【導(dǎo)讀】網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書

　　

【正文】 IPX 、RIP 、 ISL 、 、 Spanning tree 、 DEC 、 NETBEUI 、 IPSEC 、PPTP 、 AppleTalk 、 、 BOOTP、 pppoe協(xié)議 等，使 4000防火墻適用網(wǎng)絡(luò)的范圍更加廣泛，保證用戶的網(wǎng)絡(luò)應(yīng)用。方便用戶擴展 IP 寬帶接入及 IP電話、視頻會議、 VOD 點播等多媒體應(yīng)用。 支持多種工作模式 可以支 持透明、路由和混合工作模式。其中，獨創(chuàng)的混合模式源于天融信網(wǎng)絡(luò)接口物理實現(xiàn)技術(shù)和天融信專用安全協(xié)議實現(xiàn)，并在 NGFW4000 中進行了重新設(shè)計和實現(xiàn)，進一步得到了優(yōu)化，方便適用于復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的接入。 支持遠程集中管理 可通過安全的認證及管理信息的加密傳輸實現(xiàn)全局防火墻設(shè)備的集中管理。實現(xiàn)統(tǒng)一的安全政策布署，保證整個系統(tǒng)的安全策略的一致性，提高整個系統(tǒng)的安全強度。 NGFW4000 的主要配置和管理都是基于 GUI（ Graphic User Interface） 方式的，管理主機只需安裝專門的管理軟件， 就可以在不同操作系統(tǒng)平臺、不同地域?qū)Ψ阑饓M行配置和管理。 支持負載均衡和雙機備份 支持兩臺防火墻之間的雙機備份和負載均衡；支持多臺服務(wù)器之間的負載均衡。不但更好的適用不同的網(wǎng)絡(luò)環(huán)境，且更好的提供高性能和保證可靠性。 支持服務(wù)器的負載均衡 NGFW4000 防火墻可以支持一個服務(wù)器陣列，這個陣列經(jīng)過防火墻對外表現(xiàn)為單臺的機器，防火墻將外部來的訪問在這些服務(wù)器之間進行均衡，同時可以識別出故障的服務(wù)器。 A 集團綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書 (硬件集成部分 ) 第 19頁 圖表 1 防火墻的負載均衡技術(shù) 防火墻自身的負載均衡 NGFW4000 支持負載均衡功能，可以在高帶寬的網(wǎng)絡(luò)環(huán)境中有效的提高性能，同時負載均衡還實現(xiàn)了接口之間的備份，當(dāng) A 機器的某個接口故障時， B 機器的相應(yīng)接口可以接管它的工作，同時 A 機器的其他接口仍然正常地工作。 雙機備份 為了保證網(wǎng)絡(luò)的高可用性與高可靠性， NGFW4000 提供了雙機備份功能，即在同一個網(wǎng)絡(luò)節(jié)點使用兩個配置相同的防火墻。正常情況下一個處于工作狀態(tài)，為主防火墻，另一個處于備份狀態(tài)，為從防火墻。當(dāng)主防火墻發(fā)生意外 down 機、網(wǎng)絡(luò)故障、硬件故障等情況時，主從防火墻自動切換工作狀態(tài)，從防火墻代替主防火 墻正常工作，從而保證了網(wǎng)絡(luò)的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，切換時間可以以秒計算。同時 NGFW4000 還實現(xiàn)了狀態(tài)傳送協(xié)議 STP ，當(dāng)一臺防火墻故障時，這臺防火墻上的連接不需要重新建立就可以透明地遷移到另一臺防火墻上，用戶不會覺察到。 圖表 2 防火墻雙機備份 多層次分布式帶寬管理 帶寬管理完全虛擬了網(wǎng)絡(luò)帶寬應(yīng)用的實際環(huán)境，并實現(xiàn)多層次的分布式管理模式，避免了單層集中管理的缺點；而且，可以實現(xiàn)帶寬分層、帶寬分級、帶寬分配、帶寬優(yōu)化等管理，優(yōu)化 網(wǎng)絡(luò)資源的應(yīng)用，提高網(wǎng)絡(luò)資源應(yīng)用效率。 NGFW4000 能夠允許管理員定義任意兩個網(wǎng)絡(luò)對象之間通信時的最大帶寬，而且?guī)捒梢允欠謱拥模绮块T帶寬下面有小組帶寬然后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。具體如下圖所示： A 集團綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書 (硬件集成部分 ) 第 20頁 圖表 3分布式管理 支持多種身份認證 支持多種身份認證支持，如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、TACACS/TACACS+、口令方式、數(shù)字證書（ CA ），更好更廣泛的實現(xiàn)了用戶鑒別和訪問控制。 更強 的防御功能 在內(nèi)核上實現(xiàn)對病毒防護，內(nèi)容過濾（如 HTTP 、 FTP 等 ）和入侵檢測（ IDS ）功能，其中的入侵檢測功能，防火墻 4000 不但有內(nèi)置的 IDS 功能，還可以和 IDS 實現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了性能。 