防火墻解決方案

大型企業(yè)網絡防火墻解決方案神州數碼大型企業(yè)網絡防火墻整體解決方案,在大型企業(yè)網絡中心采用神州數碼DCFW-1800E防火墻以滿足網絡中心對防火墻高性能、高流量、高安全性的需求，在各分支機構和分公司采用神州數碼DCFW-1800S防火墻在滿足需要的基礎上為用戶節(jié)約投資成本。另一方面，神州數碼DCFW—1800系列防火墻還內置了VPN功能，可以實現利用Internet構建企業(yè)的虛擬專用網絡。防火墻VPN解決方案作為增值模塊，神州數碼DCFW—1800防火墻內置了VPN模塊支持，既可以利用因特網(Internet)IPSEC通道為用戶提供具有保密性，安全性，低成本，配置簡單等特性的虛擬專網服務，也可以為移動的用戶提供一個安全訪問公司內部資源的途徑，通過對PPTP協(xié)議的支持，用戶可以從外部虛擬撥號，從而進入公司內部網絡。神州數碼DCFW-1800系列防火墻的虛擬專網具備以下特性：標準的IPSEC,IKE與PPTP協(xié)議支持Gateway-to-Gateway網關至網關模式虛擬專網支持VPN的星形(star)連接方式VPN隧道的NAT穿越支持IP與非IP協(xié)議通過VPN支持手工密鑰，預共享密鑰與X.509V3數字證書，PKI體系支持IPSEC安全策略的靈活啟用：管理員可以根據自己的實際需要，手工禁止和啟用單條IPSEC安全策略，也為用戶提供了更大的方便。支持密鑰生存周期可定制支持完美前項保密支持多種加密與認證算法：加密算法：DES,3DES,AES,CAST,BLF,PAP,CHAP認證算法：SHA,MD5,Rmdl60支持Client-to—Gateway移動用戶模式虛擬專網支持PPTP定制：管理員可以根據自己的實際需要，手工禁止和啟用PPTP。防火墻雙機熱備方案為了保證網絡的高可用性與高可靠性，神州數碼DCFW-1800E防火墻提供了雙機熱備份功能,即在同一個網絡節(jié)點使用兩個配置相同的防火墻.正常情況下主防火墻處于工作狀態(tài),另一個防火墻處于備份狀態(tài)，稱為從防火墻。當主防火墻發(fā)生意外down機、網絡鏈路發(fā)生故障、硬件故障等情況時,從防火墻自動切換工作狀態(tài),從防火墻代替主防火墻正常工作,從而保證了網絡的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與,切換時間少于1秒。網絡安全解決方案神州數碼網絡安全解決方案主要由防火墻、入侵檢測、防病毒等安全產品以及安全系統(tǒng)集成服務構成。由于神州數碼DCFW-1800E防火墻支持流量映射功能，也就是說防火墻的HA接口可以復制其他網絡接口的流量，因此入侵檢測設備可以方便的接入網絡，同時神州數碼DCFW-1800系列防火墻支持與第三方IDS的聯動。防病毒方案由四部分構成,即客戶機防病毒、服務器防病毒、網關防病毒和防病毒產品管理控制臺。管理控制臺負責病毒代碼、引擎、防病毒程序的升級和更新，管理策略、病毒掃描配置等的分發(fā)。

安全系統(tǒng)集成服務包括兩個方面，一方面，是指對不同類安全產品（如防火墻、防病毒等產品）的安裝、配置和維護，另一方面，是在漏洞掃描和安全評估的基礎上對用戶的網絡進行安全性增強配置服務。安全性增強配置服務主要包括網絡設備的安全性增強配置、主機操作系統(tǒng)的安全性增強配置、應用系統(tǒng)安全性增強配置等。企業(yè)安全解決方案一Netscreen防火墻Netscreen防火墻是一種高性能的硬件防火墻，與其它的硬件防火墻相比有本質的區(qū)別。其它的硬件防火墻實際上是運行在PC平臺上的一個軟件防火墻，而Netscreen防火墻則是由ASIC芯片來執(zhí)行防火墻的策略和數據加解密，因此速度比其它防火墻要快得多。從軟件特性上看Netscreen防火墻是狀態(tài)檢測與應用代理混合的防火墻，對于大部份的應用Netscreen防火墻是監(jiān)測整個通訊狀態(tài)，如果發(fā)現通訊狀態(tài)不正常便拒絕進入受保護的內部網絡，對于FTP或H322等通訊狀態(tài)不好跟蹤的服務Netscreen防火墻通過應用代理來確保服務安全。