华为多产品助力园区网安全解决方案

园区网安全建设的背景

未来园区网的演进方向，就是向着更大，更快，更智能的方向发展，其主要的特征包括：

更大：在保证安全接入的前提下满足各种终端，各种用户的随时随地的接入，网络的扩展性极大的提升。

更快：随着承载业务类型的不断更新，所需要的带宽和网络质量也不断提高，企业网向着更加高速，更可靠的方向发展。

更智能：当企业网承载的终端种类及业务种类越来越多的时候，如何保证企业园区网的服务质量，提供更加安全可靠的用户接入服务。

企业园区网延伸范围的变大，承载业务关键性的增强，接入用户种类的增多，接入终端种类的丰富化，接入业务类型的复杂化，这就要求作为关键承载的园区网能够对这些变化加以适应，满足企业业务发展的需要。综上所述，园区网的上述三点变化，对网络设备的功能及性能提出了更多的要求，并且对园区网络的安全和稳定性也带来更多的挑战。

园区网面临的安全挑战

随着园区网变得更大，更快，更智能，园区网面临的安全挑战也日益增加。随着越来越多基于各种违规接入，应用攻击和网络攻击等安全问题的爆发，园区网的安全状况也日益恶化。外来人员的随意接入，恶意的入侵和攻击、木马和病毒的泛滥、钓鱼网站的增多，企业内部威胁的滋长，缺乏有效的审计和管理手段等诸多安全问题，导致企业园区网络效率低下，企业业务的安全也受到了严重的威胁，也给企业带来了不同程度的经济损失。传统不成体系的安全防护不可避免地成为网络安全防护薄弱环节，无法真正满足目前园区网企业客户信息安全防护的需求。

外来人员随意接入，内部人员越权访问

多地域的协作方式使企业的办公范围和场所的弹性越来越大，同时接入企业园区的用户种类也在不断的增加。可能不局限于企业内部的员工，同时也包括了外部访问的员工、合作商以及供应商等。这些人员的接入对企业园区网络的可伸缩性及安全性带来了非常严峻的考验。企业园区网不仅需要使得接入用户便捷地获取其所需的数据，还必须对这些接入进行控制，实施统一的访问控制策略，保证其接入的安全性使企业的内部信息不发生泄漏。

如果企业园区网缺少良好的网络准入控制的机制，将会导致任意外来人员都可以私自接入企业园区网络，随意访问企业的敏感网络资源，甚至传播木马或病毒程序。同时，如果对接入人员的园区网访问范围或上网行为没有进行有效的控制和管理，那么接入人员有可能会越权访问与其无关的企业机密信息，有意或无意的通过Internet将这些机密信息传播出去，并且存在感染病毒或木马的风险，这些都给企业造成巨大的经济损失。

分支机构或移动办公人员缺乏有效的安全机制接入园区网

随着企业业务的壮大、全球化的发展，园区网的规模也随之而扩大。伴随着企业异地分支园区的建立，越来越多的合作方和供应商的加入，如何保障这些不同地域的分支机构安全、便捷、可靠的接入企业园区网络，同时防止通信的链路被监听，防止数据被篡改，这是摆在企业管理者面前的安全痛点。

企业的壮大就不可避免要求业务被及时地处理，那么就存在要求出差员工或在家办公员工，能够便捷地访问总部资源及时处理办公事务的情况。而如何实现便捷访问，并确保通信的链路是安全可靠，不会被侦听，也是企业园区网络迫切需要解决的问题。

另外，随着笔记本的大量普及以及智能手机、平板电脑等智能终端的流行，越来越多的企业员工将移动终端设备引入了企业网络，BYOD(Bring Your Own Device，自带设备办公)已经成为一种潮流。移动办公在推动办公形式的多元化、灵活方便的共享企业资源、提高工作效率的同时，也给企业统一的安全策略带来新的挑战。

遭受来自Internet或Intranet的恶意攻击和入侵

在利益的驱使下，企业的网络总会遭受到来自某些不法份子甚至是竞争对手的恶意攻击和入侵，从而达到不可告人的目的。而作为企业业务承载的关键平台--园区网，则是不法份子或竞争对手的重点关注对象。如何保障企业业务安全稳定的运行以及在网络中稳定可靠的传输，则是每个企业CIO都需要考虑的问题。

DDoS是当下最流行和危害极大的攻击方式，是一种可以造成大规模破坏的黑客武器，它通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备（如防火墙、路由器等）负载过高，从而最终导致系统崩溃，无法提供正常的服务。

同时，各种层出不穷来自园区网内部或外部的网络入侵或攻击，如：木马入侵、蠕虫攻击、DoS攻击、代码攻击，也容易造成公司网络瘫痪或业务中断。如：因公司网站被黑，公司网站访问不了；或因感染蠕虫病毒，造成网络瘫痪；或公司网络或数据中心被入侵，造成公司内部数据泄露等。

