什么是安全设备组网

随着网络技术的不断普及与发展，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击，同时，各种网络病毒的泛滥，也加剧了网络被攻击的危险。

视频安全网关应用

如下图所示，视频网关可以根据网络规模，布署要求等，布署在接入层、汇聚层、或者核心层。

防火墙应用

视频网关也可以作为防火墙使用，部署在广域网出口及Internet出口提供对外访问的安全控制及NAT，同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。

VPN应用

设备集成了丰富的VPN功能，包括IPSec VPN、SSL VPN、 L2TP VPN等，可以作为中小型企业的出口网关设备提供移动用户的SSL VPN接入，也可以作为广域网组网的分支或二三级中心设备提供site-to-site的IPSec VPN接入。IPSEC业务和SSLVPN业务支持采用国密算法。

随着网络技术的不断普及与发展，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击；同时，各种网络病毒的泛滥，也加剧了网络被攻击的危险。

异常流量清洗产品

串联场景

异常流量清洗系统以透明网桥方式部署在用户网络中。在串联部署模式中用户网络配置无须变动，将异常流量清洗系统外网口连接用户网络核心设备下联端口，异常流量清洗系统内网口连接用户网络汇聚设备即可完成串联模式部署。

串联部署场景下由于在网络中增加了物理设备，使得网络中的故障风险点进一步增加，建议采用串联部署时考虑使用双机主主热备方式降低网络故障风险。

串联部署场景下可以监控全量双向网络流量，可以对服务器流量进行精细化分析，非常适用于web CC、游戏CC等应用型（资源耗用型）网络攻击的防护场景。

异常流量清洗系统串联场景组网图

旁路静态引流场景

异常流量清洗系统平级部署在用户网络核心设备一侧，在异常流量清洗系统与用户网络核心设备间建立BGP邻接关系，异常流量清洗系统通过发布主机地址或长掩码路由信息至用户核心设备，实现防护对象流量引入。异常流量清洗系统通过与用户核心设备互联端口接收防护对象实时流量，并对防护对象流量通过自身防御引擎过滤，将过滤后无攻击流量通过互联端口原路输出至用户核心设备，完成过滤后流量回注。此种模式场景中，用户网络设备需要在互联端口入口方向上提前预置好针对匹配目地地址为防护对象的策略路由，将接收到的匹配流量直接转发至下游汇聚节点防止产生路由环路。

旁路引流场景下，流量通过动态路由转发至异常流量清洗系统，一旦设备故障动态路由便会自动收敛，业务流量又重新回到原转发链路，因此不会因为异常流量清洗设备的增加而增加更多的网络故障点。

由于旁路引流场景的服务器上行数据不经过清洗设备，因此异常流量清洗系统无法对服务器全部流量进行全接管，无法进行精确分析，通常不建议使用旁路部署方式进行Web CC、游戏CC、dns宕机保护等应用层防护场景。

该部署方式下，充分利用核心设备与清洗设备之间的互联接口上下行带宽，降低了核心设备的接口占用率，从而降低了对核心设备的接口扩容等成本压力。

异常流量清洗系统旁路静态引流场景组网图

旁路检测动态引流场景

异常流量清洗系统和异常流量检测系统均旁路部署在用户网络核心设备一侧。通过镜像、分光等方式将流量实时发送到异常流量检测系统，当检测到异常流量攻击时，通过动态牵引将流量转发至异常流量清洗系统。

该模式部署简单无须调动现有网络结构；

动态引流：无攻击时业务不经过清洗设备，当业务地址存在攻击时，会由检测设备联动清洗系统动态牵引受攻击业务进入清洗设备。降低清洗系统载核；

动态恢复：清洗设备故障时，牵引路由会自动收敛，恢复清洗业务路径转发，业务持续运行；

高可靠：清洗系统工作期间无攻击业务按原始路径正常转发，可杜绝因防御策略配置导致无攻击业务受损；

网络端口占用低：旁路单臂部署时，每条链路仅需要1个网络设备端口即可完成部署；

适用于运营商等数据中心出口带宽容量大，对网络可靠性要求高，禁止串行模式部署清洗系统的场景。

异常流量清洗系统旁路检测动态引流场景组网图

随着IT建设的不断深化发展，很多组织的内部网络与外部网络之间需要交换的信息越来越多，传统的方式很难兼顾安全隔离与信息交换两者的需求，更缺乏对信息安全的严格审查，极易导致攻击代码的流入和重要信息的泄漏。

