云服务器内容精选

  • 基于IPsec VPN的架构介绍 基于IPsec VPN的华为乾坤安全分支解决方案总体架构如图2所示,主要包括业务呈现层、管理/控制层、网络层。 图2 安全分支网络互联架构模型(IPsec VPN) 业务呈现层 华为乾坤提供了面向企业、MSP等不同用户角色的Portal界面,Portal中展示了完整的网络端到端业务处理和配置流程,业务呈现层将最终用户的诉求传递到华为乾坤云平台。 管理/控制层 网络管理/控制层主要提供设备一站纳管(通过Netconf协议纳管)、统一运维能力,同时基于智能算法实现 威胁检测 、自动处置、安全策略统一下发,保障重点业务平稳运行。 对于多分支/园区场景,华为乾坤提供了IPsec VPN互联网络编排能力,通过华为乾坤云平台对站点间VPN的模型进行编排、业务发放。 网络层 网络层由物理设备组成,是企业WAN的基础物理组网。基于场景诉求,选择合适的出口设备,主要包括防火墙和第三方VPN网关。 防火墙:主要适用于金融、物流、办公等高安全场景,采用防火墙做出口设备,可以做分支、总部的出口设备。 第三方VPN网关:多分支场景,总部网络一般已部署(已存在第三方VPN网关设备),此时分支设备需要和第三方VPN网关对接,只能通过IPsec VPN与第三方VPN网关对接。
  • 基于SD-WAN的架构介绍 基于SD-WAN的华为乾坤安全分支解决方案总体架构如图1所示,主要包括管理层、控制层、网络层。 图1 安全分支网络互联架构模型(SD-WAN) 第三方BSS/OSS 华为乾坤开放了北向API接口,可以将SD-WAN纳入到已有的BSS/OSS等第三方业务编排系统,实现SD-WAN的集成和灵活定制。 管理层 管理层的核心是华为乾坤云平台,主要提供网络编排和管理能力,支持端到端业务处理。 网络编排:负责SD-WAN面向业务的网络模型抽象、编排和配置自动化发放,主要包括企业WAN组网和各种网络策略相关的业务编排。通过对网络模型的抽象和定义,屏蔽SD-WAN部署和实现的技术细节,使网络配置和业务发放更加简易、灵活。 网络管理:负责网络层设备的统一管理与运维,包括统一配置网络业务;采集设备告警、日志等信息;基于链路、应用、网络的性能数据采集、统计和分析;基于网络拓扑、告警管理、性能监控等方式多维度统计和呈现运维信息。 控制层 控制层的核心组件是RR(Route Reflector,路由反射器),主要负责控制网络层的路由转发和拓扑定义。其功能主要包括:VPN路由的分发和过滤、VPN拓扑的创建和修改、站点间Overlay隧道的创建和维护等。相比传统网络完全的分布式控制方式,这种集中式的控制实现了企业WAN控制平面和转发平面的分离,简化了网络运维操作,减少了网络配置错误几率,提升了企业WAN的运维效率。 网络层 从业务角度来说,企业的分支、总部和数据中心以及在云上部署的IT基础设施等都可以统称为企业的站点。用于不同站点WAN互联的网络设备以及中间的WAN一起构成了SD-WAN的网络层。 从网络功能层次划分,SD-WAN网络可以分为Underlay网络和Overlay网络两层。 Underlay网络:即物理网络,是由路由器等网络设备通过运营商提供的物理线路互联组成的WAN,常见类型有MSTP专线、MPLS VPN以及Internet等。 Overlay网络:即虚拟网络,是在一张物理网络上构建出一张或多张虚拟的逻辑网络。不同的虚拟网络虽然共享物理网络中的设备和线路,但虚拟网络中的业务与物理网络中的业务相互解耦。虚拟网络的多实例化,既可以服务于同一租户的不同业务(如多个部门),也可以服务于不同租户。 从网络设备的功能定位划分,网络层主要由Edge和GW两类设备构成。 Edge:是站点的出口CPE设备(Customer Premise Equipment)。Edge的本质是SD-WAN隧道的发起和终结点,也可以看做SD-WAN网络的边界点。Edge之间的Overlay隧道可以构建在任意的有线或者无线的Underlay WAN网络上。 GW:是连接SD-WAN站点和其他网络(如传统VPN)的网关设备。通过GW可以实现SD-WAN网络与传统网络、公有云网络间的互通。
  • 背景信息 对于多园区/分支网络,通常会采用SD-WAN或IPsec VPN来实现分支间互联。 SD-WAN:属于一种动态的VPN,可以按需在站点间建立隧道,动态发布路由。SD-WAN通过在站点间建立GRE隧道来创建VPN通道,同时支持在GRE隧道上进行IPsec加密,以实现隧道的加密安全。另外SD-WAN可以基于应用、策略选择质量较优的链路发送数据,实现基于应用、策略的智能选路。 IPsec VPN:属于一种静态的VPN,通过在站点之间建立IPsec隧道来创建VPN通道,根据配置静态网段引流到VPN隧道中,实现站点间的业务通过VPN隧道进行访问。
