需求與挑戰(zhàn)

作為整個電子政務(wù)外網(wǎng)訪問互聯(lián)網(wǎng)的出口，同時承擔(dān)著兩方面的作用：一是電子政務(wù)外網(wǎng)的所有用戶訪問互聯(lián)網(wǎng)的出口；二是為公眾提供訪問政府信息的入口，同時也是可信用戶通過互聯(lián)網(wǎng)訪問政務(wù)外網(wǎng)的唯一通道。

為了統(tǒng)一管理互聯(lián)網(wǎng)出口的帶寬流量和安全，政府也逐步減少中央、省、市的互聯(lián)網(wǎng)出口數(shù)量。同時，業(yè)務(wù)集中辦理和信息共享與協(xié)同，也促使數(shù)據(jù)中心的數(shù)量逐漸變少，這也是各個國家普遍的發(fā)展思路。但是，這就造成政府業(yè)務(wù)流量更加集中化，安全環(huán)境更加復(fù)雜，需要一套完整的解決方案來支撐國家的發(fā)展戰(zhàn)略。

電子政務(wù)外網(wǎng)是辦公網(wǎng)和數(shù)據(jù)中心相結(jié)合的網(wǎng)絡(luò)，該網(wǎng)絡(luò)既要滿足外網(wǎng)日常辦公需要，同時其數(shù)據(jù)中心承載的外網(wǎng)數(shù)據(jù)還要對外提供訪問，互聯(lián)網(wǎng)出口是整個政府與外界信息交互的主要途徑，所以對于出口交互的各種重要數(shù)據(jù)和應(yīng)用服務(wù)的安全性，必須要進(jìn)行全面的保障。

因此，政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口，面臨兩大挑戰(zhàn)：網(wǎng)絡(luò)帶寬優(yōu)化和網(wǎng)絡(luò)安全防護(hù)。

網(wǎng)絡(luò)帶寬優(yōu)化

(1) 多級NAT性能瓶頸

由于政務(wù)外網(wǎng)的層級和行政管理的級別對應(yīng)，地方IP地址段與縱向VPN地址沖突，會出現(xiàn)多級NAT問題。一方面，政務(wù)園區(qū)網(wǎng)使用私有地址，訪問Internet需要進(jìn)行NAT；另一方面，即使園區(qū)網(wǎng)絡(luò)通過 電信或者 網(wǎng)通的線路訪問外部資源，仍然需要進(jìn)行NAT。多級NAT成了上網(wǎng)速度慢的一個重要原因，設(shè)備高NAT轉(zhuǎn)發(fā)性能才能解決。

(2) 多鏈路負(fù)載均衡

等級保護(hù)要求互聯(lián)網(wǎng)出口充分考慮到架構(gòu)和設(shè)備的冗余，在與互聯(lián)網(wǎng)的線路連接的設(shè)備承載大容量的業(yè)務(wù)，需要在一臺設(shè)備上同時實現(xiàn)多線路的負(fù)載均衡，動態(tài)調(diào)整不同鏈路的帶寬占用比例，優(yōu)化網(wǎng)絡(luò)性能。

(3) 互聯(lián)網(wǎng)緩存

用戶瀏覽網(wǎng)頁等行為屬于用戶體驗非常敏感的應(yīng)用，除了需要帶寬保障外，還需要保障端到端的延時，希望能夠把主流的互聯(lián)網(wǎng)出口流量緩存到網(wǎng)內(nèi)，從而大幅度降低互聯(lián)網(wǎng)出口的帶寬擴容壓力，減少互聯(lián)網(wǎng)出口帶寬租賃費用，并有效的提升政務(wù)外網(wǎng)用戶的上網(wǎng)體驗。

網(wǎng)絡(luò)安全防護(hù)

(1) 網(wǎng)絡(luò)中數(shù)據(jù)中心和辦公區(qū)網(wǎng)絡(luò)通過核心交換進(jìn)行互聯(lián)，因特網(wǎng)用戶安全隱患可能會影響到電子政務(wù)外網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)的安全性；

(2) 外來人員進(jìn)入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)由于自身安全級別不夠帶來安全隱患；

(3) 內(nèi)網(wǎng)用戶登錄行為無認(rèn)證，無相關(guān)控制手段，任何人使用筆記本均可以實現(xiàn)對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的訪問；

(4) 對于來自互聯(lián)網(wǎng)的安全攻擊，需要進(jìn)行流量清洗和安全監(jiān)測；

(5) 政府網(wǎng)站是政務(wù)對外的主要窗口，辦事大廳是和社會公眾交互主要手段，業(yè)務(wù)系統(tǒng)的安全防護(hù)是至關(guān)重要的；

