华为智能企业上网行为管理安全解决方案(2)

本文承接:
https://blog.csdn.net/qq_37633855/article/details/133339254?spm=1001.2014.3001.5501
重点讲解华为智能企业上网行为管理安全解决方案的部署流程

华为智能企业上网行为管理安全解决方案(2)

    • 课程地址
    • 方案部署
      • 整体流程
      • 组网规划
      • 基础网络配置
        • 路由规划
        • 安全区域规划
      • 高可靠性配置
        • 防火墙双机热备
        • ASG双机热备
      • 业务部署
      • 上网行为管理

课程地址

本方案相关课程资源已在华为O3社区发布,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)

课程地址:

  1. 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
  2. 点击“培训赋能 > 向导式学习”;

在这里插入图片描述

  1. 在向导式课程中选择《华为智能企业上网行为管理安全解决方案》即可看到课程相关内容。
    在这里插入图片描述

华为O3社区平台会有课程配套技术文档和模拟试题。课程所有内容均为本人开发,学习过程中如有任何问题可随时在O3平台课程下方或者本文评论区留言讨论~

方案部署

整体流程

华为智能企业上网行为管理安全解决方案整体部署流程如下:

在这里插入图片描述

  • 组网规划:设计方案底层组网与设备网络参数,确保设备合理部署;规划业务主备路径,保证业务韧性;
  • 基础网络配置:完成设备基础网络参数配置与路由配置,确保底层业务网络基础路由可达;完成防火墙安全区域划分;
  • 高可靠性配置:组建防火墙与ASG双机热备系统,提高整体网络可靠性,避免单点故障导致业务中断;
  • 业务部署:配置防火墙侧NAT技术与安全策略,确保客户业务可正常交互;
  • 上网行为管理:在ASG设备上基于客户具体需求配置对应的行为管理、行为审计策略,满足客户行为管理需求。

组网规划

华为智能企业上网行为管理安全解决方案组网规划如下图所示:

在这里插入图片描述

  • 出口交换机为企业出口设备,负责接入运营商访问外网;
  • 防火墙工作在三层,组建基于VRRP的主备模式双机热备系统,负责企业网络安全防护及NAT;
  • ASG设备通过网桥模式部署在防火墙与核心交换机之间,组建主备模式双机热备,负责企业上网行为管理;
  • 正常情况下业务走左侧主设备所在链路,主链路出现故障后,防火墙与ASG双机热备系统同步切换主备状态,将流量切换至右侧备用链路,保障企业关键业务不中断。

华为智能企业上网行为管理安全解决方案中使用到的网络地址段,具体规划如下所示。

在这里插入图片描述

说明:上表参数仅供参考,实际生产环境需根据实际情况合理调整。

基础网络配置

路由规划

以上文规划的网络参数为例,完成所有设备的接口IP地址后,需要在出口交换机和核心交换机上规划路由,基于本方案组网架构,具体的路由规划如下所示:

在这里插入图片描述
在这里插入图片描述

安全区域规划

防火墙是企业进行安全防护的核心设备,通过将业务网络划分为多个不同的安全区域,并根据企业的业务需求合理配置安全策略,即可实现域间业务流量的过滤,满足企业安防需求。本案例安全区域规划如下:

在这里插入图片描述

  • Untrust区域:主要用于连接外部网络,确保企业有上网能力。
  • Trust区域:主要连接企业内部业务网络,是防火墙重点保护的网络资产片区。
  • DMZ区域:主备防火墙之间的心跳线规划到DMZ区域中,实现防火墙双机热备功能。
  • Local区域:防火墙自身属于Local区域,主要包括防火墙的本地接口。

高可靠性配置

防火墙双机热备

为保证底层网络的可靠性,确保客户关键业务不因单台防火墙故障而中断,需组建防火墙双机热备系统,本方案选择基于VRRP的主备模式双机热备系统,具体配置流程如下:

在这里插入图片描述

  • 配置防火墙心跳接口,用于交互HRP报文与VGMP报文;
  • 配置HRP认证秘钥,确保防火墙双机热备系统安全性;
  • 配置Link-Group,将所有业务接口作为一个整体监控,便于及时发现链路或端口故障,完成业务路径切换;
  • 配置防火墙HRP设备角色,用于区分主备防火墙;
  • 开启防火墙HRP协议,组建主备备份双机热备系统。
ASG双机热备

为保证底层网络的可靠性,确保客户关键业务不因单台ASG故障而中断,需组建ASG设备HA系统,本方案选择HA主备透明桥模式,具体配置流程如下:

在这里插入图片描述

  • 工作模式选择主备;
  • 开启配置同步和运行状态同步;
  • 开启抢占模式,延迟时间建议和防火墙侧保持一致;
  • 选择HA通讯接口(同防火墙心跳接口);
  • 配置端口状态同步组(同Link-Group)监控业务线路;
  • HA主备配置同步(可选)。

业务部署

为保证客户上网业务可顺利交互,同时保护内网核心业务网段,需在防火墙上配置安全策略放行业务流量;配置源NAT技术,保证内外网通信正常,同时隐藏内网业务网段,保证企业内网安全,具体配置流程如下:

在这里插入图片描述

  • 在防火墙上配置安全策略,允许从Trust区域至Untrust区域的业务流量;
  • 在防火墙上创建公网地址池(建议使用防火墙上行接口IP创建地址池);
  • 在防火墙上配置源NAT策略,对流量源IP地址和端口进行转换,使得内网用户能够正常访问Internet。

上网行为管理

为规避企业各类上网业务安全风险、满足日趋严格的企业网安相关法律法规、避免网络资源的不合理使用,企业必须进行上网行为管理和审计。本方案将介绍华为ASG5510产品的以下功能来满足企业上网行为管理和审计需求:

在这里插入图片描述
具体实验操作可通过华为O3社区在线实验室预约相关实验进行操作练习,实验链接如下:

https://o3community.huawei.com/o3/1663500457860972546/detail?activeIndex=4&subIndex=1&o3src=https%3A%2F%2Fcn.o3.huawei.com%2Fcommunity%2Ftraining%2Flab-online-detail-shixizhi%3FlabType%3D1%26labId%3D5634%26domainCode%3DFORUM_221126001

在线实验界面如下:

在这里插入图片描述
本方案系列博客到此完结~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/92541.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python实用技术二:数据分析和可视化(2)

目录 一,多维数组库numpy 1,操作函数:​ 2,numpy数组元素增删 1)添加数组元素 2)numpy删除数组元素 3)在numpy数组中查找元素 4)numpy数组的数学运算 3,numpy数…

流程自动化(RPA)的好处有哪些?

流程自动化(RPA)是一种通过软件机器人实现业务流程自动化的技术。它可以模拟人类在计算机上执行的操作,从而自动化重复性、繁琐的任务,提高工作效率和准确性。流程自动化(RPA)的好处很多,下面我…

【数据结构】链表与LinkedList

作者主页:paper jie 的博客 本文作者:大家好,我是paper jie,感谢你阅读本文,欢迎一建三连哦。 本文录入于《JAVA数据结构》专栏,本专栏是针对于大学生,编程小白精心打造的。笔者用重金(时间和精…

Feign接口调用GET请求@RequestParam传参丢失

文章目录 问题现象排查解决GET加注解解决使用POST方式解决 时间戳传参失败 问题现象 项目使用的是Spring Cloud微服务,服务间调用使用的是Feign在一次服务调用时,发现GET传参丢失,没有传递过去任何参数加了RequestParam注解,发现…

计算机网络学习易错点

目录 概述 1.internet和Internet的区别 2.面向连接和无连接 3.不同的T 4.传输速率和传播速率 5.传播时延和传输时延(发送时延) 6.语法,语义和同步 一.物理层 1.传输媒体与物理层 2.同步通信和异步通信 3.位同步(比特同…

windows WSL配置cuda,pytorch和jupyter notebook

机器配置 GPU: NVIDIA Quadro K2000 与 NVIDIA 驱动程序捆绑的CUDA版本 但按照维基百科的描述,我的GPU对应的compute capability3.0,允许安装的CUDA最高只支持10.2,如下所示。 为什么本地会显示11.4呢?对此,GPT是这…

数学建模Matlab之优化类方法

本文还是来源于http://t.csdnimg.cn/P5zOD,但肯定不可能只有这些内容,否则那位作者应该会打我……,在这里,只是讲解优化类问题比较常用的方法,以TSP问题为例,适合入门。 模拟退火 模拟退火是一种概率算法&a…

