華為FusionCloud多網(wǎng)隔離方案

1、華為FusionCloud多網(wǎng)隔離方案Content數(shù)據(jù)中心雙網(wǎng)隔離方案雙網(wǎng)隔離的需求瘦終端雙網(wǎng)隔離方案1234雙網(wǎng)隔離傳統(tǒng)方案全網(wǎng)組合方案5Color ThemeCombination of three colors, main theme: company red政府行業(yè)需求：電子政務(wù)網(wǎng)隔離需求國家保密局發(fā)布的計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保安管理規(guī)定中第二章第六條規(guī)定：“涉及國家秘密的計(jì)算機(jī)系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離”電子政務(wù)系統(tǒng)包含著大量的國家機(jī)密內(nèi)容。因此，電子政務(wù)系統(tǒng)涉及涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)之間的連接，也有政府辦公外網(wǎng)與非涉密網(wǎng)的連接，故拓

2、撲結(jié)構(gòu)非常復(fù)雜。要根據(jù)涉密規(guī)定作具體分析。接入方式分為物理隔離、邏輯隔離、基于物理隔離的數(shù)據(jù)交換等幾種不同形式，原則上辦公單位與數(shù)據(jù)中心的連接均用防火墻進(jìn)行邏輯隔離，保證可信的數(shù)據(jù)傳輸及對(duì)非法訪問的拒絕。Color ThemeCombination of three colors, main theme: company red政府行業(yè)的三張網(wǎng)政務(wù)內(nèi)網(wǎng): 政府的內(nèi)部辦公業(yè)務(wù)信息網(wǎng)，處理政府部門間涉密信息。政務(wù)內(nèi)網(wǎng)是涉密網(wǎng)絡(luò)，主要運(yùn)行國家秘密和工作秘密信息。 政務(wù)專網(wǎng): 黨政機(jī)關(guān)的非涉密內(nèi)部辦公網(wǎng)，主要用于機(jī)關(guān)非涉密公文、信息的傳遞和業(yè)務(wù)流轉(zhuǎn)，政務(wù)專網(wǎng)不是涉密網(wǎng)，又可實(shí)現(xiàn)廣泛的內(nèi)部互聯(lián)，還可與外

3、網(wǎng)實(shí)現(xiàn)安全信息交換。政務(wù)外網(wǎng): 政府對(duì)外服務(wù)的業(yè)務(wù)專網(wǎng)，與國際互聯(lián)網(wǎng)通過防火墻邏輯隔離，主要用于機(jī)關(guān)訪問國際互聯(lián)網(wǎng)，發(fā)布政府公開信息，受理、反饋公眾請(qǐng)求和運(yùn)行安全級(jí)別不需要在政務(wù)專網(wǎng)運(yùn)營的業(yè)務(wù)。從承建部門來看，只有兩個(gè)網(wǎng)：政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)。1：保密局負(fù)責(zé)建設(shè)政務(wù)內(nèi)網(wǎng): 加密機(jī)+MPLS+物理隔離（網(wǎng)閘也不許連），務(wù)是涉密的。2：國家/省信息中心（發(fā)改委下屬）負(fù)責(zé)建設(shè)政務(wù)外網(wǎng)，包含“專網(wǎng)”和“外網(wǎng)”，20+部委采用MPLS隔離，不加密。專網(wǎng)運(yùn)行內(nèi)部公文、辦公系統(tǒng)；外網(wǎng)即互聯(lián)網(wǎng)服務(wù)區(qū)，防止各種對(duì)外的網(wǎng)站、服務(wù)系統(tǒng)，也有公務(wù)員的上網(wǎng)PC；專網(wǎng)和外網(wǎng)用網(wǎng)閘隔離。Color ThemeCombinat

4、ion of three colors, main theme: company red金融行業(yè)：銀監(jiān)會(huì)指引文件 要求金融機(jī)構(gòu)業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)實(shí)施隔離銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引2006第二十五條 銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理。生產(chǎn)網(wǎng)絡(luò)與開發(fā)測(cè)試網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)應(yīng)實(shí)施隔離；加強(qiáng)無線網(wǎng)、互聯(lián)網(wǎng)接入邊界控制；使用內(nèi)容過濾、身份認(rèn)證、防火墻、病毒防范、入侵檢測(cè)、漏洞掃描、數(shù)據(jù)加密等技術(shù)手段，有效降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)。商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引2009第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡(jiǎn)稱為域）。應(yīng)該對(duì)下列安全因