Netscreen防火墻有三大功能：1、防火墻2、VPN3、流量分配和負載均衡Netscreen防火墻在企業(yè)網絡中的位置圖一一、Netscreen防火墻外部特點Netscreen防火墻有三個以太網接口：DMZ接口、Trust接口、Untrust接口。如圖所示，Trust接口連接受保護的內部網，Untrust連接外部網（如Internet）,DMZ接口連接公司的對外的服務器如Mailserver,WEBServer等。從安全等級來看，Trust接口安全性最高，DMZ第二，最后是Untrust.二、Netscreen防火墻在企業(yè)網絡中能實現的安全保護功能1）防火墻■防黑客攻擊。Netscreen防火墻位于內部網和外部網絡之間，物理上起著隔離內網和外網的作用。獨有的ScreenOS底層操作系統(tǒng)提供了抵抗各種網絡攻擊的能力；經ICSA的測試Nets—creen防火墻能抵擋已知所有的網絡攻擊，并且ScreenOS是可升級的.■網絡地址翻譯（NAT）。通過NAT將內部不合法的IP地址翻譯成外部Untrustd的合法地址，隱藏了內部網絡結構,從而使攻擊者不易找到攻擊目標；同時也將內部的不合法的地址映射成外部合法地址，如netscreen防火墻將WEBServer的內部地址192。168。1。1映射為外部地址202.96。23.11,外部訪問202。96。23。11地址實際上就是訪問訪問192。168.1.1?！鲈L問控制。在防火墻上設置策略，需要的應用或服務打開，如HTTP,DNS，SMTP，FTP等。其它的則不允許通過?這樣能大大減少不必要的網絡流量及安全風險。2）強大的VPN（虛擬專用網）功能Netscreen能根據不同的需求實現不同的VPN功能，實現方式有兩種:企業(yè)到企業(yè)

如圖所示:如果企業(yè)有幾個不同的網絡位于不同的地點，不同網絡之間的互訪通過Internet進行，在Int—ernet上傳輸的數據是明文。企業(yè)到企業(yè)VPN方式就是通過兩個Netscreen防火墻將一個企業(yè)的兩個不同地點的網絡連起來，在連接兩個網絡之間的公網上建立一個VPN加密通道.企業(yè)到桌面（或用戶）這種方式就是在用戶端的計算機內安裝一個由Netscreen提供的VPN的客戶端軟件，用戶通過撥號上網在用戶端和公司網絡邊界上的防火墻建立VPN通道。如圖所示：3）流量控制及負載均衡Netscreen防火墻能為公司不同部門或不同的服務器分配帶寬以保證關鍵應用服務器或用戶的帶寬。流量控制：假設實際帶寬為100兆,可以在防火墻上定義市場部訪問Internet的帶寬為20兆，財務部訪問Internet的帶寬為10兆。也可為Internet訪問公司對外的WEB服務器分配帶寬。負載均衡負載均衡實現過程如下：企業(yè)內部網絡有三個WEB服務器，每個服務器內容完全一樣，每個服務器的內部IP地址不同oNetscreen防火墻將三個內部地址映射為一個外部地址202。96。23o10,Interent的用戶在訪問外部地址時，防火墻將根據預先設定的算法將外面進來的服務請求轉發(fā)給其中一臺服務器。負載均衡可以最大限度地發(fā)揮WEB服務器使用效率，提供最大的訪問帶寬。cisco四種網絡防火墻技術匯總我們知道防火墻有四種類型：集成防火墻功能的路由器，集成防火墻功能的代理服務器，專用的軟件防火墻和專用的軟硬件結合的防火墻。Cisco的防火墻解決方案中包含了四種類型中的第一種和第四種，即：集成防火墻功能的路由器和專用的軟硬件結合的防火墻。一、集成在路由器中的防火墻技術1、路由器IOS標準設備中的ACL技術ACL即AccessControlList（訪問控制列表）,簡稱AccessList（訪問列表），它是后續(xù)所述的IOSFirewallFeatureSet的基礎，也是Cisco全線路由器統(tǒng)一界面的操作系統(tǒng)IOS（InternetOperationSystem，網間操作系統(tǒng)）標準配置的一部分。這就是說在購買了路由器后,ACL功能已經具備，不需要額外花錢去買.