如果企业的园区网因遭受到DDoS攻击或者入侵，而造成网络或服务器瘫痪，内部数据的泄露，那都会给企业带来不可估量的经济损失。

网络区域划分不合理，内外网的不同安全等级区域无有效隔离，病毒容易扩散

目前很多企业对园区网的内部和外部只是进行了简单的隔离，不能有效防护园区网Internet出口的安全，阻止园区网遭受来自Internet的安全威胁。另外，很多企业也没有对内网不同的网络区域进行安全隔离，不同的业务部门之间没有建立安全访问边界。一旦某个业务部门感染病毒后，病毒极其容易肆意扩散，给企业内网造成巨大的安全隐患。

如果园区网内部没有专业的防病毒设备对网络中传输的流量进行病毒检测和消除，一旦企业园区网的内部网络感染病毒，将无法避免病毒在企业园区网中进行传播，破坏或窃取企业资源。

IT运维面临巨大的挑战

随着园区网规模的扩大，园区网部署了大量的网络，安全以及服务器设备。设备增多和多元化，必然带来信息安全问题，而这些安全问题的发生往往涉及多个网络，安全或服务器设备。这些设备产生的日志事件彼此独立，没有任何联系，无法给企业IT运维人员提供有力的数据以帮助其完整分析整个安全事件。此外，各个设备有不同的维护团队，发生安全问题进行排错时，常常是各自为阵。因此对于企业信息安全来说，迫切需要一个统一的安全事件告警中心，能迅速产生精确的安全告警，定位安全问题，以帮助他们采取相应的响应措施，来保障企业业务的正常运营。

由于园区网络的规模各异，所使用的网络及安全设备也纷繁复杂，如何更好更方便的对网络设备进行管理，也是每个IT运维人员优先需要考虑的问题。然而，网络设备的管理又存在着范围跨度大，设备类型复杂，管理信息多样性等问题，如何更好的解决这些问题，网络管理就显得尤为重要。

此外，面对系统和网络安全性、IT运维管理和IT内控外审的挑战，管理人员需要有效的技术手段，按照行业标准进行精确管理、事后追溯审计、实时监控和警报。如何提高系统运维管理水平，满足相关标准要求，防止黑客的入侵和恶意访问，跟踪服务器或数据库的操作行为，降低运维成本，提供控制和审计依据等安全问题，也越来越困扰着企业。

当前企业园区网面临的安全挑战呈现多样化、复杂化，因此企业用户需要的也不再是单一层面的安全产品，需要的是立体、全面，可靠的安全解决方案。企业迫切需要找到一种稳定，可靠，策略强大，端到端的园区网整体安全解决方案，以保证企业园区网实现从内到外，从单一到整体，立体全面的信息安全建设。

园区网安全解决方案概述

华为公司以世界级的安全能力中心，优秀的安全解决方案团队为基石，立足于强大的电信级安全硬件系列产品，整合其它多功能软件安全产品，为企业客户打造环境适应性强、体验友好、可靠性高的园区网安全整体解决方案。

该解决方案立着眼于企业当前安全威胁痛点，如：“外来人员随意接入，企业内部人员越权访问导致企业信息泄密；园区网的网络边界隔离手段单一，内部网络区域划分不合理，容易遭受攻击和传播病毒，造成核心业务中断，网络瘫痪；远程分支机构或移动办公人员缺乏有效的安全机制接入园区网络；缺乏有效的分析，管理，审计手段，跟踪安全事件等，以防、控、管、治，审为根本手段，通过多项易于部署和管理的精细化设计，给客户带来安全可靠、运行无忧的管理体验，并且能够最大限度的帮助企业减少因安全问题造成的经济损失，节约企业的运营成本。

方案组成

通过分析园区网的安全诉求，华为公司给出立体层次，全面防护，安全可靠的安全解决方案。园区网安全解决方案立足于强大可靠的安全准入机制，安全可靠的远程接入方式，强大的攻击防护和入侵检测能力，高业务连续性的设计，实时智能的统一安全运行状态的监控和管理平台，为企业用户打造立体的安全防护体系。整个解决方案涵盖五个维度（内网安全准入，远程安全接入，攻击防护，网络边界防护，安全管控/设备管理/安全审计），包括多个子安全解决方案。全景图如下：

华为园区网安全解决方案全景图

华为园区网安全解决方案以立体层次，全面防护，安全可靠为出发点，立足于领先的技术优势，为客户的园区带来良好的运营态势，成就客户的业务价值。

立体层次：关注园区网的安全准入，远程接入，边界防护和攻击防护等安全维度，并对园区网由外到内的安全设备和行为进行管理和审计，助力企业打造立体的安防体系。

全面防护：立足于防、控、管、治、审等安全防护面，提供全系列的信息安全防护产品与专业化的安全解决方案，为园区网企业客户提供全方位的安全保障。

安全可靠：以业界最强的网络协议分析团队以及最全的协议知识库为根本，以业界领先的研发能力和专利技术为导向，设计出由业界最稳定最可靠的安全产品组成的安全解决方案，保障园区网的可持续运营，业务永续。

方案特点

华为园区网安全解决方案拥有业界网络准入控制环境适应能力最强，应用识别能力最高的安全准入解决方案；拥有全面融合，功能丰富，性能可靠，安全性高的远程安全接入解决方案；拥有全面防护，高性能，高检测率，高攻击响应，高可靠性，并能足够细致地评估和保证企业安全解决方案合理性的攻击防护安全解决方案；拥有提供完整防火墙功能和UTM扩展能力，高病毒检测率，涵盖有线到无线统一安全接入的边界防护安全解决方案；拥有领先的全面设备日志采集性能，强大的关联分析引擎感知安全态势，完善的安全服务体系，可视化和高效率的安全设备管理，全面审计安全行为的安全管控、管理和审计安全解决方案。

华为园区安全解决方案是业界领先且能提供全面防护的安全解决方案，各子方案使用的安全产品拥有业界领先的安全能力，并且可靠性高，管理平台开发兼容第三方厂家的安全产品，方便扩容和管理。

园区网安全解决方案之安全准入

终端安全接入控制解决方案

华为终端安全接入控制解决方案，从接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证企业中每个终端的安全性，保护企业网络的安全性。

华为终端安全接入控制解决方案的网络准入控制环境适应性强，终端用户体验一致且友好；管理方便，能有效降低运维工作量；能灵活扩展，支持云知识库更新；安全可靠，运行无忧；功能全面，涵盖终端安全管理所有方面。

上网行为管理安全解决方案

华为上网行为管理安全解决方案，专注于Web安全威胁，Web以及应用控制两个维度，拥有业界最丰富的应用识别库，最全面的威胁防护库，并提供URL过滤，应用行为控制，流量管理，恶意软件防护，数据防泄密，上网行为审计等多项功能。它是为企业机构提供员工工作效率，营造安全办公环境，以及法规遵从的一体化上网行为管理安全解决方案。

华为上网行为管理安全解决方案，以覆盖超过6500+的URL分类库，超过1200种应用的识别能力，助力员工高效办公，高速上网；以由高检出率，全面检测，迅速感知的Web信誉构成的多重威胁防护体系，确保员工上网安全。

园区网安全解决方案之远程安全接入

远程安全接入解决方案

华为远程安全接入解决方案能够给客户提供一个安全稳定的网络互联及数据交互平台，有助于提供企业信息化程度，实现实时的信息分享，优化企业商业运作的效率。通过运营商或专网部署企业VPN（企业大中型分支机构互联），对企业的不同业务实现安全隔离，保证企业业务高质量的运行，同时可针对不同的业务作不同的QoS。通过部署专业的SSL VPN，可以为出差员工提供用户接入认证和数据加密，以保障出差员工可以随时随地接入企业园区，同时保障员工与企业之间数据交换的安全。

华为远程安全接入解决方案提供可提供丰富的接入方式，包括L2TP、IPSec、GRE、MPLS、SSL 等单一VPN接入方式，还支持L2TP over IPSEC、GRE over IPSEC等复合VPN接入方式，可以满足用户的大多数VPN接入需求；并且配置灵活，可靠性高，易维护，支持在线并发用户数与隧道数升级。

移动终端安全接入解决方案

华为移动终端安全接入解决方案从移动终端安全、网络传输安全、应用安全、敏感数据安全，以及安全管理五个维度对移动办公进行全方位防护，帮助企业在BYOD的高效率与信息安全之间找到最佳平衡点。同时，为应对日益复杂的移动化环境，通过一个简单的平台，支持各种应用的移动化迁移，给开发工作带来良好的扩展性，更好的控制成本，使企业在全球化业务中获得竞争力。

华为移动终端安全接入解决方案，拥有强大的移动办公安全接入能力，能提供最广泛的移动终端适应性，支持7大等主流平台，用户可自由选择移动终端类型；并且具有最丰富的移动终端安全接入方式，支持Web代理、网络扩展、虚拟桌面、应用集成、L2TP/IPSec VPN，用户可灵活选择使用。

另外，该方案还提供完备的整体安全防护，采用主机检查、访问痕迹清除和安全桌面技术，确保用户终端设备安全访问业务资源，避免成为攻击跳板。同时以丰富的身份认证和灵活的授权管理为根本，提供基于IP、端口、URL的细粒度访问控制，保证了用户访问的可控可管。

园区网安全解决方案之攻击防护

DDoS攻击防御安全解决方案

华为Anti-DDoS解决方案采用DPI检测技术，深入分析报文的每个字节，精心打造的“七层净化”架构可以有效识别流量型攻击、应用型攻击、扫描窥测型攻击和畸形包攻击等多种类型，确保流向客户的流量均为安全、正确的业务流量，基于应用的信誉防护体系和会话检测技术，提供业界首个“零误判”方案，支持所有攻击类型IPv4/IPv6共栈防御，防御种类业界第一。

华为Anti-DDoS解决方案是业界最“高”的解决方案，以基于DPI检测技术的高检出率，确保网络稳定运行；以秒级攻击响应的高响应速度，确保网络稳定运行。同时，它还是业界最“易”解决方案，易管理：低OPEX，图形化管理，灵活取证，方便管理；易扩容：低扩容成本。

实时入侵检测安全解决方案

华为提供防护-检测-响应一体化的实时入侵检测安全解决方案，帮助用户定位各种网络威胁，以及违反安全策略的流量，并提供详实、有效的指导措施。入侵检测安全解决方案面向Web2.0及云时代的网络安全问题，提供了虚拟补丁、Web应用防护、客户端保护、恶意软件防御、网络应用管控、网络及应用层DoS保护等功能。为园区网提供对网络基础设施、网络带宽性能、服务器及客户端的全面防护。

华为实时入侵检测安全解决方案，提供覆盖网络，从系统服务到应用软件的全面防护；以高速高效的检测引擎，进行全面的攻击检测；同时采用了虚拟引擎技术，可分区域部署检测规则；另外还提供完备的攻击特征库和专业的攻防团队以帮助改善方案。

安全渗透测试

华为安全渗透测试服务是由华为公司渗透测试专家从黑客的角度，对网络系统安全现状进行评估的一种方法。华为汇聚了一支多年从事安全攻防工作的信息系统安全渗透专家队伍，在业内具有较高声誉。渗透测试专家对园区网络环境进行深入的安全探测，识别网络漏洞，找出系统脆弱的环节，从而帮助用户快速地评估网络的安全状况。
华为安全渗透测试能足够细致地评估和保证企业安全解决方案的合理性，同时提供渗透测试报告来分析企业解决方案的合理性。

园区网安全解决方案之边界防护

边界访问控制安全解决方案

华为提供边界访问控制安全解决方案，对园区网内外网进行安全隔离，对园区网不同等级的安全区域进行安全隔离。阻止来自Internet的威胁，降低企业的安全风险，多安全区域隔离防护，确保企业内部威胁不能肆意扩散。

华为边界访问控制安全解决方案采用高性能的安全设备，最高可达200G吞吐量，为企业Internet出口提供可靠安全防护，并可以承载多业务；部署灵活，产品型号齐全，可以为企业总部，以及特定分支机构提供全面Internet出口安全防护。

网络防病毒安全解决方案

华为网络防病毒安全解决方案采用源自Symantec的杀毒引擎及病毒签名库，支持对HTTP、SMTP、POP3及FTP协议的病毒查杀，支持对蠕虫、木马、扫描机间谍软件等攻击行为的检测和防御。AVE防病毒网关能全面防御网络中的病毒攻击和传播； 终端AV引擎保护终端免受病毒感染，阻止病毒向外传播； 服务器防毒软件保护服务器免受病毒感染。

华为网络防病毒安全解决方案采用文件级病毒扫描方式，保证病毒检测的完整性；提供仿真环境，虚拟执行技术，让病毒暴露其不良企图或者现出原形；通过静态启发式引擎实现一条签名覆盖上万种病毒变种；同时可在几小时内开发出新的脚本引擎并发布到工作的反病毒引擎上；以双引擎，立体防御，全面构建企业园区防病毒体系。

园区网安全解决方案之安全管控，设备管理和安全审计

统一安全管控中心安全解决方案

华为统一安全管控中心安全解决方案，能对IT设备和业务系统的日志集中采集、分类存储、关联分析，从海量安全事件中产生精确告警、定位安全问题，提升安全运维管理效率，并满足相关安全合规的要求。
华为统一安全管控中心安全解决方案能全面采集设备日志，实现集中化的企业日志管理，保护日志的完整性，使其满足日志合规性的要求。同时以领先的时间采集性能，实现海量数据的收集和分析，通过强大的关联分析引擎，帮助客户快速定位IT安全事件。

华为已经建立了安全基础库、安全能力研究中心、攻防试验室以及应急响应中心，并有一支强大的专业安全服务队伍，为统一安全管控中心安全解决方案提供安全能力保障，使其为客户实现最大价值。

统一设备管理安全解决方案

华为统一设备管理安全解决方案能够对现网中的安全设备进行统一管理，是安全解决方案的基础部分。 除了普通网管系统所具有的网元、拓扑、性能管理等通用功能外，针对安全设备特别开发了业务管理功能，包括安全策略集中统一配置，VPN集中管理，实时性能监控，IPS与NAT配置下发管理等功能，为用户提供了一个网络设备和安全设备统一的集中管理安全解决方案。

华为统一设备管理安全解决方案能够一网打尽全网的网络设备，轻松掌握设备最全面的状态数据；能够及时发现，快速精准的定位网络故障；以百万级的性能指标，监控并全面掌握网络和设备的运行状况；以高效的批量部署，轻松完成安全策略下发；提供最专业的VPN网络管理能力；同时以友好的拓扑管理功能，直观的了解网络结构，轻松定位网络设备。

上网行为审计

上网行为审计以可视化的审计报表，助力企业治理：面向管理层，提供办公效率、带宽利用、法律合规等综合和专项分析报表，协助发现问题，完善公司治理；面向技术层，提供10余种查询日志以及数十种单项分析报表，轻松发现、定位、处理问题。同时详尽记录用户上网行为和外发内容，并提供多种查询方式，满足企业内部治理和国家法规的要求。

运维安全审计

华为统一运维审计安全解决方案提供支撑系统维护的统一接入点，对维护操作进行集中管理，管理人员可以对支撑系统的用户和资源进行集中管理、集中授权、集中控制和集中审计；从技术上保证业务支撑系统安全策略的实施，保障业务支撑系统安全、高效的运行。

另外，华为统一运维审计安全解决方案支持字符终端、图形终端、数据库、应用终端、文件传输以及KVM运维方式，对运维操作全程跟踪和记录，提供事后快速故障定位和责任追踪，同时提供多种格式的审计报表和图表展示模板，最大程度满足数据中心运维管理需求。

方案涉及产品

华为结合用户需求和自身强大的技术平台，推出了端到端的安全解决方案，园区网安全解决方案涵盖五个维度（内网安全准入，远程安全接入，攻击防护，边界防护，安全管控、设备管理和安全审计）。

下面就华为园区网安全解决方案如何解决企业常遇到的安全痛点进行说明。

应用场景1：安全准入

应用场景说明：

禁止外来人员随意接入企业园区网，内部员工随意访问企业园区网敏感资源；禁止内部员工随意上网，访问与工作无关的网站等。

客户安全痛点：

外来人员随意接入企业园区网络，窃取企业敏感信息，传播病毒等；内部员工随意访问企业园区网机密资源（越权访问），机密信息被泄露等；内部员工访问与工作无关的站点，使用与工作无关的应用，造成工作效率低下，增加感染病毒的几率等。

华为安全解决方案：

终端安全接入控制（NAC），上网行为管理：

安全准入解决方案

客户价值：

采用终端安全接入控制方案（NAC）后，访问人员需要经过正确的身份校验和终端安全检查，才能接入企业园区网络，因此能有效禁止外来人员随意的接入企业园区网络，避免园区网络增大感染病毒的几率和企业内部敏感信息被随意访问的安全风险。同时，通过划分不同级别的访问区域，企业内部员工只能访问被授权的企业资源，能有效的避免企业机密信息被肆意的访问，导致机密信息扩散和泄露。

采用上网行为管理方案后，能避免员工使用与工作无关的P2P和在线视频等应用占用带宽；避免员工使用与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率；避免员工随意在网络上发帖和传输文件导致机密泄露；避免员工上网时受到病毒、木马和蠕虫等攻击或感染；避免员工通过网络从事一些黄赌毒等违法活动；避免员工浏览和发布不良言论导致企业面临法律风险。

应用场景2：远程安全接入

应用场景说明：

保障分支机构能够安全的远程接入企业园区网络；对于出差或在家办公的员工，保障其使用的移动终端安全的接入企业园区网络，并且只能访问被授权的区域。

客户安全痛点：

当分支与总部进行数据传输时，如果没有专线的话，传输数据容易被侦听和篡改。如果分支机构与总部通过Internet进行通信，容易被攻击和干扰，经常会出现中断。如果企业的园区网络与Internet隔离，当企业员工出差或者在家时，如何才能方便、快捷的访问总部资源，及时处理办公事务，同时这个链路是安全可靠的，不会因为被侦听导致泄密？如果员工在企业分支或者通过移动设备接入企业园区网，如何才能保证该员工只能访问被授权的企业资源？

华为安全解决方案：

远程安全接入，移动终端安全接入，终端安全接入控制（NAC）；

远程安全接入安全解决方案

客户价值：

分支与总部之间使用虚拟专网进行通讯，防止传输数据被侦听和篡改，保障业务安全性的要求，降低子业务系统的安全风险；另外特定用户只能访问被授权的特定资源，杜绝越权访问，保障信息安全。

对于员工出差或在家办公的情况，其使用的移动设备通过有线、无线或3G接入Internet，然后访问企业园区业务时，通过SSL VPN能够快速连入企业园区网，传输的数据经过复杂的加密算法和校验算法来保障数据的安全；并且移动办公用户需要经过身份认证，才能访问被授权的企业资源，最大程度保障信息安全。

应用场景3：攻击防护

应用场景说明：

增强园区网Internet出口处的安全防护，抵御来自互联网的DDoS攻击，避免企业web应用拒绝服务；对外来流量或园区内的流量进行入侵检测，防止各类恶意代码入侵企业园区网，窃取企业核心资源。

客户安全痛点：

Internet上僵尸网络工具和规模已经发展到数百种和数百万的规模，针对HTTP、HTTPS、SIP、DNS等应用层协议的各种类型的DDoS攻击层出不穷，超大异常流量造成企业园区网络带宽拥塞，对外业务瘫痪等，如果没有办法解决，企业用户则需要不断扩容链路和网络设备，以避免企业web应用拒绝服务。

由于攻击行为简单、破坏效果严重的特点，目前以经济犯罪、恶意竞争、网络暴力、政治报复、技术挑战等为目的DDoS攻击已经成为Internet上最常见的网络攻击行为，为企业带来了巨大经济和安全挑战。

另外，企业园区网缺少专业的入侵检测设备，对来自Internet的流量或园区内的网络流量进行防入侵检测。无法防止各类恶意代码入侵企业园区网，阻断黑客的攻击，避免黑客窃取企业机密资源。

华为安全解决方案：

DDoS攻击防御，实时入侵检测，安全渗透测试服务：

攻击防护安全解决方案

客户价值：

华为DDoS攻击防御安全解决方案能够帮助企业园区网从容应对来自Internet的海量DDoS攻击，确保网络稳定运行；全面防御各种应用层攻击，快速响应确保业务的持续；并且管理便捷，维护成本低，能够自助取证，支撑安全审计。

华为入侵检测安全解决方案能够帮助企业园区网抵御来自互联网或者园区网内部的各种恶意入侵，并及时阻断以保护企业敏感资源不会被窃取。同时通过对各种应用和服务器的监控，准确掌握企业用户的行为，及时发现网络或服务器的异常，避免损失扩大；另外检测的准确度和检测效率极高，能避免漏报和误报现象，以帮助管理员能够准确的捕获黑客的入侵行为。

安全渗透测试服务是由华为公司渗透测试专家以黑客的角度，对网络系统安全现状进行评估的一种方法。渗透测试专家对园区网络环境作深入的安全探测，并安全的识别网络漏洞，找出系统脆弱的环节，从而帮助用户快速地评估网络的安全状况。

应用场景4：边界防护

应用场景说明：

园区网内外网需要隔离，内网需要划分不同的网络区域，以避免安全威胁扩散；对外来流量进行病毒检测，防止病毒在企业园区网中进行传播。

客户安全痛点：

目前，很多企业的园区网只是进行了简单的内外网隔离，不能在园区网的Internet出口处，有效地阻止来自Internet上安全威胁。另外也没有对内网不同的网络区域进行隔离，不同的业务部门之间没有建立安全访问边界，当病毒爆发后极其容易在园区网中肆意扩散。

另外，园区网也缺乏专业的病毒检测设备，无法对园区网内传输的流量进行专业的病毒检测，防止病毒在企业园区网中进行传播，破坏或窃取企业资源。另外，传统的桌面杀毒软件也存在更新不及时，服务器缺乏专业的杀毒软件等问题，也给园区网的网络安全带来了极大的挑战。

华为安全解决方案：

边界访问控制安全解决方案，网络防病毒安全解决方案：

边界防护安全解决方案

客户价值：

华为边界访问控制安全解决方案能够帮助企业园区网防护来自Internet的威胁，保障企业园区网内外与Internet隔离；通过将不同业务部门划分到不同的安全区域，建立良好的访问控制机制，能够最大限度的阻止安全威胁的扩散；同时加强对核心企业资源以及高威胁区域的重点防护，能够保障这些区域免受病毒和黑客入侵的威胁。

华为网络防病毒安全解决方案能够对园区网络中传输的流量进行检测（基于文件级的病毒扫描），保证完全扫描出病毒，从而彻底杀死病毒，阻止病毒在企业园区网中进行传播，破坏或窃取企业资源。当出现新的病毒时，防病毒引擎能够在短时间内获取更新，及时杀死病毒，最大程度减少病毒带来的损失。另外，由于是部署在网络中，可以避免桌面终端的杀毒软件更新不及时，服务器未安装杀毒软件等问题。

应用场景5：安全管控，设备管理和安全审计

应用场景说明：

企业园区网需要一个统一的安全事件告警中心，迅速产生精确安全告警，定位安全问题；需要对随着企业园区网网络规模增长而增长的多种网络设备进行集中管理；需要一个统一的运维审计平台，记录网络管理人员的日常操作行为。

客户安全痛点：

企业园区网的安全问题的发生往往涉及多个安全设备、服务器、网络设备， 各设备产生的日志事件各自独立，无任何联系，无法完整分析整个安全事件；并且设备有不同的支持团队，发生安全问题进行排错时各自为阵。因此迫切需要一个统一的安全事件告警中心，迅速产生精确安全告警，定位安全问题。

随着网络规模增长，设备种类越来越多, 要求管理能力不断提高。网络的复杂性，“一片云”式管理向“可视化”管理的转变；网络结构复杂，需要更智能化的解决问题，快速处理故障；新设备，新业务的不断涌现，这些都对运维人员技能提出更高要求。

此外，怎样将用户在服务器上的操作行为变成透明可视，进而简单明了的管理服务器？系统管理员在服务器上做过什么操作，以及操作带来的安全风险？怎么知道灾难/事故发生的时间？怎么调查取证？怎么规范管理员的行为？怎么审计用户对服务器的操作？谁该对危险操作造成的事故负责？谁该对其的恶意操作负责？怎么进行责任鉴定等等，这些安全问题，都是企业CIO头疼和关心的，也是迫切需要解决的。

