华为智能企业上网行为管理安全解决方案(2)
本文承接:
https://blog.csdn.net/qq_37633855/article/details/133339254?spm=1001.2014.3001.5501
重点讲解华为智能企业上网行为管理安全解决方案的部署流程。
华为智能企业上网行为管理安全解决方案(2)
- 课程地址
- 方案部署
- 整体流程
- 组网规划
- 基础网络配置
- 路由规划
- 安全区域规划
- 高可靠性配置
- 防火墙双机热备
- ASG双机热备
- 业务部署
- 上网行为管理
课程地址
本方案相关课程资源已在华为O3社区发布,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)
课程地址:
- 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
- 点击“培训赋能 > 向导式学习”;
- 在向导式课程中选择《华为智能企业上网行为管理安全解决方案》即可看到课程相关内容。
华为O3社区平台会有课程配套技术文档和模拟试题。课程所有内容均为本人开发,学习过程中如有任何问题可随时在O3平台课程下方或者本文评论区留言讨论~
方案部署
整体流程
华为智能企业上网行为管理安全解决方案整体部署流程如下:
- 组网规划:设计方案底层组网与设备网络参数,确保设备合理部署;规划业务主备路径,保证业务韧性;
- 基础网络配置:完成设备基础网络参数配置与路由配置,确保底层业务网络基础路由可达;完成防火墙安全区域划分;
- 高可靠性配置:组建防火墙与ASG双机热备系统,提高整体网络可靠性,避免单点故障导致业务中断;
- 业务部署:配置防火墙侧NAT技术与安全策略,确保客户业务可正常交互;
- 上网行为管理:在ASG设备上基于客户具体需求配置对应的行为管理、行为审计策略,满足客户行为管理需求。
组网规划
华为智能企业上网行为管理安全解决方案组网规划如下图所示:
- 出口交换机为企业出口设备,负责接入运营商访问外网;
- 防火墙工作在三层,组建基于VRRP的主备模式双机热备系统,负责企业网络安全防护及NAT;
- ASG设备通过网桥模式部署在防火墙与核心交换机之间,组建主备模式双机热备,负责企业上网行为管理;
- 正常情况下业务走左侧主设备所在链路,主链路出现故障后,防火墙与ASG双机热备系统同步切换主备状态,将流量切换至右侧备用链路,保障企业关键业务不中断。
华为智能企业上网行为管理安全解决方案中使用到的网络地址段,具体规划如下所示。
说明:上表参数仅供参考,实际生产环境需根据实际情况合理调整。
基础网络配置
路由规划
以上文规划的网络参数为例,完成所有设备的接口IP地址后,需要在出口交换机和核心交换机上规划路由,基于本方案组网架构,具体的路由规划如下所示:
安全区域规划
防火墙是企业进行安全防护的核心设备,通过将业务网络划分为多个不同的安全区域,并根据企业的业务需求合理配置安全策略,即可实现域间业务流量的过滤,满足企业安防需求。本案例安全区域规划如下:
- Untrust区域:主要用于连接外部网络,确保企业有上网能力。
- Trust区域:主要连接企业内部业务网络,是防火墙重点保护的网络资产片区。
- DMZ区域:主备防火墙之间的心跳线规划到DMZ区域中,实现防火墙双机热备功能。
- Local区域:防火墙自身属于Local区域,主要包括防火墙的本地接口。
高可靠性配置
防火墙双机热备
为保证底层网络的可靠性,确保客户关键业务不因单台防火墙故障而中断,需组建防火墙双机热备系统,本方案选择基于VRRP的主备模式双机热备系统,具体配置流程如下:
- 配置防火墙心跳接口,用于交互HRP报文与VGMP报文;
- 配置HRP认证秘钥,确保防火墙双机热备系统安全性;
- 配置Link-Group,将所有业务接口作为一个整体监控,便于及时发现链路或端口故障,完成业务路径切换;
- 配置防火墙HRP设备角色,用于区分主备防火墙;
- 开启防火墙HRP协议,组建主备备份双机热备系统。
ASG双机热备
为保证底层网络的可靠性,确保客户关键业务不因单台ASG故障而中断,需组建ASG设备HA系统,本方案选择HA主备透明桥模式,具体配置流程如下:
- 工作模式选择主备;
- 开启配置同步和运行状态同步;
- 开启抢占模式,延迟时间建议和防火墙侧保持一致;
- 选择HA通讯接口(同防火墙心跳接口);
- 配置端口状态同步组(同Link-Group)监控业务线路;