  • 关键特性 表1 华为乾坤安全办公园区解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络,可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备(交换机、AP、AR、WAC)、安全设备(防火墙)。 准入认证 提供了802.1X、Portal、MAC等多种认证方式,可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN,通过在站点之间建立IPsec隧道来创建VPN通道,实现分支与分支、分支与总部、分支与云之间的业务互访。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控,保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 智能终端安全服务 终端识别与管理 终端自动识别:提供自动化终端资产清点能力,安装HiSec Endpoint Agent后,该终端即被自动识别。 资产信息管理:自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理:智能分析终端安全,呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测:基于行为检测引擎,提供终端行为检测能力,检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合:将离散的勒索类告警事件,基于进程调用链聚合成相应的勒索事件,且支持对其一键处置。 病毒查杀与处置 病毒查杀:基于华为第三代反病毒引擎,每日更新病毒特征库,实时更新紧急病毒,提供高质量病毒文件检测能力。 威胁分析:支持对检出的病毒文件进行威胁分析,展示详细的威胁信息,如病毒标识、风险值、置信度等。 主动防御 诱饵捕获:基于勒索病毒特征放置诱饵文件,实时检测并及时上报异常行为。 文件防篡改:对重点文件进行访问权限控制并实时检测,及时发现篡改行为。 实时防护:实时扫描全盘目录,及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析:采集和存储终端信息,并通过数据挖掘、关联分析等方法,对威胁事件进行取证分析。 攻击可视化:通过EDR(Endpoint Detection and Response,端点侦测与回归)数字化建模、溯源推理算法,实现攻击可视化,精准还原威胁攻击链路。 父主题: 方案概述
  • 传统ICT实训室面临的挑战 随着信息化技术的快速发展,各地院校在国家教育政策的指导下,开始兴建信息化实训室以培养学生将理论知识应用于真实项目中操作,不再拘泥于课堂知识教学,但传统的实训室在实际建设过程中也面临着诸多问题,对于院校产生较大的负担。具体问题如下: 建设成本高:传统实训平台需要依赖基础硬件资源,因而院校在建设实训室时,需要一次性采购大量的硬件设备,造成投入成本较高; 维护难度大,人力成本高:硬件设施需要安排专门的管理人员维护,而且对于管理人员在技术能力方面要求较高,同时硬件故障率也比较高,维护力度较大,由此造成人力成本比较高; 用户量扩容不灵活:传统实训室均是一次性购买IT资源,然而随着开班数增加,学生用户量不断增多,由此对于硬件资源需求更大,需要院校再次购买硬件资源,升级过程又比较繁琐,部署周期也长,对于院校产生的负担较大; 教学资源无法动态更新:在实际教学过程中,随着新技术的发展,课程资源需要不断延伸,但课程、实验、视频等教学资源部署在本地,无法实现实时动态更新; 伪开放式实验室:传统实训平台是在本地部署,无法实现随时随地访问学习,而且还受管理维护、校园网络环境等环境影响,无法真正实现开放式实训室建设。
