1、 DOCPROPERTY Product&Project Name 園區網解決方案 DOCPROPERTY DocumentName 技術建議書華為專有和保密信息 版權所有 華為技術有限公司文檔版本 DOCPROPERTY DocumentVersion 01( DOCPROPERTY ReleaseDate 2011-09-15)華為教育城域網安全解決方案技術建議書 DOCPROPERTY Confidential 華為技術有限公司 STYLEREF Contents 目錄 DOCPROPERTY Product&Project Name 園區網解決方案 DOCPROPERTY Docume

2、ntName 技術建議書華為專有保密信息 DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT 版權所有 華為技術有限公司 PAGE i版權所有華為技術有限公司2016。保留一切權利。非經本公司書面許可，任何單位和個人不得擅自摘抄、復制本文檔內容的部分或全部，并不得以任何形式傳播。商標聲明和其他華為商標均為華為技術有限公司的商標。本文檔提及的其他所有商標或注冊商標，由各自的所有人擁有。注意您購買的產品、服務或特性等應受華為公司商業合同和條款的約束，本文檔中描述的全部或部分產品、服務或特性可能不在您的購買或使用范圍之內。除非合同另有約定，華為公司對本文

3、檔內容不做任何明示或默示的聲明或保證。由于產品版本升級或其他原因，本文檔內容會不定期進行更新。除非另有約定，本文檔僅作為使用指導，本文檔中的所有陳述、信息和建議不構成任何明示或暗示的擔保。華為技術有限公司地址：深圳市龍崗區坂田華為總部辦公樓郵編：518129網址： HYPERLINK 客戶服務郵箱： HYPERLINK mailto:ChinaEnterprise_TAC ChinaEnterprise_TAC客戶服務電話：400-822-9999華為教育城域網安全解決方案技術建議書 STYLEREF Contents 目 錄華為專有保密信息 DOCPROPERTY ProprietaryDe

4、claration * MERGEFORMAT 版權所有 華為技術有限公司 PAGE iii目 錄 TOC h z t Heading 2,2,Heading 3,3,Style1,1 HYPERLINK l _Toc474834211 1XX教育城域網安全需求 PAGEREF _Toc474834211 h 1 HYPERLINK l _Toc474834212 1.1 教育城域網安全風險分析 PAGEREF _Toc474834212 h 1 HYPERLINK l _Toc474834213 1.2 XX市教育城域網安全需求評估 PAGEREF _Toc474834213 h 2 HYP

5、ERLINK l _Toc474834214 2XX教育網安全方案設計 PAGEREF _Toc474834214 h 4 HYPERLINK l _Toc474834215 2.1 安全方案設計原則 PAGEREF _Toc474834215 h 4 HYPERLINK l _Toc474834216 2.2 安全方案整體設計 PAGEREF _Toc474834216 h 5 HYPERLINK l _Toc474834217 2.3 邊界安全防護方案 PAGEREF _Toc474834217 h 6 HYPERLINK l _Toc474834218 2.3.1 方案綜述 PAGERE

6、F _Toc474834218 h 6 HYPERLINK l _Toc474834219 2.3.2 NGFW防火墻威脅防護方案概述 PAGEREF _Toc474834219 h 8 HYPERLINK l _Toc474834220 2.3.3 Anti-DDOS異常流量清洗方案概述 PAGEREF _Toc474834220 h 10 HYPERLINK l _Toc474834221 2.4 Web網站安全方案 PAGEREF _Toc474834221 h 14 HYPERLINK l _Toc474834222 2.5 入侵防御方案 PAGEREF _Toc474834222 h

7、 17 HYPERLINK l _Toc474834223 2.5.1 簽名符合國際標準，漏洞快速防御 PAGEREF _Toc474834223 h 18 HYPERLINK l _Toc474834224 2.5.2 先進的環境感知能力，敏捷的引擎 PAGEREF _Toc474834224 h 19 HYPERLINK l _Toc474834225 2.5.3 本地和云端結合的IP&CC信譽體系 PAGEREF _Toc474834225 h 19 HYPERLINK l _Toc474834226 2.5.4 SSL加密流量的防御能力 PAGEREF _Toc474834226 h

8、20 HYPERLINK l _Toc474834227 2.6 行為管控安全方案 PAGEREF _Toc474834227 h 20 HYPERLINK l _Toc474834228 2.6.1 概述 PAGEREF _Toc474834228 h 20 HYPERLINK l _Toc474834229 2.6.2 P2P業務監控 PAGEREF _Toc474834229 h 21 HYPERLINK l _Toc474834230 2.6.3 用戶行為分析 PAGEREF _Toc474834230 h 21 HYPERLINK l _Toc474834231 2.6.4 異常流量

9、監控 PAGEREF _Toc474834231 h 22 HYPERLINK l _Toc474834232 2.6.5 垃圾郵件檢測 PAGEREF _Toc474834232 h 22 HYPERLINK l _Toc474834233 2.6.6 僵尸網絡檢測 PAGEREF _Toc474834233 h 22 HYPERLINK l _Toc474834234 2.6.7 智能流量鏡像 PAGEREF _Toc474834234 h 22 HYPERLINK l _Toc474834235 2.6.8 URL監控 PAGEREF _Toc474834235 h 23 HYPERLI

10、NK l _Toc474834236 2.6.9 管理IM即時通訊工具 PAGEREF _Toc474834236 h 23 HYPERLINK l _Toc474834237 2.7 統一管理安全方案 PAGEREF _Toc474834237 h 24 HYPERLINK l _Toc474834238 2.7.1 方案綜述 PAGEREF _Toc474834238 h 24 HYPERLINK l _Toc474834239 2.7.2 eSight集中網管方案概述 PAGEREF _Toc474834239 h 25 HYPERLINK l _Toc474834240 2.7.3 e