整体网络与Internet之间的安全隔离

网闸部署在此位置可以保护整体网络。适用于内部上网业务较少、复杂度较低，强调安全保密性的用户场景

分支机构与总部网络之间的安全隔离

某些行业存在总部网络和分支机构网络的情况，比如海关。由于总部网络敏感信息较为集中，安全要求较高，通常和下属分支机构或单位的互联互通都必须通过网闸来隔离通讯。

内部核心网与一般业务网之间的隔离

网闸最常用情境。较大多数政府或企事业单位都有各自独立的外部业务网和内部核心网。通常电子政务面向互联网的业务平台都放在业务外网上。而数据库等核心设备都置于内网。当外部平台需要访问内部的数据库等资源时，就必须通过网闸来实现隔离通讯。

核心网络不同网段之间的安全隔离

一些用户的内网可能比较庞大，并且按照不同职能、接入的人员、重要程度划分成不同的安全区域。这些区域间的通讯也会有隔离要求。

重要服务器的隔离

针对一些比较重要的业务系统、数据库服务器或备份服务器进行单独保护，确保核心数据或保密信息不被外泄或破坏。

光闸

单向文件传输应用

新华三安全隔离与信息单向导入系统的单向文件传输应用可适用于各种文件的传输，用户可以采用手动/自动的方式将指定源目录中的文件传输到指定目的地的服务器目录。手动方式需要用户采用FTP的模式连接安全隔离与信息单向导入系统后传输文件，自动传输方式则无需人工干预，系统会实时监控发送源，主动发送增量文件。

如上图所示，文件只能由外网发送到内网，由于物理单向，反向无法进行传输。文件传输可以支持各种格式文件，并可根据相应策略进行检查

单向数据库同步应用

新华三安全隔离与信息单向导入系统的数据库同步应用可以将一端网络中数据库的数据单向导入到另一端网络中，数据库写入的方向只能是单向。发送端主机所在网络中所部署的发送客户端可以主动抓取源数据库的数据，通过安全隔离与信息单向导入系统后接收端主机所在网络中所部署的接收客户端将数据写入目的数据。

UDP应用模型

新华三安全隔离与信息单向导入系统的UDP应用模块可以支持基于UDP协议的应用，用户可通过直接配置安全隔离与信息单向导入系统的UDP应用模块，将UDP发送到指定的服务器应用。针对UDP组播协议，安全隔离与信息单向导入系统的UDP应用模块可以直接支持。

H3C SecPath F1000服务器安全智能模块（以下简称F1000）采用先进的高性能多核架构，运行自主可控的操作系统，搭载独立CPU硬件插卡平台，保障业务处理高效可靠，场景支撑灵活全面；配备高检出率的入侵防御功能和独特实时病毒拦截技术的病毒防护功能，通过单路径并行处理的安全检测引擎和应用识别，实现对用户、应用和内容的深入分析，为用户提供安全智能的一体化防护体系。配合在服务器集群场景、虚拟化云场景提供首选解决方案

H3C SecPath F1000服务器安全智能模块安装在服务器的网卡插槽内，外观与普通网卡无异，无需配备专门的机框，在无形中实现主机和网络的安全防护；H3C SecPath F1000服务器安全智能模块支持IPS、防AV、DDOS等功能，可以从各个角度进行监控，全方位的实行安全防护。保障主机安全。

H3C SecPath F1000服务器安全智能模块部署图

随着 IT 建设的不断深化发展，很多组织的内部网络与外部网络之间需要交换的信息越来越多，传统的方式很难兼顾安全隔离与信息交换两者的需求，更缺乏对信息安全的严格审查，极易导致攻击代码的流入和重要信息的泄漏。

电子政务外网政务云典型部署

根据《GW0013-2017政务云安全要求》，互联网业务区与部门业务区、互联网业务区与公共业务区之间需通过"跨网交换系统"进行数据交换，多级安全互联交互平台可以部署在跨网交换系统区域，集中管理中心可部署于政务云的内部管理区域。

农商行、城商行典型部署

银行业来说主要业务为生产网与办公网、第三方单位、互联网之间数据交换，其中业务会涉及积分应用系统、厅堂营销系统、监控查阅系统、OA、积分商城、短信验证、企业征信、税务、智慧菜场等。通常在生产与办公之间部署多级安全互联交互平台，视业务情况分别在生产与互联网或生产与第三方单位之间亦可部署多级安全互联平台，从而实现三网之间安全隔离的数据交换。