  • 讯方实训云平台实现人才培养上云,解决客户痛点 讯方充分挖掘云计算的资源和服务,全面整合学校现有的教学资源,将云技术和教育应用紧密结合,建设以职业岗位需求为导向的专业学习路径,贴合华为ICT认证体系设计仿真实验,解决了传统教学过程中出现的诸多问题,助力院校建设灵活教学、方便快捷、低成本高安全的实训云在线学习平台,实现课堂教学集中化、实训智能化、维护简单化,将教育带入云的时代,带来最佳的教学体验,引发学生的自主学习,应用全新的教学理念,构建全新的教学模式,助力教学未来改革新模式,专注于培养ICT人才。 实训云平台整合培训认证服务、课程资源、实验环境等优势资源,通过对资源的统一管理、集中自动化维护,为学生提供以岗位技能需求为导向的涵盖面向ICT多个技术方向的优质课程资源、实践环境及岗位资源,保障学生通过多方面的教学方式以及完善的学习体系,真正掌握专业技能,并提高院校学生的就业率;同时结合讯方高校服务经验的积累,为院校提供配套专业化的教学培训服务,完成线上学习和线下培训教学的有机结合,使教师、学生充分享受到随时随地访问学习和教学云化、移动化的便利,为校园的管理和人才的培养注入强大的推动力。
  • 应用场景 实验教学场景 客户痛点: 一次性购买大量设备,建设成本高,前期投入大; 实验室需要安排人员专门维护设备,维护成本高; 用户容量扩容不灵活,升级过程繁琐; 教学资源不能动态实时更新; 实训平台受本地因素影响较大,体验性差。 解决方案: 无需购买硬件设备资源,实训平台部署在云端,建设成本低; 实训云平台不需要安排专人维护,云端自动化集中维护; 实验账号按需购买,用户容量自动扩容; 课程、教学视频、实验等教学资源集中管理,实时动态更新; 云端部署,不受本地物理环境影响,可随时随地访问。 实训周实训场景 客户痛点: 实训周短期实训,实训资源大; 缺少真实的项目案例仿真实验; 不具备相应的实验环境。 解决方案: 提供一周账号,用户登录平台操作学习; 提供根据真实项目案例设计的仿真实验; 提供一键启动的实验环境。 培训认证场景 客户痛点: 缺少硬件资源,无法完成开班教学; 缺少相应的认证课程、实验等教学资源; 需要专业的测评体系,丰富培训内容。 解决方案: 按需购买账号,解决短期需求; 提供匹配华为认证体系的课程大纲、仿真实验等培训资源; 提供考试认证功能,在上传培训考题,对培训学员进行测评。
  • 方案优势 准确匹配行业人才岗位需求 现在信息技术迅速发展,就业岗位对于技能需求五花八门,学生无法形成正确的学习体系,讯方实训云平台从满足院校就业需求为出发点,专业打造以ICT相关岗位为基点的学习体系,准确分析岗位技能需求,提炼岗位技能 知识图谱 ,分解技能知识点,设计与之匹配的学习课程计划以及仿真实验。 匹配华为认证体系 华为作为ICT行业的龙头企业,有着完善的ICT职业认证体系,讯方携手华为认证体系,开发实训云平台设计匹配华为认证体系课程大纲、教学视频、实验环境等,提供云计算、大数据等多个方向的教学资源。 贴合真实项目案例设计实验 在进行云端实验仿真设计时,满足从安装部署、业务操作、运行维护等流程式操作学习,贴切企业实际项目工程,让学生用户通过云端实验操作以及课程学习,真正了解真实的项目案例开发操作。 实现真正的开放式实验室 传统实验室过于依赖基础硬件资源,造成实训平台受多方面因素影响,体验性差,学习效率不高。基于华为云构建的实训云学习平台不受本地物理环境影响,实现资源合理利用,灵活满足容量弹性扩容,打通职业-技能-课程-实验-认证-就业全链路个性化学习路径,实现真正的开放式实验室建设。
  • 趋势和挑战 在国家重大活动期间,组织单位面临的网络攻击往往呈现攻击力度更大、攻击频率更高、针对性更强等特点。为保证关键信息基础设施及重要信息系统在重大活动期间的稳定运行,各单位需要建立防护、监测、响应的安全机制,确保提前排除网络安全隐患,做好网络应急响应和安全保障工作,避免攻击入侵、感染病毒等网络安全事件的发生。当前安全重保主要面临如下挑战。 资产对外暴露面过大,当前主要依靠探测工具进行扫描评估,这种方式效率低,且难以快速定位到最终对外开放的主机与业务,不能有效收敛攻击面。 完成风险排查和整改后,依靠人工验证整改效果,耗时费力且验证不充分,缺少多维度评估防御体系风险和有效性的手段。 零日攻击日益增长且难以防范,已成为网络安全面临的最严峻的威胁之一,传统防护方式无法实时更新特征库,以降低系统被攻击风险。 在重保服务期间,依靠人工驻场分析安全事件、人工关联威胁信息、人工执行防护策略,人工总结提交报告,导致威胁检测不全面,攻击响应不及时,无法实现常态化安全保障的目标。 企业存在多个分支机构时,网络覆盖面大、业务系统种类多,因漏洞导致的安全事件频发,企业已有安全措施很难达到风险漏洞管理要求。 传统终端安全产品忽视攻击路径分析,无法对威胁事件进行事后溯源,企业不能感知威胁事件发生的原因和过程。因此无法根据威胁发生原因制定对应的防御策略,不能从根本上阻断威胁。 父主题: 方案概述