11、Sight方案特點 PAGEREF _Toc474834240 h 25 HYPERLINK l _Toc474834241 2.7.4 安全事件管理方案 PAGEREF _Toc474834241 h 25 HYPERLINK l _Toc474834242 3 設備清單 PAGEREF _Toc474834242 h 27 HYPERLINK l _Toc474834243 4 產品介紹 PAGEREF _Toc474834243 h 29 HYPERLINK l _Toc474834244 4.1 防火墻 PAGEREF _Toc474834244 h 29 HYPERLINK l _T

12、oc474834245 4.1.1 USG9500 T級下一代防火墻 PAGEREF _Toc474834245 h 29 HYPERLINK l _Toc474834246 4.1.2 USG6600下一代防火墻 PAGEREF _Toc474834246 h 30 HYPERLINK l _Toc474834247 4.1.3 USG6500下一代防火墻（桌面型） PAGEREF _Toc474834247 h 32 HYPERLINK l _Toc474834248 4.1.4 USG6500下一代防火墻（盒式） PAGEREF _Toc474834248 h 33 HYPERLINK

13、l _Toc474834249 4.1.5 USG6300下一代防火墻（桌面型） PAGEREF _Toc474834249 h 34 HYPERLINK l _Toc474834250 4.1.6 USG6300下一代防火墻（盒式） PAGEREF _Toc474834250 h 36 HYPERLINK l _Toc474834251 4.2 NIP入侵防御系統 PAGEREF _Toc474834251 h 37 HYPERLINK l _Toc474834252 4.2.1 NIP6000 下一代入侵防御系統 PAGEREF _Toc474834252 h 37 HYPERLINK l

14、 _Toc474834253 4.2.2 NIP2000/5000入侵防御系統 PAGEREF _Toc474834253 h 39 HYPERLINK l _Toc474834254 4.3 ASG2000上網行為管理產品 PAGEREF _Toc474834254 h 41 HYPERLINK l _Toc474834255 4.4 SVN5600/5800安全接入網關 PAGEREF _Toc474834255 h 42 HYPERLINK l _Toc474834256 4.5 WAF2000/5000 Web應用防火墻 PAGEREF _Toc474834256 h 44 HYPER

15、LINK l _Toc474834257 4.6 LogCenter 安全事件管理中心 PAGEREF _Toc474834257 h 46 HYPERLINK l _Toc474834258 4.7 FireHunter6000沙箱 PAGEREF _Toc474834258 h 47 HYPERLINK l _Toc474834259 4.8 DDoS攻擊防御 PAGEREF _Toc474834259 h 48 HYPERLINK l _Toc474834260 4.8.1 AntiDDoS1000 DDoS防御系統 PAGEREF _Toc474834260 h 48 HYPERLIN

16、K l _Toc474834261 4.8.2 AntiDDoS8000 DDoS防御系統 PAGEREF _Toc474834261 h 49 HYPERLINK l _Toc474834262 4.9 網管 PAGEREF _Toc474834262 h 50 HYPERLINK l _Toc474834263 4.9.1 eSight PAGEREF _Toc474834263 h 50華為教育城域網安全解決方案技術建議書 STYLEREF Style1 n * MERGEFORMAT 4 STYLEREF Style1 * MERGEFORMAT 產品介紹華為專有保密信息 DOCPRO

17、PERTY ProprietaryDeclaration * MERGEFORMAT 版權所有 華為技術有限公司 PAGE 52XX教育城域網安全需求教育城域網安全風險分析教育信息化是國家信息技術發展的重要組成部分，而作為教育網絡的延伸，區域教育城域網連接區域范圍內的中小型教育機構，為區域內國民中小學教育提供信息網絡服務，對包括教務信息的管理、教學資源的分享傳播、教學業務以及教學安全的管理控制等各個教學信息化方面提供基礎保障。教育信息化建設依托于網絡的發展，隨著互聯網的飛速發展，網絡中的安全風險與日俱增。在教育網領域主要體現在：信息外泄學校科研成果、文獻、師生檔案、教育決策、財務數據等資料越來

18、越容易外泄內部師生上網行為不規范，可能造成信息非法外泄考試試題竊取，學生考試成績被篡改；惡意攻擊惡意大流量攻擊，使教育網站陷入癱瘓；攻擊終端：通過網絡攻擊在終端置于木馬，竊取機密信息攻擊服務器：通過攻擊服務器獲取權限，竊取信息數據上網行為不規范學生訪問非法網站、發布反動或敏感言論，造成違規違法大型游戲、P2P下載侵占學校帶寬，使正常教學應用受阻師生網絡行為無記錄、無留存，造成安全時間溯源無據安全管理網絡設備多，安全事件獨立，無法端到端分析安全事件當安全事件發生時，如何快速定位解決并分析回溯安全策略如何集中快速部署尤其是近年來，教育網絡安全事件層出不窮，教育網站非法篡改、教務系統被入侵竊取考題、

19、非法篡改成績、教育網站被攻癱等惡意事件屢見不鮮。對教育網的網絡安全建設提出了史無前例的挑戰，急需全面加固教育城域網的網絡安全建設，打造健康、綠色、穩固、高校的新一代教育網。XX市教育城域網安全需求評估安全需求評估表安全區域存在問題及風險風險等級部署建議部署價值網絡出口區大流量僵尸網絡攻擊應用層拒絕服務攻擊僵尸、木馬、蠕蟲入侵、APT攻擊基于瀏覽器和應用漏洞發起的客戶端攻擊高DDoS防護設備防火墻（FW+IPS）沙箱FireHunter解決DDoS攻擊、APT攻擊、業務非法訪問、NAT轉換、遠程用戶安全接入，流量控制問題Web網站區網站篡改網站掛馬、感染病毒跨站腳本攻擊SQL注入、掃描器掃描、敏

