华为通过深入了解企业业务情况，凭借多年在网络、通信、信息安全领域研究的经验积累，依据客户业务不同的安全诉求，在网络互联的各个节点位置，部署专业USG统一安全网关，构建安全互通的IPSec VPN隧道与立体的安全防御体系，为企业客户量身设计安全、智慧、高效的下一代安全纵向网解决方案。

　　背景挑战

　　企业纵向网的发展已历经三代，从第一代的ATM、X.25、帧中继、DDN、ISDN等窄带链路，仅能够承载企业少量业务系统的文本数据传输;到E1/ E3/ POS155M/ 622M/ 2.5G等SDH传输链路，能够支撑企业生产，办公，语音视频等多业务数据传输;再到ADSL/VDSL/PON/FE/ GE/10GE等宽带接口，MPLS VPN虚拟专线。企业纵向网的TCO一直在大幅度的下降同时，也针对企业不同业务传输，提供不同虚拟专线进行传输，提高传输可靠性，也增强业务传输质量，改善业务办理体验效果。

　　企业纵向网发展阶段

　　随着企业各类业务信息化程度提高，需要网络承载的业务不断增加。当前越来越多的业务系统集中化导致简单路由组网无法满足可靠性，高安全性的诉求。虚拟化、云计算应用不断普及，带来海量业务数据传输，企业的纵向网能够保障海量数据传输可用性、可靠性、安全性。未来企业纵向网将逐渐朝着安全纵向网络发展，其业务承载能够更加可靠;关键业务数据传输更加安全;业务应用访问、多媒体等网络流量管控更加优化;网络接入方式更加便捷;业务与应用网络访问体验更加优越。

　　企业纵向网面临的安全挑战

　　企业业务不断发展，新业务平台不断上线，业务承载网络已经成为困扰业务发展的关键。企业内部安全威胁也在日益增多，病毒、恶意攻击、木马与P2P泛滥等一直是企业迫切需要解决的安全问题。企业纵向网建设过程中，其主要面临安全威胁如下所示：

　　网络病毒肆意扩散

　　在传统IP路由组网中，内部病毒肆意扩散一直困扰业务发展。病毒一旦内部感染，很快扩散到企业内部各个角落。企业纵向网缺乏有效病毒防御与控制手段，不能有效阻止病毒、木马等安全威胁的扩散。

　　内部恶意攻击频繁

　　企业对底层分支机构的安全管理薄弱，其内部终端经常感染各类恶意软件。被感染的终端会对内部应用与网络进行恶意攻击，严重拥塞企业网络资源，造成业务中断，给企业带来严重经济损失。

　　非法访问流量泛滥

　　当前企业纵向网内部流量管理混乱，内部人员P2P应用滥用、在线视频，大量占用企业的网络带宽，影响正常业务流量。

　　非授权/非法访问

　　企业内部员工网络访问行为控制不规范，造成内部数据信息泄露。企业内部员工身份无法识别，无法针对不同用户提供策略管控，越权访问时常发生，给企业造成无法挽回经济损失。

　　数据传输安全性/可靠性差

　　传统业务数据在企业纵向网络中大部分是明文传输，传输链路也极其不稳定，链路带宽经常被挤占，或者出现中断，业务客户体验效果极差。

　　管理与审计匮乏

　　企业内部管理人员不足，人员管理水平层次不齐，庞大网络设备，安全设备，服务器的运维管理困难一直阻碍企业信息化发展。网络中海量安全事件日志无法审视，无从处理，无法快速响应各种安全事件。

　　解决方案设计介绍

　　华为按照业务不同种类，不同安全诉求，为企业客户量身设计更加可靠、更加安全、更加优化的纵向VPN组网;考虑企业未来业务与网络发展特点与诉求，提供针对企业内部病毒，恶意攻击，非法访问等安全威胁的综合解决方案。其整体设计思路如下所示：

　　解决方案功能介绍

　　华为安全纵向网解决方案通过在客户的IT纵向网总部核心，以及一级分支机构汇聚核心位置中部署UTM+统一威胁安全管理网关，取代传统FW，采用路由器+UTM模式组网;在接入分支机构部署多业务安全网关，取代原有路由器实现分支机构纵向组网。

