? 避免遭到来自远程网络的攻击,网络出口处既是正常网络访问的通道,同时又被黑客利用作为攻击的入口,因此在网关应具有很强的抵挡攻击的能力。 ? 通过防火墙支持多用户同时上网,不会对网络传输的性能造成影响。 ? 防火墙应支持多种工作方式,如NAT(网络地址翻译)和透明模式。 ? 无法做到使远程用户安全的访问内部网络,可能会引起内部安全问题。 ? 外地分支机构与总部连接安全可靠性连接。 ? 对关键出入口的高可靠性安全保护问题。
第三章
网络安全解决方案
经过对XX网络结构的分析,和他们对安全的需求,我们提出一个使用Hillstone防火墙的集成化安全解决方案。通过使用防火墙,为客户打造一个安全的网络。
3.1 防火墙安全方案
为了保护公司的网络,我们使用Hillstone防火墙来保护整个内部网络和WWW服务
器。Hillstone防火墙提供了多方面的网络管理手段,确保用户能在简单明了的图形界面下很好地管理网络资源。其中包括有:
1. 利用Hillstone 防火墙卓越的带宽流量控制,可以为总行的主机访问进行的流量分配。Hillstone 提供流量的实时监控功能,可通过查看所提供的信息记录选择策略形式,实时监控网络状态,流量记录有:流量记录表、报警记录和日志。
配置传输控制策略时,可以针对用户:
● 设立时刻表,每周的每一天允许传输的速率大小和起始终止时间。
● 可根据策略设置传输控制策略的端口带宽,固定分配那一条策略占有多大的带宽。 ● 设置传输策略的带宽最大限度及最少保证。
● 设置传输优先级,Hillstone防火墙提供八种优先等级,可根据网站提供服务的重要性和用户的工作的性质分别做出不同等级的质量带宽分配。
2. Hillstone 提供时间管理,可帮助网管人员分配给不同的用户固定的时间段里才能上网,或根据服务分配固定的时间段,在这时间段里网络服务请求才能通过防火墙。限制了员工使用公司资源。
3.
Hillstone 防火墙提供的服务端口修改功能可提高程序开发的安全性和方便性。
第 10 页 共18 页 10
4. Hillstone 防火墙提供与VPN功能,外部和远程的人员可以通过VPN隧道与防火
墙内的计算机建立连接。 5.
Hillstone防火墙提供强大的防黑客功能和入侵检测能力,共有20多大类,若干小
类的防护提供
3.2 XX网络安全解决方案 描述
在现有网络结构和条件下,对网络现状和各种不同的网络安全产品做了详细的调查分析,并基于以上的分析,建议使用Hillstone防火墙作为XX网络中心的安全解决方案方案。
在现阶段,我们为XX公司配置的防火墙是基于ASIC构架的,在数据流量大的时候,能够很稳定地工作,优于现在市面上很多PC构架的防火墙。在未来当需求逐渐增大,我们可以考虑将防火墙进行扩展。
从防火墙的安全等级上考虑,防火墙将对其各个端口划分不同的安全系数。如将某个端口划分到UnTrust 安全区,某个端口划分到Trust 端口区等。同时设置Untrust 口的安全系数是最低的,DMZ区的安全系数是中间等级,而可信任区的安全系数将是最高的;从低安全系数的区域将禁止随意访问安全系数高的区域,防火墙将彻底屏蔽用户的内部网络系统结构,Internet 用户只能在受到控制的情况下才能访问中立区的服务器。邮件服务器,Web服务器和DNS服务器一般放在DMZ区,我们将采用各种安全策略,并制定访问控制原则:非经过容许的服务和通信都将拒绝通过。
1) 不能访问。Hillstone防火墙可以有效地控制住局域网中的MSN流量,防止员工在上班
时间上网聊天。
2) 防火墙工作在PAT模式,来自内部的IP包到达防火墙后,由防火墙作端口翻译后封装
成合法的IP包。
3) Hillstone防火墙具有很强的防黑客攻击能力,据ICSA的测试它是软件防火墙的8-10
倍,因此具有很高的安全性.通过深层检测的技术,可以有效地防止DDOS攻击。 4) 整个网络实现了全网状设置,使得系统的安全冗余性达到更高!通常在网状结构中,任
意不在同一水平线上的三台设备或线路中断,均不会对内部网络对外或外部对内的访问造成影响!而且由于两条ISP的连接,也使得我们不会因为ISP的原因而造成对外对内的访问中断。
第 11 页 共18 页 11
3. 3 VPN网的建立
方案中,我们采用如下方式来构建VPN网络。
由于公司在外散布有办事处,每家办事处均有一个完整的子网络,考虑与XX总部连接的链路备份等因素,VPN成为我们首要选择考虑的方案。
VPN建立后的拓扑如图所示。
对于办事处,我们则采用Hillstone系列低端防火墙,他们这些分公司多是采用宽带的方式连接上网。而低端系列不仅具有支持ADSL拨号上网的功能,还具有Hillstone防火墙的所有特性,体积小且易于使用。这样我们就可以方便的在分支办公室和中心防火墙间建立VPN通道了。
