互联网数据中心网络安全服务解决方案

互联网数据中心网络安全服务解决方案2006年07月WatchGuardTechnologies,Inc.I目录第一章新的互联网安全威胁与挑战...........................................................................11.1网络安全的新特点...........................................................................................11.2安全服务已成为互联网服务提供商面临的新的挑战.........................................1第二章互联网数据中心网络安全需求初探.................................................................32.1互联网数据中心体系结构.................................................................................32.1.1层次分明...............................................................................................32.1.2模块化设计...........................................................................................42.2互联网数据中心业务和目标客户......................................................................72.3数据中心网络自身安全需求.............................................................................72.4面向客户的增值安全服务需求..........................................................................82.5数据中心网络安全功能需求架构......................................................................8第三章互联网数据中心网络安全解决方案...............................................................103.1IDC网络安全整体防护方案...........................................................................103.2IDC核心网络安全区.......................................................................................113.3IDC网络管理安全区.......................................................................................113.4IDC增值安全服务分类..................................................................................123.5与系统日志报表处理能力...............................................................................12第四章WatchGuard产品技术性能............................................................................134.1WatchGuard公司..........................................................................................134.2“预防御”保护.............................................................................................144.2.1什么是“预防御”...............................................................................144.2.2Firebox®X架构中集成了真正的预防御保护.......................................144.2.3漏洞空窗期.........................................................................................154.2.4强大的保护层协同工作........................................................................154.3实时阻止恶意攻击.........................................................................................164.3.1阻挡已知攻击源..................................................................................164.3.2自动更新特征......................................................................................174.3.3阻止即时消息及点对点使用................................................................174.4WatchGuard®Firebox®系列UTM产品........................................................174.4.1Firebox®XPeak™技术特点..............................................................174.4.2Firebox®XPeak™8500e-F技术规格................................................20第五章售后服务保障与技术支持.............................................................................215.1工程实施服务.................................................................................................215.2售后服务支持.................................................................................................235.3故障处理程序.................................................................................................24WatchGuardTechnologies,Inc.1第一章新的互联网安全威胁与挑战1.1网络安全的新特点随着互联网的飞速发展，越来越多的企业开始将业务迁移到互联网平台上，互联网经济环境已经形成。然而，受商业利益驱动的网络安全威胁也随之而来。传统的网络安全防护手段已不适应新的网络安全需求。当前网络安全呈现出如下新的特点：♦新的网络安全威胁以内容和智能为特征，是一种“混合式安全威胁”（BlendedContentThreat）；♦传统的面向网络连接威胁的安全防御已无法阻止这种新的面向网络内容的安全威胁；♦在以蠕虫为代表的网络病毒问题面前，在以DoS为代表的网络攻击问题面前，在以垃圾邮件为代表的内容过滤问题面前，传统的基于包过滤的防火墙技术已无能为力，需要第三代安全检测技术，即全面上下文内容检测技术；♦在网络安全防御上，传统的“点式”（PointPrevention）防御架构正在被“网络边缘”（EdgePrevention）防御架构所取代；♦在网络安全部署上，整合式解决方案正显示出其优势；1.2安全服务已成为互联网服务提供商面临的新的挑战随着宽带接入的普及和价格降低，互联网将成为中小企业和个人用户的主要网络连接平台，更多的邮件，更多的网页访问，更多的文件下载，更多的网上应WatchGuardTechnologies,Inc.2用，但随之而来的是网络越来越不安全：♦中国已被国际上认定为全球第二大垃圾邮件输出国，国家要求电信运营商在反垃圾邮件中扮演积极的角色；♦不良网页内容已引起用户的严重不安，纷纷要求电信运营商提供网址和网页内容过滤服务；♦网络病毒已成为影响互联网商用化进程的阻力，人们希望电信运营商在网络接入服务中能够首先阻断病毒通过网络的传播；WatchGuardTechnologies,Inc.3第二章互联网数据中心网络安全需求初探2.1互联网数据中心体系结构一个典型的互联网数据中心体系结构一般采用分层与模块化相结合的设计，包括互连网接入层，数据中心核心交换层，用户托管设备接入层，和后台管理层。在各层则采用模块化设计。具体而言，系统的体系结构的特点为：2.1.1层次分明按照网络设备所起的功能和作用划分网络层次。总体网络布局分为四层：1.核心接入层即网络的核心路由体系，包括高性能路由器和高性能第四/七层交换机。核心接入层完成数据中心内部和数据中心外部网络的信息的交换和管理，策略性的重定向。2.核心交换层是数据中心的核心结构，主要由千兆以太网路由交换机组成，主要完成出入数据中心的数据流的高速转发，带宽管理，负载均衡，SSL加速。3.接入层即用于提供用户托管主机系统的连接端口的高密度分配结构，由多个高性能接入交换机组成。4.后台管理层WatchGuardTechnologies,Inc.4是用于对整个网络监控（NMS），为需要的代理客户提供数据备份服务和入侵检测服务。还可以提供基于拨号或租用线路的专线接入。2.1.2模块化设计按照功能作用的不同，采用模块化设计，由基础网络模块，增值网络模块，应用模块，操作管理模块等四大模块组成。这些模快中，基础网络模块和操作管理模块是最基本的模块，而增值网络模块，应用模块则是为满足不同的用户和管理需求而设置，在基础网络模块和操作管理模块的基础上，数据中心可有目的地选择用户感兴趣的功能模块，以满足用户不同的需求，更好地提供优质服务。1.基础的网络模块包括：♦骨干接入模块♦骨干交换机模块♦接入交换机模块♦后台服务模块2.增值的网络模块包括：♦高速缓存服务器模块♦带宽管理模块♦服务器负载均衡模块♦远程访问专线接入/VPN接入网关模块♦SSL加速模块♦防火墙的负载均衡3.应用模块包括：WatchGuardTechnologies,Inc.5♦应用存储模块♦入侵检测模块♦综合网络/服务器监控和管理模块♦网站统计模块♦计费系统模块♦电子邮件外包服务模块♦智能DNS服务模块。4.操作管理模块包括：♦用户操作中心模块♦系统网络管理