防火墙解决方案

大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案，在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求，在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。另一方面，神州数码DCFW-1800系列防火墙还内置了VPN功能，可以实现利用Internet构建企业的虚拟专用网络。防火墙VPN解决方案作为增值模块，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用因特网（Internet）IPSEC通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务，也可以为移动的用户提供一个安全访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性：标准的IPSEC,IKE与PPTP协议支持Gateway-to-Gateway网关至网关模式虚拟专网支持VPN的星形（star）连接方式VPN隧道的NAT穿越支持IP与非IP协议通过VPN支持手工密钥，预共享密钥与X.509V3数字证书,PKI体系支持IPSEC安全策略的灵活启用：管理员可以根据自己的实际需要，手工禁止和启用单条IPSEC安全策略，也为用户提供了更大的方便。支持密钥生存周期可定制支持完美前项保密支持多种加密与认证算法：加密算法：DES,3DES,AES,CAST,BLF，PAP，CHAP认证算法：SHA,MD5,Rmd160支持Client-to-Gateway移动用户模式虚拟专网支持PPTP定制：管理员可以根据自己的实际需要，手工禁止和启用PPTP。防火墙双机热备方案为了保证网络的高可用性与高可靠性，神州数码DCFW-1800E防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下主防火墙处于工作状态，另一个防火墙处于备份状态，称为从防火墙。当主防火墙发生意外down机、网络链路发生故障、硬件故障等情况时，从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于1秒。网络安全解决方案神州数码网络安全解决方案主要由防火墙、入侵检测、防病毒等安全产品以及安全系统集成服务构成。由于神州数码DCFW-1800E防火墙支持流量映射功能，也就是说防火墙的HA接口可以复制其他网络接口的流量，因此入侵检测设备可以方便的接入网络，同时神州数码DCFW-1800系列防火墙支持与第三方IDS的联动。防病毒方案由四部分构成，即客户机防病毒、服务器防病毒、网关防病毒和防病毒产品管理控制台。管理控制台负责病毒代码、引擎、防病毒程序的升级和更新，管理策略、病毒扫描配置等的分发。安全系统集成服务包括两个方面，一方面，是指对不同类安全产品（如防火墙、防病毒等产品）的安装、配置和维护，另一方面，是在漏洞扫描和安全评估的基础上对用户的网络进行安全性增强配置服务。安全性增强配置服务主要包括网络设备的安全性增强配置、主机操作系统的安全性增强配置、应用系统安全性增强配置等。企业安全解决方案－Netscreen防火墙Netscreen防火墙是一种高性能的硬件防火墙，与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙，而Netscreen防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密，因此速度比其它防火墙要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙，对于大部份的应用Netscreen防火墙是监测整个通讯状态，如果发现通讯状态不正常便拒绝进入受保护的内部网络，对于FTP或H322等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。Netscreen防火墙有三大功能：１、防火墙２、ＶＰＮ３、流量分配和负载均衡Netscreen防火墙在企业网络中的位置图一一、Netscreen防火墙外部特点Netscreen防火墙有三个以太网接口：DMZ接口、Trust接口、Untrust接口。如图所示，Trust接口连接受保护的内部网，Untrust连接外部网（如Internet），DMZ接口连接公司的对外的服务器如Mailserver，WEBServer等。从安全等级来看，Trust接口安全性最高，DMZ第二，最后是Untrust。二、Netscreen防火墙在企业网络中能实现的安全保护功能１）防火墙■防黑客攻击。Netscreen防火墙位于内部网和外部网络之间，物理上起着隔离内网和外网的作用。独有的ScreenOS底层操作系统提供了抵抗各种网络攻击的能力；经ICSA的测试Nets-creen防火墙能抵挡已知所有的网络攻击，并且ScreenOS是可升级的。■网络地址翻译（NAT）。通过NAT将内部不合法的IP地址翻译成外部Untrustd的合法地址，隐藏了内部网络结构，从而使攻击者不易找到攻击目标；同时也将内部的不合法的地址映射成外部合法地址，如netscreen防火墙将WEBServer的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问访问192.168.1.1。■访问控制。在防火墙上设置策略，需要的应用或服务打开，如HTTP，DNS，SMTP，FTP等。其它的则不允许通过。这样能大大减少不必要的网络流量及安全风险。２）强大的VPN（虚拟专用网）功能Netscreen能根据不同的需求实现不同的VPN功能，实现方式有两种：企业到企业如图所示:如果企业有几个不同的网络位于不同的地点，不同网络之间的互访通过Internet进行，在Int-ernet上传输的数据是明文。