20、感信息泄露、盜鏈行為等攻擊高防火墻（FW+IPS）WEB防火墻解決非法業務訪問，病毒防護，WEB防護，入侵檢測問題應用和數據區惡意攻擊和非法入侵核心數據被非法訪問審計記錄不足數據泄露與篡改高防火墻（FW+應用管控）IPS設備數據庫審計解決業務非法訪問，入侵檢測，數據庫審計問題學校、教學機構學生沉湎網絡游戲電影下載、大型游戲等占用教學帶寬學生在發帖、網頁瀏覽過程中存在違規違法行為缺乏上網記錄，無法追溯事件緣起中UTM上網行為管理解決業務非法訪問，病毒傳播，入侵檢測，上網行為管理，流量控制問題管理區無法了解安全現狀、及時感知安全事件人為誤操作錯誤、濫用權限審計記錄不足，究責困難無法滿足法律法規的要

21、求低防火墻（FW+IPS）安全接入系統運維審計系統解決業務非法訪問，安全事件關聯、安全設備管理與運維審計問題 XX教育網安全方案設計安全方案設計原則通過對XX教育城域網的深入分析，建議網絡安全方案在設計時應遵循如下原則：安全性原則充分保證系統的安全性。使用的信息安全產品和技術方案在設計和實現的全過程中有具體的措施來充分保證其安全性。可靠性原則保證產品質量和可靠性，對項目實施過程實現嚴格的技術管理和設備的冗余配置，保證系統的可靠性。先進性原則具體技術和技術方案應保證整個系統具有技術領先性和持續發展性。可推廣性原則方案及其采用的技術應該支持系統規模的擴大和網點數量的增加，易于廣泛推廣。可擴展性原則

22、IT技術的發展和變化非常迅速，方案采用的技術具有良好的可擴展性，充分保護當前的投資和利益。兼容性原則要求系統的標準化程度高，可以做到不同應用系統間的完全兼容；同時，也可以根據特殊的要求給出不兼容的設計。可管理性原則所有安全系統都應具備在線式的安全監控和管理模式。遵循以上設計原則，華為提供了完整的教育城域網安全方案，如下詳述。安全方案整體設計根據每個安全區域的不同需求和特點，XX教育城域網整體安全方案由若干個子方案組成。在信息中心機房電信出口、市教委出口，采用邊界安全防護方案，通過部署下一代防火墻和Anti-DDOS異常流量清洗系統來抵御各種網絡安全威脅、大流量攻擊，通過出口的用戶行為管理、協議

23、識別、應用管控來優化網絡訪問行為、出口帶寬使用效率。在機房的web服務器區，采用web網站防護方案，通過部署下一代防火墻、web應用防火墻，有效防護各種針對教育網網站的跨站腳本攻擊、注入攻擊、請求偽造攻擊、網站掛馬、惡意掃描等，保障web網站的安全平穩運行。安全方案整體設計在濱機房數據中心出口，采用數據中心防護方案，通過部署下一代防火墻、IPS入侵防御設備，防范各種針對服務器的漏洞攻擊，并提供抵御木馬后門、廣告軟件、惡意程序等惡意軟件的能力，保障數據中心的數據完整性、安全性、真實性和穩定性。在XXX個教學機構，包括XX市中小學、教育社區、教育部門的網絡出口，采用上網行為管理方案，部署基于應用的

24、下一代防火墻設備。對師生的上網行為、發帖內網、流量使用等情況進行全面管理，防止教學流量被電影、游戲流量侵占，避免學生發表不當言論，同時防止各種病毒、木馬、蠕蟲等入侵到教育機構網絡。在信息中心機房，針對遠程維護、安全管理問題，采用統一安全管理方案，部署安全接入網關和esight集中網管系統，對管理員的遠程維護、師生的遠程接入進行身份認證、權限管理，對全網海量的網絡事件進行有效識別，形成統一有效的管理策略，提高網絡管理的有效性。邊界安全防護方案方案綜述在信息中心機房電信出口、市教委出口，采用邊界安全防護方案，通過部署下一代防火墻和Anti-DDOS異常流量清洗系統來抵御各種網絡安全威脅、大流量攻擊

25、，通過防火墻和沙箱FireHunter聯動，構建一個基于文件檢測的APT防御方案，對各種未知威脅進行防御，通過出口的用戶行為管理、協議識別、應用管控來優化網絡訪問行為、出口帶寬使用效率。邊界安全防護方案網絡深層防護基于DPI的七層DDoS防護 通過防火墻進行安全域劃分，DMZ域隱蔽、訪問控制 基于漏洞和啟發式的入侵檢測，對付新型/變種攻擊 對零日漏洞和采用高級逃逸技術的APT攻擊進行有效防御網絡高性能防護單臺Anti-DDoS設備性能達1Tbps，10000個IP地址精細化防護，100萬個IP地址的普通防護 平均無故障時長50萬小時，99.9999%可靠性 七層防御架構，全面防御應用層攻擊和I

26、PV6攻擊 秒級檢測、秒級清洗 易管理易擴容 分布部署，集中管理；差異化防御、豐富報表；靈活取證方式，方便審計 線性擴容，提高投資利用率，節約擴容成本 NGFW防火墻威脅防護方案概述精準的應用訪問控制 在Web2.0時代，社交網絡、即時通訊工具廣泛應用，學校能夠更輕松地進行溝通、共享信息。一個重要的特點是應用數量多，多數基于http協議，使用相同的端口。傳統防火墻產品主要通過IP地址和協議端口感知網絡，無法感知用戶、業務環境和應用層信息。而感知是實現訪問控制和安全防護的基礎，只有全面感知用戶及業務環境，才能對業務和應用采用精確動作，實現對學校信息安全的全面防護。 華為USG系列防火墻通過“應用

