锐捷ict解决方案构架-初稿v1

锐捷ict解决方案构架-初稿v1内容摘要：

路由器需要和汇聚端的 LNS 或者 VPN 建立 IPSEC VPN 加密隧道，保证数据传输的安全性。 主要涉及产品： S M1 加密卡S I C S EC NM X S EC H末端 3G 路由器汇聚端设备RG WA L L 1 6 0 0 ELNS 路由器 R S R 3 0 /5 0 ER S R 2 0R S R 1 0 02R S R 1 0 01管理端软件RG S NC B A NK ( 管理中心 ) CM S ( 证书管理中心 )S I C TD S I C WC D MAS I C CD MA 方案优势  全面支持各种制式 锐捷 RSR 3G解决方案全面支持国内运营商提供的三种 3G制式： WCDMA、CDMA2020 和 TDSCDMA。 具体实现方式为通过 RSR 路由器外接 USB 3GModem或 3G无线模块两种方式来实现，目前支持的 3GModem 型号丰富，覆盖市场主流的型号，确保 RSR路由器满足 3G无线通信应用的适 应性和灵活性。  完善的业务功能 第 6 页 3G 无线接口在 RSR 路由器上与其它的以太、同步口、 E1 等物理接口相同，3G 接口可支持完整的基于 IP 层以上的所有业务和功能特性，如接口备份、流量统计、网络防攻击等等，可有效发挥无线 3G 接口应用的潜力和价值。  数据安全加密 采用高性能 IPSec 技术实现高强度，端到端业务加密，杜绝互联网安全隐患。  管理手段多样化 针对 RSR 路由器的 3G 无线通信，可以提供基于命令行、 WEB、 SNMP 等多种管理方式，可大大提高管理效率并降低维护成本。 典型的应用案例 山西中行采用锐捷网络 RSR20和 RSR10系列路由器共 20台，覆盖离行 ATM、柜面网点。 路由器配置 SICWCDMA 的广域网板卡及 SM1 加密卡。 通过 3G 无线灵活的组网方式，解决了进线有限网点的备份、离行 ATM 的快速部署要求。 北京银行 采用两级 IPSEC VPN 的安全加密方式， AAA 服务器验证 3G 路由RSR10 的身份及 VPN。 RSR1002 与 LNS 建立 VPN 连接，采用国密办 SM1 算法，同时客户端还可以再加载一层与防火墙之间 IPSEC VPN 实现认证加密到终端用户。 第 7 页 通过 3G 无线 组网 为了给储户提供便捷的金融服务，北京银行决定于 2020 年推行移动上门业务。 3G 灵活性特性很好地满足了该业务场景的要求，采用国密办 SM1 算法很好地保证了安全性。 锐捷安全解决方案销售指导 解决方案概述 随着网络的快速发展，各种攻击手段层出不穷。 锐捷 结合行业网多年的经验提出了五大解决方案：边界防护解决方案、远程安全接入解决方案、 GSN 全局解决方案 、 Web 应用安全解决方案（ RGWG）、 网络和数据库安全审计 解决方案。 可以多层次、多角度解决用户的安全问题。 市场定 位 锐捷安全解决方案的需求非常的广泛，可应用于各个行业。 根据客户的不同，主要分为两个部份： 一类是弱等 级保护的客户： 以用户关注的网络信息安全问题为主要需求，方案功能主要围绕如何解决用户关注的安全问题展开，体现出该解决方案如何帮助用户建设一个安全的网络 二类是强等级保护的客户： 以等级保护作为用户的主要需求，方案功能主要 第 8 页 围绕如何满足《等级保护》要求展开，体现出该解决方案如何帮助用户通过等级保护评测 商业模式  运营商直接销售产品给直接用户，由用户自建安全网络。  运营商为用户代建网络，提供相关设备，同时提供相关增值服务。  运营商在用户接入端部署设备，并安全设备租借给用户及提供相关增值服务。 解决方案介绍 边界防护 解决方案 方案介绍 出口是网络的边界，为内部网络提供 Inter 接入服务。 但与此时，如何保障出口安全，使内部网络远离病毒、木马等攻击事件，避免业务中断；成为网络运维者面临的巨大考验。 近年来， Web 应用层出不穷，也对网络安全提供新的挑战。 锐捷边界防护解决方案主要结局网络边界的各种攻击问题，方案由 防火墙RGWALL、入侵检测系统 RGIDS、 Web 应用保护系统 RGWG（ WebGuard）组成。 方案各组件全面支持万兆，保障业务高性能。 其中 RGWALL提供基础安全防护， RGIDS 检测应用层攻击。 而最具 特色的 WebGuard 专业解决 Web 安全问题，满足网页防篡改、挂马、合规性检查，同时集成防病毒网关功能。 第 9 页 主要涉及及产品： 防火墙 RGWALL、入侵检测系统 RGIDS、 Web 应用保护系统 RGWG（ WebGuard）。 具体产品信息参见“安全产品介绍” 方案优势  网络安全、应用安全、 Web 安全立体架构 防火墙保障网络安全、 IDS 实现应用安全。 