新华三安全产品方案全面护航运营商5GC云网安全

当前，我国已建成了全球规模最大、技术最为领先的5G独立网络；同时，5G已经融入到工业、能源、医疗、金融、教育等各个行业，为经济社会数字化转型，开辟了新路径、提供了新引擎。在5G产业蓬勃发展的同时，我们也应该清醒地认识到，作为赋能百行百业数字化转型的关键基础设施，5G控制中枢的核心网需要更加智能、高效、可靠的安全能力。

作为运营商可信赖的合作伙伴，紫光股份旗下新华三集团全面参与运营商5G网络基础设施建设，凭借云、网、安融合的全栈安全技术能力以及强大的交付运维能力，在运营商市场取得全面突破。针对5GC云网安全，新华三以电信级安全产品及解决方案，全面助力三大运营商5GC网络安全建设。

5G走向云化，安全挑战全面升级

5GC即5G核心网，包含众多的5G核心网网元是5G网络的核心控制中枢及与外网连接的业务数据转发接口。随着5G云化技术的应用，核心网网元采用NFV化部署在云资源池中。三大运营商采用不同模式进行5GC云网安全建设：中国移动采用8大区模式建设，中国联通采用“6大区+2节点（北京、上海）“模式建设，中国电信采用分省建设模式。预计到2025年，运营商5GC资源池的服务器规模会达到40-50万台。

5G网络开放性高，不仅需要保障用户与网络自身安全，还需要为垂直行业应用提供安全能力。随着5G网络架构的演进，核心网形态从传统的专用设备向通用型云化基础设施演进，网元间的接口也在向服务化架构演进，从而引入了更多的安全挑战，从而导致系统漏洞需要及时发现并消除、版本升级补丁更加频繁、网络纵深防御挑战难度增大、管理合规要求更高等实际需求。

运营商5GC云化资源池内网络安全按照分区分域进行安全部署，安全防护工作包括互联网出口安全、专线出口安全、云基础设施安全、云内业务网络安全、和云内管理网安全等。按照一个中心三重防护的原则，又可分为安全管理中心、安全区域边界、安全通信网络和安全计算环境四大领域。5GC云化资源池面临着从云平台及租户侧的安全威胁，在出口边界，面临外界恶意入侵攻击的风险；资源池内部各安全域之间，面临着业务及租户的安全隔离问题；为了保障资源池内部安全的通信及计算环境，如何对流量进行有效的安全甄别、对病毒进行针对防范以及对全网的态势感知和风险预控等任务；除此之外，如何对整网的安全资产、安全服务链做统一的纳管、运维及编排，安全管理运维也是不可或缺的一环。

新华三为 5GC 云网安全 保驾护航

面对种种挑战，依托在网络安全领域的领先优势，新华三从安全区域边界、安全网络、安全云计算环境到安全管理中心，打造了电信级5GC云网安全方案，全面保障5G网络高性能和高可靠的业务需求。

安全区域边界： 在5GC资源池出口边界处部署外层防火墙和抗DDoS设备，对外界安全威胁进行防护；在资源池内部，部署管理防火墙和内层防火墙，对东西向流量进行安全域隔离。

安全网络及计算环境： 在关键链路上旁路分光部署入侵防御、全流量威胁探针、沙箱等安全设备，对相关流量按需实施安全监测；在各区域接入交换机旁挂漏洞扫描，对资源池内服务器系统定期做安全扫描，同时，在终端服务器上部署终端安全系统，对服务器进行安全加固。

安全管理中心： 在资源池管理域部署安全管理中心，远端联动态势感知中心及云安全管理中心，对整网的安全服务进行统一纳管运维，实现主动安全。

新华三电信级安全 产品 全面保障运营商 5GC 云网安全

新华三电信级网络安全产品具备支持5G网络高性能、高可靠业务需求的能力，在三大运营商集采中取得优异的成绩，并全面应用于三大运营商5GC网络安全建设。

在中国移动 ，新华三获得2020年高端防火墙、入侵防御集采第一名，超过300台高端防火墙、入侵防御产品应用于中国移动8大区超过30个5GC资源池。 在中国移动网络云项目中 ：新华三防火墙承担EPC防火墙、外层防火墙、网管防火墙等多个角色，在5G核心网NFV化部署中发挥了重要作用。诸多项目的落地，进一步展现了新华三的电信级防火墙产品在运营商行业的领先地位。