27、（Application）、內容（Content）、時間（Time）、用戶（User）、威脅（Attack）和位置（Location）”六個維度解析學校的業務流量，并結合各種維度進行防護： 應用：綜合運用特性識別、端口識別、關聯識別、行為識別等技術手段，準確識別包括移動應用及Web應用內的6000+應用協議。通過應用感知可以區分各類應用流量，不病毒掃描結合，發現隱藏于應用中的病毒，木馬和惡意軟件，識別隱藏在應用中的威脅和攻擊。 用戶：通過Radius、LDAP、AD等8種用戶識別手段，將流量中的IP地址不現實丐界中的用戶信息聯系起來。感知到用戶后，在逡輯上將流量做了更精細的區分，為基于用戶的安

28、全管理提供了基礎。 威脅：基于特征檢測，支持超過3000+特征的攻擊檢測和防御。支持Web攻擊識別和防護，如跨站腳本攻擊、SQL注入攻擊等。可以識別和防范SYN flood、UDP flood等10+種DDoS攻擊，識別500多萬種病毒。采用基于云的URL分類過濾，預定義的URL分類庫已超過8500萬，阻止員工訪問惡意網站帶來的威脅。 內容：對傳輸的文件和內容進行識別過濾。能對Word、Excel、PPT、PDF、RAR等30+文件進行還原和內容過濾，防止學校關鍵信息泄露。支持識別100+種文件類型，防止通過修改后綴名的病毒攻擊和數據泄露。 時間：記弽流量異常戒安全事件發生的時間，為事后審計提

29、供依據。 位置：不全球位置信息結合，識別流量發起的位置信息；根據位置信息可以實現對不同區域訪問流量的差異化控制。支持根據IP自定義位置。 全面的未知威脅防護 未知威脅是指暫時未掌握特征的威脅。未知威脅主要的攻擊方式是郵件和WEB訪問。用戶在接收郵件時下載了惡意附件，點擊郵件內容中的惡意URL鏈接，戒訪問WEB網站時執行了惡意攻擊腳本戒下載惡意文件，都會觸發未知威脅的攻擊。由于缺乏已知的特征，安全設備面對未知威脅束手無策。 FireHunter與NGFW聯合部署后，可以使用戶在通過NGFW抵御已知安全威脅的基礎上，同時具備防御惡意文件和網站等未知威脅的能力，對于惡意程序或載有惡意代碼的其他文件，

30、華為的解決方案能夠從網絡和文件等多個層面進行全面檢測和深度分析，及時發現潛藏于數字洪流中的高級未知威脅。從而提升整個網絡的安全性。未知威脅防護解決方案運行流程如下：文件還原。流經NGFW的網絡流量，在匹配了預配置的安全策略之后，將被過濾并還原出流量中承載的文件。文件檢測。NGFW還原出文件之后，根據預配置的策略，可以先進行IPS檢測和AV檢測，對于仍不能確認是否是惡意的文件（可稱作未知文件），則將其送到沙箱進行更深入的檢測和分析。沙箱在檢測完成之后生成檢測結果并本地保存。結果查詢。NGFW定時向FireHunter查詢未知文件的檢測結果，可以一次查詢一個，也可以一次查詢多個。日志上報。查詢到的

31、檢測結果如果是惡意或可疑文件，NGFW將生成日志并報給LogCenter，而對于正常文件則不必上報。威脅呈現。LogCenter匯總并分析NGFW以及其他網絡設備上報的日志，統一呈現全網安全態勢，以及惡意和可疑文件的發現趨勢、類型占比、文件傳播軌跡、下載用戶列表以及疑似中招用戶的網絡軌跡等，給安全管理員一個直觀可視化界面，方便采取進一步的隔離或其他管控措施。優異的性能體驗 當前，網絡攻擊成為一種產業，黑客們為了追求經濟利益有組織、有預謀的開展攻擊，應用層訪問控制、入侵防御等深度應用防護不再是可有可無的。UTM產品當開啟應用層防護時性能下降明顯，無法滿足當前應用層防護的性能要求。 USG系列防火

32、墻采用全新架構的智能感知引擎（IAE, Intelligence Aware Engine），在實施七層防護的同時，具備四層網關的性能。傳統威脅檢測引擎根據逐個報文進行威脅特征匹配，這種方式容易造成攻擊者逃避檢測。IAE摒棄了此種方式，采用了一次解析多業務并行處理的架構。其核心的應用解析和特征匹配處理由硬件加速模塊高速處理，各個安全業務并行的跟蹤處理結果并更新狀態。這種架構確保了多安全業務開啟情冴下，對整體性能影響最小。在硬件層面，采用與用多核平臺，多個CPU并行處理。同時，使用硬件加速技術，用CPU提供的內容安全加速芯片，配合IAE進行應用解析和特征匹配，極大的提升檢測效率。智能感知引擎不彈

33、性硬件架構的結合，實現了萬兆級的全威脅防護性能，可以滿足教育城域網的安全防護要求。 簡單的安全管理 使用傳統的安全網關和其他的下一代防火墻，網關只是一個執行體，網絡是否安全更多依賴于人。在實際的使用過程中，通常威脅已經造成了損失人才能法現，進行亡羊補牢式的防護。可以預見到，基于人的防護很難長期保證安全質量。USG防火墻像一個安全咨詢師，能主動的發現風險，并動態提出防護和優化建議。讓安全更多依賴于設備，有利于持久保持穩定的安全質量。 華為防火墻最大的優勢就是對應用的精細化控制，以及對這些應用的進一步深度防護。在下一代防火墻上，僅使用五元組策略并步能帶來更多的安全性。因此，要充分發揮下一代防火墻的