WebGuard 防御 SQL注入、跨站攻击、 Cookie 劫持等 Web 攻击；提供网页防篡改、网站防挂马，满足世博、亚运网站安全检查要求。 WebGuard 集成防病毒网 关功能，能有效预防病毒、木马泛滥；同时提供关键字过滤，使门户网站不受非法言论影响。  安全高性能出口 防火墙、 IDS、 WebGuard 全面支持万兆，在保障安全的同时，提供高速转发能力，使业务始终高速有效运行。 出口安全产品均使用多核平台架构，重写 TCP栈协议，多核多线程并行分步计算。 既解决安全往应用层、 Web 层发展带来的内容计算复杂度，又提供高性能。  “可信度”既避免漏报，又防止误报 随着业务规模的增长，网络中存在海量安全事件。 如何在海量事件中甄别出有用信息，给网络运维带来极大挑 战。 锐捷 IDS 创新“可信度”机制，关联分析安全事件间内在联系，区分出真正的攻击，避免误报。 第 10 页 远程安全接入解决方案 方案介绍 锐捷远程安全接入解决方案能满足用户跨广域网 /inter 安全传输的建设需要，方案由 锐捷 VPN 安全网关 、锐捷 VPN 管理系统、锐捷密钥存储器组成。 RGWALL V系列安全网关是集成了 VPN、防火墙、入侵防御和流量控制技术的软硬件一体化专用安全设备，经过简单配置即可方便地在企业总部和分支机构、移动用户以及合作伙伴之间建立安全的数据传输通道，对传输的数据进行有效的安全保护，是大量分 子机构拨入、大量移动用户接入、内网安全保障和专线备份等应用环境下的理想选择。 涉及产品 RGWALL V160S RGWALL V 1600E ADSL 核心区域 接入分支 服务器区 FTP RGVMS HTTP Email RGWALL V 1600E 光纤 ADSL 光纤 RGWALL V160S 电信 网通 IPsec VPN IPsec VPN 第 11 页 高端中端低端产品配件RG W A L L V1600ERG W A L L V1600S RG W A L L V160ERG W A L L V160SRG V M SRG SR A L I C EN SE RG K EY 具体产品信息参见“安全产品介绍” 方案优势 典型案例 中国科学院空间科学与应用研究中心属于典型的政府事业单位纵向网 IPsec VPN 安全互联案例 ， 两台 RGWALL V1000 部署 HA，保障高可靠性 ， 出口同时部署防火墙和 VPN，二者分工明确。 第 12 页 RG W A L L V 50RG WALL V 1 0 0 0核心区域共 8 个节点中端用户区非关键应用服务器群RG WALL V1 0 0 0数据节点站关键应用服务器群安全网关 安全网关核心 SW核心 SW网管 + 防病毒服务器视频 文件 W W W 数据库 E ma i lRG W A L L V 50数据节点站RG W A L L V 50数据节点站…… GSN 全局解决方案 锐捷网络 GSN（ Global Security Network）全局安全网络解决方案 ，致力于通过软硬件联动、计算机与网络联动的整体解决方案，通过传统的网络设备和安全设备等硬件，配合后台系统、客户端等软件，联动的实现了对于用户身份、主机健康性以及网络通信等多方面的保障，轻松实现“让正确的人，使用健康的主机，访问安全的网络，做规范的事”的目标。 GSN 的组成元素 GSN 是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。 第 13 页 方案介绍 作为一套网络访问控制的解决方案， GSN 可以帮助客户实现从用户身份管理、主机管理到网络通信管理等多方面的功能。 用户身份管理体系 GSN 采用了基于 协议和 Radius 协议的身份验证体系，通过与网络交换机的联动，实现了对于用户访问网络的身份的控制。 同时，可以采用用户名、密码、用户 IP、用户 MAC、认证交换机 IP、认证交换机端口号等多达 6 个元素的灵活绑定，来保障用户的身份正确性，更可以根据用户身份的不同，来给用户赋予灵活的网络权限访问控制。 第 14 页 端点防护体系 在 GSN 全局安全网络体系中，用户完成了身份认证之后，将进行主机端点防护的检测和修复，简单的说，就是对用户用来上网的计算机的健康情况进行检测，检测内容包 括用户的软件安装情况、用户的进程启用情况、用户的后台服务运行情况、用户的注册表关键键值情况、用户的 Windows 补丁更新情况、用户的防病毒软件运行情况，甚至用户的外连接口（光驱、软驱、 USB 接口等）启用情况。 通过对这些元素的检测， GSN 有效的保障了用户的主机的健康性，避免中毒的主机进入网络带来病毒的疯狂传播，也及时的补全了主机的漏洞，避免用户入网后遭到别的主机的攻击。 在对用户的主机健康情况检测完成后， GSN 还能够根据制定好的策略对用户进行自动修复，来完善用户的主机健康情况。 网络通信防护体系 第 15 页 用户在完。