华为智能企业上网行为管理安全解决方案(2)
本文承接:
https://blog.csdn.net/qq_37633855/article/details/133339254?spm=1001.2014.3001.5501
重点讲解华为智能企业上网行为管理安全解决方案的部署流程。
华为智能企业上网行为管理安全解决方案(2)
- 课程地址
- 方案部署
- 整体流程
- 组网规划
- 基础网络配置
- 路由规划
- 安全区域规划
- 高可靠性配置
- 防火墙双机热备
- ASG双机热备
- 业务部署
- 上网行为管理
课程地址
本方案相关课程资源已在华为O3社区发布,可按照以下步骤进行访问(需要有华为账号哦,普通的个人账号即可~)
课程地址:
- 复制链接 https://o3community.huawei.com/ 进入华为O3社区;
- 点击“培训赋能 > 向导式学习”;
- 在向导式课程中选择《华为智能企业上网行为管理安全解决方案》即可看到课程相关内容。
华为O3社区平台会有课程配套技术文档和模拟试题。课程所有内容均为本人开发,学习过程中如有任何问题可随时在O3平台课程下方或者本文评论区留言讨论~
方案部署
整体流程
华为智能企业上网行为管理安全解决方案整体部署流程如下:
- 组网规划:设计方案底层组网与设备网络参数,确保设备合理部署;规划业务主备路径,保证业务韧性;
- 基础网络配置:完成设备基础网络参数配置与路由配置,确保底层业务网络基础路由可达;完成防火墙安全区域划分;
- 高可靠性配置:组建防火墙与ASG双机热备系统,提高整体网络可靠性,避免单点故障导致业务中断;
- 业务部署:配置防火墙侧NAT技术与安全策略,确保客户业务可正常交互;
- 上网行为管理:在ASG设备上基于客户具体需求配置对应的行为管理、行为审计策略,满足客户行为管理需求。
组网规划
华为智能企业上网行为管理安全解决方案组网规划如下图所示:
- 出口交换机为企业出口设备,负责接入运营商访问外网;
- 防火墙工作在三层,组建基于VRRP的主备模式双机热备系统,负责企业网络安全防护及NAT;
- ASG设备通过网桥模式部署在防火墙与核心交换机之间,组建主备模式双机热备,负责企业上网行为管理;
- 正常情况下业务走左侧主设备所在链路,主链路出现故障后,防火墙与ASG双机热备系统同步切换主备状态,将流量切换至右侧备用链路,保障企业关键业务不中断。
华为智能企业上网行为管理安全解决方案中使用到的网络地址段,具体规划如下所示。
说明:上表参数仅供参考,实际生产环境需根据实际情况合理调整。
基础网络配置
路由规划
以上文规划的网络参数为例,完成所有设备的接口IP地址后,需要在出口交换机和核心交换机上规划路由,基于本方案组网架构,具体的路由规划如下所示:
安全区域规划
防火墙是企业进行安全防护的核心设备,通过将业务网络划分为多个不同的安全区域,并根据企业的业务需求合理配置安全策略,即可实现域间业务流量的过滤,满足企业安防需求。本案例安全区域规划如下:
- Untrust区域:主要用于连接外部网络,确保企业有上网能力。
- Trust区域:主要连接企业内部业务网络,是防火墙重点保护的网络资产片区。
- DMZ区域:主备防火墙之间的心跳线规划到DMZ区域中,实现防火墙双机热备功能。
- Local区域:防火墙自身属于Local区域,主要包括防火墙的本地接口。
高可靠性配置
防火墙双机热备
为保证底层网络的可靠性,确保客户关键业务不因单台防火墙故障而中断,需组建防火墙双机热备系统,本方案选择基于VRRP的主备模式双机热备系统,具体配置流程如下:
- 配置防火墙心跳接口,用于交互HRP报文与VGMP报文;
- 配置HRP认证秘钥,确保防火墙双机热备系统安全性;
- 配置Link-Group,将所有业务接口作为一个整体监控,便于及时发现链路或端口故障,完成业务路径切换;
- 配置防火墙HRP设备角色,用于区分主备防火墙;
- 开启防火墙HRP协议,组建主备备份双机热备系统。
ASG双机热备
为保证底层网络的可靠性,确保客户关键业务不因单台ASG故障而中断,需组建ASG设备HA系统,本方案选择HA主备透明桥模式,具体配置流程如下:
- 工作模式选择主备;
- 开启配置同步和运行状态同步;
- 开启抢占模式,延迟时间建议和防火墙侧保持一致;
- 选择HA通讯接口(同防火墙心跳接口);
- 配置端口状态同步组(同Link-Group)监控业务线路;