34、作用，需要比傳統安全網關更好的安全管理。然而，做好下一代防火墻的安全管理并不容易。無論哪一個廠家提供的下一代防火墻產品，包含的網絡應用數量都是數以千計的。想充分發揮NGFW的作用，需要安全管理員具備更多的技能，更多的工作量，這意味更高的安全運營成本。 Anti-DDOS異常流量清洗方案概述方案組成如下圖所示，華為Anti-DDOS解決方案由三部分組成：檢測中心、清洗中心和管理中心。三者通過策略聯動和控制聯動最終為客戶提供管理簡單、部署靈活等專業防DDOS解決方案。Anti-DDoS異常流量清洗方案檢測中心：作為整個解決方案的“觸角”，檢測中心設備接受管理中心的下發檢測策略，并根據該策略實現對網

35、絡中DDOS流量的識別和檢測，并將檢測結果反饋給管理中心。清洗中心：作為整個解決方案的“響應執行者”，清洗中心根據管理中心下發的控制指令，完成對網絡流量中的DDOS攻擊流量清洗。管理中心：作為整個解決方案的“大腦”，用戶通過管理中心制定檢測策略和清洗策略，并下發至檢測中心設備和清洗中心設備上，來控制整個檢測和清洗過程。同時，用戶還可以通過管理中心生成和查看攻擊報表和清洗記錄。方案功能基于業務的防護策略本方案能夠針對防護對象的業務流量進行持續的周期性的學習和分析，勾勒出業務流量正常曲線，針對不同的業務流量類型、同一業務不同時段，采取不同的防御防護類型和防護策略，實現精細化防護。精準的異常流量清洗

36、華為Anti-DDoS解決方案采用逐包深度分析技術，一旦攻擊發生立即啟動防護。防護采用七層過濾、行為分析、會話監控等多種技術手段，能精確防護各種Flood類攻擊流量、web應用類攻擊流量、DNS攻擊流量、SSL DoS/DDoS類攻擊流量和協議棧漏洞類攻擊流量，保護應用服務器安全。DNS流量智能Cache華為Anti-DDoS解決方案，不但能夠精確防護針對DNS服務器的各種漏洞攻擊、應用攻擊、和Flood類攻擊，還可提供DNS Cache功能，緩解DNS服務器大流量下的性能壓力。流行僵木蠕防護黑客通過木馬蠕蟲感染網絡中的大量主機，分層控制組成僵尸網絡，以便其發動各種攻擊行為，因此可謂僵尸網絡是

37、黑客發起DDoS攻擊的溫床。華為Anti-DDoS解決方案能夠支持全球最流行200+種僵尸工具/木馬/蠕蟲流量識別與阻斷，從而達到摧毀僵尸網絡的目的。完善的IPv4-v6雙棧防護2011年2月，IANA宣告IPv4地址分配告罄，學校面臨無新的v4地址使用局面，紛紛將IPv6網絡建設納入網絡規劃建設議程。華為Anti-DDoS解決方案獨有的IPv4-v6雙棧合一技術，能夠同時防御IPv6，IPv4組網內的DDoS攻擊，滿足雙棧DDoS防御需求，幫助用戶無憂過渡到下一代網絡。靈活的組網部署方式Anti-DDoS解決方案作為對已有網絡的保護措施，必須能夠適應客戶多種不同的網絡環境，并滿足客戶不同的業

38、務等級要求。正是基于此，華為Anti-DDOS解決方案為客戶提供了直路和旁路等多種網絡部署方式，客戶可以根據業務需要和網絡結構靈活選擇，具體包括如下方式：靈活的組網部署方式直路接入模式：將清洗檢測模塊串接在客戶需要保護的網絡中，直接對客戶流量進行檢測和清洗。華為基于高性能多核硬件平臺，在高效的保證檢測和清洗的準確性的同時，也將處理時延做到最小。此外，華為Anti-DDOS方案提供Bypass模塊，當出現意外時，流量自動透傳清洗模塊，避免為客戶引入新的故障點。旁路引流模式：將清洗模塊部署在客戶網絡旁路上，對客戶流量進行旁路檢測，一旦發現DDOS攻擊流量，清洗檢測中心可以根據客戶在管理中心上制定的

39、檢測清洗策略執行相應的動作。方案特點高效快速：1.44Tbps防護性能、秒級防護響應基于高性能多核CPU，提供2G-1T的全系列Anti-DDoS產品，輕松應對各種規模DDoS攻擊；采用業務模型流量自學習和逐包深度檢測技術，一旦發現流量和報文異常，自動觸發防護策略，從攻擊發生到防御啟動時延小于2秒鐘； 精確全面：百余種攻擊防御和IPv6防護七層過濾、行為分析和會話監控等多種技術結合手段， 可精確防御100+種DDoS攻擊，防護類型業界最多；七層過濾可提供全球最新 200+種僵木蠕防護，保護用戶遠離黑客網絡； 智能IPv4-v6雙棧合一，率先全面支持IPv6攻擊防御，首家的同時支持IPv4-v6

