防火墙成长型企业防火墙应用方案

h

NETGEAR公司

成长型企业防火墙应用方案2005年3月

NETGEAR公司

h

目录

1 目标需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

1.1 稳定可靠的I SP接入. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.2 Internet对内网访问的安全控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.3 内网对Internet访问的安全控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.4 内网网络的安全控制. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.5 简单易用的安全系统管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

2 Netgear方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

2.1 软件安全系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

2.2 交换机安全特性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

2.3 防火墙安全系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

3 Netgear优势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

3.1 完整的成长型企业安全解决产品线. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

3.2 适合成长型企业的防火墙特性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

3.3 最优的硬件平台满足成长型企业较长时间的升级需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

3.3.1 通用CPU构架. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3.3.2 AISC构架. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3.3.3 NP构架. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3.3.4 发展趋势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

3.3.5 FVX538的硬件构架. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

3.4 接入网络的冗余性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

3.4.1 接入I SP的冗余. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3.4.2 接入I SP的负载均担. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

4 实用客户对象. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

4.1 IPSecVPN应用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4.1.1 远程VPN访问. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4.1.2 VPN网关互联. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4.2 双广域口防护墙应用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4.2.1 防火墙. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

4.2.2 交换机. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

4.2.3 软件安全防护系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

h

1 目标需求

今天在中国通过ISP实现国际互联网接入的企业和个人用户在2003年底已达8000万之多。由于大多数用户疏于安全防范近几年每遇病毒发作时都有大量的用户受到影响现在病毒的侵害已不是仅限于对本机的攻击还包括利用网络协议和系统的漏洞对其他网络上的主机进行攻击往往是一台PC受到感染局域网中的其他PC甚至是Internet上的PC都会受到严重的影响冲击波蠕虫的肆虐就是一个典型的例子而随着病毒机的产生制造网络病毒的门槛也越来越低这使得更多的变种病毒出现。

由于大量的网络安全问题存在所以网络安全设备和软件的采购已经成为企业组网的必选。而对于其中成长型企业的网络安全需求Netgear认为主要体现在以下几方面

1.1 稳定可靠的ISP接入

随着电子商务的普及企业对网络的依赖程度越来越高 ISP接入的稳定性直接关系到公司的实际业务所以当电信的宽带接入费加平民化时很多企业会选择多个运营商或同一个运营商多条线路来提高网络传输效率及稳定性。

1.2 Internet对内网访问的安全控制

需要阻挡来自Internet的网络的非法访问以及蠕虫等网络病毒的攻击。

h

1.3 内网对Internet访问的安全控制

需要合理控制内网用户对Internet的访问行为防止用户因为访问某些Internet的网站页面、下载文件、电子邮件而导致不良代码侵入本机进而导致较大规模的病毒问题甚至牵扯到公司商业机密的泄漏。

1.4 内网网络的安全控制

需要合理对用户进行数据传输、共享等本地网络的行为的管理和控制防止用户因为随意共享有不良代码的文件造成大量主机被病毒感染严重影响公司的正常运作。

h

1.5 简单易用的安全系统管理

成长型企业往往缺乏资深的IT网管所以在整个安全系统的维护和管理上需求系统更加简单和实用。同时也考虑到网络病毒的扩散途径需要从网络的多个层面来进行防护。2 Netgear方案

如上图所示

整个网络安全系统包括如下组件

2.1 软件安全系统

包括客户端杀毒软件、客户端防火墙以及间谍防护客户端软件防护系统由安全策略管理服务器实施用户策略管理以及对客户端的网络行为实施控制。

h

2.2 交换机安全特性

针对成长型企业而言交换机的安全特性主要集中在二层方面包括用户的阻隔模式、 MAC地址与端口绑定以及802.1x认证功能等。其中最符合企业管理需求的应该是端口隔离功能。交换机可以采用Netgear的智能交换机系列或者全网管交换机系列。

h

2.3 防火墙安全系统

防火墙之所谓称之为安全系统因为其包含一系列安全组件单个防火墙并不能有效的监控网络和截止攻击等非法行为。Netgear认为防火墙安全系统应该至少包含以下组件硬件防火墙、防火墙日志监控分析系统、防火墙系统管理终端、防火墙流量监控系统、远程访问系统。这些系统可以是独立的主机安装也可以是安装在一台主机上。

3 Netgear优势

3.1 完整的成长型企业安全解决产品线

Netgear依赖其具有完备安全功能的产品线VPN防火墙、交换机、无线设备、VPN客户端 配合业界先进的软件安全管理系统为用户提供了端到端的安全解决方案。通过所有网络设备的配合最大限度的提供给用户一个安全稳定的网络平台。

3.2 适合成长型企业的防火墙特性

Netgear成长型企业的防火墙包含以下特性

 动态包过滤技术动态维护通过防火墙的所有通信的状态连接 基于连接的过

滤

 可以作为部署NATNetwork Address Translation 网络地址变换的地点利用

h

NAT技术将有限的IP地址动态或静态地与内部的IP地址对应起来用来缓解地址空间短缺的问题并支持路由模式。

 可以设置信任域与不信任域以及DMZ域之间的数据出入的策略

 可以定义规则计划使得系统在某一时可以自动启用和关闭策略

 具有详细的日志功能提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录。并支持日志服务器和日志导出

 支持MAC地址过滤可以有效地控制用户上网的主机

 具有IPSec VPN功能可以实现跨互联网安全的远程访问

 具有邮件通知功能可以将系统的告警通过发送邮件通知网络管理员

 支持SNMP网管可以在标准的SNMP网管平台上对防火墙进行有效地管理和监控

 支持端口镜像功能便于用户对时段流量进行监控。

h

 具有攻击防护功能对不规则的IP、 TCP报或超过经验阀值的TCP半连接、 UDP

报文以及ICMP报文采取丢弃

 支持基于应用策略的QoS以及Diffesvr的字段改写

 支持SSL VPN软件升级以满足用户VPN应用平台的支持

 Web中的Java,ActiveX,Cookie、 URL关键字、 Proxy进行过滤

3.3 最优的硬件平台满足成长型企业较长时间的升级需求目前成长型企业中防火墙的硬件构架

3.3.1 通用CPU构架

通用CPU即Intel P系列和AMD Desktop系列的硬件构架这些我们称之为x86系列的防火墙开发周期短可以很短而且依赖于现有的操作系统如l inux、 NT等可以灵活的实现各种所需的安全应用并且开发成本很低。

但是由于采用通用CPU作为构架的核心所以往往程序执行效率低下需要耗费大量的硬件资源对网络层及高层的报文进行过滤和监控在早期网络的安全领域中由于网络的带宽及应用都比较单一所以x86的防火墙由于其功能的灵活性和价格的低廉在安全市场占有很大的比重。但是随着网络带宽的倍数增加网络应用也不断丰富如BT、Skype等P2 P应用大行其道各种网络蠕虫、木马等危害性程序也无所不在这使得防火墙必须有足够的性能来应付内外网络的安全问题并且同时还要提供给用户最为简易的VPN接入方式如SSL VPN而这些对于x86构架的防火墙来说几乎是Impossible Mission。