网络安全及VPN互联解决方案

网络安全及VPN互联解决方案2011年8月16日1目录一、需求概述....................................................................................................................2二、解决方案....................................................................................................................32.1方案概述..............................................................................................................32.2网络拓扑..............................................................................................................42.3设备部署方式......................................................................................................5三．产品选型和性能........................................................................................................6四．产品功能介绍............................................................................................................84.1深信服NGAF下一代应用防火墙功能特性.....................................................84.2深信服S5000-AC上网行为管理功能特性.....................................................132一、需求概述互联网及IT技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的最重要问题之一。网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。Web时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。目前更多的出现了以下的问题：1.投资成本攀升，运维效率下降2.“数据库泄密”、“网页遭篡改”等应用层安全事件频现3.网络管理人员对企业流量束手无策4.部署UTM，网络中断或访问变慢5.内网出现威胁，追究责任困难6.总部和分支之间的网络如何互连以实现安全资源共享3二、解决方案2.1方案概述根据公司网络安全的需求，我们推荐采用深信服NGAF-1320下一代应用防火墙做出口网关，对内外网通讯以及内部服务器的安全提供保障，通过NGAF强大的流控功能对内部员工上网流量以及P2P等大流量行为进行控制，同时NGAF还提供了IPSecVPN互连的功能，可以用作总部分支的安全互连。针对分公司可以采用深信服S5000-AC上网行为管理网关作为分公司的互联网网关使用，通过AC设备的应用控制功能同样可以实现对内部员工的流量进行合理的管控，分公司通过AC上网行为管理的IPSecVPN功能与总部的NGAF防火墙进行互联，实现总部和分支的安全互联。42.2网络拓扑52.3设备部署方式总部：深信服NGAF-1320下一代应用防火墙部署在总部互联网出口，通过专业的防火墙安全防护功能为内外网的流量以及服务器安全提供保障，通过流控功能实现内网用户流量的管控。分支机构深信服S5000-AC上网行为管理网关替换分公司原有出口网关，作为互联网网关使用，通过IPSecVPN功能与总部进行互联，实现总部资源的共享；通过流控功能实现对流量的管控；通过自带的企业级防火墙为内部提供安全保障。6三．产品选型和性能根据对公司需求的分析，本方案推荐在总部使用深信服科技的NGAF-1320下一代应用防火墙作为出口网关。在分公司采用深信服S5000-AC上网行为管理网关作为出口网关。总部深信服NGAF-1320下一代应用防火墙一台重要性能指标：NGAF支持6个千兆网络接口。吞吐速度：400Mbps并发会话数目：300,000转发时延：0.1msIPSec并发隧道数：1000网络接口：以太网接口：1000BASE-T(RJ-45)*6扩展接口：无电源：输入电压：180-240V冗余电源：双电源环境：工作环境温度：-5~45℃环境相对湿度：5~90%，非冷凝硬件规格：尺寸(cm)：43.9(W)×42.4(D)×4.45(H)重量：7Kg标准1U机架式结构7分公司深信服S5000-AC上网行为管理网关各一台重要性能指标：S5000-AC支持4个百兆网络接口（1LAN、1DMZ、2WAN）。吞吐速度：30Mbps并发会话数目：30,000转发时延：0.1ms网络接口：局域网接口：100BASE-T(RJ-45)*2广域网接口：100BASE-T(RJ-45)*2扩展接口：无串口：RS232*1电源：输入电压：180-240V冗余电源：无环境：工作环境温度：-5~45℃环境相对湿度：5~90%，非冷凝硬件规格：尺寸(cm)：42.7(W)×24.8(D)×4.45(H)重量：4Kg1U机架式结构8四．产品功能介绍4.1深信服NGAF下一代应用防火墙功能特性深信服NGAF-1320功能特性项目指标具体功能要求部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；混杂模式同时开启支持网关和网桥模式网关管理管理界面支持SSL加密WEB方式管理设备；分级管理不同用户组的管理权限支持分配给不同管理员；告警管理支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等；排障工具提供图形化排障工具，便于管理员排查策略错误等故障；实时监控设备资源信息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、网络接口等信息；流量状态实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管理状态、连接监控信息；安全状态实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源对象，帮助管理员处理安全事件；防火墙/VPN功能包过滤与状态检测可以提供静态的包过滤和动态包过滤功能。支持的应用层报文过滤，包括：应用层协议：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245，RTP/RTCP）、SQLNET、MMS、PPTP、L2TP等；传输层协议：TCP、UDP抗攻击特性支持防御Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、CC、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IPSYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能。9NAT功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能可配置支持地址转换的有效时间支持多种NATALG，包括DNS、FTP、H.323、SIP等IPSecVPN功能支持AH、ESP协议、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AES、国密办算法多种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越支持使用LZO高速压缩算法应用访问控制策略应用识别支持对600种以上应用、用户名进行识别,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持https(ssl）协议和sangforvpn（即公共平台的VPN，不包括SSLVPN）数据的识别；支持自定义规则;应用访问策略可以提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定威胁检测机制威胁检测引擎支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁进行检测；支持基于威胁关联分析的检测机制，针对未知威胁进行分析检测IPS漏洞防护防护攻击类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/IPS逃逸攻击等防护对象分类漏洞分为保护服务器和保护客户端两大类，同时具备安全界别分类：如“高”、“中”、“低”等。漏洞描述漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容，便于维护策略制定可根据源区域、目的区域、目的IP组，目的IP组支持多选进行IPS策略的配置特征库数量攻击特征库:2200+，并且能够自动或者手动升级防躲避支持TCP协议的乱序重传、TCP分包10处理动作支持自动拦截、记录日志、上传灰度威胁到“云端”服务器防护Web攻击防护保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解；Web服务隐藏支持Web网站隐藏，包括HTTP响应报文头和HTTP出错页面的过滤，web响应报文头可自定义策略制定配置选项:可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号其他应用防护支持FTP隐藏、ftp弱口令防护、telnet弱口令防护访问权限控制支持文件上传服务器过滤、支持指定URL的黑名单、加入排除URL目录功能病毒防护病毒引擎基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀防护类型能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。病毒库数量支持10万条以上的病毒库，并且可以自动或者手动升级处理动作检测到病毒后的操作：支持记录日志、阻断连接WEB安全防护URL过滤对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTPGET、HTTPPOST、HTTPS等应用行为；并进行阻断和记录日志文件类型过滤支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志ActiveX过滤支持基于签名证书的ActiveX过滤；支持添加白名单和合法网站列表；支持基于应用类型的ActiveX过滤，如视频、在线杀毒、娱乐等；脚本过滤支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等流量管理多线路技术网关必须能同时连接多条外网线路，且支持多线路复用和智能选路技术(必须提供自主知识产权证明，加盖厂商公章)；虚拟多线路必须支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控；父子通道必须支持流量父子通道技术，且至少支持三级父子通道；11应用流控支持基于应用类型划分与分配带宽网站流控支持基于网站类型划分与分配带宽