说明:以下内容为完整演示讲解词,请根据客户实际,对泛泛了解用户或高端用户,简明扼要提到方案优势,以讲解要点为主; 注意事项:每个区域讲解做到承上启下;讲解过程中以一些案例来说明;每个区域演示完成最好有个简单总结。
各位领导大家好,欢迎参观安全IP网络产品展区,在这里H3C搭建一个实际的承载网络,我们将按照网络威胁由远及近的顺序,从边缘的统一接入安全,到综合边界防护再到可控内部网络,直到核心的智能管理中心的顺序为您做介绍。下面请跟我一起看一下统一接入安全。
1. 统一安全接入
在接入层面,我们比较熟悉的是有线接入方式,可是有些特殊的区域我们是不方便用有线网络去覆盖的。比如城市中有穿成河,而我们要跨河铺设网络;或者一些咖啡厅,歌剧院等热
点区域要给用户提供网络服务,这时候我们都需要选择无线网络(集成搜索举例请根据客户所属行业例举不同情况下应用)。H3C目前已经拥有全系列无线产品并能够提供一体化解决方案。这个一体化解决方案包括3个层面:一体化硬件,就是说您可以通过在H3C S95/S75E交换机上直接插无线控制器板卡来组建无线网络;一体化网络管理指H3C IMC能管理中心可以实现有线无线一体化管理;一体化安全指有线无线采用同一套安全策略,有线无线共用同一套安全设备,有线无线共用同一个帐号接入共用同一套EAD终端控制解决方案,在体验中心内部我们通过墙面上的AP(可以提示在应急灯旁边)和桌面上的AC控制器组建了瘦AP无线网络。有了无线网络我们可以增加很多增值业务。
演示1:即拍即传
应用场景例举:体育场馆记者发新闻报道,逛街购物旅游上传风景照片,监控图像即时传送;
这个相机支持无线功能,可以通过AP设备连接到网络中的无线便携机上。我们拍摄的照片,可以马上被自动传送到这台便携机。或者通过使用WIFI相机把拍摄到的相片通过无线AP上传至internet的
(应用场景举例,请尽量贴近客户行业属性例举使用场景和案例,不局限于下面的内容)还有多种终端,包括监控图像都可以通过无线方式接入到网络中来。在音乐厅,在会议厅,在奥运会场馆,通过无线的高密度覆盖,可以实时将图像传输到演播厅和大屏幕。目前北京的北辰奥运酒店就是使用H3C无线解决方案和设备,还有T3航站楼等。
演示2:WIFI语音功能
VoWi-Fi在现有的WLAN网络实现无线的VoIP语音通话,用户可以通过Wi-Fi终端设备在WLAN网络的覆盖范围内随时进行语音通话,既发挥了IP网络成本低的特点,又使得用户获得WLAN带来的方便性。
这是支持Wi-Fi功能的手机,在有无线网络覆盖的区域,我们的用户可以直接通过这部手机接入无线网络实现免费语音通话、网络浏览等功能,离开无线网络覆盖区域后自动切换回GSM网络。中国国家大剧院部署的无线语音网络就是由H3C提供的设备和解决方案,(国家大剧院是设计最复杂的建筑之一,H3C的WA2110非常小巧,可以很好的隐藏在建筑当中)。在终端方面,目前Nokia、摩托罗拉、多普达等公司的手机都可以支持Wi-Fi,领导可以试一下这个通话效果。(通过瘦AP的三层漫游功能,可以很好的解决语音在不同AP
间切换漫游的问题)。
(另外很重要的一点,企业通过部署自己的Wi-Fi语音,使企业具有了不依赖电信运营商就可以个性化地建立自己的语音通信系统的能力,这是国内许多企业和行业的通信需求。(以某企业为例,拥有SIP server,,无线接入点和无线控制器等设备,内部开展Wi-Fi语音业务。企业员工使用WLAN/GSM双模手机可在WLAN覆盖区优先通过Wi-Fi网络实现内部通话,参加电话会议,也可拨打PSTN外线电话,代替座机和手机的功能;离开WLAN覆盖区采用GSM。不但可节省通话费用,而且可以通过无线网络和Wi-Fi手机开展定位、视频电话等多种增值业务。)
演示3:基于位置的广告推送(这里位置只接入AP的位置)