- HA主备配置同步(可选)。
业务部署
为保证客户上网业务可顺利交互,同时保护内网核心业务网段,需在防火墙上配置安全策略放行业务流量;配置源NAT技术,保证内外网通信正常,同时隐藏内网业务网段,保证企业内网安全,具体配置流程如下:
- 在防火墙上配置安全策略,允许从Trust区域至Untrust区域的业务流量;
- 在防火墙上创建公网地址池(建议使用防火墙上行接口IP创建地址池);
- 在防火墙上配置源NAT策略,对流量源IP地址和端口进行转换,使得内网用户能够正常访问Internet。
上网行为管理
为规避企业各类上网业务安全风险、满足日趋严格的企业网安相关法律法规、避免网络资源的不合理使用,企业必须进行上网行为管理和审计。本方案将介绍华为ASG5510产品的以下功能来满足企业上网行为管理和审计需求:
具体实验操作可通过华为O3社区在线实验室预约相关实验进行操作练习,实验链接如下:
https://o3community.huawei.com/o3/1663500457860972546/detail?activeIndex=4&subIndex=1&o3src=https%3A%2F%2Fcn.o3.huawei.com%2Fcommunity%2Ftraining%2Flab-online-detail-shixizhi%3FlabType%3D1%26labId%3D5634%26domainCode%3DFORUM_221126001
在线实验界面如下:
本方案系列博客到此完结~
相关文章:
华为智能企业上网行为管理安全解决方案(2)
本文承接: https://blog.csdn.net/qq_37633855/article/details/133339254?spm1001.2014.3001.5501 重点讲解华为智能企业上网行为管理安全解决方案的部署流程。 华为智能企业上网行为管理安全解决方案(2) 课程地址方案部署整体流程组网规划…...
【python海洋专题九】Cartopy画地形等深线图
【python海洋专题九】Cartopy画地形等深线图 水深图基础差不多了,可以换成温度、盐度等 本期加上等深线 本期内容 1:地形等深线 cf ax.contour(lon, lat, ele[:, :], levelsnp.linspace(-9000,-100,10),colorsgray, linestyles-,linewidths0.25, t…...
Java后端模拟面试,题集①
1.Spring bean的生命周期 实例化 Instantiation属性赋值 Populate初始化 Initialization销毁 Destruction 2.Spring AOP的创建在bean的哪个时期进行的 (图片转载自Spring Bean的完整生命周期(带流程图,好记)) 3.MQ如…...
UE5.1编辑器拓展【二、脚本化资产行为,快速更改资产名字,1.直接添加前缀或后缀2.通过资产类判断添加修改前缀】
目录 了解相关的函数 第一种做法:自定义添加选择资产的前缀或后缀 代码 效果 第二种做法:通过映射来获取资产类型添加前缀和修改前缀 映射代码 代码 效果 在之前一章中,我们创建了插件,用来扩展编辑器的使用: …...
短期风速预测|LSTM|ELM|批处理(matlab代码)
目录 1 主要内容 LSTM-长短时记忆 ELM-极限学习机 2 部分代码 3 程序结果 4 程序链接 1 主要内容 该程序是预测类的基础性代码,程序对河北某地区的气象数据进行详细统计,程序最终得到pm2.5的预测结果,通过更改数据很容易得到风速预测结…...
【LeetCode热题100】--102.二叉树的层序遍历
102.二叉树的层序遍历 广度优先搜索: 我们可以想到最朴素的方法是用一个二元组 (node, level) 来表示状态,它表示某个节点和它所在的层数,每个新进队列的节点的 level 值都是父亲节点的 level 值加一。最后根据每个点的 level 对点进行分类&…...
第44节——redux store
一、概念 Redux 是一个用于管理 JavaScript 应用状态的库。在 Redux 中,整个应用的状态都存储在一个对象中,称为 store。 Store 实际上是一个 JavaScript 对象,它存储了整个应用的状态。它是唯一的,意味着应用中只有一个 store。…...