5、素進(jìn)行評(píng)估，并根據(jù)安全級(jí)別定義和評(píng)估結(jié)果實(shí)施有效的安全控制，如對(duì)每個(gè)域和整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動(dòng)日志等監(jiān)管部門要求金融機(jī)構(gòu)業(yè)務(wù)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)實(shí)施隔離，但沒明確限制為物理還是邏輯分區(qū)Color ThemeCombination of three colors, main theme: company red公安行業(yè)需求：公安城域網(wǎng)包括內(nèi)部的公安專網(wǎng)和外部的INTERNET兩部分。公安內(nèi)網(wǎng)是獨(dú)立于互聯(lián)網(wǎng)的應(yīng)用專網(wǎng)，與外網(wǎng)的連接采用物理隔離方式。在既要訪問互聯(lián)網(wǎng)又要訪問公安網(wǎng)絡(luò)的機(jī)器上面安裝了物理隔離設(shè)備。Color ThemeComb

6、ination of three colors, main theme: company red物理隔離安全需求分析物理隔離在安全上主要有以下3點(diǎn)要求： （1）在物理傳導(dǎo)上使內(nèi)外網(wǎng)絡(luò)隔斷，確保外部網(wǎng)絡(luò)不能通過網(wǎng)絡(luò)連接而侵入內(nèi)部網(wǎng)絡(luò)；同時(shí)防止內(nèi)部網(wǎng)絡(luò)信息通過網(wǎng)絡(luò)連接泄漏到外部網(wǎng)絡(luò)。 （2）在物理輻射上隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)絡(luò)信息不會(huì)通過電磁輻射或耦合方式泄漏到外部網(wǎng)絡(luò)。 （3）在物理存儲(chǔ)上隔斷兩個(gè)網(wǎng)絡(luò)環(huán)境，對(duì)于斷電后會(huì)遺失信息的部件，如內(nèi)存、處理器等暫存部件，要在網(wǎng)絡(luò)轉(zhuǎn)換時(shí)清除處理，防止殘留信息出網(wǎng)；對(duì)于斷電非遺失性設(shè)備如磁帶機(jī)、硬盤等存儲(chǔ)設(shè)備，內(nèi)部網(wǎng)與外部網(wǎng)要分開存儲(chǔ)。Conten

7、t數(shù)據(jù)中心雙網(wǎng)隔離方案雙網(wǎng)隔離的需求瘦終端雙網(wǎng)隔離方案12345雙網(wǎng)隔離傳統(tǒng)方案全網(wǎng)組合方案Color ThemeCombination of three colors, main theme: company red傳統(tǒng)雙網(wǎng)隔離解決方案-硬盤隔離卡形式硬盤隔離卡技術(shù)存在的各類弊端數(shù)據(jù)駐留客戶端本地易致造成錯(cuò)誤的網(wǎng)絡(luò)連接客戶端本地易受攻擊客戶端存儲(chǔ)影響用戶數(shù)據(jù)安全可靠方案整體穩(wěn)定可靠性差雙系統(tǒng)切換時(shí)間長EnterpriseInternetColor ThemeCombination of three colors, main theme: company red傳統(tǒng)雙網(wǎng)隔離解決方案-雙硬盤形式

8、雙硬盤形式存在的各類弊端數(shù)據(jù)駐留客戶端本地易致造成錯(cuò)誤的網(wǎng)絡(luò)連接客戶端本地易受攻擊客戶端存儲(chǔ)影響用戶數(shù)據(jù)安全可靠雙系統(tǒng)切換時(shí)間長EnterpriseInternet外網(wǎng)硬盤內(nèi)網(wǎng)硬盤雙硬盤/雙系統(tǒng)傳統(tǒng)雙網(wǎng)隔離解決方案-雙網(wǎng)機(jī)形式聯(lián)想ThinkCentreM8000t（雙網(wǎng)機(jī)）方正君逸M530/M580（雙網(wǎng)機(jī)）開機(jī)/切換畫面Color ThemeCombination of three colors, main theme: company red傳統(tǒng)雙網(wǎng)隔離解決方案-雙PC形式雙PC存在的各類弊端數(shù)據(jù)駐留客戶端本地易致造成錯(cuò)誤的網(wǎng)絡(luò)連接客戶端本地易受攻擊客戶端存儲(chǔ)影響用戶數(shù)據(jù)安全可靠成本高昂、