2、IOSFirewallFeatureSet（IOS防火墻軟件包）IOSFirewallFeatureSet是在ACL的基礎上對安全控制的進一步提升，由名稱可知，它是一套專門針對防火墻功能的附加軟件包，可通過IOS升級獲得，并且可以加載到多個Cisco路由器平臺上.目前防火墻軟件包適用的路由器平臺包括Cisco1600、1700、2500、2600和3600,均屬中、低端系列。對很多傾向與使用"all-in-onesolution"(一體化解決方案)，力求簡單化管理的中小企業(yè)用戶來說，它能很大程度上滿足需求之所以不在高端設備上實施集成防火墻功能，這是為了避免影響大型網絡的主干路由器的核心工作一數據轉發(fā)?在這樣的網絡中，應當使用專用的防火墻設備。CiscoIOS防火墻特征：l基于上下文的訪問控制(CBAC)為先進應用程序提供基于應用程序的安全篩選并支持最新協(xié)議lJava能防止下載動機不純的小應用程序l在現有功能基礎上又添加了拒絕服務探測和預防功能^從而增加了保護l在探測到可疑行為后可向中央管理控制臺實時發(fā)送警報和系統(tǒng)記錄錯誤信息lTCP心DP事務處理記錄按源/目的地址和端口對跟蹤用戶訪問l配置和管理特性與現有管理應用程序密切配合二、專用防火墻——PIXPIX(PrivateInterneteXchange)屬于四類防火墻中的第四種--軟硬件結合的防火墻，它的設計是為了滿足高級別的安全需求，以較好的性能價格比提供嚴密的、強有力的安全防范除了具備第四類防火墻的共同特性，并囊括了IOSFirewallFeatureSet的應有功能.