内财政系统典型部署

财政业务专网与财政外网的横向业务流存在较多的业务需求，包括各类非税业务和外申内办业务。目前非税业务主要通过其他线路和方式进入财政专网，例如交警的罚款、学生的缴费等，这部分业务要求有较高的通过性和稳定性。而外网申请，内网审批的业务，例如：项目库等业务。此类业务一般具有典型的T+1的特性，对实时性要求相对较低，但对所交换的数据库数据和文件的完整性、可控性要求较高。通过在专网与外网之间部署多级安全互联交互平台，可以处理实时应用和非结构化业务的数据跨网交换的需求，从而解决财政专网和财政外网非税以及项目库等业务接入财政专网的问题。

广电行业新媒体融合典型部署

电视台内网工作区域采编播系统所用到的多媒体信息库需要向互联网开放，该系统可自动从互联网采集文字、图片、声音以及视频等素材到信息库，也可通过人工上传多媒体素材到信息库。从业务便捷性角度考虑，整个信息库跟互联网的对接要尽量能够满足各种素材收集的要求，而内网工作区域的工作人员利用采编播编辑文稿时也需要随时调取信息库中的素材。因此，在电视台的内网与互联网之间搭建了一个互联网接入区域，这个接入区域作为互联网与内网之间的缓冲地带，把多媒体信息库组成的全媒体迁移到互联网接入区，将互联网业务数据与内网业务数据进行了分离，避免互联网对内网直接进行访问。同时，在互联网接入区域与内网工作区域之间部署了多级安全互联交互平台，在保障内网安全隔离的前提下，合理利用网络资源，为用户提供统一、高效、受控的数据交流与资源共享环境。

近年来，挖矿、勒索等事件频发，传统网络边界安全设备往往无能为力，AVG2000防病毒网关利用多年积累的内容识别技术可提供完整、深入、高效的内容安全防护，有效阻止此类事件造成的侵害，保护用户的核心数据资产免遭窃取或破坏。

AVG2000防病毒网关如何集成到到现有的网络需要进行规划。配置规划取决于目标运行模式：接入模式（网桥模式或路由器模式）、监控模式。

网桥模式（推荐）

在网桥模式（透明模式）下，AVG2000防病毒网关设备对于网络是不可见的。它的所有接口都位于相同的子网中。只需配置管理 IP 地址便可进行配置更改。通常现有防火墙或路由器在私有网络中使用网桥模式。AVG2000防病毒网关放在第二层交换机和第三层交换机之间可以扫描进入和离开该部分网络的所有数据包。

适合的用户场景：

较为完善的网络部署环境，AVG2000防病毒网关仅作为网络安全设备使用;

网络环境中有数据中心、对外发布服务器、邮件服务器、桌面终端等;

对数据中心或各类服务器提供安全防护，防止各种外部攻击;

对防止病毒邮件进出内部网络;

路由模式

在路由器模式下，AVG2000防病毒网关设备对所连接的网络都是可见的。它的所有接口都位于不同的子网中。连接到网络的每个接口都必须配置有对该网络有效的 IP 地址。通常，如果将AVG2000防病毒网关设备部署为私有网络和公共网络之间的网关，则会使用路由器模式。

适合的用户场景：

拥有不太完善的网络部署环境，AVG2000防病毒网关不仅作为网络安全设备使用，而且还要作为网络连接设备来使用;

网络环境中有对外发布服务器，桌面终端及其他网络设备;

为DMZ配置独立的安全策略，防止对外发布服务器遭受各种外部攻击;

为终端设备提供病毒防护;

监控模式

在监控模式下，AVG2000防病毒网关对于网络是不可见的。对交换机建立设置，并将网络通信镜像到与 AVG2000防病毒网关连接的端口。AVG2000防病毒网关会监控网络通信，并且仅记录与违例相关的信息。在此模式下，即使存在策略，网络通信也不会被阻止。

在监控模式下，网络通信不会直接通过AVG2000防病毒网关设备。网络通信会在AVG2000防病毒网关外部进行传输，AVG2000防病毒网关会在逻辑上借助于网络的交换机在网络外部独立运行，这些交换机会将指定的网络通信镜像到AVG2000防病毒网关所侦听的接口。AVG2000防病毒网关可监控网络通信的状态，并将该信息发送给AVG2000防病毒网关管理员。