- HA主备配置同步(可选)。
业务部署
为保证客户上网业务可顺利交互,同时保护内网核心业务网段,需在防火墙上配置安全策略放行业务流量;配置源NAT技术,保证内外网通信正常,同时隐藏内网业务网段,保证企业内网安全,具体配置流程如下:
- 在防火墙上配置安全策略,允许从Trust区域至Untrust区域的业务流量;
- 在防火墙上创建公网地址池(建议使用防火墙上行接口IP创建地址池);
- 在防火墙上配置源NAT策略,对流量源IP地址和端口进行转换,使得内网用户能够正常访问Internet。
上网行为管理
为规避企业各类上网业务安全风险、满足日趋严格的企业网安相关法律法规、避免网络资源的不合理使用,企业必须进行上网行为管理和审计。本方案将介绍华为ASG5510产品的以下功能来满足企业上网行为管理和审计需求:
具体实验操作可通过华为O3社区在线实验室预约相关实验进行操作练习,实验链接如下:
https://o3community.huawei.com/o3/1663500457860972546/detail?activeIndex=4&subIndex=1&o3src=https%3A%2F%2Fcn.o3.huawei.com%2Fcommunity%2Ftraining%2Flab-online-detail-shixizhi%3FlabType%3D1%26labId%3D5634%26domainCode%3DFORUM_221126001
在线实验界面如下:
本方案系列博客到此完结~
相关文章:
华为智能企业上网行为管理安全解决方案(2)
本文承接: https://blog.csdn.net/qq_37633855/article/details/133339254?spm1001.2014.3001.5501 重点讲解华为智能企业上网行为管理安全解决方案的部署流程。 华为智能企业上网行为管理安全解决方案(2) 课程地址方案部署整体流程组网规划…...
【python海洋专题九】Cartopy画地形等深线图
【python海洋专题九】Cartopy画地形等深线图 水深图基础差不多了,可以换成温度、盐度等 本期加上等深线 本期内容 1:地形等深线 cf ax.contour(lon, lat, ele[:, :], levelsnp.linspace(-9000,-100,10),colorsgray, linestyles-,linewidths0.25, t…...
Java后端模拟面试,题集①
1.Spring bean的生命周期 实例化 Instantiation属性赋值 Populate初始化 Initialization销毁 Destruction 2.Spring AOP的创建在bean的哪个时期进行的 (图片转载自Spring Bean的完整生命周期(带流程图,好记)) 3.MQ如…...
UE5.1编辑器拓展【二、脚本化资产行为,快速更改资产名字,1.直接添加前缀或后缀2.通过资产类判断添加修改前缀】
目录 了解相关的函数 第一种做法:自定义添加选择资产的前缀或后缀 代码 效果 第二种做法:通过映射来获取资产类型添加前缀和修改前缀 映射代码 代码 效果 在之前一章中,我们创建了插件,用来扩展编辑器的使用: …...
短期风速预测|LSTM|ELM|批处理(matlab代码)
目录 1 主要内容 LSTM-长短时记忆 ELM-极限学习机 2 部分代码 3 程序结果 4 程序链接 1 主要内容 该程序是预测类的基础性代码,程序对河北某地区的气象数据进行详细统计,程序最终得到pm2.5的预测结果,通过更改数据很容易得到风速预测结…...
【LeetCode热题100】--102.二叉树的层序遍历
102.二叉树的层序遍历 广度优先搜索: 我们可以想到最朴素的方法是用一个二元组 (node, level) 来表示状态,它表示某个节点和它所在的层数,每个新进队列的节点的 level 值都是父亲节点的 level 值加一。最后根据每个点的 level 对点进行分类&…...
第44节——redux store
一、概念 Redux 是一个用于管理 JavaScript 应用状态的库。在 Redux 中,整个应用的状态都存储在一个对象中,称为 store。 Store 实际上是一个 JavaScript 对象,它存储了整个应用的状态。它是唯一的,意味着应用中只有一个 store。…...