40、攻擊同時防護的方案； 獨有的終端識別技術，可精確識別客戶端類型，如：智能終端、機頂盒、普通客戶端等，不同客戶端采用不同的防護技術，確保不對正常用戶產生誤判；Web網站安全方案在XXXX機房的web服務器區，采用web網站防護方案，通過部署UTM防火墻、web應用防火墻，有效防護各種針對教育網網站的跨站腳本攻擊、注入攻擊、請求偽造攻擊、網站掛馬、惡意掃描等，保障web網站的安全平穩運行。Web網站安全方案Web防護能力是基于7層防護技術，深入理解應用層內容，引入了安全白名單、安全黑名單等技術，同時對于網絡層實際訪問控制只允許開放的端口，有效對掃描器掃描、手工探測與滲透、惡意攻擊、蠕蟲攻擊、應用層

41、CC攻擊、應用層流量攻擊、盜鏈攻擊、惡意商業數據抓取、SQL注入、跨站點腳本攻擊、表單/cookie篡改、敏感信息泄漏、目錄遍歷等應用層攻擊進行防護。為用戶解決傳統架構難以防護的慢HTTP攻擊、TCP分片繞過等攻擊。特征庫黑名單華為web應用防火墻內置了30余類的通用Web攻擊特征，精煉出580多個類別的攻擊特征，全面覆蓋了Web應用安全存在的主要安全威脅，通過規則庫匹配技術實現各類SQL注入、跨站、掛馬、CC、掃描器等攻擊的安全防護。策略自學習建模及白名單防護技術華為web應用防火墻引入了安全白名單技術，從而能實現快速安全檢測，與安全特征庫不同，安全白名單并不是對Web攻擊行為的分析與提取，

42、而是對正常訪問行為的分析與總結規律，從而實現了假定安全的檢測邏輯。不同網站有著各自獨立的特性與訪問規律，因此華為web防火墻的白名單安全特征采用了自學習建模技術，針對所防護的網站進行流量學習，在概率統計學為基礎不斷的安全分析與收斂，最終形成一套針對網站特性的安全白名單規則。最終，通過策略自學習模建技術為用戶節省學習相關安全知識的時間及精力，使管理人員可以更多的精力保障業務的使用；通過自學習白名單防護功能有效防護0day等攻擊，誤報率低。同時，大大提高了網站訪問性能，避免特征庫黑名單技術帶來的局限性，如規則庫的龐大及復雜，對管理員的安全技術水平要求高等。訪問審計華為web防火墻支持對所有的Web

43、請求進行審計分析記錄，提供詳細的訪問日志分析，以圖表的形勢展現Web服務的業務訪問情況。同時，通過對訪問記錄的深度分析，可發掘潛在安全威脅，對于攻擊防護遺漏的請求，仍然可以起到追根索源的目的。Web應用加速華為web防火墻通過高速緩存、TCP協議加速實現應用加速。 為了提高被保護系統的訪問速度，同時消除WAF過濾分析過程中帶來的延時，定制提供了應用加速功能，通過高速緩存和相關算法鏡像及管理相關的靜態內容，一旦有用戶訪問，客戶端直接通過WAF緩存中獲取，避免了用戶重復通過Web服務器并進行協議解析等相關操作，從而加快了訪問速度，減輕了Web服務器的負擔。此外，當一個TCP連接開始傳輸數據時，由于

44、并不知道雙方通道的帶寬，所以為了最大利用帶寬。傳輸是一個逐漸加速的過程，起初，假設帶寬是一個比較小的值，通過另一端的反饋來逐漸增大對帶寬的估計值。通過增大該估計值，TCP允許在未收到反饋時傳輸更多的包（即在途的包數目），最終該值達到穩定值，接近帶寬，這個過程為TCP慢啟動，這個時間的長短，直接影響了用戶的Web體驗。為此，華為WAF通過優化與客戶端的TCP協議棧，優化后使得傳輸速度大幅度提升，特別是電信聯通之間往返時間較長時，效果非常明顯。網頁篡改監測華為WAF通過內置自學習功能獲取Web站點的頁面信息，對整個站點進行爬行，爬行后根據設置的文件類型（如html、css、xml、jpeg、png

45、、gif、PDF、word、flash、excel、zip等類型）進行緩存，并生成唯一的數字水印，實時監測網站服務器的相關是否給非法更改，一旦發現被改則第一時間通知管理員，并形成詳細的日志信息。與此同時，WAF系統將對外顯示之前的正確頁面，防止被篡改的內容被訪問到。Web站點隱藏成功的Web攻擊往往由探測網絡漏洞開始，在網絡上很容易找到漏洞掃描工具對一個網站的應用程序、服務器、URL等進行掃描。華為WAF提供站點隱藏功能，黑客將無法查看Web的源信息、Web應用防火墻的URL返回碼、HTTP頭信息以及終端服務器的IP。 華為WAF支持Web站點隱藏，即能完全的中止所有的會話，使用戶無法直接連接

46、到Web服務器上，無法直接訪問服務器、操作系統或補丁程序。訪問出錯信息也將由華為WAF提供，后端服務器的出錯信息不會直接返回給用戶。這樣，避免了服務器敏感信息泄露，也同時讓一些高明的黑客就無法通過出錯信息發動攻擊。站點自動偵測Web站點的主要屬性有網絡IP地址、服務端口、訪問域名，由于特別是有虛擬主機的環境中如果域名對應關系配置失誤將導致業務訪問錯誤跳轉，而且很難分析出原因。為此，華為WAF設計站點自動偵測功能，可自動發現網絡IP地址、服務端口、訪問域名等服務屬性，便于管理人員配置。入侵防御方案在XXXX機房數據中心出口，采用數據中心惡意入侵防護方案，通過部署NGFW防火墻、沙箱、IPS入侵防