建议将AVG2000防病毒网关部署在核心 Internet 交换机处，以便能够查看离开和进入企业网络的所有 Internet 网络通信的副本。

适合的用户场景：

拥有完善的网络部署环境，AVG2000防病毒网关仅作为网络安全设备使用

通过AVG2000防病毒网关设备发现网络中的潜在威胁，并通过各项报表功能了解威胁的种类及其分布情况

H3C SecPath SSL安全网关是H3C公司面向运营商、金融、政府、大型数据中心开发的业界优秀的SSL安全网关产品。

服务器负载均衡组网应用

在企业网络中，为了实现对企业数据中心提供的服务的快速访问，需要采用应用交付功能来分担和优化企业数据中心的访问流量。在这种应用环境下，可以在数据中心部署H3C SecPath L5000应用交付安全网关产品，服务器群通过接入交换机连接到应用交付安全网关产品，服务器网关指向应用交付安全网关产品，应用交付安全网关产品采用NAT方式实现服务器负载均衡。具体组网如图所示。

链路负载均衡组网应用

如果企业网从两个运营商分别租用了两条物理链路（ISP1和ISP2），为了实现对外服务快速响应，以及对内网用户访问外部网络的快速响应，选择最优的链路，可以在网络出口处部署H3C SecPath L5000应用交付安全网关产品，采用就近性算法或带宽算法选择到达目的地址的最优链路。具体组网如图所示。

串接组网

新华三零信任一体机功能上涵盖了SDP控制器、SDP可信网关及终端安全管理平台三大组件，和SDP客户端（支持PC、移动端和SDK）一起形成零信任的基础架构。

新华三面向百行百业零信任工作空间解决方案,通过身份识别与访问管理(IAM)、软件定义边界(SDP)、微隔离(MSG)等技术架构,以动态权限管控、应用服务隐藏、细粒度访问、统一管控门户、统一身份认证五大能力,构建安全办公新边界。更是针对中小企业推出零信任一体机解决方案。

零信任一体机组网应用示意图

H3C SecPath T5000产品是H3C开发的业界专业的万兆IPS产品。H3C SecPath T5000产品部署在客户网络的关键路径上，通过对流经该关键路径上的网络数据流进行4到7层的深度分析，能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，同时，H3C SecPath T5000产品还具有强大、实用的带宽管理和URL过滤功能。

IPS在线部署方式

部署于网络的关键路径上，对流经的数据流进行4-7层深度分析，实时防御外部和内部攻击。

IDS旁路部署方式

对网络流量进行监测与分析，记录攻击事件并告警。

H3C SecPath L1000应用交付安全网关产品是H3C公司面向中小企业和园区网开发的业界优秀的负载均衡产品。

服务器负载均衡组网应用

在企业园区网络中，为了实现对企业数据中心提供的服务的快速访问，需要采用应用交付功能来分担和优化企业数据中心的访问流量。在这种应用环境下，可以在数据中心部署H3C SecPath L1000应用交付安全网关产品，服务器群通过接入交换机连接到应用交付产品，服务器网关指向应用交付产品，应用交付产品采用NAT方式实现服务器负载均衡。具体组网如图所示。

链路负载均衡组网应用

如果企业园区网从两个运营商分别租用了两条物理链路（ISP1和ISP2），为了实现对内网用户访问外部网络的快速响应，选择最优的链路，可以在网络出口处部署H3C SecPath L1000应用交付安全网关产品，采用就近性算法或带宽算法选择到达目的地址的最优链路。具体组网如图所示。

服务器负载均衡组网应用

链路负载均衡组网应用

服务器负载均衡组网应用

在企业园区网络中，为了实现对企业数据中心提供的服务的快速访问，需要采用应用交付功能来分担和优化企业数据中心的访问流量。在这种应用环境下，可以在数据中心部署H3C SecPath M9000应用交付安全网关，服务器群通过接入交换机连接到M9000应用交付安全网关上，服务器网关指向M9000应用交付安全网关，M9000应用交付安全网关采用NAT方式实现服务器负载均衡。具体组网如图所示。

链路负载均衡组网应用

如果企业园区网从两个运营商分别租用了两条物理链路（ISP1和ISP2），为了实现对内网用户访问外部网络的快速响应，选择最优的链路，可以在网络出口处的部署H3C SecPath M9000应用交付安全网关，采用就近性算法或带宽算法选择到达目的地址的最优链路。具体组网如图所示。

路由部署

适用于大中型企业用户，以透明方式在线部署于网络出口；无需改变网络拓扑；

对网络社区/P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等各种应用进行监控和管理，保障关键应用和服务的带宽；

