华为赛门铁克vpn方案

VPN安全解决方案205125hk2VPN安全解决方案网络2网络3III区IV区IV区III区Eudemon500IV区Eudemon1000Eudemon500主要解决安全的问题：•业务隔离和路由安全•横向隔离主要组成部件产品：•Eudemon1000/500/300•NE40/80方案重要特点介绍：•国密算法更安全，同时支持MPLSVPN、IPSECVPN•端到端的逻辑隔离，虚拟防火墙配合MPLSVPN•完善的Qos保障，同时满足调度信息、数据、语音视频的传送需求III区MPLSVPN数据VPN语音视频VPN调度VPNIPSecIPSecIPSecNE40/80NE40/80NE40/80端到端的区域隔离网络3III区IV区IV区Eudemon500Eudemon1000III区MPLSVPN数据VPN语音视频VPN调度VPNNE40/80NE40/80虚拟防火墙功能网络3III区IV区IV区III区MPLSVPN数据VPN语音视频VPN调度VPNNE40/80普通防火墙共用同一套安全策略，无法完全隔离端到端的隔离分段的隔离双重安全保护的业务传送MPLSVPM保障业务隔离IPSecVPM保障业务机密性和完整性•高可靠性、大容量（整机吞吐量：4G；3DES加密：200M/1G）•支持国密加密算法Eudemon1000Eudemon1000兼容多种业务传输的Qos保障Eudemon1000MPLSVPN数据VPN语音视频VPN调度VPNNE40/80NE40/80地调省调Eudemon500完善的Qos机制保障调度业务的优先通过调度业务OA业务•支持报文分类及标记，流量监管，拥塞检测和避免，队列调度，流量整形等IPQos技术感知视频会议和IP电话业务的安全保护综合数据网•基于NP实现的ASPF•支持H.323，SIP，MGCP，H.248，RTSP等多种NATALG变电站省调根据会话需要，动态开放媒流通道。匈牙利IPSec+MPLSVPN组网应用T-comIP/MPLSCoreT-MoblieCorePEPEInternetIPSECEudemon500Eudemon500摩洛哥电信虚拟防火墙+MPLSVPN组网应用InternetInternetPPPPMPLSPEPESITE1SITE2SITE4SITE9Eudemon200PEPEEudemon1000数据中心安全解决方案数据中心安全解决方案业务区1业务区2业务区3备份OceanStorS3000/S6000NIP1000NIP1000NIP1000Eudemon1000Tecal8000Tecal8000Tecal8000……InternetOceanStorS3000/S6000带库主要解决安全的问题：•网络病毒传播引发的DDOS•黑客入侵•数据丢失主要组成部件产品：•Eudemon1000/500•NIP1000•OceanStorS6000/S3000系列方案重要特点介绍：•保障业务的连续运行，完善网络安全和数据安全整体设计•电信级的高性能、高可靠性，合适数据中心的集中网络流量的环境要求•保护现有投资，DACstore技术平滑扩容更简单内部网络tEudemon500Eudemon500电信级设计的保障数据中心入口的长期可靠•设备高可靠性设计•包括电源、风扇在内的关键器件冗余设计•接口模块和风扇模块热插拔，可现场更换•软件在线热补丁•双机状态热备机制，可支持多种组网方式•Bypass卡功能保证断电，down机，升级等异常情况下业务直通，不受影响•网络高可靠性设计•真正的“热备份”，状态表项实时同步，切换时间1秒，不影响业务。•在路由模式、透明模式下，支持Active-Active、Active-Slave两种组网模型Eudemon1000Eudemon1000R2R1LSW1LSW2服务器负载均衡使服务器集群更加容易Eudemon1000变电站A202..110.5.5132.11.5.12服务器3服务器1服务器2Group110.110.5.101高效分配算法，使流量在多台服务器间均匀分配变电站B全Internet接入功能下的高性能目的目的端口源地址源端口私网地址。。。INTERNET202.110.1.1202.110.1.2…共256个地址池10.110.5.10110.110.5.100ExtendedNAT，实现一个地址支持无限连接NET2202.110.1.241•支持透明模式NAT•IPSecVPN接入•高速二进制日志日志服务器业务服务器IPSec隧道移动办公基于会话流更加准确的检测入侵行为Server虚假的攻击数据包10Ksynsyn,ackack真实攻击虚假的攻击数据包10K黑客终端基于会话流的NIDS只检测到1次攻击基于数据包的NIDS检测到1次攻击的同时还会检测到20K攻击流量•蠕虫检测•扫描检测•后门(木马)检测•代码攻击NIP1000NIP1000P2P监控是Internet出口带宽使用更有效Eudemon1000骨干网1骨干网2图形化工具管理P2P监控功能内部网络禁制某IP地址的P2P访问•限制到骨干网1的P2P流量不超过100M•限制到骨干网2的P2P流量不超过20M数据存储安全应用LAN应用系统备份服务器磁带库MediaServerMasterServer光纤交换机dataS6000/S3000系列高可靠性设计是数据安全的基础•设备高可靠性设计•包括控制器、电源、风扇的全冗余设计•Cache掉电保护•独特的HotScale技术•路由高可靠性设计•双路由级联•支持多路主机通道优异的数据访问性能控制A控制B控制A控制BFC环路结构FC交换结构•端到端4Gbps系统架构，最大可提供8个4Gbps主机通路。•专用硬件RAID加速，IOPS峰值可达121,500。•兼容Windows2000/Server2003、Solaris、HP-UX、IRIX、AIX、NetWare、RedHatLinux、SuSeLinux等操作系统•兼容主流厂商服务器、光纤交换机等硬件设备•支持多种主机连接方式存储分区管理有效的提高存储设备的利用率•多个虚拟存储系统•灵活设置数据的共享后访问控制•支持异构主机•基于存储的实现的数据完整性保障LANApplicationServerClientClientClientClientClient控制Awritecache控制Bwritecache镜像S6000/S3000系列快速备份数据更安全基于磁阵快照的快速备份生产数据，星期二6:00p.m.生产数据生产数据，星期一6:00p.m.星期一8:00a.m.通过快照获得BaseVolume的SnapshotVolume在SnapshotVolume被拷贝的过程中BaseVolume可被正常访问当拷贝结束时，可将Snapshot删除，留下一个完整的时点拷贝安徽电信IDC中心省干核心GSRGE2.5GPOS心跳线FE前台业务层S8512S8512S8505Eudemon1000100台服务器群S5624S8505S5624NIP1000NIP1000XXX政府IPSecVPN接入应用Internet1区政府第一办公区Eudemon500区政府第二办公区其他区委、局Internet2北京电子政务网联通PDSN联通手机VPDN接入Eudemon200移动办公用户VPN接入NIP1000骨干网西安北西高新闫良日志服务器Eudemon1000宝鸡咸阳安康渭南西安CRNETNET1100M100M100M100M100MNET2NET3NET4NET5GEGEGE陕西铁通省网安全出口高速NAT应用陕西联通P2P限流应用联通骨干网陕西联通省网地市节点多模光纤入网流量出网流量单模光纤Eudemon1000GE地市节点GEGEGEGEGEEudemon1000