【2023年11月第四版教材】第17章《干系人管理》(第二部分)
第17章《干系人管理》(第二部分) 4 过程1-识别干系人4.1 数据收集★★★4.3数据分析4.4 权力利益方格4.5 数据表现:干系人映射分析和表现★★★ 5 过程2-规划干系人参与5.1 数据分析5.2 数据表现★★★5.2.1 干系人参与度评估矩阵★★★ 5.3 …...
含分布式电源的配电网可靠性评估(matlab代码)
目录 1 主要内容 2 部分代码 3 程序结果 4 下载链接 1 主要内容 该程序参考《基于仿射最小路法的含分布式电源配电网可靠性分析》文献方法,通过概率模型和时序模型分别进行建模,实现基于概率模型最小路法的含分布式电源配电网可靠性评估以及时序模型…...
react的组件
组件 组件是用来实现局部功能的代码和资源的集合(html/css/js),用来复用代码。 react中分为函数式组件和类式组件。函数式组件就是一个函数,函数的返回值就是组件的视图内容。类式组件就是通过class关键字创建的类,类…...
低功耗引擎Cliptrix为什么可以成为IOT的高效能工具
在万物互联的时代,现代人已普遍接受电视、音箱等电器设备具备智能化能力,也是在这个趋势下,我们身边越来越多的iOT设备联网和交互成为刚需。 但iot设备也面临到一些非常显著的痛点,例如iot设备的内存、处理器等核心元件无法与手机…...
深入学习git
1、git原理及整体架构图 一些常用的命令 git add . 或 git add src/com/ygl/hello/hello.java 指定文件 git commit . 或 git commit src/com/ygl/hello/hello.java 指定文件 git push origin 分支名称 2、git stash的应用场景 场景一:你正在当前分支A开发&…...
第9章 Mybatis
9.1 谈谈你对Mybatis的理解 难度:★★ 重点:★★ 白话解析 说清楚Mybatis是什么,它的工作流程,然后再对比一下Hibernate就好了。 1、Mybatis是什么:它一个半自动ORM框架,它底层把JDBC那套加载驱动、创建连接、创建statement等重复性的硬编码全部给你封装好了,程序员只…...
隐蔽通信论文复现
文章目录 前言一、Limits of Reliable Communication with Low Probability of Detection on AWGN Channels摘要introduction 前言 本文准备先考虑隐蔽中通信经典的Alice, Bob, Willie三点模型, 总结出其中的经典套路 一、Limits of Reliable Communication with Low Probabil…...
《Vue.js+Spring Boot全栈开发实战》简介
大家好,我是老卫。 恰逢中秋国庆双节,不想出门看人山,惟愿宅家阅书海! 今天开箱的这本书是《Vue.jsSpring Boot全栈开发实战》。 外观 从书名故名思议,就是基于Vue.jsSpring Boot来实现企业级应用全栈开发。 该书由…...
机器人中的数值优化(二十)——函数的光滑化技巧
本系列文章主要是我在学习《数值优化》过程中的一些笔记和相关思考,主要的学习资料是深蓝学院的课程《机器人中的数值优化》和高立编著的《数值最优化方法》等,本系列文章篇数较多,不定期更新,上半部分介绍无约束优化,…...
搭建全连接网络进行分类(糖尿病为例)
拿来练手,大神请绕道。 1.网上的代码大多都写在一个函数里,但是其实很多好论文都是把网络,数据训练等分开写的。 2.分开写就是有一个需要注意的事情,就是要import 要用到的文件中的模型或者变量等。 3.全连接的回归也写了&#…...
【小沐学前端】Node.js实现基于Protobuf协议的UDP通信(UDP/TCP)
文章目录 1、简介1.1 node1.2 Protobuf 2、下载和安装2.1 node2.2 Protobuf2.2.1 安装2.2.2 工具 3、node 代码示例3.1 HTTP3.2 UDP单播3.4 UDP广播 4、Protobuf 代码示例4.1 例子: awesome.proto4.1.1 加载.proto文件方式4.1.2 加载.json文件方式4.1.3 加载.js文件方式 4.2 例…...