对用户上网行为进行分析与审计；

支持VPN/MPLS/ VLAN/PPPoE等复杂网络环境；

支持设备本地日志记录和集中分析处理，可多台分布式部署统一管理。

旁挂部署

适用于不改变网络拓扑，仅做行为审计的场景，一般部署于核心层；

针对用户上网行为进行分析和审计；

提供日志记录、日志导出功能。

透明部署

适用于数据中心机房，可灵活的以串行路由或者透明方式部署于数据中心机房出口，根据实际网络环境署简单；

提供身份认证功能，验证上网用户身份合法性；

对网络社区/P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等各种应用进行监控和管理，保障关键应用和服务的带宽；

支持设备本地日志记录，日志也可发送到集中管理和数据分析中心处理，并可进行数据分析。

SecPath ACG1000是H3C推出的最新一代AI系列应用控制网关。该产品可以路由模式、透明桥接模式、旁路模式以及混合模式部署在网络的关键节点。其融合了应用控制、行为审计、网络优化、终端行为审计、虚拟资产识别、防火墙、IPS、外设管控、进程管控等全面功能，为用户提供一个综合、完整的全业务应用场景解决方案

透明部署

适用于数据中心机房，可灵活的以串行路由或者透明方式部署于数据中心机房出口，根据实际网络环境署简单；

提供身份认证功能，验证上网用户身份合法性；

网络社区/P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等各种应用进行监控和管理，保障关键应用和服务的带宽；

支持设备本地日志记录，日志也可发送到集中管理和数据分析中心处理，并可进行数据分析。

路由部署

适用于大中型企业用户，以网关方式在线部署于网络出口；

提供诸如NAT、负载均衡等出口特性；

对网络社区/P2P/IM/网络游戏/炒股/网络视频/网络多媒体/非法网站访问等各种应用进行监控和管理，保障关键应用和服务的带宽；

支持VPN/MPLS/ VLAN/PPPoE等复杂网络环境；

支持设备本地日志记录和集中分析处理，可多台分布式部署统一管理。

旁挂部署

适用于不改变网络拓扑，仅做行为审计的场景，一般部署于核心层；

针对用户上网行为进行分析和审计；

提供日志记录、日志导出功能。

WEB应用往往是组织内的重要业务系统，稳定性要求较高，对于安全产品的部署模式有着多种多样的需求。H3C SecPath W2000-G510 Web应用防火墙能够与客户的网络架构高度融合，支持镜像监测模式、镜像阻断防护模式、透明代理防护模式、透明防护模式、反向代理防护模式等多种防护方式，符合客户的IT管理要求。

H3C SecPath D2000-AK系列数据库审计系统以旁路监听的方式接入网络，通过在交换机上将访问数据库的流量镜向或采用TAP分流监听等方式，使数据库审计系统能够监听到用户通过交换机与数据库进行通讯的所有操作。

H3C SecPath D2000-AK系列数据库审计系统部署图

H3C SecPath D2000-V100 虚拟数据库审计系统

H3C SecPath D2000-V100虚拟数据库审计系统以旁路监听的方式接入云网络，可通过SDN引流或流量探针等方式，将访问数据库的流量引至虚拟数据库审计系统，使数据库审计系统能够监听到用户与数据库进行通讯的所有操作。同时，虚拟数据库审计授权管理系统部署在一台物理机上，为多台虚拟数据库审计系统提供授权服务。

H3C SecPath D2000-G2 -E -CN AK系列数据库审计系统

1. 本地部署模式

采用"旁路侦听"的部署模式，部署在核心交换中，通过端口镜像方式捕获数据流量，系统利用审计引擎进行数据分析与告警，不改动网络拓扑、不影响业务数据、不改变使用习惯。

2. 云部署模式

在云主机中安装数据库审计Agent，获取数据库操作日志。可支持目前主流的数据库，保证数据审计兼容、有效。

典型应用

1. 数据安全合规场景

《网络安全法》、等保要求、分保以及各行业规定中都对数据库审计提出合规性要求，数据安全风险也日益突出，数据量大、使用场景复杂、业务实时性要求高等特点导致一些在线安全设备无法全面上线或者全面开启防护功能。

以Agent的方式部署于应用系统侧或数据库侧，实现业务系统数据的全链路流转审计，满足等保合规要求。对于非授权用户调用数据以及高风险行为进行实时告警，有效防止违规行为的发生。

2. 云上数据审计场景

随着云计算以及大数据的普及，业务上云已经成为很多企事业单位的必然趋势，但业务系统中存储大量的企业敏感数据和重要数据，数据是否被非授权第三方调用以及云上数据的审计防护都是用户关注的问题。

旁路阻断模式部署，在数据的全链路审计的基础上实现高风险操作以及违规行为的阻断。旁路部署不影响用户业务实时性，在保障业务持续性的基础上实现攻击行为和危险行为的防护。