47、御設備，防范各種針對服務器的漏洞（含零日漏洞）攻擊，并提供抵御木馬后門、廣告軟件、惡意程序等惡意入侵的能力，保障數據中心的數據完整性、安全性、真實性和穩定性。入侵防御方案入侵防御方案的優勢主要體現在以下幾個方面：簽名符合國際標準，漏洞快速防御隨著信息技術的發展，新型的攻擊層出不窮，威脅日新月異。當新的漏洞被發現時，華為會在第一時間發布對應的簽名，來防御針對該漏洞的已知的和未知的攻擊，真正實現零日防御。華為通過專業的簽名開發團隊密切跟蹤全球知名安全組織和軟件廠商發布的安全公告，并與微軟等知名軟件廠商深度合作，對這些威脅進行分析和驗證，生成保護各種軟件系統（操作系統、應用程序、數據庫）漏洞的簽名庫

48、。在此基礎上，華為在最短時間內發布最新的簽名，并遵從國際權威組織CVE的兼容性認證要求，及時升級檢測引擎和簽名庫，及時防御已知威脅攻擊。先進的環境感知能力，敏捷的引擎傳統IPS設備就像是一個黑盒子，24小時持續不斷的記錄攻擊事件。留下數量龐大的事件日志，需要花費大量的人力和時間去分析，管理人員很難進行有效的風險管理。任何環境的變化，包括系統的變化，應用的變化，如果不人工進行調整，策略都會保持一致。這樣的結果是系統會產生大量的誤報或者無需關注的告警日志。華為NGIPS解決方案通過環境感知的能力，設備知曉所保護的網絡的各種應用、漏洞等，并通過靜態風險并展示出來，讓管理人員即可知曉環境中的可能潛在的

49、風險并進行相關的預防工作。華為NGIPS解決方案通過流量應用感知能力，設備知曉環境中的各種網絡應用，結合各種應用可能被利用的潛在風險，識別環境的動態風險并展示出來，讓管理人員能清楚知曉流量中變化，各種潛在風險并能做出預防措施。更為重要的是，華為NGIPS基于環境感知，通過敏捷的引擎，識別環境的動態變化，以及這些變化帶來的威脅和風險，自動判斷威脅相關性與威脅嚴重性，再根據這些信息，自動提供策略調整的建議或者自動進行調整，使得在系統始終處于一個最佳的防御狀態。環境的變化可能是由于客戶環境的操作系統、應用程序出現了更新、搬遷，也有可能是IPS本身的簽名進行了更新，不管是哪種，NGIPS都可以自動地感

50、知這些變化，并動態地自適應環境。本地和云端結合的IP&CC信譽體系現今的安全態勢表明，從攻擊開始到完成控制主機，再到最初的數據泄露，整個時間是越來越短，整個過程往往是在數小時完成，甚至有些攻擊可以是分鐘或者秒級。這樣短的時間不太可能完全依賴人工響應的方式，必須有一種自動化的方法來控制威脅的發展，直接阻截相關流量、防止重大危害的發生。作為全球同步的信息安全技術，利用和借鑒全球的檢測歷史信息，快速有效的實現預防攻擊是性價比最高的預防措施。華為NGIPS解決方案支持本地和云端信譽系統，利用自身或者第三方提煉出惡意軟件信息、動態域名信息、命令控制服務器地址信息，進行整合形成的各種類別的信譽庫。NGIP

51、S網絡設備利用這些信譽庫，來進行自動化的快速攻擊防御。利用云端信譽庫可以得到更完整的信譽信息。當后門軟件連接控制服務器時，可以快速的根據后門數據包中的動態域名信息來檢測，將動態域名和C&C信譽庫中的域名進行對比，如果能匹配，則認為是惡意的連接，直接快速的阻斷后門軟件和控制服務器之間的連接。SSL加密流量的防御能力為保護數據傳輸安全，越來越多的網站或企業選擇通過SSL對流量進行加密傳輸。據統計企業網絡中有 26% 的應用程序都在某種程度上以某種形式或方式使用SSL加密。由于SSL流量是加密傳輸的，傳統IPS設備無法直接對其做威脅檢測，使得這種攻擊行為也越來越多的被采用，安全的盲區也越來越大。另外

52、，當APT類型的攻擊獲得服務器的控制權限后，服務器和控制端之間通常會使用SSL 等加密通信方式，并且由于是從內部主機發起的對外連接，不太容易被注意到。而傳統的IPS設備完全無法應對加密攻擊。NGIPS支持對SSL加密流量的解密和檢測的能力。NGIPS對SSL流量進行解密，當HTTPS請求報文匹配解密策略時，NGIPS作為SSL代理首先對客戶端（或服務器）發來的HTTPS流量解密，對解密的流量完成威脅檢測，然后重新加密發送給服務器（或客戶端），通過檢測解密后的流量，實現對加密流量的威脅識別和攔截。行為管控安全方案在140個教學機構，包括XX市中小學、教育社區、教育部門的網絡出口，采用上網行為管理

53、方案，部署基于應用的NGFW設備。對師生的上網行為、發帖內網、流量使用等情況進行全面管理，防止教學流量被電影、游戲流量侵占，避免學生發表不當言論，同時防止各種病毒、木馬、蠕蟲等入侵到教育機構網絡。概述校園網除常規的資源共享、教學教務管理、WWW服務等外，還有豐富的多媒體資源，如課件點播、計算機輔助教學、VOD點播、遠程教學等，這些都需要高效的帶寬管理保證。但隨著應用的逐步深入，接入校園網節點日漸增多,如何讓學生更有效的利用網絡學習而非其他，是校園網絡管理者面對的一個難題。學生思維活躍，對新事物接受能力強，往往喜歡嘗試網絡中各種新應用，例如通過網絡P2P下載、在線游戲、在線看電影、聽音樂、論壇發

