网站建设项目步骤,宁波优化网站厂家,wordpress怎么建立网站吗,石家庄企业网站建设价格本文承接#xff1a; https://blog.csdn.net/qq_37633855/article/details/133339254?spm1001.2014.3001.5501 重点讲解华为智能企业上网行为管理安全解决方案的部署流程。 华为智能企业上网行为管理安全解决方案#xff08;2#xff09; 课程地址方案部署整体流程组网规划…本文承接 https://blog.csdn.net/qq_37633855/article/details/133339254?spm1001.2014.3001.5501 重点讲解华为智能企业上网行为管理安全解决方案的部署流程。 华为智能企业上网行为管理安全解决方案2 课程地址方案部署整体流程组网规划基础网络配置路由规划安全区域规划 高可靠性配置防火墙双机热备ASG双机热备 业务部署上网行为管理 课程地址
本方案相关课程资源已在华为O3社区发布可按照以下步骤进行访问需要有华为账号哦普通的个人账号即可~
课程地址
复制链接 https://o3community.huawei.com/ 进入华为O3社区点击“培训赋能 向导式学习” 在向导式课程中选择《华为智能企业上网行为管理安全解决方案》即可看到课程相关内容。
华为O3社区平台会有课程配套技术文档和模拟试题。课程所有内容均为本人开发学习过程中如有任何问题可随时在O3平台课程下方或者本文评论区留言讨论~
方案部署
整体流程
华为智能企业上网行为管理安全解决方案整体部署流程如下 组网规划设计方案底层组网与设备网络参数确保设备合理部署规划业务主备路径保证业务韧性基础网络配置完成设备基础网络参数配置与路由配置确保底层业务网络基础路由可达完成防火墙安全区域划分高可靠性配置组建防火墙与ASG双机热备系统提高整体网络可靠性避免单点故障导致业务中断业务部署配置防火墙侧NAT技术与安全策略确保客户业务可正常交互上网行为管理在ASG设备上基于客户具体需求配置对应的行为管理、行为审计策略满足客户行为管理需求。
组网规划
华为智能企业上网行为管理安全解决方案组网规划如下图所示 出口交换机为企业出口设备负责接入运营商访问外网防火墙工作在三层组建基于VRRP的主备模式双机热备系统负责企业网络安全防护及NATASG设备通过网桥模式部署在防火墙与核心交换机之间组建主备模式双机热备负责企业上网行为管理正常情况下业务走左侧主设备所在链路主链路出现故障后防火墙与ASG双机热备系统同步切换主备状态将流量切换至右侧备用链路保障企业关键业务不中断。
华为智能企业上网行为管理安全解决方案中使用到的网络地址段具体规划如下所示。 说明上表参数仅供参考实际生产环境需根据实际情况合理调整。
基础网络配置
路由规划
以上文规划的网络参数为例完成所有设备的接口IP地址后需要在出口交换机和核心交换机上规划路由基于本方案组网架构具体的路由规划如下所示 安全区域规划
防火墙是企业进行安全防护的核心设备通过将业务网络划分为多个不同的安全区域并根据企业的业务需求合理配置安全策略即可实现域间业务流量的过滤满足企业安防需求。本案例安全区域规划如下 Untrust区域主要用于连接外部网络确保企业有上网能力。Trust区域主要连接企业内部业务网络是防火墙重点保护的网络资产片区。DMZ区域主备防火墙之间的心跳线规划到DMZ区域中实现防火墙双机热备功能。Local区域防火墙自身属于Local区域主要包括防火墙的本地接口。
高可靠性配置
防火墙双机热备
为保证底层网络的可靠性确保客户关键业务不因单台防火墙故障而中断需组建防火墙双机热备系统本方案选择基于VRRP的主备模式双机热备系统具体配置流程如下 配置防火墙心跳接口用于交互HRP报文与VGMP报文配置HRP认证秘钥确保防火墙双机热备系统安全性配置Link-Group将所有业务接口作为一个整体监控便于及时发现链路或端口故障完成业务路径切换配置防火墙HRP设备角色用于区分主备防火墙开启防火墙HRP协议组建主备备份双机热备系统。
ASG双机热备
为保证底层网络的可靠性确保客户关键业务不因单台ASG故障而中断需组建ASG设备HA系统本方案选择HA主备透明桥模式具体配置流程如下 工作模式选择主备开启配置同步和运行状态同步开启抢占模式延迟时间建议和防火墙侧保持一致选择HA通讯接口同防火墙心跳接口配置端口状态同步组同Link-Group监控业务线路HA主备配置同步可选。
业务部署
为保证客户上网业务可顺利交互同时保护内网核心业务网段需在防火墙上配置安全策略放行业务流量配置源NAT技术保证内外网通信正常同时隐藏内网业务网段保证企业内网安全具体配置流程如下 在防火墙上配置安全策略允许从Trust区域至Untrust区域的业务流量在防火墙上创建公网地址池建议使用防火墙上行接口IP创建地址池在防火墙上配置源NAT策略对流量源IP地址和端口进行转换使得内网用户能够正常访问Internet。
上网行为管理
为规避企业各类上网业务安全风险、满足日趋严格的企业网安相关法律法规、避免网络资源的不合理使用企业必须进行上网行为管理和审计。本方案将介绍华为ASG5510产品的以下功能来满足企业上网行为管理和审计需求 具体实验操作可通过华为O3社区在线实验室预约相关实验进行操作练习实验链接如下
https://o3community.huawei.com/o3/1663500457860972546/detail?activeIndex4subIndex1o3srchttps%3A%2F%2Fcn.o3.huawei.com%2Fcommunity%2Ftraining%2Flab-online-detail-shixizhi%3FlabType%3D1%26labId%3D5634%26domainCode%3DFORUM_221126001在线实验界面如下 本方案系列博客到此完结~