远程和移动用户的VPN建立,我们使用Hillstone自带的SSL VPN方式来实现。在个人和移动用户上不用安装任何软件,使用IE浏览器进行连接,我们就可以在用户上网后与总部建立VPN通道,无需考虑上网的方式,宽带接入也好,MODEM拨号也好,我们都能自如的建立。
在现有网络中,我们采用的是星型VPN的方式。在VPN通道建立之后,分布和总部连
第 12 页 共18 页 12
接,各个分部之间也通过VPN隧道通讯(各个分支IP子网不能相同)。
第四章、Hillstone山石网科介绍
Hillstone山石网科 Networks Inc.“山石网科”创建于2006年,是网络安全领域的代表企业之一,公司总部位于中国北京,并在美国硅谷设有研发中心。Hillstone山石网科积累了多年网络安全产品研发和市场运做经验,专注于信息安全,是专业的新一代安全网络设备提供商。
目前,Hillstone山石网科拥有员工150余人,其中博士、硕士占30%以上,公司的核心团队由来自 Juniper、Cisco、NetScreen、Fortinet和H3C等中外著名企业的精英组成,具备先进的技术经验和丰富的企业管理经验。公司设有系统架构部、系统运营部、软件系统部、市场部、渠道销售部、售前售后技术部等部门,并且已经通过投资、控股和合作等形式,在亚太区形成了良性发展的产业和营销体系。
自成立以来,Hillstone山石网科就以“贴近市场,贴近客户,快速把握并满足客户需求”为己任,用产品和方案来帮助客户获得网络安全,从而实现自身的企业价值。Hillstone山石网科凭借其独特的服务精神和强大的技术实力,以国际一流的技术打造适合中国本土化应用需求的高性能产品,并提供高性价比的新一代网络安全整体解决方案,服务于中国高速发展的网络市场。作为产业链中至关重要的一环,Hillstone山石网科勇于创新,公司的SA系列安全网关和 SR系列安全路由器产品,已经为网络安全领域树立了新的安全网络产品质量水平,在国内各大中小型企业及各高校中拥有了强大的客户群体,并赢得了用户的高度肯定。在网络时代的今天,Hillstone山石网科愿与所有客户、合作伙伴一起,在探索与实践中国网络安全稳健和谐发展的新长征中,携手共赢!
3.4.1 产品功能及特点
Hillstone产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC CPU和专用软件。
Hillstone防火墙的专用多核加ASIC芯片提供存取策略的功能。该功能以硬件方式实现,它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。(策略存取执
第 13 页 共18 页 13
行防火墙保护和加密解密功能)。由于做到了系统级的安全处理功能。Hillstone消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。
因为是基于硬件的设计,Hillstone是唯一一家安全解决系统的提供商,Hillstone产品的高性能允许用户享受到高速的好处。
另外,该产品允许用户在远程实现加密通信,并且这种VPN功能不影响性能。Hillstone提供给ISP们一个价廉物美的安全解决方案。Hillstone为各大企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网内部构筑安全体系。 性能
Hillstone产品动态加密保护和按优先级实时监控未来数据,它专有的独特的系统设计保证了它的高性能,ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。
用户认证和策略
Hillstone 支持高性能的存取为每一个当前用户,无论是远程还是在防火墙内,支持创纪录的并行连接用户数。 防火墙
Hillstone全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。
VPN
Hillstone会集了VPN功能,保证了数据在传输过程中的加密和解密,但在数据被加、解密之前,首先要满足预定的策略。
Hillstone都支持业界的加密标准。包括网络密钥交换(IKE, 或以前的ISAKMP) 通
过IP,DES,Triple DES。并且还支持数据签名(MD5)算法。Hillstone将支持X.509认证公钥算法(PKI),可以自动地管理VPN。
流量管理
流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象 带宽分配。流量优先级和负载均衡,使该产品成为web服务器和ISP的理想产品。
第 14 页 共18 页 14
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库VPN网络安全接入方案建议书(3)在线全文阅读。
相关推荐: