防火墻解決方案

大型企業(yè)網(wǎng)絡(luò)防火墻解決方案神州數(shù)碼大型企業(yè)網(wǎng)絡(luò)防火墻整體解決方案,在大型企業(yè)網(wǎng)絡(luò)中心采用神州數(shù)碼DCFW-1800E防火墻以滿足網(wǎng)絡(luò)中心對防火墻高性能、高流量、高安全性的需求，在各分支機構(gòu)和分公司采用神州數(shù)碼DCFW-1800S防火墻在滿足需要的基礎(chǔ)上為用戶節(jié)約投資成本。另一方面，神州數(shù)碼DCFW—1800系列防火墻還內(nèi)置了VPN功能，可以實現(xiàn)利用Internet構(gòu)建企業(yè)的虛擬專用網(wǎng)絡(luò)。防火墻VPN解決方案作為增值模塊，神州數(shù)碼DCFW—1800防火墻內(nèi)置了VPN模塊支持，既可以利用因特網(wǎng)(Internet)IPSEC通道為用戶提供具有保密性，安全性，低成本，配置簡單等特性的虛擬專網(wǎng)服務(wù)，也可以為移動的用戶提供一個安全訪問公司內(nèi)部資源的途徑，通過對PPTP協(xié)議的支持，用戶可以從外部虛擬撥號，從而進(jìn)入公司內(nèi)部網(wǎng)絡(luò)。神州數(shù)碼DCFW-1800系列防火墻的虛擬專網(wǎng)具備以下特性：標(biāo)準(zhǔn)的IPSEC,IKE與PPTP協(xié)議支持Gateway-to-Gateway網(wǎng)關(guān)至網(wǎng)關(guān)模式虛擬專網(wǎng)支持VPN的星形(star)連接方式VPN隧道的NAT穿越支持IP與非IP協(xié)議通過VPN支持手工密鑰，預(yù)共享密鑰與X.509V3數(shù)字證書，PKI體系支持IPSEC安全策略的靈活啟用：管理員可以根據(jù)自己的實際需要，手工禁止和啟用單條IPSEC安全策略，也為用戶提供了更大的方便。支持密鑰生存周期可定制支持完美前項保密支持多種加密與認(rèn)證算法：加密算法：DES,3DES,AES,CAST,BLF,PAP,CHAP認(rèn)證算法：SHA,MD5,Rmdl60支持Client-to—Gateway移動用戶模式虛擬專網(wǎng)支持PPTP定制：管理員可以根據(jù)自己的實際需要，手工禁止和啟用PPTP。防火墻雙機熱備方案為了保證網(wǎng)絡(luò)的高可用性與高可靠性，神州數(shù)碼DCFW-1800E防火墻提供了雙機熱備份功能,即在同一個網(wǎng)絡(luò)節(jié)點使用兩個配置相同的防火墻.正常情況下主防火墻處于工作狀態(tài),另一個防火墻處于備份狀態(tài)，稱為從防火墻。當(dāng)主防火墻發(fā)生意外down機、網(wǎng)絡(luò)鏈路發(fā)生故障、硬件故障等情況時,從防火墻自動切換工作狀態(tài),從防火墻代替主防火墻正常工作,從而保證了網(wǎng)絡(luò)的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與,切換時間少于1秒。網(wǎng)絡(luò)安全解決方案神州數(shù)碼網(wǎng)絡(luò)安全解決方案主要由防火墻、入侵檢測、防病毒等安全產(chǎn)品以及安全系統(tǒng)集成服務(wù)構(gòu)成。由于神州數(shù)碼DCFW-1800E防火墻支持流量映射功能，也就是說防火墻的HA接口可以復(fù)制其他網(wǎng)絡(luò)接口的流量，因此入侵檢測設(shè)備可以方便的接入網(wǎng)絡(luò)，同時神州數(shù)碼DCFW-1800系列防火墻支持與第三方IDS的聯(lián)動。防病毒方案由四部分構(gòu)成,即客戶機防病毒、服務(wù)器防病毒、網(wǎng)關(guān)防病毒和防病毒產(chǎn)品管理控制臺。管理控制臺負(fù)責(zé)病毒代碼、引擎、防病毒程序的升級和更新，管理策略、病毒掃描配置等的分發(fā)。

安全系統(tǒng)集成服務(wù)包括兩個方面，一方面，是指對不同類安全產(chǎn)品（如防火墻、防病毒等產(chǎn)品）的安裝、配置和維護(hù)，另一方面，是在漏洞掃描和安全評估的基礎(chǔ)上對用戶的網(wǎng)絡(luò)進(jìn)行安全性增強配置服務(wù)。安全性增強配置服務(wù)主要包括網(wǎng)絡(luò)設(shè)備的安全性增強配置、主機操作系統(tǒng)的安全性增強配置、應(yīng)用系統(tǒng)安全性增強配置等。企業(yè)安全解決方案一Netscreen防火墻Netscreen防火墻是一種高性能的硬件防火墻，與其它的硬件防火墻相比有本質(zhì)的區(qū)別。其它的硬件防火墻實際上是運行在PC平臺上的一個軟件防火墻，而Netscreen防火墻則是由ASIC芯片來執(zhí)行防火墻的策略和數(shù)據(jù)加解密，因此速度比其它防火墻要快得多。從軟件特性上看Netscreen防火墻是狀態(tài)檢測與應(yīng)用代理混合的防火墻，對于大部份的應(yīng)用Netscreen防火墻是監(jiān)測整個通訊狀態(tài)，如果發(fā)現(xiàn)通訊狀態(tài)不正常便拒絕進(jìn)入受保護(hù)的內(nèi)部網(wǎng)絡(luò)，對于FTP或H322等通訊狀態(tài)不好跟蹤的服務(wù)Netscreen防火墻通過應(yīng)用代理來確保服務(wù)安全。Netscreen防火墻有三大功能：1、防火墻2、VPN3、流量分配和負(fù)載均衡Netscreen防火墻在企業(yè)網(wǎng)絡(luò)中的位置圖一一、Netscreen防火墻外部特點Netscreen防火墻有三個以太網(wǎng)接口：DMZ接口、Trust接口、Untrust接口。如圖所示，Trust接口連接受保護(hù)的內(nèi)部網(wǎng)，Untrust連接外部網(wǎng)（如Internet）,DMZ接口連接公司的對外的服務(wù)器如Mailserver,WEBServer等。從安全等級來看，Trust接口安全性最高，DMZ第二，最后是Untrust.二、Netscreen防火墻在企業(yè)網(wǎng)絡(luò)中能實現(xiàn)的安全保護(hù)功能1）防火墻■防黑客攻擊。Netscreen防火墻位于內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)之間，物理上起著隔離內(nèi)網(wǎng)和外網(wǎng)的作用。獨有的ScreenOS底層操作系統(tǒng)提供了抵抗各種網(wǎng)絡(luò)攻擊的能力；經(jīng)ICSA的測試Nets—creen防火墻能抵擋已知所有的網(wǎng)絡(luò)攻擊，并且ScreenOS是可升級的.■網(wǎng)絡(luò)地址翻譯（NAT）。通過NAT將內(nèi)部不合法的IP地址翻譯成外部Untrustd的合法地址，隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),從而使攻擊者不易找到攻擊目標(biāo)；同時也將內(nèi)部的不合法的地址映射成外部合法地址，如netscreen防火墻將WEBServer的內(nèi)部地址192。168。1。1映射為外部地址202.96。23.11,外部訪問202。96。23。11地址實際上就是訪問訪問192。168.1.1?！鲈L問控制。在防火墻上設(shè)置策略，需要的應(yīng)用或服務(wù)打開，如HTTP,DNS，SMTP，F(xiàn)TP等。其它的則不允許通過?這樣能大大減少不必要的網(wǎng)絡(luò)流量及安全風(fēng)險。2）強大的VPN（虛擬專用網(wǎng)）功能Netscreen能根據(jù)不同的需求實現(xiàn)不同的VPN功能，實現(xiàn)方式有兩種:企業(yè)到企業(yè)

如圖所示:如果企業(yè)有幾個不同的網(wǎng)絡(luò)位于不同的地點，不同網(wǎng)絡(luò)之間的互訪通過Internet進(jìn)行，在Int—ernet上傳輸?shù)臄?shù)據(jù)是明文。企業(yè)到企業(yè)VPN方式就是通過兩個Netscreen防火墻將一個企業(yè)的兩個不同地點的網(wǎng)絡(luò)連起來，在連接兩個網(wǎng)絡(luò)之間的公網(wǎng)上建立一個VPN加密通道.企業(yè)到桌面（或用戶）這種方式就是在用戶端的計算機內(nèi)安裝一個由Netscreen提供的VPN的客戶端軟件，用戶通過撥號上網(wǎng)在用戶端和公司網(wǎng)絡(luò)邊界上的防火墻建立VPN通道。如圖所示：3）流量控制及負(fù)載均衡Netscreen防火墻能為公司不同部門或不同的服務(wù)器分配帶寬以保證關(guān)鍵應(yīng)用服務(wù)器或用戶的帶寬。流量控制：假設(shè)實際帶寬為100兆,可以在防火墻上定義市場部訪問Internet的帶寬為20兆，財務(wù)部訪問Internet的帶寬為10兆。也可為Internet訪問公司對外的WEB服務(wù)器分配帶寬。負(fù)載均衡負(fù)載均衡實現(xiàn)過程如下：企業(yè)內(nèi)部網(wǎng)絡(luò)有三個WEB服務(wù)器，每個服務(wù)器內(nèi)容完全一樣，每個服務(wù)器的內(nèi)部IP地址不同oNetscreen防火墻將三個內(nèi)部地址映射為一個外部地址202。96。23o10,Interent的用戶在訪問外部地址時，防火墻將根據(jù)預(yù)先設(shè)定的算法將外面進(jìn)來的服務(wù)請求轉(zhuǎn)發(fā)給其中一臺服務(wù)器。負(fù)載均衡可以最大限度地發(fā)揮WEB服務(wù)器使用效率，提供最大的訪問帶寬。cisco四種網(wǎng)絡(luò)防火墻技術(shù)匯總我們知道防火墻有四種類型：集成防火墻功能的路由器，集成防火墻功能的代理服務(wù)器，專用的軟件防火墻和專用的軟硬件結(jié)合的防火墻。Cisco的防火墻解決方案中包含了四種類型中的第一種和第四種，即：集成防火墻功能的路由器和專用的軟硬件結(jié)合的防火墻。一、集成在路由器中的防火墻技術(shù)1、路由器IOS標(biāo)準(zhǔn)設(shè)備中的ACL技術(shù)ACL即AccessControlList（訪問控制列表）,簡稱AccessList（訪問列表），它是后續(xù)所述的IOSFirewallFeatureSet的基礎(chǔ)，也是Cisco全線路由器統(tǒng)一界面的操作系統(tǒng)IOS（InternetOperationSystem，網(wǎng)間操作系統(tǒng)）標(biāo)準(zhǔn)配置的一部分。這就是說在購買了路由器后,ACL功能已經(jīng)具備，不需要額外花錢去買.

2、IOSFirewallFeatureSet（IOS防火墻軟件包）IOSFirewallFeatureSet是在ACL的基礎(chǔ)上對安全控制的進(jìn)一步提升，由名稱可知，它是一套專門針對防火墻功能的附加軟件包，可通過IOS升級獲得，并且可以加載到多個Cisco路由器平臺上.目前防火墻軟件包適用的路由器平臺包括Cisco1600、1700、2500、2600和3600,均屬中、低端系列。對很多傾向與使用"all-in-onesolution"(一體化解決方案)，力求簡單化管理的中小企業(yè)用戶來說，它能很大程度上滿足需求之所以不在高端設(shè)備上實施集成防火墻功能，這是為了避免影響大型網(wǎng)絡(luò)的主干路由器的核心工作一數(shù)據(jù)轉(zhuǎn)發(fā)?在這樣的網(wǎng)絡(luò)中，應(yīng)當(dāng)使用專用的防火墻設(shè)備。CiscoIOS防火墻特征：l基于上下文的訪問控制(CBAC)為先進(jìn)應(yīng)用程序提供基于應(yīng)用程序的安全篩選并支持最新協(xié)議lJava能防止下載動機不純的小應(yīng)用程序l在現(xiàn)有功能基礎(chǔ)上又添加了拒絕服務(wù)探測和預(yù)防功能^從而增加了保護(hù)l在探測到可疑行為后可向中央管理控制臺實時發(fā)送警報和系統(tǒng)記錄錯誤信息lTCP心DP事務(wù)處理記錄按源/目的地址和端口對跟蹤用戶訪問l配置和管理特性與現(xiàn)有管理應(yīng)用程序密切配合二、專用防火墻——PIXPIX(PrivateInterneteXchange)屬于四類防火墻中的第四種--軟硬件結(jié)合的防火墻，它的設(shè)計是為了滿足高級別的安全需求，以較好的性能價格比提供嚴(yán)密的、強有力的安全防范除了具備第四類防火墻的共同特性，并囊括了IOSFirewallFeatureSet的應(yīng)有功能.

PIX成為Cisco在網(wǎng)絡(luò)安全領(lǐng)域的旗艦產(chǎn)品已有一段歷史了，它的軟硬件結(jié)構(gòu)也經(jīng)歷了較大的發(fā)展?，F(xiàn)在的PIX有515和520兩種型號(520系列容量大于515系列)，從原來的僅支持兩個10M以太網(wǎng)接口，到10/100M以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI的多介質(zhì)、多端口(最多4個)應(yīng)用；其專用操作系統(tǒng)從v5。0開始提供對IPSec這一標(biāo)準(zhǔn)隧道技術(shù)的支持，使PIX能與更多的其它設(shè)備一起共同構(gòu)筑起基于標(biāo)準(zhǔn)VPN連接。Cisco的PIXFirewall能同時支持16,000多路TCP對話，并支持?jǐn)?shù)萬用戶而不影響用戶性能，在額定載荷下，PIXFirewall的運行速度為45Mbps,支持T3速度，這種速度比基于UNIX的防火墻快十倍。主要特性：l保護(hù)方案基于適應(yīng)性安全算法(ASA)，能提供任何其它防火墻都不能提供的最高安全保護(hù)l將獲專利的”切入代理”特性能提供傳統(tǒng)代理服務(wù)器無法匹敵的高性能l安裝簡單，維護(hù)方便，因而降低了購置成本l支持64路同時連接，企業(yè)發(fā)展后可擴充到16000路l透明支持所有通用TCP/IPInternet服務(wù)，如萬維網(wǎng)(WWW)文件傳輸協(xié)議(FTP)、Telnet、Archie、Gopher和rloginl支持多媒體數(shù)據(jù)類型，包括Progressive網(wǎng)絡(luò)公司的RealAudio，Xing技術(shù)公司的Steamworks,WhitePines公司腃USeeMe，VocalTe公司的InternetPhone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的WebTheater2l支持H323兼容的視頻會議應(yīng)用,包括Intel的InternetVideoPhone和Microsoft的NetMeetingl無需因安裝而停止運行自身安全支持自身安全支持Denial—of-Service支持Denial-of-Servicel無需升級主機或路由器l完全可以從未注冊的內(nèi)部主機訪問外部Internetl能與基于CiscoIOS的路由器互操作三、兩種防火墻技術(shù)的比較IOSFIREWALLFEATURESETPIXFIREWALL網(wǎng)絡(luò)規(guī)模中小型網(wǎng)絡(luò)，小于250節(jié)點的應(yīng)用。