H3C SecPath D2000-Cloud 数据库审计系统

在云主机中安装数据库审计Agent，获取数据库操作日志。可支持目前主流的数据库，保证数据审计兼容、有效。

典型应用

数据安全合规场景

云上数据审计场景

随着政府部门、金融机构、企事业单位、商业组织等对重要数据库业务系统和数据库应用系统依赖程度的日益增强，数据库安全及数据安全的问题也受到普遍关注。由于信息化建设、业务增长、系统上云等因素，在各系统中的数据库服务器也不断增加，对数据库的管理的方式和通道也日趋复杂多样。在如此繁杂的情况下，引发了多种对数据库的各类攻击行为和安全隐患。如何解决保障核心数据，提供稳定安全的访问过程亟待解决。新华三技术有限公司自主研发了H3C SecPath DF2000系列数据库安全防护系统，基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，适用于等级保护、企业内控、SOX、PCI、企业内控等信息安全规范，全面保障数据库的完整性、保密性和可用性。

桥接模式

将H3C SecPath DF2000数据库安全防护系统直接串接在应用服务器与数据库之间。所有数据库用户访问都经过设备，通过透明网关技术无需更改连接设置，但是需要更改网络拓扑。

代理模式

通过"物理旁路、逻辑串行"的方式部署。网络上并联接入防火墙设备，客户端连接防火墙的设备地址，并将通讯包发送至防火墙设备，再经过内部策略分析后完成客户端与数据库的交互过程。

近年来，伴随着大数据、云计算、物联网等高新技术的发展，社会数字化、智能化程度越来越高，信息科技与社会融合的模式和形态正在发生重大变化，数据驱动正在成为新型智慧政务、智慧商业等建设的突出特征。数据资产作为新型生产资料，其在流通和使用过程中不断产生新的价值，而受数据价值的提升、流动性的加剧、防护边界模糊以及数据自身海量无序、类型繁杂、场景多样等诸多内外复杂因素的影响，数据安全风险异常突出，传统以边界防护为主的网络安全手段已经难以有效应对，数据安全正在面临前所未有的挑战。亟需从资产的视角和维度对域内数据进行摸底盘点、分级分类、关联分析、风险评估等综合安全治理，实现数据全生命周期安全管理，确保数据来源可信、访问可控、操作可查和责任可追。

数字化时代的到来，使数据成为国家重要的战略资源，数据中蕴藏巨大的使用价值，因此对数据安全的保护也提高到国家的战略高度。近年来，国家为了加强数据的安全和保护出台了一系列法律法规，以确保国家、单位和个人的数据安全。即便如此，数据泄露的严重事件仍然频繁发生，给国家、单位和个人造成了严重的损失。如何进行有效的数据安全防控以成为国家、单位和个人所面临的严峻挑战。

审计部署模式

该模式适用于网络出口流量中的敏感内容检测与监控，该模式下网关设备以旁路模式部署，扫描通过网关的多种协议和文件内容，从而发现其中违反安全策略的敏感内容风险事件，并根据预置策略进行记录甚至告警。

当网关工作在审计模式下，网络DLP的部署不会影响组织当前的网络架构，网关服务器支持以下数据接收方式：

从交换机镜像端口获得的数据流量副本

通过网络分流器接收的数据流量副本

通过第三方设备的特定应用数据副本，如HTTP/HTTPS、FTP、Mail等

网络DLP网关设备使用高性能网络接口卡，高速网卡提供缓冲功能，这样对系统 CPU 的中断较少，支持在不丢失数据包的情况下提高处理吞吐量。为了帮助高负载环境，网关DLP设备可以水平扩展，支持在多个设备间进行流量的负载均衡。

对于大型的组织或者企业，当网络出口流量较大超过网络DLP网关处理能力的情况下，可以通过网络分流器将数据流量按照带宽大小进行切分或者按照指定分流规则进行流量切分，切分后的流量副本按照分析需求接入到指定的多台网络DLP网关设备中进行数据分析处理。通过集成网络分流器配合实现灵活的流量控制、分类捕捉分析。

阻断部署模式

适用于网络出口流量中的敏感内容检测与监控，并提供对触发安全策略的数据泄露事件进行阻断，系统支持 HTTP/HTTPS/FTP/SMTP等协议。阻断部署方式包含：代理模式（正向、反向）、路由模式、网桥模式以及ICAP。