Verasity Tokenomics — 社区讨论总结与下一步计划
Verasity 代币经济学的社区讨论已结束。 本次讨论从 8 月 4 日持续到 9 月 29 日,是区块链领域规模最大的讨论之一,超过 500,000 名 VRA 持有者和社区成员参与讨论,并收到了数千份回复。 首先,我们要感谢所有参与讨论并提出详细建…...
JUC第十三讲:JUC锁: ReentrantLock详解
JUC第十三讲:JUC锁: ReentrantLock详解 本文是JUC第十三讲,JUC锁:ReentrantLock详解。可重入锁 ReentrantLock 的底层是通过 AbstractQueuedSynchronizer 实现,所以先要学习上一章节 AbstractQueuedSynchronizer 详解。 文章目录 …...
Vue3 + Element Plus + TypeScript中el-transfer穿梭框组件使用详解及示例
使用详解 Element Plus 的 el-transfer 组件是一个强大的穿梭框组件,常用于在两个集合之间进行数据转移,如权限分配、数据选择等场景。下面我将详细介绍其用法并提供一个完整示例。 核心特性与用法 基本属性 v-model:绑定右侧列表的值&…...
从深圳崛起的“机器之眼”:赴港乐动机器人的万亿赛道赶考路
进入2025年以来,尽管围绕人形机器人、具身智能等机器人赛道的质疑声不断,但全球市场热度依然高涨,入局者持续增加。 以国内市场为例,天眼查专业版数据显示,截至5月底,我国现存在业、存续状态的机器人相关企…...
-----深度优先搜索(DFS)实现)
c++ 面试题(1)-----深度优先搜索(DFS)实现
操作系统:ubuntu22.04 IDE:Visual Studio Code 编程语言:C11 题目描述 地上有一个 m 行 n 列的方格,从坐标 [0,0] 起始。一个机器人可以从某一格移动到上下左右四个格子,但不能进入行坐标和列坐标的数位之和大于 k 的格子。 例…...
第25节 Node.js 断言测试
Node.js的assert模块主要用于编写程序的单元测试时使用,通过断言可以提早发现和排查出错误。 稳定性: 5 - 锁定 这个模块可用于应用的单元测试,通过 require(assert) 可以使用这个模块。 assert.fail(actual, expected, message, operator) 使用参数…...
)
【HarmonyOS 5 开发速记】如何获取用户信息(头像/昵称/手机号)
1.获取 authorizationCode: 2.利用 authorizationCode 获取 accessToken:文档中心 3.获取手机:文档中心 4.获取昵称头像:文档中心 首先创建 request 若要获取手机号,scope必填 phone,permissions 必填 …...
32单片机——基本定时器
STM32F103有众多的定时器,其中包括2个基本定时器(TIM6和TIM7)、4个通用定时器(TIM2~TIM5)、2个高级控制定时器(TIM1和TIM8),这些定时器彼此完全独立,不共享任何资源 1、定…...
CMS内容管理系统的设计与实现:多站点模式的实现
在一套内容管理系统中,其实有很多站点,比如企业门户网站,产品手册,知识帮助手册等,因此会需要多个站点,甚至PC、mobile、ipad各有一个站点。 每个站点关联的有站点所在目录及所属的域名。 一、站点表设计…...
Docker、Wsl 打包迁移环境
电脑需要开启wsl2 可以使用wsl -v 查看当前的版本 wsl -v WSL 版本: 2.2.4.0 内核版本: 5.15.153.1-2 WSLg 版本: 1.0.61 MSRDC 版本: 1.2.5326 Direct3D 版本: 1.611.1-81528511 DXCore 版本: 10.0.2609…...
)
Docker环境下安装 Elasticsearch + IK 分词器 + Pinyin插件 + Kibana(适配7.10.1)
做RAG自己打算使用esmilvus自己开发一个,安装时好像网上没有比较新的安装方法,然后找了个旧的方法对应试试: 🚀 本文将手把手教你在 Docker 环境中部署 Elasticsearch 7.10.1 IK分词器 拼音插件 Kibana,适配中文搜索…...
虚拟机网络不通的问题(这里以win10的问题为主,模式NAT)
当我们网关配置好了,DNS也配置好了,最后在虚拟机里还是无法访问百度的网址。 第一种情况: 我们先考虑一下,网关的IP是否和虚拟机编辑器里的IP一样不,如果不一样需要更改一下,因为我们访问百度需要从物理机…...