OpenMesh 自定义Mesh附加类型

文章目录 一、简介二、实现代码三、实现效果参考资料一、简介 OpenMesh中自定义Mesh类型可以通过以下几个步骤完成: 选择Mesh为三角网格还是一般多边形网格。选择Mesh内核。通过所谓的Traits类参数化网格。通过这个萃取类可以添加任意类到网格项目,指定类型标量,点,法线和颜…

java接口怎么写

Java接口是一种定义规范的抽象类型,可以包含常量和方法的声明。接口在Java编程中具有重要的作用,可以实现代码的重用和灵活性。本文将详细介绍Java接口的编写方式和使用方法。 一、什么是Java接口 在Java中,接口(Interface&…

macOS - 使用 chromedriver

文章目录 下载对应的 chromedriver 下载 Chrome https://www.google.com/chrome/ 查看 版本 下载对应的 chromedriver http://chromedriver.storage.googleapis.com/index.html https://chromedriver.chromium.org/downloads 移动 sudo mv chromedriver /usr/local/bin/ $ c…

基于Cplex的人员排班问题建模求解(JavaAPI)

使用Java调用Cplex实现了阿里mindopt求解器的案例(https://opt.aliyun.com/platform/case)人员排班问题。 这里写目录标题 人员排班问题问题描述数学建模编程求解(CplexJavaAPI)求解结果 人员排班问题 随着现在产业的发展&#…

第43节——redux介绍

一、什么是状态管理 状态管理是指在应用中维护数据状态的过程。随着应用不断变大,维护和同步数据状态的复杂度也会变得更高,因此状态管理是一个重要的问题。 状态管理的目的是 减少状态的冗余,提高代码的可读性。 减少状态的重复&#xf…

AIGC 微调的方法

AIGC 的微调方法可以分为以下步骤: 数据准备:收集尽可能多的数据,包括输入和输出数据,并将其划分为训练集、验证集和测试集。 模型选择:选择合适的模型结构,例如多层感知器(MLP)、卷…

win+ubuntu双系统扩容挂NTFS硬盘

ubuntu下查看 win下划出分区,进入ubuntu,打开终端 df -h 新建目录,挂载磁盘 sudo mkdir /home/zgf/dpdata 在win下磁盘为ntfs格式,转为ext4 sudo mkfs.ext4 /dev/nvme1n1p5 //nvme1n1p5为挂载盘名 临时挂载sudo mount /de…

WPF 02

Grid容器 分行和分列 <Grid><Grid.RowDefinitions><!--2*&#xff1a;此行是下面一行的两倍--><RowDefinition Height"2*"/><RowDefinition/></Grid.RowDefinitions><Grid.ColumnDefinitions><ColumnDefinition/>…

【AI视野·今日Robot 机器人论文速览 第四十四期】Fri, 29 Sep 2023

AI视野今日CS.Robotics 机器人学论文速览 Fri, 29 Sep 2023 Totally 38 papers &#x1f449;上期速览✈更多精彩请移步主页 Interesting: &#x1f4da;NCF,基于Neural Contact Fields神经接触场的方法实现有效的外部接触估计和插入操作。 (from FAIR ) 操作插入处理结果&am…

ESP8266使用记录(四)

放上最终效果 ESP8266&Unity游戏 整合放进了坏玩具车遥控器里 最终只使用了mpu6050的yaw数据&#xff0c;因为roll值漂移…… 使用了https://github.com/ElectronicCats/mpu6050 整个流程 ESP8266取MPU6050数据&#xff0c;处理后通过udp发送给Unity显示出来 MPU6050_Z…

TensorFlow学习1:使用官方模型进行图片分类

前言 人工智能以后会越来越发达&#xff0c;趁着现在简单学习一下。机器学习框架有很多&#xff0c;这里觉得学习谷歌的 TensorFlow&#xff0c;谷歌的技术还是很有保证的&#xff0c;另外TensorFlow 的中文文档真的很友好。 文档&#xff1a; https://tensorflow.google.cn/…

spring boot项目 mvn test 和 mvn clean install 和 mvn test-compile 识别不到测试类无法运行单元测试

测试类使用了junit4&#xff0c; spring boot 版本的test 框架自带的是junit5&#xff0c;不兼容。 按照spring boot 对应的版本的junit框架&#xff0c;修改测试类&#xff0c;比如我就修改了junit5。按照&#xff1a; https://docs.spring.io/spring-boot/docs/2.6.3/refere…

【2023年11月第四版教材】第17章《干系人管理》(第一部分)

第17章《干系人管理》&#xff08;第一部分&#xff09; 1 章节内容2 管理基础3 管理过程3.1 管理的过程★★★ &#xff08;22上44&#xff09;3.2 管理ITTO汇总★★★ 1 章节内容 【本章分值预测】大部分内容不变&#xff0c;细节有一些变化&#xff0c;预计选择题考2分&…