在中国电信 ，新华三高端防火墙、入侵防御产品服务于全国近20个省会城市，保护5GC管理、计费、信令流量安全。 在某 省 电信 5GC NAT 防火墙项目中： 新华三M9010高端防火墙部署于电信5G核心网节点，承载近百万5G SA用户需求，实现该市两个重要局点的5G媒体流量的处理。

在中国联通 ，新华三获得2020年通信云防火墙集采第一名，上百台高端防火墙服务于全国近20个省市，承载包括5GC、vEPC、vBRAS等业务在内的通信云场景。 在联通某大区通信云防火墙项目中： 新华三在通信云出口部署高端防火墙M9000，保证客户5G业务稳定运行。此外，在该项目中新华三实现了网络、存储、服务器、安全等多产品的规模落地，成为联通5G通信云建设的主要合作伙伴。

经过在运营商5G核心云网充分的实践应用，新华三专门为运营商行业打造的M9000系列电信级多业务安全网关已经在性能和可靠性上的通过考验，为运营商5GC云化资源池网络安全保驾护航。新华三5GC云网安全产品的技术研发水平、运行稳定性、高品质服务能力得到了运营商的充分认可，展望未来，作为运营商云网安全产品核心供应商的新华三将为运营商的5G网络建设添砖加瓦，实现运营商5G在公众市场与政企行业市场的快速业务发展，助力“数字中国”与“网络强国”建设的蓬勃发展。

1、首先进安全模式进驱动卸载掉，更换驱动版本安装，重启计算机，不停按F8键，直到出现系统高级启动菜单；2、选择安全模式进入安全模式，右击“计算机”属性列表下的“设备管理器”；3、双击显示适配器，右击显卡型号然后点击卸载就可以了；4、把驱动卸载完之后，就可以正常进系统桌面了，然后重新安装驱动；以上就是解决电脑安装驱动后重启黑屏问题的步骤。

H3C交换机端口安全模式配置

用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。其实在用户的网络访问控制方面，最直接、最简单的方法就是配置基于端口的安全模式，不仅Cisco交换机如此，H3C交换机也有类似的功能，而且看起来功能更加强大。下面跟我一起来学习一下H3C以太网交换机端口安全模式配置方法！

在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类：控制MAC地址学习类和认证类。控制MAC地址学习类无需对接入用户进行认证，但是可以允许或者禁止自动学习指定用户MAC地址，也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中，通过这种方法就可以实现用户网络访问的控制。认证类则是利用MAC地址认证或IEEE 802.1X认证机制，或者同时结合这两种认证来实现对接入用户的网络访问控制。

配置了安全模式的H3C以太网交换机端口，在收到用户发送数据报文后，首先在本地MAC地址表中查找对应用户的MAC地址。如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文，否则根据端口所在安全模式进行相应的处理，并在发现非法报文后触发端口执行相应的安全防护特性。

在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式与secure模式

在autoLearn(自动学习)端口安全模式下，可通过手工配置，或动态学习MAC地址，此时得到的MAC地址称为Secure MAC(安全MAC地址)。在这种模式下，只有源MAC为Secure MAC的报文才能通过该端口但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口也不会再添加新的Secure MAC，并且端口会自动转变为Secure模式。

如果直接将端口安全模式设置为Secure模式，则将立即禁止端口学习新的MAC地址，只有源MAC地址是原来已在交换机上静态配置，或者已动态学习到的MAC地址的报文才能通过该端口转发。