大型網(wǎng)絡(luò)，可支持多于500用戶的應(yīng)用工作平臺路由器IOS操作系統(tǒng)專用PIX工作平臺性能最高支持T1/E1（2M）線路可支持多條T3/E3（45M）線路工作原理基于數(shù)據(jù)包過濾，核心控制為CBAC基于數(shù)據(jù)包過濾，核心控制為ASA配置方式命令行或圖形方式（通過ConfigMaker）命令行方式或圖形方式（通過FirewallManager）應(yīng)用的過濾支持Java小程序過濾支持Java小程序過濾身份認(rèn)證通過IOS命令，支持TACACS+、RADIUS服務(wù)器認(rèn)證。支持TACACS+、RADIUS集中認(rèn)證虛擬專網(wǎng)（VPN）通過IOS軟件升級可支持IPSec、L2F和GRE隧道技術(shù)，支持40或56位DES加密。支持PrivateLink或IPSec隧道和加密技術(shù)網(wǎng)絡(luò)地址翻譯（NAT）集成IOSPlus實現(xiàn)支持冗余特性通過路由器的冗余協(xié)議HSRP實現(xiàn)支持熱冗余

代理服務(wù)無，通過路由器的路由功能實現(xiàn)應(yīng)用切入的代理服務(wù)功能管理通過路由器的管理工具，如CiscoWorks通過FirewallManager實現(xiàn)管理審計功能一定的跟蹤和報警功能狀態(tài)化數(shù)據(jù)過濾，可通過FirewallManager實現(xiàn)較好的額監(jiān)控、報告功能一、刖言隨著網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全越來越顯得重要，防火墻是網(wǎng)絡(luò)安全的一個重要組成部分。一般來講，大中型機構(gòu)/企業(yè)在網(wǎng)絡(luò)化過程中面臨的安全問題可包括網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)安全。針對網(wǎng)絡(luò)系統(tǒng)安全方面，機構(gòu)/企業(yè)需要防止網(wǎng)絡(luò)系統(tǒng)遭到?jīng)]有授權(quán)的存取或破壞以及非法入侵；在數(shù)據(jù)安全方面機構(gòu)/企業(yè)則需要防止機要、敏感數(shù)據(jù)被竊取或非法復(fù)制、使用等。各類計算機病毒、系統(tǒng)陷阱(TrapDoors)、隱蔽訪問信道、黑客攻擊等造成敏感數(shù)據(jù)泄密、Web站點癱瘓等等問題，都是企業(yè)/機構(gòu)實現(xiàn)網(wǎng)絡(luò)化面臨的外部威脅。如何搭建安全的網(wǎng)絡(luò)架構(gòu)，如何將非法入侵者拒之門外、如何防止主頁被非法篡改，這些都是企業(yè)/機構(gòu)在進(jìn)行網(wǎng)絡(luò)化過程中必須解決的問題。二、威達(dá)電為您提供完整的硬件防火墻解決方案1、多網(wǎng)口硬件平臺解決方案現(xiàn)今在防火墻應(yīng)用硬件方面，對系統(tǒng)的穩(wěn)定性、高效性、兼容性都有很高的要求。為了保證企業(yè)內(nèi)部與外部之間，企業(yè)內(nèi)部各部門與部門之間的安全性，對防火墻所要求支持的網(wǎng)路數(shù)目也是越來越多。采用ICP的防火墻系統(tǒng)能夠滿足不同客戶多層次的要求。硬件平臺提供I）NOVA—7897防火墻系統(tǒng)優(yōu)點★專門為防火墻設(shè)計的多網(wǎng)路功能，支持2—6個網(wǎng)路?