华为USG6000下一代防火墙在敏捷网络应用场景

敏捷网络

敏捷网络是针对传统企业网络而提出的一种新的企业网络解决方案,较之于传统的企业网络,敏捷网络在配置、维护以及业务响应等方面更简便、灵活、迅速。

敏捷网络根据不同的用户需求,主要包括业务随行、业务编排和安全协防3个主要应用场景。NGFW在不同场景充当不同的角色,满足各类应用需求。

业务随行

业务随行,也称作策略随行,是指在敏捷网络中,无论用户从何处接入企业网络,用户访问企业资源时的权限和体验(指用户访问企业资源时所享有的优先级和带宽)都一样,不受接入地点的影响。在图2-6所示的业务随行场景中,防火墙被部署在总部/分支网络的出口、数据中心的边界位置,主要提供用户身份认证和权限控制功能。位于总部/分支网络出口的防火墙除了做身份认证和权限控制以外,还可以为出差员工提供L2TP、L2TP over IPSec、SSL VPN等VPN接入业务,并为接入用户分配带宽资源,保证VIP用户流量优先转发。

图2-6  业务随行应用场景

业务编排

业务编排是指在敏捷网络中,所有用于做安全检测的设备被集中部署在安全资源池中,每个安全设备负责不同的安全检测任务。企业可以根据需要将经过核心交换机的流量按照指定的编排顺序,依次发往这些安全设备进行安全检测。图2-7所示是业务编排的应用场景,在该场景中防火墙位于安全资源池中,用于提供内容安全检测功能。防火墙旁路部署在核心交换机旁边,防火墙与核心交换机之间建立两条GRE隧道。当需要检测的流量到达核心交换机时,核心交换机会将该流量通过其中一条GRE隧道引导到对应的防火墙进行安全检查。防火墙做完检查以后,再通过另一条GRE隧道将流量回注到核心交换机。

图2-7  业务编排应用场景

安全协防

安全协防是一种提升企业网络整体安全防御能力的解决方案。该方案帮助企业管理员了解网络的健康程度、安全事件数量、类型和安全风险趋势等,并对具体安全事件进行监控和处理。如图2-8所示,防火墙作为安全日志上报设备,以SYSLOG格式向Controller上报网络中的病毒、入侵、木马、数据泄密等安全事件,Controller收到防火墙的安全日志之后,给出安全警示并下发隔离、阻断等安全联动动作给汇聚交换机,由汇聚交换机阻断这些安全隐患。

图2-8  安全协防应用场景