,-,真实的物理部署拓扑,云安全设计,云数据中心,-,深信服云安全设计,aFw,分布式,防火墙,Anti,Virus,Center,APP,Agent,OS,vNGAF,APP,Agent,OS,APP,Agent,OS,APP,Agent,OS,APP,Agent,OS,风险扫描,漏洞监测,Web,安全防护,入侵防御,aSwitch,分布式虚拟交换机,aSv,服务器虚拟化内核 内置,WAF,功能,应用层安全,网络层安全,平台层安全,租户层安全,云数据中心,-,深信服云安全设计,云数据中心,第三方云安全设计,通过部署在核心交换机旁的云安全资源池，实现对云平台内东西向和南北向的安全防护。,为每个业务系统、每个虚拟机配备不同的安全防护能力。提升云平台内部的安全防护水平,平台层安全设备,等保一体机,接入,出口设备,网络出口,云环境,引流口,引流口,引流交换机,核心,分支接入包,移动接入包,基础防护包,网站基础包,网站高级包,失陷主机包,南北向安全能力,东西向隔离,密码暴力破解,Webshell,检测,安全审计,数据安全,应用安全,安全生态能力,VM,操作系统,EDR,应用,VM,操作系统,应用,EDR,微隔离,端点防护,等保一体机管控平台,东西（,EDR,）向安全能力,EDR,受控流,等保一体机,虚拟机内部隔离,在每个业务虚拟机上部署安全防护组件,EDR,，以,agent,的形式存在，为每个业务虚拟机实现精细化的访问权限控制。实现业务虚拟机安全加固。,也,可以规避目前频繁爆发的勒索病毒问题。避免病毒在内网横向感染。,分支综合安全网关,各单位出口的最佳选择,县,区综合网关设计,传统网络架构,VS,综合,网关,架构,网络复杂度 低,业务稳定性 高,网络复杂度 高,单点故障多,无线,桌面,FTP,HTTP,CIFS,办公,OA,邮件,文件共享,打印服务,流量控制,防火墙,无线控制器,环统网,政务外网,环统网,政务外网,各单位综合网关设计,全网安全检测设计,安全检测设计,原先的安全建设大部分为安全防御设备投入。对全网的安全情况无法实现及时的感知。,通过部署安全感知平台，实现对全网安全日志的收集和分析。通过,大,屏展示的方式帮助管理人员及时感知内网风险，降低未知威胁对内网的影响,行为数据分析,行为集中管控设计,通过部署行为集中管理分析平台，实现对全网用户上网行为日志的集中存储和分析。,帮助管理人员对用户上网的流量分布、行为分布进行直观了解，为后续的策略调整提供数据依据,集中管理设计,县区集中管理,通过部署集中管理平台，实现对各单位出口综合网关的集中管理。,帮助管理人员对每个单位单位设备的运行状况进行预警和远程处理，降低省厅管理人员的运维压力。提升县区单位的故障恢复速度。,1,、基于,GIS,展示,的流量状态展示,2,、全网设备信息,3,、全网设备数量,1,、地市、县区划分组织架构,2,、每一个单位设备的运行情况，包括硬件设备和内部虚拟化产品,1,、网关内部虚拟组件告警,2,、硬件情况告警,谢谢！,MOMODA POWERPOINT,Lorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.,感谢您的下载观看,专家告诉,