在大数据、云计算、物联网等技术快速发展的当下，传统碎片化、块状化的安全措施已不能适应当下异构、复杂的管控要求。主要体现在"系统分散无法通览、使用分散无法追踪、报表分散无法整合、报警分散无法集中"，另外单场景安全产品的简单叠加，无法达到安全能力的序化整合，也不能形成体系化、智能化乃至整体融合的数据安全生态。因此需要一套集中化综合控管平台，将分散的安全数据进行汇集和分析，找出安全风险的根源，进而帮助安全主管正确了解全域数据安全状态及变化规律，为安全执行、安全预测和安全决策提供依据。

H3C SecPath DS2000-MGT数据运维管理平台与各类安全组件和设备并联部署，部署方式只要路由可达即可，典型部署方式如下图所示。

反向代理

DM2000系列动态脱敏系统部署方式为反向代理部署，应用系统的SQL数据连接请求转发到脱敏代理系统，由动态脱敏系统解析请求后，再将SQL语句转发到数据库服务器，数据库服务器返回的数据同样经过动态脱敏系统后由脱敏系统返回给应用服务器。

旁路引流

DM2000系列动态脱敏系统还可以支持旁路引流方式部署。通过在三层交换机或者路由器上配置策略路由，使访问数据库的网络流量转发到动态脱敏系统，从而实现数据库查询的实时脱敏，旁路引流方式如下所示。相比反向代理模式的优点，该模式不需要修改客户端和应用系统连接数据库的IP，且发生单点故障时，可以通过策略路由将流量切换回原数据库，保证业务正常。缺点为该组网模式更加复杂。

H3C SecPath DM2000-S系列静态脱敏可布署在生产环境和开发/第三方测试环境中间，保证前后路由可达即可。生产库中的原始数据，经过H3C SecPath DM2000-S系列静态脱敏后离线分发至测试环境，整个过程数据保持不落地。如果因为网络隔离原因，不能同时连接双方数据库，则可通用文件中转的方式进行脱敏任务作业。

伴随着数字化的发展，数据安全风险涉及到数据全生命周期的各个阶段，为了更好监控和保障数据安全，同时满足国家和行业监管要求，保证数据安全管理工作的依法合规，亟需建立一个全数据、集中管理的数据安全运营管理平台，做到事前预警、事中监控、事后分析，全面提升数据安全管理与防护水平。

新华三数据安全威胁发现与运营管理平台是以立体化数据安全防护为框架指导，以安全大数据为分析基础，以数据资产为核心，以自动化为处置手段，以数据安全合规为目标，结合分类分级、UEBA、数据流转监测、人工智能等技术，集安全策略统一管理与运营分析的综合性管理平台。平台以数据和人员行为分析为主线，集中解析和关联分析以揭示事件背后隐藏的数据安全事件，同时专注于数据在全生命周期不同阶段和场景下的安全监测与防护需求，整体提升数据安全运营能力。

H3C CSAP 数据安全威胁发现与运营管理平台大屏展示图

H3C工控防火墙可以部署在管理信息网和工控网络的边界，对工控网络和管理网络的通信流量基于安全策略、NAT、VPN、动态路由等网络安全技术提供网络隔离、访问控制、状态检测、地址转换和通信安全等功能。同时可基于工控黑名单，对于工控网络中的漏洞及漏洞利用攻击行为进行高效识别与防护，对于工控网络中的流量和数据包进行黑名单匹配，对网络中的攻击和入侵行为进行检测和阻断，防护来自管理信息网络的安全威胁。

此外，H3C工控防火墙也可以部署在工控网络中现场控制层，通过透明部署在重点PLC设备层与过程监控层之间，基于工控协议深度解析功能，对上位机与PLC控制器之间的工控流量进行智能白名单学习和工业协议流量指令级控制，保障工业生产安全稳定运行。

H3C工控防火墙应用组网示意图

旁路部署监测审计数据流，不占用原有网络的带宽资源，完全不影响原有系统的生产运行，部署在汇聚层交换机镜像端口，起到区域之间的监测审计作用，部署在系统与系统之间的边界，起到边界之间的监测审计作用。

工控监测与审计系统应用组网图

在现场控制层的工程师站、操作员站、服务器以及网关机（Buffer）上部署专用的工控主机安全卫士，通过应用程序、USB移动存储设备的白名单策略，防止用户的违规操作和误操作，阻止不明程序、移动存储介质的滥用，有效提高工控网络的综合"免疫"能力。

