AI防火墙应用

大中型企业边界防护

内网管控与安全隔离

云数据中心安全联动

传统数据中心边界防护

AntiDDoS防御系统应用

城域网防护

数据中心防护

IPS新一代入侵防御系统应用

互联网边界出口：对出口带宽精细控制，防止带宽滥用；保护内网免受外网攻击。

数据中心服务器前端：抵御来自外网攻击，保护核心服务器和核心数据；提供虚拟软件补丁服务，保证服务器最大正常运行时间。

分支互联：抵御来自分支机构攻击；保护广域网线路带宽。

部门内部防护：抵御内网恶意流量，如间谍软件，蠕虫病毒等泛滥和传播，实现了大中型企业内网络区域的隔离，有效避免安全风险的大规模扩散。

内网旁路监控：旁路部署于网络中，主要用来记录各类攻击事件和网络应用流量信息，进而进行网络安全事件审计和用户行为分析。

APT威胁检测系统FireHunter应用

 互联网边界出口：重点防范来自互联网的对内部的未知威胁文件攻击等。

 核心交换出口：监控僵木蠕和勒索软件等在内网的传播情况。

 DMZ区边界：监控web服务器，邮件服务器，发现所有webshell,恶意邮件上传等攻击行为。

 数据中心边界：重点保护服务器核心资产，发现内网潜伏的攻击，恶意扫描，渗透等。

 办公部门边界：防范内网可疑文件传播，横向感染核心部门。

安全态势感知系统应用

在政府、金融、大企业中，流量探针做旁路部署，部署在管理区，感知全网安全态势。

安全控制器应用

企业网络：

分支机构数量众多，安全网元数量庞大，通过secomanager可以实现全网安全策略统一管理。

云数据中心网络：

与imaster nce-fabric管理与控制系统协同，感知网络拓扑变化，实现基于租户的安全服务自动化部署；阻断南北向威胁，隔离东西向威胁，基于业务链引流实现数据中心网络精细化安全管控；与云平台联动，实现业务策略到安全策略的自动转化。

上网行为管理产品应用

企业：分支与总部vpn互联

通过ASG可以实现分支机构，合作伙伴通过VPN技术安全，低成本的接入总部网络；ASG Manager集中管理日志报表，集中下发策略；在出口提供NAT功能，过滤非法访问行为；实名认证，提供行为审计。

教育：某高校构建绿色上网环境项目

通过ASG可实现绿色上网，阻断非法，恶意，黄色，赌博，贷款等上网行为；实现实名认证；数据本地留存，提供行为审计能力。

漏洞扫描器应用

根据网络环境结构和扫描任务数量的不同，可以选择单机组网扫描或分布式组网扫描。

单机组网扫描

适用于网络环境结构比较简单，扫描主机和web网站数量较少的场景。根据扫描目标的不同，可以把漏洞扫描系统部署在某一个区域进行单区域扫描，或者是核心交换机旁边进行全网扫描。

分布式组网扫描

适用场景于网络环境比较分散和复杂，扫描主机和WEB网站数量较大的场景。每一个网络节点部署一个引擎，完成单个节点的扫描任务，网络可达处部署一台管控。中心。整个网络框架中，扫描引擎和管控中心都可以根据系统规模进行扩展，从而达到不同数量级别的扫描。

日志审计系统应用

根据网络环境结构和管理设备数量的不同，可以选择简单部署或分布式部署。

简单部署

分布式部署

统一运维审计系统应用

单机组网扫描

大多数运维场景中，用户只需要在网络中旁路部署一台UMA,确保和用户，运维资产路由可达即可。

双机热备场景

为了避免单点故障，提高设备可靠性和业务的连续性，通常会将两台UMA进行双机热备部署，当主机宕机后备机会自动切换，确保业务不中断。

集群场景

当用户运维并发较大，运维资源较多的情况时，需要多台UMA集群部署共同完成运维。

集群部署可部署两台uma做双机热备，作为集群主节点，其余UMA设备作为从节点。

运维用户运维操作产生的协议代理行为会通过负载均衡的方式自动分配到集群各个节点上，提高了整体运维并发能力。

数据库审计系统应用

DAS可用于云中同域，跨域，同平台，跨平台间环境下的数据库流量审计。华为DAS是三层部署，IP路由可达即可，不需要二层部署。华为DAS以虚拟机服务器为载体部署在云平台中，通过引流插件（Agent)把数据库流量引入到DAS实现审计。

应用系统数据库为DAS的审计数据库对象。

引流插件（Agent)将应用系统数据库上的数据库访问流量镜像转发到DB审计系统（DAS)的审计引擎上。

审计引擎解析收到的流量，将解析结果发送到DB审计系统（DAS)的管理中心。

根据网络环境结构和待审计数据库的数量，可以选择将审计引擎与管理中心部署在同一个VM上或不同的VM上。

原创；运维星火燎原