根据以上描述，可以得出在autoLearn和secure模式下报文处理流程如图19-1所示。

图19-1 autoLearn和secure端口安全模式报文处理流程图

2. 单一IEEE 802.1X认证模式

采用单一IEEE 802.1x认证方式的端口安全模式又包括以下几种：

l userlogin：对接入用户采用基于端口的IEEE 802.1x认证，仅允许通过认证的用户接入。

l userLoginSecure：对接入用户采用基于用户MAC地址的IEEE 802.1x认证(也就是Cisco IOS交换机中所说的MAB)。仅接收源MAC地址为交换机的MAC地址的数据包，但也仅允许802.1x认证成功的用户数据报文通过。此模式下，端口最多只允许接入一个经过802.1x认证的用户(即IEEE 802.1X单主机模式)。

l userLoginSecureExt：与userLoginSecure类似，但端口下的802.1x认证用户可以有多个(即IEEE 802.1X多主机模式)。

l userLoginWithOUI：与userLoginSecure类似，端口最多只允许一个802.1x认证用户，但该用户的数据包中还必须包含一个允许的OUI(组织唯一标志符)。

因为H3C以太网交换机的IEEE 802.1X认证将在本书第21章专门介绍，故在此不再赘述。

3. MAC地址认证模式

MAC地址认证安全模式即macAddressWithRadius模式。MAC地址认证是一种基于端口和用户MAC地址的网络访问控制方法，它不需要用户安装任何客户端软件。交换机在启用了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码，因为这是基于用户MAC地址进行的认证。如果该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被添加为“静默MAC”。在静默时间内(可通过静默定时器配置)，来自此MAC地址的用户报文到达时直接做丢弃处理，以防止非法MAC短时间内的重复认证。

目前H3C以太网交换机支持“本地认证”和“RADIUS远程认证”这两种MAC地址认证方式。有关H3C以太网交换机的RADIUS服务器认证配置方法将在本书第20章专门介绍有关MAC地址认证的配置方法将在本章19.5节介绍。

4. and模式

“and”是“和”的意思，就是要求同时满足所有的条件。and端口安全模式包括以下两种子模式：

l macAddressAndUserLoginSecure：当用户的MAC地址不在转发表中时，接入用户首先进行MAC地址认证，当MAC地址认证成功后再进行IEEE 802.1x认证。只有在这两种认证都成功的`情况下，才允许该用户接入网络。此模式下，端口最多只允许一个用户接入网络，也就是最先通过全部这两种认证的用户。

l macAddressAndUserLoginSecureExt：与macAddressAndUserLoginSecure类似。但此模式下，端口允许接入网络的用户可以有多个。

根据以上描述得出以上这两种and端口安全子模式的报文处理流程如图19-2所示。

图19-2 and端口安全模式的报文处理流程图

5. else模式

“else”是“另外”的意思，就是一种认证通不过后还可以尝试其它的认证方式。else端口安全模式包括以下两个子模式：

l macAddressElseUserLoginSecure：当用户的MAC地址不在转发表中时，对接入用户首先进行MAC地址认证，如果认证成功则直接通过，如果MAC地址认证失败再尝试进行802.1x认证。此模式下，端口下可以有多个用户通过MAC地址认证，但端口仅允许接入一个用户经过802.1x认证，也就是最先通过802.1x认证的用户。

l macAddressElseUserLoginSecureExt：与macAddressElseUserLoginSecure类似。但此模式下，端口允许经过多个用户通过IEEE 802.1X认证。

根据以上描述得出以上这两种else端口安全子模式的报文处理流程如图19-3所示。

图19-3 else端口安全模式报文处理流程图

6. or模式

“or”是“或者”的意思，也就是可以任选其中一种认证方式。or端口安全模式包括以下两个子模式：

l macAddressOrUserLoginSecure：当用户的MAC地址不在转发表中时，接入用户通过MAC地址认证后，仍然可以进行IEEE 802.1x认证但接入用户通过IEEE 802.1x认证后，不再进行MAC地址认证。此模式下，可以有多个经过基于MAC地址认证的用户，但端口仅允许接入一个经过认证的802.1x用户，也就是最先通过802.1x认证的用户。

l macAddressOrUserLoginSecureExt：与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 802.1x认证的用户。

根据以上描述得出以上这两种or端口安全子模式的报文处理流程如图19-4所示。

图19-4 or端口安全模式报文处理流程图

---