华为USG6000下一代防火墙在敏捷网络应用场景

敏捷网络是针对传统企业网络而提出的一种新的企业网络解决方案，较之于传统的企业网络，敏捷网络在配置、维护以及业务响应等方面更简便、灵活、迅速。

敏捷网络根据不同的用户需求，主要包括业务随行、业务编排和安全协防3个主要应用场景。NGFW在不同场景充当不同的角色，满足各类应用需求。

业务随行

业务随行，也称作策略随行，是指在敏捷网络中，无论用户从何处接入企业网络，用户访问企业资源时的权限和体验（指用户访问企业资源时所享有的优先级和带宽）都一样，不受接入地点的影响。在图2-6所示的业务随行场景中，防火墙被部署在总部/分支网络的出口、数据中心的边界位置，主要提供用户身份认证和权限控制功能。位于总部/分支网络出口的防火墙除了做身份认证和权限控制以外，还可以为出差员工提供L2TP、L2TP over IPSec、SSL VPN等VPN接入业务，并为接入用户分配带宽资源，保证VIP用户流量优先转发。

图2-6  业务随行应用场景

业务编排

业务编排是指在敏捷网络中，所有用于做安全检测的设备被集中部署在安全资源池中，每个安全设备负责不同的安全检测任务。企业可以根据需要将经过核心交换机的流量按照指定的编排顺序，依次发往这些安全设备进行安全检测。图2-7所示是业务编排的应用场景，在该场景中防火墙位于安全资源池中，用于提供内容安全检测功能。防火墙旁路部署在核心交换机旁边，防火墙与核心交换机之间建立两条GRE隧道。当需要检测的流量到达核心交换机时，核心交换机会将该流量通过其中一条GRE隧道引导到对应的防火墙进行安全检查。防火墙做完检查以后，再通过另一条GRE隧道将流量回注到核心交换机。

图2-7  业务编排应用场景

安全协防

安全协防是一种提升企业网络整体安全防御能力的解决方案。该方案帮助企业管理员了解网络的健康程度、安全事件数量、类型和安全风险趋势等，并对具体安全事件进行监控和处理。如图2-8所示，防火墙作为安全日志上报设备，以SYSLOG格式向Controller上报网络中的病毒、入侵、木马、数据泄密等安全事件，Controller收到防火墙的安全日志之后，给出安全警示并下发隔离、阻断等安全联动动作给汇聚交换机，由汇聚交换机阻断这些安全隐患。

图2-8  安全协防应用场景