PIX成為Cisco在網絡安全領域的旗艦產品已有一段歷史了，它的軟硬件結構也經歷了較大的發(fā)展?，F在的PIX有515和520兩種型號(520系列容量大于515系列)，從原來的僅支持兩個10M以太網接口，到10/100M以太網、令牌環(huán)網和FDDI的多介質、多端口(最多4個)應用；其專用操作系統(tǒng)從v5。0開始提供對IPSec這一標準隧道技術的支持，使PIX能與更多的其它設備一起共同構筑起基于標準VPN連接。Cisco的PIXFirewall能同時支持16,000多路TCP對話，并支持數萬用戶而不影響用戶性能，在額定載荷下，PIXFirewall的運行速度為45Mbps,支持T3速度，這種速度比基于UNIX的防火墻快十倍。主要特性：l保護方案基于適應性安全算法(ASA)，能提供任何其它防火墻都不能提供的最高安全保護l將獲專利的”切入代理”特性能提供傳統(tǒng)代理服務器無法匹敵的高性能l安裝簡單，維護方便，因而降低了購置成本l支持64路同時連接，企業(yè)發(fā)展后可擴充到16000路l透明支持所有通用TCP/IPInternet服務，如萬維網(WWW)文件傳輸協(xié)議(FTP)、Telnet、Archie、Gopher和rloginl支持多媒體數據類型，包括Progressive網絡公司的RealAudio，Xing技術公司的Steamworks,WhitePines公司腃USeeMe，VocalTe公司的InternetPhone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的WebTheater2l支持H323兼容的視頻會議應用,包括Intel的InternetVideoPhone和Microsoft的NetMeetingl無需因安裝而停止運行自身安全支持自身安全支持Denial—of-Service支持Denial-of-Servicel無需升級主機或路由器l完全可以從未注冊的內部主機訪問外部Internetl能與基于CiscoIOS的路由器互操作三、兩種防火墻技術的比較IOSFIREWALLFEATURESETPIXFIREWALL網絡規(guī)模中小型網絡，小于250節(jié)點的應用。大型網絡，可支持多于500用戶的應用工作平臺路由器IOS操作系統(tǒng)專用PIX工作平臺性能最高支持T1/E1（2M）線路可支持多條T3/E3（45M）線路工作原理基于數據包過濾，核心控制為CBAC基于數據包過濾，核心控制為ASA配置方式命令行或圖形方式（通過ConfigMaker）命令行方式或圖形方式（通過FirewallManager）應用的過濾支持Java小程序過濾支持Java小程序過濾身份認證通過IOS命令，支持TACACS+、RADIUS服務器認證。支持TACACS+、RADIUS集中認證虛擬專網（VPN）通過IOS軟件升級可支持IPSec、L2F和GRE隧道技術，支持40或56位DES加密。支持PrivateLink或IPSec隧道和加密技術網絡地址翻譯（NAT）集成IOSPlus實現支持冗余特性通過路由器的冗余協(xié)議HSRP實現支持熱冗余

代理服務無，通過路由器的路由功能實現應用切入的代理服務功能管理通過路由器的管理工具，如CiscoWorks通過FirewallManager實現管理審計功能一定的跟蹤和報警功能狀態(tài)化數據過濾，可通過FirewallManager實現較好的額監(jiān)控、報告功能一、刖言隨著網絡的飛速發(fā)展，網絡安全越來越顯得重要，防火墻是網絡安全的一個重要組成部分。一般來講，大中型機構/企業(yè)在網絡化過程中面臨的安全問題可包括網絡系統(tǒng)安全和數據安全。針對網絡系統(tǒng)安全方面，機構/企業(yè)需要防止網絡系統(tǒng)遭到沒有授權的存取或破壞以及非法入侵；在數據安全方面機構/企業(yè)則需要防止機要、敏感數據被竊取或非法復制、使用等。各類計算機病毒、系統(tǒng)陷阱(TrapDoors)、隱蔽訪問信道、黑客攻擊等造成敏感數據泄密、Web站點癱瘓等等問題，都是企業(yè)/機構實現網絡化面臨的外部威脅。如何搭建安全的網絡架構，如何將非法入侵者拒之門外、如何防止主頁被非法篡改，這些都是企業(yè)/機構在進行網絡化過程中必須解決的問題。