54、表言論等,很容易造成網絡堵塞和病毒傳播，尤其是P2P業務流量占用大量網絡資源，已經嚴重影響正常的教學工作秩序。如果不采取防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。上網行為管理就是實現對互聯網訪問行為的全面管理。在P2P流量管理、防止內網泄密、防范法規風險、互聯網訪問行為記錄、上網安全等多個方面提供最有效的解決方案。在校園網絡中，推薦采用旁路模式部署上網行為管理設備，將與交換機的鏡像端口相連，部署實施簡單，完全不影響原有的網絡結構，降低了網絡單點故障的發生概率。主要用于監聽、審計局域網中的數據流及用戶的網絡行為。行為管控安全方案P2P業務監控當前P2P

55、下載應用不斷發展，它在繁榮互聯網的同時，消耗了大量的網絡帶寬，部分地區由于P2P下載的泛濫，影響了瀏覽網頁、收發電子郵件等常規網絡應用，引發用戶對ISP的不滿，同時，由于P2P下載泛濫，迫使ISP投入巨額資金不斷地擴容帶寬。目前ISP被消耗帶寬的增長，已經遠超過了用戶數及收益的增長速度，如果不對P2P下載進行適當的控制，它將直接影響到ISP的服務質量。互連網識別和控制系統檢測本地網中的用戶業務流量，通過深度分析，判斷用戶的業務流量中P2P協議的類型和P2P流量信息，根據制定好的策略對用戶的P2P數據流進行控制。用戶行為分析對用戶網絡訪問行為進行統計分析，通過分析網絡流量，統計網絡熱點，發掘業務

56、增長空間。通過分析用戶行為，統計用戶興趣，為個性化運營提供依據。異常流量監控隨著互聯網業務的高速發展，網絡應用層出不窮，隨著高強度加密技術、P2P 技術和IM 技術的結合，給最終用戶、學校網絡和電信網絡帶來多方位的安全威脅(DDoS等網絡攻擊)，異常的網絡流量日益增加，不僅對ISP自身的設備造成沉重負擔，更沖擊了ISP自身的客戶，影響其業務網絡，對其正常業務產生了巨大的損失。互聯網識別和控制系統檢測分析流入本地IP網絡流量，發現DDoS攻擊等惡意網絡流量，并采取相應策略，對攻擊流量進行清洗保護，保證本地網安全。垃圾郵件檢測垃圾郵件占用網絡帶寬，造成郵件服務器阻塞，降低網絡運行效率，垃圾郵件傳播

57、非法內容以及病毒和蠕蟲，擾亂社會秩序和危害網絡安全。互聯網業務識別和控制系統能夠識別網內、外垃圾郵件發送者，并支持黑白名單功能。僵尸網絡檢測僵尸網絡（Botnet）是指采用一種或多種傳播手段，將大量主機感染僵尸Bot程序，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。僵尸網絡（Botnet）構成了一個攻擊平臺，利用這個平臺可以有效地發起各種各樣的攻擊行為，可以導致整個基礎信息網絡或者重要應用系統癱瘓，也可以導致大量機密或個人隱私泄漏，還可以用來從事網絡欺詐等其他違法犯罪活動。互聯網識別和控制系統應能夠準確檢測僵尸機傳播者、感染者的詳細信息，能夠出具各類報表完成統計分析。智能流量鏡

58、像流量鏡像是按照一定配置需求把某些類型的流量轉發到特定的第三方業務系統。可鏡像的流量能力應該和和DPI識別能力是一致的，可以靈活的按應用協議類別、協議特征字、方向等標準來設置鏡像條件。流量鏡像功能可以把強大的深層報文識別能力充分發揮出來。通過把特定的流量發送給專門的業務系統，構建多種嶄新的信息分析、信息控制和信息再利用的框架。例如把HttpVideo、文件共享、P2P下載等流量推送到緩存系統，并重定向客戶的下載請求道Cache系統，可以在不增加出口帶寬的同時為內網用戶提供高速的外網資源下載，有效提升用戶的上網體驗。此外，還可以把HTTP流量鏡像出來，發送給專門的用戶行為深度發掘系統，提供更加精

59、準的廣告推送服務。URL監控URL監控分為三類需求：網站訪問統計、頁面訪問審計和URL 過濾。網站訪問統計包括URL 訪問統計和URL 備案。URL訪問統計包含外網URL 統計，外網URL 域名統計，內網URL 統計，內網URL 域名統計。URL備案是指：對比內網域名匯總報表和URL 備案文件，刷新網站對應信息，并更新刷新時間，可以在Web頁面進行展示，以便了解內網網站備案的情況。頁面訪問審計是指。系統根據用戶訪問的URL的分類（例如：新聞類、賭博類）對用戶的Web 訪問行為進行審計。URL過濾是要求系統根據用戶訪問的URL的分類（例如：新聞類、賭博類）對用戶的Web 訪問行為進行控制。管理I

60、M即時通訊工具權威統計顯示國內網民最常使用的IM工具依次為QQ、飛信、MSN、Skype。辦公室內IM聊天、影音文件分享、甚至游戲對戰屢見不鮮，而QQ病毒、MSN蠕蟲也讓IT管理者記憶猶新，如何有效管理IM工具？借助現有防火墻等傳統手段封堵IM并不奏效。以下是ASG設備提供的對IM從禁止、監管、再到安全防御的解決方案。禁止AC深度內容檢測技術根據應用協議數據包特征字段全面封堵各種IM工具，包括QQ、MSN、新浪UC、網易泡泡、Yahoo Messenger、Skype、ICQ、Google Talk、飛信等；即使IM軟件將數據包封裝到80、443等端口傳輸，AC亦可區別IM流量和正常的Http