华为安全解决方案：

统一安全管理中心解决方案，统一安全设备管理解决方案，安全审计：

安全管控，设备管理和安全审计解决方案

客户价值：

帮助企业园区网管理员，通过对IT设备和业务系统的日志集中采集、分类存储、关联分析，从海量安全事件中产生精确告警、定位安全问题，提升安全运维管理效率，并满足相关安全合规的要求。

帮助企业管理员轻松掌握设备最全面的状态数据，及时发现并快速定位网络故障；全面掌握网络和设备的运行状况；轻松点击几下鼠标，即可完成数百台设备策略部署，数十倍节约部署成本，能够高效的完成网络初期建；并且直观的了解网络结构，轻松定位网络设备。

帮助企业管理员统一管理运维入口，集中权限控制，实现运维操作的规范化管理；完善组织的内控与审计体系，从而满足合规性要求，使组织能够顺利通过IT审计；有效防止误操作、滥操作以及越权访问对核心业务系统造成的破坏；快速的故障定位，提高故障处理效率；提供精准的责任鉴定和事件追溯。

安全准入

某银行全国内网安全准入解决方案：

某银行全国内网安全准入解决方案

某银行内网安全的挑战

在当前复杂的网络环境下，重要机密信息保护、终端系统安全访问控制、及时更新和安装防病毒系统、人员活动跟踪和审计记录等安全管理急需进一步加强，需要以技术手段预防和消除有可能出现的信息安全风险。

解决方案

TSM系统以接入控制技术为核心，策略强制为纽带，通过网络和系统两个层面来搭建终端安全管理平台，将现有终端的补丁管理、软件分发、防病毒、资产管理、信息安全、权限控制等相关技术进行有机的整合，通过技术手段辅助管理制度执行，防止不合规终端带来安全问题。采用分布式部署方案，全国35个地市和地区，共4100个终端。

客户利益

内网安全防护体系的建设使得病毒感染和信息泄密事件大大降低，IT系统可用性明显提升，并且有力保障了文档资料的安全，同时提供信息安全管理经验，双管齐下，从技术和管理两个方面为企业数据安全保驾护航。

某汽车制造商内网终端安全解决方案：

某汽车制造商内网终端安全解决方案

某汽车制造商内网安全的挑战

某汽车制造商园区的网络规格庞大，接入终端分散，且访客和不安全终端随意接入问题比较突出，终端数较多，防病毒和补丁防护措施实施困难，外设端口无法统一管理导致公司涉密信息外泄，办公行为也无法统一监管。

解决方案

部署华为TSM终端安全管理系统，通过在网络层部署专业安全接入控制网关，实现基于AD域帐号的身份认证和网络访问权限控制，保证企业内部每个终端的安全性和权限合理控制，保障企业终端、网络、核心资源的安全。

客户收益

解决了复杂环境下的内网准入控制问题，确保入网终端满足企业要求，降低信息泄密和病感染病毒的风险，提升办公效率，保证IT管理制度遵从性。

项目建设快，投资少，维护简单，同时可以大大降低企业后期运营维护成本。

远程安全接入

某酒业集团VPN互联项目

某酒业集团VPN互联项目

某酒业集团分支与总部互联的安全挑战

某酒业集团日益发展扩大，办事处、分支机构、出差员工以及商业合作伙伴逐步增多，如何将这些小型的办公网络、移动办公员工和集团总部网络进行经济灵活而有效的互联，并且与整个企业网络安全方案有机融合，提高企业信息化程度，优化商业运作效率，成为企业IT 网络建设亟待解决的问题。

解决方案

根据客户的建设需求，首先在集团总部部署USG5500系列万兆UTM防火墙，为集团总部提供全面的UTM防护功能，并作为各分支机构互联的核心节点。

其次，在人员较多的分支办事处部署USG2200系列千兆UTM防火墙，为各个分支机构提供全面的UTM防护功能，并且每个分支机构与总部的USG5500产品建立IPsec VPN互联，为分支和总部的数据传输提供安全加密保障。

最后在总部部署专业的SSL VPN设备SVN产品，为移动办公用户灵活的接入集团总部，访问总部资源提供安全的VPN保障。

客户收益

为某酒业集团客户构建了一整套在不安全的 Internet 之上的廉价、安全、私有的企业 VPN 网络，实现分支办事处、移动办公员工与集团总部安全的互联互通，避免了客户构建付费专网所需要的昂贵费用。

某保险公司SSL VPN安全接入项目

某保险公司SSL VPN安全接入项目

某保险公司移动办公用户接入内网的安全挑战

某保险公司企业内部运行有核心业务系统，办公相关的邮件、OA系统以及财务系统等。现有业务系统都部署于总部中心，所有非总部内网访问都需要通过IP网络以IPSec VPN方式接入。由于各地市业务团队移动性较强，原有的VPN设备不具备支持SSL VPN的能力，且功能简单不具备丰富的用户管理和权限划分等功能，给公司业务扩展带来不便。

