安全廣域網

廣域網確保了總部和各級分支機構之間的互聯互通，但是，隨著廣域網上各種套用的業務量和複雜度不斷提升，其安全及性能問題變得越來越突出，主要問題包括：

訪問控制：如何實現各分支機構和總部間、各分支機構之間複雜的訪問控制？

安全威脅：邊遠分支機構的安全級別低、安全管理鬆散，易引入蠕蟲、木馬、病毒、黑客等，如何防範這些安全威脅在廣域網上快速擴散？

頻寬保障：非關鍵業務或垃圾流量占用了有限的廣域網頻寬資源，造成廣域網擁塞，如何保證數據流在廣域網中按業務的重要程度進行不同優先權的調度？

安全管理：如何實現廣域網集中的安全管理，整網部署統一的安全策略，進行統一的安全事件監控？

H3C新一代廣域網安全解決方案全面地考慮了廣域網的安全問題和性能問題，通過部署H3C的防火牆、IPS、ACG、UTM、SecCenter等安全產品組成了立體的安全防禦和性能最佳化體系，確保了廣域網的高安全和高性能。

總部包含了廣域網業務的核心數據，安全級別最高，所以在總部的廣域網出口採用功能專一的安全設備實現安全防護和性能保護。另外，對於大型廣域網的總部，H3C可以提供高端萬兆的安全產品F5000、T5000、ACG8800，以滿足大型廣域網總部對安全業務的高性能需求。

防火牆實現分支機構針對總部資源的訪問控制，H3C防火牆具有虛擬化、ACL加速等技術優勢，其虛擬化特性可大大簡化訪問控制策略的部署，ACL加速特性可提升總部大業務量下的訪問控制效率。

IPS產品實現套用層安全威脅防禦，H3C IPS具有三庫合一、高性能等技術優勢，其中病毒特徵庫採用了專業防病毒廠商卡巴斯基授權的SafeStream庫，可以有效防護各種詭異的混合型安全威脅；其獨特的FIRST引擎技術可保證IPS開啟所有特徵規則(上萬條)後，性能不衰減。同時，H3C IPS產品可以有效阻斷蠕蟲、病毒等產生的掃描探測流量，以避免這些垃圾流量侵蝕寶貴的廣域網頻寬資源。

ACG實現廣域網頻寬最佳化，H3C ACG可識別各種廣域網業務，如Notes等辦公業務、電力調度業務、Oracle等資料庫業務、視頻會議、SNMP等網管業務;並提供自定義協定接口，可根據客戶自身套用的負載特徵和互動特徵自定義套用協定。在識別出各種廣域網業務的基礎上，ACG可對關鍵業務進行頻寬保證，對其他業務按優先權進行智慧型流量調度。同時，對於廣域網上的一些網路濫用業務(如線上多媒體、上傳下載等)，ACG可自動識別並進行限流或阻斷。

二級網在整個廣域網中承上啟下，安全級別較高，訪問控制策略複雜，所以在二級網的廣域網出口採用功能專一的安全設備實現安全防護和性能保護。

相對總部而言，二級網的流量相對較小，所以，對於大型廣域網的二級網，可以採用H3C高端千兆安全產品F1000、T1000、ACG2000等，在確保獲得專業安全業務的同時，又能滿足二級網對性能的需求。

三級網的安全級別相對較低，但分布廣、網點多，要求安全設備易管理、易部署，所以在三級網的廣域網出口部署功能綜合的安全產品UTM。H3C UTM集成了防火牆、IPS、防病毒、頻寬管理等功能，同時支持基於TR069的安全策略分發，非常方便於遠程分支機構的安全業務部署。

在總部部署H3C的安全管理平台SecCenter，實現廣域網全網安全威脅統一監控和安全策略統一管理。對於大型的廣域網，還需要在二級網也部署SecCenter，實現分級的安全管理。

通過防火牆和IPS的有機結合和功能互補，為用戶提供2-7層的全面安全防護，確保了總部和二級網的安全，同時UTM綜合的安全功能確保了三級網的安全。H3C IPS、UTM可以定期更新攻擊特徵和病毒特徵規則，為用戶提供持續的專業安全保護。

通過ACG的7層QOS功能，可以針對各種關鍵業務進行頻寬保障和頻寬的動態分配，實現精細化流量調度，節約頻寬資源。H3C ACG產品可根據報文負載特徵識別包括廣域網常見套用在內的3000多種套用協定，並可以根據不同用戶廣域網的特殊業務定製協定特徵。在識別後，H3C ACG可以定義出最多三層通道，在每層通道里都可以部署精細化的流量調度策略，包括頻寬保證、頻寬借用、頻寬限制、封堵、連線限制、優先權改寫等， 可方便地實現對廣域網關鍵業務(如視頻會議等)的頻寬保證，對濫用業務(如上傳下載等)的限制;同時，H3C ACG支持通道頻寬的動態分配，並根據用戶數量的變化動態調整頻寬分配，保證頻寬資源高效與公平利用。

廣域網的安全體系的建設，既離不開通用安全建設理論的指導，也需要考慮廣域網在自身業務開展過程中的實際的安全需求。在理論結合實際的基礎上，通過不斷研究安全威脅的新變化，並及時動態調整自身的安全防護策略，可以使得整個廣域網的安全防護體系與時俱進，為多業務廣域分支的建設保駕護航。