企业到企业VPN方式就是通过两个Netscreen防火墙将一个企业的两个不同地点的网络连起来，在连接两个网络之间的公网上建立一个VPN加密通道。企业到桌面（或用户）这种方式就是在用户端的计算机内安装一个由Netscreen提供的VPN的客户端软件，用户通过拨号上网在用户端和公司网络边界上的防火墙建立VPN通道。如图所示：３）流量控制及负载均衡Netscreen防火墙能为公司不同部门或不同的服务器分配带宽以保证关键应用服务器或用户的带宽。流量控制：假设实际带宽为100兆，可以在防火墙上定义市场部访问Internet的带宽为20兆，财务部访问Internet的带宽为10兆。也可为Internet访问公司对外的WEB服务器分配带宽。负载均衡负载均衡实现过程如下：企业内部网络有三个WEB服务器，每个服务器内容完全一样，每个服务器的内部IP地址不同。Netscreen防火墙将三个内部地址映射为一个外部地址202.96.23.10，Interent的用户在访问外部地址时，防火墙将根据预先设定的算法将外面进来的服务请求转发给其中一台服务器。负载均衡可以最大限度地发挥WEB服务器使用效率，提供最大的访问带宽。cisco四种网络防火墙技术汇总我们知道防火墙有四种类型：集成防火墙功能的路由器，集成防火墙功能的代理服务器，专用的软件防火墙和专用的软硬件结合的防火墙。Cisco的防火墙解决方案中包含了四种类型中的第一种和第四种，即：集成防火墙功能的路由器和专用的软硬件结合的防火墙。一、集成在路由器中的防火墙技术1、路由器IOS标准设备中的ACL技术ACL即AccessControlList(访问控制列表)，简称AccessList(访问列表)，它是后续所述的IOSFirewallFeatureSet的基础，也是Cisco全线路由器统一界面的操作系统IOS(InternetOperationSystem，网间操作系统)标准配置的一部分。这就是说在购买了路由器后，ACL功能已经具备，不需要额外花钱去买。2、IOSFirewallFeatureSet(IOS防火墙软件包)IOSFirewallFeatureSet是在ACL的基础上对安全控制的进一步提升，由名称可知，它是一套专门针对防火墙功能的附加软件包，可通过IOS升级获得，并且可以加载到多个Cisco路由器平台上。目前防火墙软件包适用的路由器平台包括Cisco1600、1700、2500、2600和3600，均属中、低端系列。对很多倾向与使用all-in-onesolution(一体化解决方案)，力求简单化管理的中小企业用户来说，它能很大程度上满足需求。之所以不在高端设备上实施集成防火墙功能，这是为了避免影响大型网络的主干路由器的核心工作--数据转发。在这样的网络中，应当使用专用的防火墙设备。CiscoIOS防火墙特征：l基于上下文的访问控制(CBAC)为先进应用程序提供基于应用程序的安全筛选并支持最新协议lJava能防止下载动机不纯的小应用程序l在现有功能基础上又添加了拒绝服务探测和预防功能，从而增加了保护l在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息lTCP/UDP事务处理记录按源/目的地址和端口对跟踪用户访问l配置和管理特性与现有管理应用程序密切配合二、专用防火墙--PIXPIX(PrivateInterneteXchange)属于四类防火墙中的第四种--软硬件结合的防火墙，它的设计是为了满足高级别的安全需求，以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙的共同特性，并囊括了IOSFirewallFeatureSet的应有功能。PIX成为Cisco在网络安全领域的旗舰产品已有一段历史了，它的软硬件结构也经历了较大的发展。现在的PIX有515和520两种型号(520系列容量大于515系列)，从原来的仅支持两个10M以太网接口，到10/100M以太网、令牌环网和FDDI的多介质、多端口(最多4个)应用;其专用操作系统从v5.0开始提供对IPSec这一标准隧道技术的支持，使PIX能与更多的其它设备一起共同构筑起基于标准VPN连接。Cisco的PIXFirewall能同时支持16，000多路TCP对话，并支持数万用户而不影响用户性能，在额定载荷下，PIXFirewall的运行速度为45Mbps，支持T3速度，这种速度比基于UNIX的防火墙快十倍。主要特性：l保护方案基于适应性安全算法(ASA)，能提供任何其它防火墙都不能提供的最高安全保护l将获专利的切入代理特性能提供传统代理服务器无法匹敌的高性能l安装简单，维护方便，因而降低了购置成本l支持64路同时连接，企业发展后可扩充到16000路l透明支持所有通用TCP/IPInternet服务，如万维网()文件传输协议(FTP)、Telnet、Archie、Gopher和rloginl支持多媒体数据类型，包括Progressive网络公司的RealAudio，Xing技术公司的Steamworks，WhitePines公司腃USeeMe，VocalTe公司的InternetPhone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的WebTheater2l支持H323兼容的视频会议应用，包括Intel的InternetVideoPhone和Microsoft的NetMeetingl无需因安装而停止运行l无需升级主机或路由器l完全可以从未注册的内部主机访问外部Internetl能与基于CiscoIOS的路由器互操作三、两种防火墙技术的比较IOSFIREWALLFEATURESETPIXFIREWALL网络规模中小型网络，小于250节点的应用。大型网络，可支持多于500用户的应用工作平台路由器IOS操作系统专用PIX工作平台性能最高支持T1/E1(2M)线路可支持多条T3/E3(45M)线路工作原理基于数据包过滤，核心控制为CBAC基于数据包过滤，核心控制为ASA配置方式命令行或图形方式(通过ConfigMaker)命令行方式或图形方式(通过FirewallManager)应用的过滤支持Jav