解决方案

本次建设采用SVN3000一体化VPN设备，为该保险建立新的整合IPSec VPN和SSL VPN的VPN接入平台，原有的地市机构与总部间的IPSec VPN连接不变，为移动办公人员提供基于浏览器的SSL VPN接入方式。

基于用户权限及总部业务系统分类对访问授权进行管理。在总部网络出口处的VPN接入点控制各类用户可访问的内容，包括禁止非法用户进入，给部分授权用户打开相应的应用系统接口，为核心用户提供访问保障等。

客户收益

该保险公司采用新的统一VPN接入设备后，移动用户通过VPN访问总部内网的效率极大提高，有效支持一线人员快速扩展业务。利用权限划分，按业务系统进行管理等手段，保证正常访问同时，避免非授权人员访问公司核心数据。提高的了业务系统安全性。

攻击防护

某省政府机构工作场所网络安全项目

某省政府机构工作场所网络安全项目

某省某政府机构办公网络安全防护的挑战

“金保工程”作为劳动和社会保障电子政务工程，既是国家电子政务工程的组成部分，也是劳动和社会保险信息化建设的组成部分，包括办公网、业务专网和公众服务网的建设。

某省劳动保障信息化建设要以人力资源开发、就业服务和社会保障为重点，兼顾其他方面。要统一软件、统一数据、统一标准、统一设计，对内要切实增强监督管理和在线经办能力，对外要建立面向社会公众的信息化服务平台，以便提供网上查询、电话咨询、网上办理业务和一卡通，真正实现高效规范便捷的管理和服务。

解决方案

全网采用双平面设计，提高网络可靠性。

在数据内网，部署USG5000系列防火墙和NIP入侵检测产品对流经数据内网的流量进行检测和防护，保障数据内网的安全。

在公众外网，部署高端万兆USG9000系列防火墙，提供专业的DDoS攻击防护功能，保证公众外网的安全；部署SVN系列产品，提供专业的SSL VPN功能，保证远程移动用户动态接入的数据机密性。

客户收益

构建“某省模式”的社保信息化网络架构，为某省人力资源和社会保障两大领域的全区“五险合一”社会保险管理信息系统实现业务经办、公共服务、基金监管决策提供了强有力的支撑。

边界防护

某飞机制造公司网络安全项目

某飞机制造公司网络安全项目

某飞机制造公司园区网边界的挑战

随着业务不断发展，公司内部业务部门应用众多、结构复杂、覆盖地域广阔、涉及的部门和人员众多。业务部门面临各种安全威胁，例如：商业间谍、黑客、病毒蠕虫、木马后门、非法的合作伙伴、本地维护的第三方、内部员工无意的商业信息泄密等等。这些都对信息安全部门安全保障和防护工作提出了更高的要求。

解决方案

将基础网络平台分为：信息内网与信息外网两大部分；在每个区域的网络出入口部署USG防火墙设备，实现数据隔离、权限控制、防病毒、入侵防御等功能。

客户收益

设计一个覆盖公司各个部门、各个中心、各个系统的信息安全统一架构平台，实现公司宣传、设计、研发、行政等业务的统一信息安全管理，实现各个系统之间的互联互通，实现公司内部信息资源的安全交换与共享。

全面的安全业务支持能力，防火墙集成IPS、防病毒、URL过滤、VPN等安全功能，全面提升内部网络的安全性。

安全管控，设备管理，安全审计

某市卫生局区域医疗安全管理项目

某市卫生局区域医疗安全管理项目

某市卫生局内网运维的安全挑战

某市卫生局辖区医疗机构建设了完善的局域网，有效解决了高效互通问题，但是造成了该卫生局乃至其他医院的工作人员，包括医生、运维人员能随意访问核心的业务系统，获取相应的数据，非法牟利。现有的平台系统，缺乏登陆认证机制，且登陆数据库以后存在共享账号问题，无法实现事前控制和事后非法操作的审计工作。

卫生局作为行政管理机构，没有办法对全区信息安全事件进行集中的监管。医院的安全事件如果不上报，卫生局端很可能不知情，存在监管不力的风险。

华为解决方案

某市卫生局云数据中心部署一套统一安全管控中心iSOC，对市局和下属医疗机构的IT设备和业务系统进行统一管理。下属18家医院各部署一套UMA堡垒主机，对医院核心业务系统的运维和访问进行监管和审计；同时在各家医院部署一套UMA数据库审计系统，对HIS系统数据进行监控和审计，有效防范统方事件、病人信息泄露、恶意篡改数据等安全事件。

客户收益

通过部署UMA系统，解决了具有不同访问权限的人员，如：医生，护士以及运维人员，使用共享账号访问信息系统的问题；通过部署iSOC，实现了局中心对全局安全事件的统一监控，有效提升了全局安全管理水平。