华为ASG上网行为管理产品应用场景：企业分支与总部VPN互联

华为ASG上网行为管理产品应用场景：企业分支与总部VPN互联

现代企业为了在全球范围内开展业务，通常都在公司总部之外设立了分支机构（例如银行等金融机构），或者与合作伙伴进行业务合作。分支机构、合作伙伴都需要远程接入企业总部网络开展业务，目前通过VPN技术可以实现安全、低成本的互联接入。

分支机构互联通常都具有以下特征：

• 分支机构通常都需要无缝接入总部网络，并且持续不间断地开展业务。
• 合作伙伴需要根据业务开展的情况，灵活进行授权，限制合作伙伴可以访问的网络范围、可以传输的数据类型。
• 所有远程接入的通信过程都需要进行加密保护，防止窃听、篡改、伪造、重放等行为，同时还需要从应用和内容层面防止机密数据的泄露。
• 总部多出口VPN互联，业务多变所以管理复杂。

基于以上特征，ASG作为企业的VPN接入网关，典型的应用场景如图1所示。

图1 IPsec VPN实现分支机构互联

• 在ASG分支机构间建立IPsec VPN隧道，使用IPsec VPN保护公司业务数据，使其在Internet上安全传输。
• 对于拥有固定VPN网关的分支机构和合作伙伴，使用IPsec建立隧道以及业务。
• 在上述隧道中，通过IPsec加密算法，对网络数据进行加密保护。
• 对于通过VPN隧道接入后的用户，进行接入认证，保证用户合法性。并且基于用户权限进行访问授权。
• 具有入侵防御、病毒防护、黑名单、攻击防护（包括ARP攻击防护、DOS攻击防护、异常包攻击防御等）、上网行为管控等特性，避免网络威胁经由远程接入用户穿过隧道进入公司总部，同时防止机密信息泄露。
• 具有用户行为审计，及时发现风险，并且便于事前预防，事中控制，事后追溯。
• 满足用户业务网段频繁更改、VPN调试繁琐的场景。