(6) 全網(wǎng)安全事件無法監(jiān)控，日志信息統(tǒng)一分析困難，只能做到事后審計，無法做到實時分析。

根據(jù)以上問題，華為推出的政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口解決方案，解決了政府的網(wǎng)絡(luò)性能優(yōu)化和網(wǎng)絡(luò)安全立體防護(hù)問題，為中國電子政務(wù)的發(fā)展提供強有力的ICT支撐。

電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口解決方案

總體方案

圖1 互聯(lián)網(wǎng)出口解決方案架構(gòu)圖

解決方案是一個靈活的、可自由組合的方案，可根據(jù)實際防護(hù)能力的需求，進(jìn)行不同的組合，主要包括：防DDos攻擊、出口流量可視化分析、緩存加速、入侵監(jiān)測/入侵防護(hù)、WEB應(yīng)用防護(hù)、統(tǒng)一安全監(jiān)控、上網(wǎng)行為管理、統(tǒng)一審計等。

防DDos攻擊方案

圖2 防DDos攻擊方案

華為方案特點：

• 高性能硬件平臺
• 旁路檢測
• 自愈合網(wǎng)絡(luò)
• 自動化響應(yīng)
• 全流量DPI檢測
• 靈活多樣的部署

SIG流量可視化分析方案

圖3 流量可視化分析方案架構(gòu)

對網(wǎng)絡(luò)中承載的應(yīng)用進(jìn)行識別，并可以呈現(xiàn)不同的應(yīng)用占用的帶寬是多少，而且可以給不同應(yīng)用設(shè)置優(yōu)先級和帶寬比例，從而進(jìn)行智能流量管理，保障政府優(yōu)先級較高的業(yè)務(wù)應(yīng)用先行通過。

方案特點：

• 多維度的流量流向分析，幫助政府全面掌握網(wǎng)內(nèi)用戶-流量-流向-業(yè)務(wù)的分布組成，為網(wǎng)絡(luò)優(yōu)化提供數(shù)據(jù)支持；
• 多維度的流量優(yōu)化和帶寬管理手段，可以有效控制機構(gòu)寶貴帶寬資源的濫用，解決網(wǎng)絡(luò)擁塞問題，保障關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量，減緩擴容壓力，提升員工上網(wǎng)體驗；
• URL過濾 + 網(wǎng)絡(luò)應(yīng)用控制 + 時間 + 用戶控制功能，可以有效管理員工的上網(wǎng)行為，使其聚焦于工作；
• 動態(tài)惡意網(wǎng)址過濾功能，可以有效保障員工的日常上網(wǎng)安全；
• 信息推送功能，為日常信息發(fā)布提供新的便捷手段。

iCache互聯(lián)網(wǎng)緩存方案

圖4 iCache互聯(lián)網(wǎng)緩存方案架構(gòu)

方案特點：

• 緩存平臺采用將鏈路進(jìn)行分光和流量鏡像的旁路部署模式，不對現(xiàn)網(wǎng)的業(yè)務(wù)連續(xù)性造成影響。
• 旁路部署時，將網(wǎng)內(nèi)上行報文復(fù)制一份給后端的iCache重定向子系統(tǒng)（RSS），RSS將網(wǎng)內(nèi)用戶的請求重定向到緩存平臺，使用戶從緩存平臺獲取資源。
• 本緩存系統(tǒng)采用統(tǒng)一的管理系統(tǒng)集中化管理所有的緩存子系統(tǒng)。
• 本緩存系統(tǒng)支持業(yè)務(wù)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)分離，使用單獨的網(wǎng)絡(luò)進(jìn)行帶外管理。

入侵檢測/入侵防護(hù)方案

圖5 UTM+集成防火墻、入侵防護(hù)、防病毒等功能

方案特點：

• 多種業(yè)務(wù)集成：Firewall、內(nèi)容過濾、流量控制、上網(wǎng)行為管理等
• 簡單有效的統(tǒng)一管理
• 更低的TCO
• 更好的支持和響應(yīng)

WEB應(yīng)用安全方案

圖6 WEB應(yīng)用安全方案

方案特點：

• 精準(zhǔn)檢測：業(yè)內(nèi)最高的注入攻擊檢出率>99%
• 全面防護(hù)：攻擊全防御+“零”中斷篡改恢復(fù)機制+未知攻擊檢測能力
• 絕佳用戶體驗：頁面緩存加速+策略自學(xué)習(xí)機制+全透明部署
• SQL攻擊高檢出率、支持網(wǎng)頁防篡改、應(yīng)用層DDoS防護(hù)、支持黑白名單、攻擊者自動鎖定
• 提供應(yīng)用層保護(hù)，具有全面支持HTTPS、WEB應(yīng)用實時深度防御、應(yīng)用加速及敏感信息泄露防護(hù)等功能，使網(wǎng)站更安全、使訪問更快速、使運維更輕松。
• 通過大量的漏洞挖掘與實踐工作，吸納了國內(nèi)外主流的安全漏洞庫特庫、主流CMS漏洞特征庫、主流掃描器特征庫，從而使防御能力全面提升。
• 經(jīng)權(quán)威WEB漏掃測試漏報率0%，CMS兼容性測試，誤報率<3%。
• 支持全透明部署模式，滿足等級保護(hù)等各類法律法規(guī)要求。