9、維護(hù)困難EnterpriseInternetContent數(shù)據(jù)中心雙網(wǎng)隔離方案雙網(wǎng)隔離的需求瘦終端雙網(wǎng)隔離方案12345雙網(wǎng)隔離傳統(tǒng)方案全網(wǎng)組合方案Color ThemeCombination of three colors, main theme: company red數(shù)據(jù)中心 安全隔方案簡(jiǎn)介按照客戶對(duì)安全性的要求和設(shè)備網(wǎng)絡(luò)的共享程度，在數(shù)據(jù)中心和接入網(wǎng)絡(luò)，在數(shù)據(jù)中心，有三種方案：物理隔離方案：兩套或多套物理計(jì)算單元和存儲(chǔ)單元，兩套或多套桌面云管理系統(tǒng)，虛擬機(jī)間通過物理網(wǎng)絡(luò)進(jìn)行隔離。集群隔離方案：一套物理計(jì)算單元和存儲(chǔ)單元，一套云管理系統(tǒng)，虛擬機(jī)通過集群方式隔離。邏輯隔離方案：一套物理計(jì)算

10、單元和存儲(chǔ)單元，一套桌面云管理系統(tǒng)，虛擬機(jī)通過VLAN、防火墻ACL進(jìn)行邏輯隔離，使用雙賬號(hào)或者多虛擬機(jī)進(jìn)行隔離。FusionSphereColor ThemeCombination of three colors, main theme: company red數(shù)據(jù)中心全部物理隔離涉密網(wǎng)云平臺(tái)VMVMFusionSphere辦公內(nèi)網(wǎng)云平臺(tái)VMVMFusionSphere辦公外網(wǎng)云平臺(tái)VMVM物理隔離物理隔離Color ThemeCombination of three colors, main theme: company red集群隔離，共用管理節(jié)點(diǎn)涉密網(wǎng)集群VRM（主備）CNAVMVMV

11、MVMVMVMVMVMVMVMCNACNACNACNASANSAN邏輯集群邏輯集群云管理FusionManager(主備)辦公內(nèi)網(wǎng)集群VRM（主備）CNAVMVMVMVMVMVMVMVMVMVMCNACNACNACNASANSAN辦公外網(wǎng)集群VRM（主備）CNAVMVMVMVMVMVMVMVMVMVMCNACNACNACNASANSAN邏輯集群邏輯集群邏輯集群邏輯集群桌面管理FusionAccess(主備)IT基礎(chǔ)服務(wù)DNSDHCPAD共用管理節(jié)點(diǎn)，運(yùn)維方便Color ThemeCombination of three colors, main theme: company red防火墻安全域

12、/交換機(jī)VLAN隔離財(cái)務(wù)服務(wù)器ERP服務(wù)器營帳系統(tǒng)營業(yè)廳Internet辦公室云平臺(tái)服務(wù)器刀片服務(wù)器刀片服務(wù)器刀片服務(wù)器桌面云管理服務(wù)器防火墻移動(dòng)辦公虛擬營業(yè)廳虛機(jī)OA辦公虛機(jī)交換機(jī)劃分VLAN，防火墻劃分安全域，作不同訪問策略隔離移動(dòng)辦公GIS服務(wù)器OA服務(wù)器BOSS系統(tǒng)物理資源共用，邏輯隔離，滿足低安全場(chǎng)景Color ThemeCombination of three colors, main theme: company red物理隔離的數(shù)據(jù)交換- - -網(wǎng)閘文件擺渡網(wǎng)閘在網(wǎng)絡(luò)通信中的協(xié)議、應(yīng)用、內(nèi)容等各個(gè)層面真正做到物理隔離，確保用戶信息系統(tǒng)安全。 信息交換： 網(wǎng)閘的外部主機(jī)把TCP/