H3C 工控主机安全卫士应用组网图

新华三公司的工控安全管理平台是针对工业网络安全而设计的，提供集安全可视化、监测、预警和响应处置于一体的信息安全产品。工控安全管理平台采用组件化开发技术，专注于安全管理和安全分析。产品支持以下功能模块：

收集并存储安全相关的资产、运行状态、日志、流量等数据。

及时发现威胁并预警。

平台内置大数据和智能分析引擎，融合多种情境数据和外部安全情报，在发现网络内部的违规资产、行为、策略、威胁以及外部的攻击和威胁时及时预警，并提供多种响应方式，使安全防护和管理工作规范化流程化。

通过丰富的仪表板将网络安全态势呈现给客户。

提供功能界面定制和模块开发接口，便于用户快速部署、配置和开发一系列的安全管理相关应用。

随着企业信息化建设的不断加强，各类业务系统承载的企业核心数据也越来越多，业务系统的稳定性和安全性变得愈发重要。除了来自于外部的安全威胁外，内部运维人员的操作行为将更为直接的影响业务系统能否正常运行。因此只有依靠严格的用户身份认证、精细化的访问权限控制、细粒度的操作行为审计等运维管理能力，才能降低企业内部运维操作风险，提高运维效率。同时在数字化转型浪潮下，新兴的信息化技术发展迅速，网络安全相关的法律法规也更加严格，对企业安全运维的管理能力提出了新的要求。因此，新华三技术有限公司推出H3C SecPath A2000-G510 运维审计系统，帮助小型企业应对严苛的政策合规要求，日益复杂的运维环境变化，以及不断革新的技术挑战。

单机部署

运维审计系统单机采用物理旁路、逻辑串联的部署模式，不需要改变用户网络架构。系统上线后，运维审计系统成为唯一的运维入口，运维人员通过访问运维审计系统，实现对后端托管资源的集中管理。

双机HA部署

运维审计系统支持双机HA（一主一备）部署模式，系统部署后通过VIP向用户提供服务，主备设备之间定期自动同步配置数据和审计日志，当主设备异常时，由备设备自动接管相应服务，通过HA的部署方式提高系统的可靠性。

集群部署

支持三台或以上的运维审计系统组建集群部署模式，通过VIP对外提供服务，集群之间定期自动同步配置数据、审计日志。当集群中任何一台设备出现故障时，由其他节点自动接管服务，以满足高并发、高冗余的应用需求。系统不依赖第三方负载均衡或存储设备及可完成自身集群的搭建。

多站点部署

支持三台或以上的运维审计系统组建多站点部署模式，主站点的配置数据定期自动同步至备站点，当主站点的运维审计出现故障时，由其他站点的运维审计按顺序自动接管服务，以满足多个数据中心高冗余的应用需求，实现异地运维管理。

总分部署

支持三台或以上的运维审计系统组建总分部署模式，通过总部的运维审计对外提供统一服务。总部运维审计可以部署为HA或集群模式，分支运维审计可以为单机或HA。总部管理节点的配置数据定期自动同步至分支访问节点中。总分部署模式可以实现总部集中管理，分支分散运维的效果。

云防火墙

数据中心租户网关应用

在数据中心环境中，作为租户专用的综合业务网关，提供VPN隧道，为不同租户提供安全接入；同时，作为出口网关，防范各种来自外部的攻击，也可作为内网访问控制设备隔离不同安全等级的区域，实现对网络流量的安全防护；

图1-1 租户网关应用典型组网

H3C SecPath vLB-S-Cloud虚拟应用交付

H3C SecPath vLB-S-Cloud产品（简称vLB）是一款功能强大的软件化应用交付产品，支持多种虚拟平台，提供完善的服务器负载均衡功能和链路负载均衡功能，支持丰富的负载均衡调度算法、健康检查算法、会话保持算法，实现对4-7层服务负载分担，以保证服务的响应速度和业务连续性。同时，vLB开创性地实现了负载分担、安全与网络的深度融合，具有强大的网络、负载均衡、2-7层安全防护等功能；用户还可以根据自己的需要灵活扩展业务接口和性能，以适应各种复杂的组网环境；总之，vLB有助于提高企业应用可靠性，帮助企业构建完善的数据中心和云计算网络解决方案。

数据中心多租户负载均衡应用

在数据中心环境中，为了实现对租户应用服务的快速访问，也需要采用应用交付功能来分担和优化租户应用的访问流量。在这种情况下，可以为不同租户部署专用的vLB产品，提供负载均衡功能，保证租户服务的响应速度和业务连续性，提高应用可靠性；

同时也可以与vFW配合使用，支持与vFW在相同的物理服务器上部署；