在用户通过无线网络访问互联网的时候,我们可以基于用户所在位置为他提供更多增值服务。在网络规划时,在一个AP可以配置多个SSID,通过不同的SSID接入用户,相同的SSID在不同热点映射为不同的VLAN,后台系统通过用户VLAN标识用户的接入位置。用户打开浏览器开始访问Internet时,通过无线控制器重定向到portal认证页面,Portal server根据用户接入的VLAN推送给用户相应的页面。如:在机场,推送航班信息等;在酒店,推
送附近的商业和娱乐场所信息。比如张三现在在国家体育馆正在看奥运比赛,通过自己的便携机访问互联网络的时候,我们可以直接提供跟国家体育馆相关的信息给他:最新的奥运赛事新闻、奖牌情况、附近景点、酒店、交通信息。以前客户不愿意使用无线网络,一方面因为无线网络接入速度,另一方面因为无线网络要收费。现在有了广告推送服务我们可以免费为用户提供无线网络,向相关的酒店、购物中心等希望做广告的企业来进行收费。
现在张三结束在北京的访问,来到首都机场T3航站楼。这时候,我们可以为他提供T3航站楼相关的信息服务:机场交通指南、航班信息查询、购物/美食信息
演示4:无线监控功能
这里我们也可以直接通过无线终端查看园区内的监控画面,实现“移动”监视
(便携机需要连接SSID h3c-voice(password 24680),设置固定IP地址ras同步适配器10.165.138.41 255.255.255.0 10.165.138.1;然后在IE浏览器中打开10.165.124.51)
(如果客户对无线非常感兴趣,请参照展板介绍)这些是H3C WA2200系列产品,它有两
大特,第一:支持FAT/FIT模式命令切换,即最初建网时,可以只买AP,在FAT模式下独立工作,当网络规模增大时,可以在网络中增加无线控制器,并将原有的AP切换为FIT模式,就可以进行集中管理,提供更多的增值业务及功能,这样,大大提高了建网的灵活度;第二,WA2200X产品支持光接口,室外应用时不再受距离限制,大大方便了工程实施,并提供了更高的可靠性。
如果是医院客户,可以谈谈我们的快速无缝漫游技术(无线查房)和802.11N高带宽(影像系统);如果政府客户,可以谈谈我们的WAPI国家标准的支持,无线EAD;如果是教育客户,可以谈谈H3C 有线无线整体支持IPv6,谈谈我们的P2P限流和防ARP解决方案
1.2有线接入
SSL VPN讲解要点:(1)免客户端安装,免维护,极大方便用户使用,并且不受时间、空间影响,随时访问;
nc6000
(2)灵活权限设置,符合中国特:mp3机
(3)数据经SSL协议加密的,更安全。
(4)SSL VPN和IPSec VPN可以满足用户不同远程接入需求,并不互斥。
承上启下:除了无线接入的需求,另外一个比较普遍的接入需求是跨广域网接入,也就是VPN接入方式。之前我们可能比较熟悉的是IPsec VPN,该方式更适用于固定网络的连接,如总部到分支之间的互联。各位领导到杭州来考察,需要和单位沟通,就需要VPN连接来保障数据的机密性,是典型的移动办公。SSL VPN是最理想的解决方案,可以用户在任何地点、任何时间都可以方便、安全的访问公司资源。
气泡包装膜
方案优势:SSL VPN组网最大好处之一就是免客户端安装,使用方便,易于维护。只需要打开IE浏览器,输入中心VPN网关地址,用户名、密码就可以访问到公司内部网络了,查看内部共享文件、邮件服务器等各种资源。当企业中有大量用户共同使用时,不要对每个客户端进行维护,在总部维护1台SSL VPN网关即可,降低整个网络的维护费用。比如200人的VPN客户端,如果每次升级都要同时对200个机器升级,尤其是针对领导和管理者这些时间本来就紧张的人,频繁升级更是不必要的工作。而采用SSL VPN,管理员1个人短时间即可完成升级,所有200用户无需做任何事情,体现了SSL VPN对现有工作效率的提高。