13、IP協(xié)議全部剝離，以原始數(shù)據(jù)方式進(jìn)行“擺渡”，可實(shí)現(xiàn)HTTP、FTP、郵件、數(shù)據(jù)庫等內(nèi)外網(wǎng)之間的安全數(shù)據(jù)交換。 網(wǎng)絡(luò)訪問控制： 可通過訂制訪問策略，進(jìn)行安全檢查，精細(xì)地控制傳送的數(shù)據(jù)、時(shí)間。交換有記錄，便于審計(jì)。注：網(wǎng)閘非我司產(chǎn)品Content數(shù)據(jù)中心雙網(wǎng)隔離方案雙網(wǎng)隔離的需求瘦終端雙網(wǎng)隔離方案雙網(wǎng)隔離傳統(tǒng)方案1234全網(wǎng)組合方案5瘦終端雙網(wǎng)隔離方案應(yīng)用場(chǎng)景使用瘦終端單網(wǎng)口接入標(biāo)準(zhǔn)瘦終端雙網(wǎng)口接入雙系統(tǒng)瘦終端HA690-2雙網(wǎng)口瘦終端CT6000標(biāo)準(zhǔn)瘦終端+網(wǎng)絡(luò)切換器兩臺(tái)標(biāo)準(zhǔn)瘦終端，各接兩臺(tái)顯示器，互不干擾雙系統(tǒng)瘦終端HA690-2雙系統(tǒng)獨(dú)立：實(shí)現(xiàn)真正徹底的存儲(chǔ)、內(nèi)存、網(wǎng)絡(luò)、運(yùn)算的四重隔離，靈

14、活切換直聯(lián)雙顯示器，無需切屏連擊ScrLK鍵切換顯示單顯示器，使用軟按鍵切屏CT6000是單系統(tǒng)的瘦終端，帶2個(gè)千兆網(wǎng)卡有效滿足雙網(wǎng)連接需求，DVI-I接口支持雙屏顯示，可同時(shí)顯示操作兩個(gè)虛擬桌面。雙網(wǎng)口瘦終端CT6000外網(wǎng)網(wǎng)口內(nèi)網(wǎng)網(wǎng)口內(nèi)網(wǎng)WI地址：外網(wǎng)WI地址：外網(wǎng)虛機(jī)內(nèi)網(wǎng)虛機(jī)數(shù)據(jù)中心與網(wǎng)絡(luò)交換 均物理隔離標(biāo)準(zhǔn)瘦終端+網(wǎng)線切換器方案FusionShpereFusionAccess外網(wǎng)桌面云辦公應(yīng)用系統(tǒng)FusionSphereFusionAccess內(nèi)網(wǎng)桌面云關(guān)鍵信息資產(chǎn)數(shù)據(jù)中心與網(wǎng)絡(luò)均 物理隔離TC內(nèi)線Netscaler防火墻網(wǎng)線切換器任意瘦終端+網(wǎng)線切換器，輕輕一按，隨意切換注：網(wǎng)線切換

15、器非我司產(chǎn)品瘦終端雙網(wǎng)隔離方案Content數(shù)據(jù)中心雙網(wǎng)隔離方案雙網(wǎng)隔離的需求全網(wǎng)組合方案雙網(wǎng)隔離傳統(tǒng)方案12345Color ThemeCombination of three colors, main theme: company red華為桌面云-紅、黃、綠三區(qū)隔離按機(jī)密等級(jí)建設(shè)“紅黃綠”區(qū)桌面云、接入?yún)^(qū)，各區(qū)相互不能互訪核心IP網(wǎng)數(shù)據(jù)中心機(jī)房：物理隔離紅區(qū)接入?yún)^(qū)紅區(qū)桌面云黃區(qū)桌面云綠區(qū)桌面云黃區(qū)接入?yún)^(qū)綠區(qū)接入?yún)^(qū)核心交換：邏輯隔離用戶接入?yún)^(qū)：物理隔離Color ThemeCombination of three colors, main theme: company red數(shù)據(jù)中心邏輯隔離：每用戶雙虛機(jī)每用戶在一朵云里雙虛擬機(jī)，邏輯隔離。每用戶一根網(wǎng)線，接入網(wǎng)部線簡(jiǎn)化普通業(yè)務(wù)網(wǎng)虛機(jī)涉密網(wǎng)虛機(jī)網(wǎng)絡(luò)邏輯隔離一個(gè)WI地址：?jiǎn)吸c(diǎn)登錄華為FusionAcces