　　该方案主要由三个子方案组成，如下所示：

华为安全纵向网解决方案部署示意图

　　1、纵向VPN组网安全子解决方案

　　华为针对企业生产、办公，营销业务信息化发展，为企业客户提出了基于业务的纵向VPN安全互联的解决方案。通过在总部以及各级分支纵向网络中部署安全网关，实现多级分支机构之间，分支机构与总部之间VPN安全互联，彻底解决一直困扰业务发展的通信链路可靠性、安全性问题。

　　2、纵向网络安全防御子解决方案

　　在每级纵向网节点部署华为统一威胁安全网关USG设备，开启专业AV、IPS等安全模块;在每级节点进行安全域有效隔离，对病毒，恶意攻击过滤防护，增强企业纵向网安全防御能力。依靠智能应用识别与用户身份认证识别技术，可基于MAC、IP、用户、应用、时间、方向等多个维度，实现企业网络访问流量的控制和优化，提供对关键业务的QoS保障。

　　3、统一安全管理与审计子解决方案

　　华为审视企业统一管理与审计诉求，提供统一设备管理平台，实现由总部统一管理各级分支机构的网络、安全设备;提供统一安全事件管理平台，支持网络、安全设备，以及服务器的安全事件日志收集、分析，统一审计、统一呈现、统一报表输出;针对企业内网终端进行统一安全管理，支持终端网络准入控制、安全策略管理、补丁漏洞更新等。

　　4、方案产品与服务

　　华为安全纵向网解决方案的核心产品为USG系列安全网关，以及VPN网关设备和可选安全管理平台软件产品，如下图所示：

　　方案优势

　　1、专业VPN纵向互联，安全融于网络，集FW/IPS/AV等安全特性于一体

　　多核硬件架构，支持高吞吐量，大隧道数;

　　全面的VPN功能，支持 IPSEC/ SSL/ MPLS/ GRE/ L2TP VPN;

　　支持多种网络接入方式，如WiFi与3G，纵向VPN组网更加灵活;

　　支持VPN双链路备份以及双机VPN热备，纵向VPN组网更加可靠;

　　2、全面病毒与攻击防御，AV/IPS 检出率 99%

　　文件级病毒扫描，可解压文件层数到达20层，支持70种文件类型，保证病毒检测的完整性;

　　基于漏洞的签名，有效防止攻击变种、所有签名都可开启，并具有极低误报率;

　　独特的识别能力，2000+种漏洞签名库，无需低效率的盲扫;

　　3、精细化应用访问控制，以及基于用户与应用策略管控

　　支持协议1000+ ，主流应用协议全覆盖 ，支持热门加密P2P协议;

　　定制化需求的快速响应能力，满足企业特定应用识别;

　　基于用户和应用的流量控制，优化纵向网络流量;

　　4、全网管控，可视化界面，统一管理与审计平台

　　资源管理：支持多维度的核心资源访问控制与网络应用精细化管理;

　　安全管理：支持多种类型安全事件采集与分析，实时统计，报表呈现;

　　运维管理：支持分级部署与关联分析，可视化界面，整体安全态势一目了然;

　　设备管理：轻松部署，全网监控，稳定可靠;

　　多级纵向网安全解决方案典型应用

　　企业客户(典型垂直行业客户)具有多级分支机构，不同的级别的分支机构所负责区域不同，然而其管辖的业务均需要同上级分支，以及总部进行互联互通，下级的分支机构需要与上级分支或者总部分别进行各类生产营销业务，以及日常办公业务处理。其典型部署场景如下：

多级纵向网安全解决方案典型部署场景

　　单级纵向网安全解决方案典型应用

　　企业客户随着IT化建设加快，越来越多的业务开始集中化建设，特别是营销，服务业务，已经开始趋向进行业务平台统一建设，统一管理，如此使得原有多分散的业务机构，营业厅，营业网点都需要接入到统一业务平台数据中心进行各类业务办理，并建立相应备份中心，从而简化企业组网复杂度，也较高提升业务办理效率，改善客户体验。其典型部署如下：

单级纵向网安全解决方案典型部署