二、威達電為您提供完整的硬件防火墻解決方案1、多網口硬件平臺解決方案現今在防火墻應用硬件方面，對系統(tǒng)的穩(wěn)定性、高效性、兼容性都有很高的要求。為了保證企業(yè)內部與外部之間，企業(yè)內部各部門與部門之間的安全性，對防火墻所要求支持的網路數目也是越來越多。采用ICP的防火墻系統(tǒng)能夠滿足不同客戶多層次的要求。硬件平臺提供I）NOVA—7897防火墻系統(tǒng)優(yōu)點★專門為防火墻設計的多網路功能，支持2—6個網路?并采取彈性的設計，系統(tǒng)在兩個網路的基礎上，可根據需要通過加裝LM-2G模塊擴充出兩個千兆以太網路，通過加裝LM-102模塊擴充出兩個10/100M以太網路，因而最多可達6個網路，不僅能保證企業(yè)內部與外部之間的安全性，還能保證企業(yè)內部各部門與部門之間的安全性，滿足不同客戶多層次的要求.★支持IntelCeleron/PlII甚至最新的IntelPillTualatin的CPU，133MHz外頻，最大可以支持1。2GHz能滿足低階及高階防火墻配置的不同需求?！飪却嬷С肿畲罂蛇_到512MB，即使在多個I/O設備同時工作時也能保證系統(tǒng)的高效能性.★系統(tǒng)采用最新的Intel815E高性能芯片組，使系統(tǒng)對WindowsNT、Windows2000、WindowsXP、Linux、UNIX、Netware等多種操作系統(tǒng)平臺都具有良好的兼容性，從而保證了系統(tǒng)的穩(wěn)定性?！锵到y(tǒng)集成多項I/O設備端口：外建端口有一個VGA接口分辨率最大能達到1600X1280、1個RS-232串行通訊接口、1個打印機接口。內建端口有1個RS-232串行通訊接口、1個紅外線傳輸端口、2個USB接口。集成聲卡，支持ATA—100規(guī)格IDE設備。提供軟件可編程看門狗功能，在系統(tǒng)死機時能自動重啟從而保證系統(tǒng)的安全性。系統(tǒng)功能齊全，使客戶無需再額外添置設備.II）威達電能為客戶系統(tǒng)量身定做1U、2U及4U厚度機箱,從而充分利用服務器機箱內的有限空間。機箱前端面板獨一無二的LCD模組設計，能給客戶提供包括可修改服務器名稱、IP地址、系統(tǒng)時間、報警信息等設置在內的可編程顯示界面。并設計有溫度感應及風扇監(jiān)視器，便于管理員隨時掌握系統(tǒng)的狀況.III）采用冗余電源可拔插式設計，能夠保證系統(tǒng)超長時間工作不當機，并且易于系統(tǒng)的管理與維護。2、標準型硬件平臺解決方案：硬件平臺推薦ISS—102系列★低功耗GX-300處理器，有效的降低了系統(tǒng)的發(fā)熱量SO-DIMM插槽，最高支持128MSDRAM★支持CRT和LCD顯示，滿足客戶對不同顯示設備的要求3個RJ45頭以太網絡接口，使用3顆Intel82559（或RTL8139C芯片），讓客戶有更多的選擇.★軟件可編程看門狗功能，防止客戶系統(tǒng)一直處于當機狀態(tài)機箱EB-3800：★專門為ISS—102設計的EB—3800機箱★2x20字符的A78LCD顯示模塊，讓日常維護變得更容易★同時帶有電源，報警，網絡和硬盤指示燈，讓您輕松了解系統(tǒng)的運行狀況★內置一個2.5硬盤驅動器3、簡易型硬件平臺解決方案隨著Internet的發(fā)展和網絡的不斷延伸，黑客的活動變得日益頻繁?在這種情況下，即使是一些規(guī)模很小的企業(yè)也不能幸免于黑客的攻擊。為了保護自己的信息不受損害，人們不得不借助防火墻系統(tǒng)來抵御黑客的進攻。防火墻通常作為一個局域網的入口，能夠為這個局域網提供信息保護功能。構造一個防火墻系統(tǒng)通常需要有足夠的資金和完善的技術作為保障，而很多小型IT公司卻無法具備這樣的條件.IEI為解決這樣的難題提供了可行性的硬件平臺。硬件平臺推薦ROCKY—3782EV★提供了兩個10/100M網絡接口，避免了因為網口不足而外接網絡卡而產生兼容性和穩(wěn)定性的疑慮。兩個網路均用Intel82559芯片，保證了網絡運行的穩(wěn)定性。★采用Intel810芯片組，為系