統(tǒng)一安全管理方案

圖7 統(tǒng)一安全管理方案

業(yè)務(wù)管理

• 協(xié)議流量日志分析
• 上網(wǎng)行為追蹤和取證
• 海量日志存儲管理
• 威脅防護(hù)、應(yīng)用控制管理

報表管理

• 報表任務(wù)管理
• 多粒度時間周期報表
• 自定義報表
• 綜合報表

網(wǎng)元管理

• 設(shè)備自動發(fā)現(xiàn)
• 拓?fù)鋱D自動發(fā)現(xiàn)
• 人性化故障告警
• 性能指標(biāo)采集

運營管理

• 防御策略管理
• 業(yè)務(wù)集中配置管理，
• 報表呈現(xiàn)

上網(wǎng)行為管理方案

圖8 上網(wǎng)行為管理

方案特點：

• 豐富的股票和游戲類應(yīng)用識別庫和不良網(wǎng)站分類庫
• 全面互聯(lián)網(wǎng)行為和外發(fā)內(nèi)容審計，有效降低互聯(lián)網(wǎng)風(fēng)險、滿足法律法規(guī)要求

統(tǒng)一安全審計方案

圖9 統(tǒng)一安全審計方案

方案特點：

• 統(tǒng)一安全審計解決方案從體系架構(gòu)上可以分為5個層面：
• 終端審計：基于辦公終端，業(yè)務(wù)終端（包含移動智能終端）的各種操作，外設(shè)使用，網(wǎng)絡(luò)接入，以及文檔操作行為進(jìn)行監(jiān)控審計，對于違規(guī)行為、操作進(jìn)行記錄，告警；
• 網(wǎng)絡(luò)審計：針對internet網(wǎng)絡(luò)訪問行為審計，實現(xiàn)針對網(wǎng)絡(luò)訪問操作，內(nèi)容，協(xié)議的分析審計；
• 內(nèi)容與應(yīng)用審計：對核心業(yè)務(wù)系統(tǒng)，主機服務(wù)器，以及辦公系統(tǒng)，重要的數(shù)據(jù)庫系統(tǒng)的訪問操作的審計，基于關(guān)鍵內(nèi)容，應(yīng)用協(xié)議的分析審計；
• 運維審計：基于對網(wǎng)絡(luò)設(shè)備，安全設(shè)備，主機，應(yīng)用系統(tǒng)管理運維操作審計；
• 審計監(jiān)控平臺：日志收集，管理，查詢；關(guān)聯(lián)分析，預(yù)警，溯源，審計報告；整體安全策略管控，聯(lián)動；

方案亮點

• 滿足等級保護(hù)要求中對互聯(lián)網(wǎng)接入?yún)^(qū)的要求
• 可視化全景監(jiān)控視圖，在全網(wǎng)范圍內(nèi)收集所有安全事件，實現(xiàn)統(tǒng)一安全防護(hù)，消除“零小時”威脅
• 依托華為全球安全能力，整網(wǎng)聯(lián)動防御，一點檢測，全局共享
• 端到端事件關(guān)聯(lián)分析處理能力EPS>5000；預(yù)置130多個場景規(guī)則模板，并可動態(tài)擴展，更準(zhǔn)確的檢測出未知安全威脅；
• 防火墻首家雙主控墻、毫秒級主備倒換、99.9999%可靠性，100+DDoS攻擊防御、秒級響應(yīng)
• 支持7層DDoS流量學(xué)習(xí)，支持直路防御和旁路檢測， 支持1200+種應(yīng)用識別

客戶價值

• 流量可視化分析和監(jiān)測，有助于運維人員方便的控制帶寬優(yōu)化，保障優(yōu)先級別較高的政府業(yè)務(wù)優(yōu)先通過。
• 立體安全防護(hù)，免除來自互聯(lián)網(wǎng)的各種攻擊。
• 統(tǒng)一審計對各種網(wǎng)絡(luò)行為、運維操作進(jìn)行記錄，有安全威脅時可以追溯。
• WEB應(yīng)用安全，保障了政府門戶網(wǎng)站和業(yè)務(wù)系統(tǒng)的安全運行。
• 以委辦局為單位進(jìn)行安全監(jiān)測，及時定位安全問題。