同时,H3C 的SSL VPN产品可以提供灵活的用户权限设置。对公司领导,设置更高的访问权限,如财务、销售等核心数据,而对普通员工只需要开通常规文件共享、邮件服务等权限,符合中国多数企业的分级分权限管理。企业的发展离不开合作伙伴,SSL VPN在对内提供权限分配的基础上,可以实现与合作伙伴的紧密合作。合作伙伴可以上公司内部查看对外资料和授权信息,从而增加其对企业的认可度和工作效率,同时,未授权的核心信息又得到保障,一举两得。
另外,客户端与中心VPN网关之间数据传输都是经过SSL 协议加密,从而有效保证数据以密文方式传送,保证了数据真实性、机密性和不可篡改性。
冯代存这样,使用H3C SSL VPN后,在各位领导出差,只要能联入公网的地方,如在酒店、在机场,就如同在办公室一样安全访问公司各种资源。
简单演示:用户登录界面简单查看可访问各种资源,如WEB/TCP/IP等各种资源。
2. 综合边界防护
讲解要点:(1)防火墙、IPS实现2~7层全面安全防御;
(2) 基于OAA开放架构,与第三方厂商合作,满足个性化需求,不需要具体强调什么产品
(3)OAP板卡对原来网络性能无影响
承上启下:数据由远到近,解决了互联问题后,数据已经来到企业边界,在这里所做的事就是要把更多的安全威胁拦截在大门之外。这里面临的威胁是最多、最全面的,攻击、病毒、垃圾邮件、非法内容等都构成对企业大门的严重威胁。
企业边界首先要做的是安全区域的隔离,比如各位领导的企业一般都有数据中心区、内网区、Internet接入区等等,针对不同安全需求,划分相应区域从而进行针对性的安全防护。再此基础上,可以提供病毒防护、防垃圾邮件、URL过滤、NAT等安全功能。实现对网络层、应用层各种威胁的抵御。
边界面临的威胁多样性,决定安全防护功能的多样性,涉及到安全的各个领域,为更好提供全面的安全防护,H3C通过OAA开发架构,和各个领域的领导者有机的结合,满足企业对安全防护的全面性和个性化需求。如和卡巴斯基专业的防病毒技术,融入H3C 安全产品
中,这样用户就不需要单独配置盒式防毒墙产品,降低成本和故障点,并且不会影响原网络性能。为让各位领导更加直观,下面演示一下对邮件病毒的防护功能。
演示:下面我们从分支机构使用总部的mail服务器进行邮件发送,其中包含了一个含有病毒代码的文件,和一个正常的文本文件,由于我们在分支机构的出口防火墙/路由器上配置了防病毒模块,邮件经过该模块时含有病毒的附件就会被过滤掉。现在我们在远端收取一下,可以看到邮件主题中包含了杀毒信息,而且原来的病毒附件已经被清空,而正常文件被保留。同时,我们的杀毒机制并不是粗暴型的,而是更加细致的匹配文件内容,只删除含有病毒代码的部分,正常内容将被保留,例如某个打包文件中含有部分病毒,我们的防病毒插卡也只会删除含有病毒的部分,而保留正常文件。
除了防毒卡以外,H3C目前还可以提供网络流量分析板卡,OCE语音板卡,WAN加速板卡等板卡。此外有气象部门的客户,他们数据采集旁挂的应用也采用OAA平台来实现。
3. 可控内部网络
讲解要点:
(1)事前预防:EAD通过身份认证、终端健康状态检查;防火墙进行安全区域划分;
(2)事中控制:防火墙、IPS等设备及时阻断攻击,并通过安全联动进行追根溯源;
(3)事后审计:SecCenter实时监控攻击事件,并自动输出攻击报;
(4)病毒防御的演示:EAD进行病毒库和补丁的检查,确保接入设备的健康性;IPS发现蠕虫攻击,及时阻断的同时,上报安全管理中心,下发安全策略到终端,让用户下线。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议