并采取彈性的設(shè)計，系統(tǒng)在兩個網(wǎng)路的基礎(chǔ)上，可根據(jù)需要通過加裝LM-2G模塊擴充出兩個千兆以太網(wǎng)路，通過加裝LM-102模塊擴充出兩個10/100M以太網(wǎng)路，因而最多可達(dá)6個網(wǎng)路，不僅能保證企業(yè)內(nèi)部與外部之間的安全性，還能保證企業(yè)內(nèi)部各部門與部門之間的安全性，滿足不同客戶多層次的要求.★支持IntelCeleron/PlII甚至最新的IntelPillTualatin的CPU，133MHz外頻，最大可以支持1。2GHz能滿足低階及高階防火墻配置的不同需求。★內(nèi)存支持最大可達(dá)到512MB，即使在多個I/O設(shè)備同時工作時也能保證系統(tǒng)的高效能性.★系統(tǒng)采用最新的Intel815E高性能芯片組，使系統(tǒng)對WindowsNT、Windows2000、WindowsXP、Linux、UNIX、Netware等多種操作系統(tǒng)平臺都具有良好的兼容性，從而保證了系統(tǒng)的穩(wěn)定性?！锵到y(tǒng)集成多項I/O設(shè)備端口：外建端口有一個VGA接口分辨率最大能達(dá)到1600X1280、1個RS-232串行通訊接口、1個打印機接口。內(nèi)建端口有1個RS-232串行通訊接口、1個紅外線傳輸端口、2個USB接口。集成聲卡，支持ATA—100規(guī)格IDE設(shè)備。提供軟件可編程看門狗功能，在系統(tǒng)死機時能自動重啟從而保證系統(tǒng)的安全性。系統(tǒng)功能齊全，使客戶無需再額外添置設(shè)備.II）威達(dá)電能為客戶系統(tǒng)量身定做1U、2U及4U厚度機箱,從而充分利用服務(wù)器機箱內(nèi)的有限空間。機箱前端面板獨一無二的LCD模組設(shè)計，能給客戶提供包括可修改服務(wù)器名稱、IP地址、系統(tǒng)時間、報警信息等設(shè)置在內(nèi)的可編程顯示界面。并設(shè)計有溫度感應(yīng)及風(fēng)扇監(jiān)視器，便于管理員隨時掌握系統(tǒng)的狀況.III）采用冗余電源可拔插式設(shè)計，能夠保證系統(tǒng)超長時間工作不當(dāng)機，并且易于系統(tǒng)的管理與維護(hù)。2、標(biāo)準(zhǔn)型硬件平臺解決方案：硬件平臺推薦ISS—102系列★低功耗GX-300處理器，有效的降低了系統(tǒng)的發(fā)熱量SO-DIMM插槽，最高支持128MSDRAM★支持CRT和LCD顯示，滿足客戶對不同顯示設(shè)備的要求3個RJ45頭以太網(wǎng)絡(luò)接口，使用3顆Intel82559（或RTL8139C芯片），讓客戶有更多的選擇.★軟件可編程看門狗功能，防止客戶系統(tǒng)一直處于當(dāng)機狀態(tài)機箱EB-3800：★專門為ISS—102設(shè)計的EB—3800機箱★2x20字符的A78LCD顯示模塊，讓日常維護(hù)變得更容易★同時帶有電源，報警，網(wǎng)絡(luò)和硬盤指示燈，讓您輕松了解系統(tǒng)的運行狀況★內(nèi)置一個2.5硬盤驅(qū)動器3、簡易型硬件平臺解決方案隨著Internet的發(fā)展和網(wǎng)絡(luò)的不斷延伸，黑客的活動變得日益頻繁?在這種情況下，即使是一些規(guī)模很小的企業(yè)也不能幸免于黑客的攻擊。為了保護(hù)自己的信息不受損害，人們不得不借助防火墻系統(tǒng)來抵御黑客的進(jìn)攻。防火墻通常作為一個局域網(wǎng)的入口，能夠為這個局域網(wǎng)提供信息保護(hù)功能。構(gòu)造一個防火墻系統(tǒng)通常需要有足夠的資金和完善的技術(shù)作為保障，而很多小型IT公司卻無法具備這樣的條件.IEI為解決這樣的難題提供了可行性的硬件平臺。硬件平臺推薦ROCKY—3782EV★提供了兩個10/100M網(wǎng)絡(luò)接口，避免了因為網(wǎng)口不足而外接網(wǎng)絡(luò)卡而產(chǎn)生兼容性和穩(wěn)定性的疑慮。兩個網(wǎng)路均用Intel82559芯片，保證了網(wǎng)絡(luò)運行的穩(wěn)定性?！锊捎肐ntel810芯片組，為系