【2023年11月第四版教材】第17章《干系人管理》(第二部分)
第17章《干系人管理》(第二部分) 4 过程1-识别干系人4.1 数据收集★★★4.3数据分析4.4 权力利益方格4.5 数据表现:干系人映射分析和表现★★★ 5 过程2-规划干系人参与5.1 数据分析5.2 数据表现★★★5.2.1 干系人参与度评估矩阵★★★ 5.3 …...
含分布式电源的配电网可靠性评估(matlab代码)
目录 1 主要内容 2 部分代码 3 程序结果 4 下载链接 1 主要内容 该程序参考《基于仿射最小路法的含分布式电源配电网可靠性分析》文献方法,通过概率模型和时序模型分别进行建模,实现基于概率模型最小路法的含分布式电源配电网可靠性评估以及时序模型…...
react的组件
组件 组件是用来实现局部功能的代码和资源的集合(html/css/js),用来复用代码。 react中分为函数式组件和类式组件。函数式组件就是一个函数,函数的返回值就是组件的视图内容。类式组件就是通过class关键字创建的类,类…...
低功耗引擎Cliptrix为什么可以成为IOT的高效能工具
在万物互联的时代,现代人已普遍接受电视、音箱等电器设备具备智能化能力,也是在这个趋势下,我们身边越来越多的iOT设备联网和交互成为刚需。 但iot设备也面临到一些非常显著的痛点,例如iot设备的内存、处理器等核心元件无法与手机…...
深入学习git
1、git原理及整体架构图 一些常用的命令 git add . 或 git add src/com/ygl/hello/hello.java 指定文件 git commit . 或 git commit src/com/ygl/hello/hello.java 指定文件 git push origin 分支名称 2、git stash的应用场景 场景一:你正在当前分支A开发&…...
第9章 Mybatis
9.1 谈谈你对Mybatis的理解 难度:★★ 重点:★★ 白话解析 说清楚Mybatis是什么,它的工作流程,然后再对比一下Hibernate就好了。 1、Mybatis是什么:它一个半自动ORM框架,它底层把JDBC那套加载驱动、创建连接、创建statement等重复性的硬编码全部给你封装好了,程序员只…...
隐蔽通信论文复现
文章目录 前言一、Limits of Reliable Communication with Low Probability of Detection on AWGN Channels摘要introduction 前言 本文准备先考虑隐蔽中通信经典的Alice, Bob, Willie三点模型, 总结出其中的经典套路 一、Limits of Reliable Communication with Low Probabil…...
《Vue.js+Spring Boot全栈开发实战》简介
大家好,我是老卫。 恰逢中秋国庆双节,不想出门看人山,惟愿宅家阅书海! 今天开箱的这本书是《Vue.jsSpring Boot全栈开发实战》。 外观 从书名故名思议,就是基于Vue.jsSpring Boot来实现企业级应用全栈开发。 该书由…...
机器人中的数值优化(二十)——函数的光滑化技巧
本系列文章主要是我在学习《数值优化》过程中的一些笔记和相关思考,主要的学习资料是深蓝学院的课程《机器人中的数值优化》和高立编著的《数值最优化方法》等,本系列文章篇数较多,不定期更新,上半部分介绍无约束优化,…...
搭建全连接网络进行分类(糖尿病为例)
拿来练手,大神请绕道。 1.网上的代码大多都写在一个函数里,但是其实很多好论文都是把网络,数据训练等分开写的。 2.分开写就是有一个需要注意的事情,就是要import 要用到的文件中的模型或者变量等。 3.全连接的回归也写了&#…...
【小沐学前端】Node.js实现基于Protobuf协议的UDP通信(UDP/TCP)
文章目录 1、简介1.1 node1.2 Protobuf 2、下载和安装2.1 node2.2 Protobuf2.2.1 安装2.2.2 工具 3、node 代码示例3.1 HTTP3.2 UDP单播3.4 UDP广播 4、Protobuf 代码示例4.1 例子: awesome.proto4.1.1 加载.proto文件方式4.1.2 加载.json文件方式4.1.3 加载.js文件方式 4.2 例…...
Verasity Tokenomics — 社区讨论总结与下一步计划
Verasity 代币经济学的社区讨论已结束。 本次讨论从 8 月 4 日持续到 9 月 29 日,是区块链领域规模最大的讨论之一,超过 500,000 名 VRA 持有者和社区成员参与讨论,并收到了数千份回复。 首先,我们要感谢所有参与讨论并提出详细建…...
JUC第十三讲:JUC锁: ReentrantLock详解
JUC第十三讲:JUC锁: ReentrantLock详解 本文是JUC第十三讲,JUC锁:ReentrantLock详解。可重入锁 ReentrantLock 的底层是通过 AbstractQueuedSynchronizer 实现,所以先要学习上一章节 AbstractQueuedSynchronizer 详解。 文章目录 …...
Vim 调用外部命令学习笔记
Vim 外部命令集成完全指南 文章目录 Vim 外部命令集成完全指南核心概念理解命令语法解析语法对比 常用外部命令详解文本排序与去重文本筛选与搜索高级 grep 搜索技巧文本替换与编辑字符处理高级文本处理编程语言处理其他实用命令 范围操作示例指定行范围处理复合命令示例 实用技…...
未来机器人的大脑:如何用神经网络模拟器实现更智能的决策?
编辑:陈萍萍的公主一点人工一点智能 未来机器人的大脑:如何用神经网络模拟器实现更智能的决策?RWM通过双自回归机制有效解决了复合误差、部分可观测性和随机动力学等关键挑战,在不依赖领域特定归纳偏见的条件下实现了卓越的预测准…...
多云管理“拦路虎”:深入解析网络互联、身份同步与成本可视化的技术复杂度
一、引言:多云环境的技术复杂性本质 企业采用多云策略已从技术选型升维至生存刚需。当业务系统分散部署在多个云平台时,基础设施的技术债呈现指数级积累。网络连接、身份认证、成本管理这三大核心挑战相互嵌套:跨云网络构建数据…...
51c自动驾驶~合集58
我自己的原文哦~ https://blog.51cto.com/whaosoft/13967107 #CCA-Attention 全局池化局部保留,CCA-Attention为LLM长文本建模带来突破性进展 琶洲实验室、华南理工大学联合推出关键上下文感知注意力机制(CCA-Attention),…...
(十)学生端搭建
本次旨在将之前的已完成的部分功能进行拼装到学生端,同时完善学生端的构建。本次工作主要包括: 1.学生端整体界面布局 2.模拟考场与部分个人画像流程的串联 3.整体学生端逻辑 一、学生端 在主界面可以选择自己的用户角色 选择学生则进入学生登录界面…...
SciencePlots——绘制论文中的图片
文章目录 安装一、风格二、1 资源 安装 # 安装最新版 pip install githttps://github.com/garrettj403/SciencePlots.git# 安装稳定版 pip install SciencePlots一、风格 简单好用的深度学习论文绘图专用工具包–Science Plot 二、 1 资源 论文绘图神器来了:一行…...
iPhone密码忘记了办?iPhoneUnlocker,iPhone解锁工具Aiseesoft iPhone Unlocker 高级注册版分享
平时用 iPhone 的时候,难免会碰到解锁的麻烦事。比如密码忘了、人脸识别 / 指纹识别突然不灵,或者买了二手 iPhone 却被原来的 iCloud 账号锁住,这时候就需要靠谱的解锁工具来帮忙了。Aiseesoft iPhone Unlocker 就是专门解决这些问题的软件&…...
dedecms 织梦自定义表单留言增加ajax验证码功能
增加ajax功能模块,用户不点击提交按钮,只要输入框失去焦点,就会提前提示验证码是否正确。 一,模板上增加验证码 <input name"vdcode"id"vdcode" placeholder"请输入验证码" type"text&quo…...
生成 Git SSH 证书
🔑 1. 生成 SSH 密钥对 在终端(Windows 使用 Git Bash,Mac/Linux 使用 Terminal)执行命令: ssh-keygen -t rsa -b 4096 -C "your_emailexample.com" 参数说明: -t rsa&#x…...
PL0语法,分析器实现!
简介 PL/0 是一种简单的编程语言,通常用于教学编译原理。它的语法结构清晰,功能包括常量定义、变量声明、过程(子程序)定义以及基本的控制结构(如条件语句和循环语句)。 PL/0 语法规范 PL/0 是一种教学用的小型编程语言,由 Niklaus Wirth 设计,用于展示编译原理的核…...