深層日志及靈活、強大審計分析功能 提供豐富的日志信息，用戶可根據(jù)特定的需要進行日志選項（不做日志、日志會話（即傳統(tǒng)的日志）、日志命令）。獨創(chuàng)的網(wǎng)絡(luò)實時監(jiān)測信息，可詳細審計命令級操作，便于入侵行為的分析和追蹤。大大提高防火墻的審計分析的有效性。 一個安全防護體系中的審計系統(tǒng)的作用是記錄 安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。進行信息審計的前提是必須有足夠的多的日志信息。 NGFW4000 提供了非常強大的日志功能，用戶可以根據(jù)需要對不同的通訊會話記錄不同的日志。 NGFW4000 的審計日志包括如下兩個部分：日志會話、日志命令。日志會話也就是傳統(tǒng)的防火墻日志，負責(zé)記錄通訊時間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過。日志會話信息用來進行流量分析已經(jīng)足夠，但是用 來進行安全性分析還遠遠不夠；應(yīng)用層日志命令在日志會話的基礎(chǔ)之上記錄下各個應(yīng)用層命令及其參數(shù)，比如 HTTP 請求及其要取的網(wǎng)頁名；訪問日志則是在應(yīng)用層命令日志的基礎(chǔ)之上記錄下用戶對網(wǎng)絡(luò)資源的訪問，它和應(yīng)用層日志命令的區(qū)別是：應(yīng)用層日志命令可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對 FTP 協(xié)議，日志會話只記錄下讀、寫文件的動作；日志命令則是在訪問日志的基礎(chǔ)之上，記錄如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁等。天融信新一代防火墻產(chǎn)品可以根據(jù)用戶的不同需要對不同的訪問策略做不同的日志，例如有一 條訪問策略允許外界用戶取 FTP 服務(wù)器上 A 集團綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書 (硬件集成部分 ) 第 21頁 的文件，如果做命令日志，用戶就可以知道到底是哪些文件被取走了。 4 .14 管理安全、方便靈活 防火墻 4000 經(jīng)過簡單的配置即可接入網(wǎng)絡(luò)進行通信和訪問控制， GUI 管理界面提供了清晰的管理結(jié)構(gòu)，每一個管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。對所有管理加密（支持 SSL 和 SSH ），并進行嚴(yán)格的審計，實現(xiàn)了真正的安全遠程管理。同時，可以支持 SNMP 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容，如 HP Openview 等，方便管理和維護。 優(yōu)秀的性價比 強大完善的功能、優(yōu)秀的性能、 高的穩(wěn)定性和可靠性，及方便擴展 VPN 、IDS 、認證、計費、審計等安全服務(wù)，體現(xiàn)了優(yōu)秀的性價比，可有效地保護客戶投資。 獨立的防火區(qū)域 NGFW4000 防火墻的每個物理接口對應(yīng)一個獨立的防火區(qū)域，每個區(qū)域的安全策略只對該區(qū)域有效。每個區(qū)域可以單獨設(shè)置自己的默認安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域?qū)?yīng)的安全策略。也可以設(shè)定是否允許從該區(qū)域 PING 、 TELNET 防火墻。 面向資源的管理機制 NGFW4000 中采用面向各種對象的不同組成資源的管理機制。對象是由許多種資源組成的實體，規(guī)則建立在這種 實體的基礎(chǔ)上。資源的概念比對象控制更加細化，簡化了用戶規(guī)則，使規(guī)則更為直觀；同時，提高了配置管理員的效率，提高了配置的靈活性。 NGFW4000 提供了很多種資源，如，網(wǎng)絡(luò)節(jié)點、子網(wǎng)、第三方用戶、用戶數(shù)據(jù)庫、防火區(qū)域、端口協(xié)議、文件資源、 VLAN 、特殊端口。 支持透明接入 NGFW4000 支持透明接入。將 NGFW4000 配置為透明工作模式，無需更改用戶網(wǎng)絡(luò)的拓撲結(jié)構(gòu)就能接入用戶網(wǎng)絡(luò)中，用戶網(wǎng)絡(luò)中的主機也無需更改任何網(wǎng)絡(luò)配置就能通過防火墻進行訪問（當(dāng)然是要在防火墻規(guī)則允許的情況下）。透明接入極大的方便了防火 墻的接入，同時并不降低網(wǎng)絡(luò)的安全性。 NGFW4000 還能工作在透明和路由的混合模式下，更能適應(yīng)各種不同網(wǎng)絡(luò)環(huán)境的接入。 多級過濾的立體訪問控制 為保證系統(tǒng)的安全性和提高防護能力，增強控制的靈活性， NGFW4000 采用了多級過濾措施：以基于 OS 內(nèi)核的會話檢測技術(shù)為核心，在 IP 層提供基于狀態(tài)檢測的分組過濾，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及 TCP 、 UDP 端口進行過濾；在應(yīng)用層通過重寫通訊會話的部分或者全部提供對高層應(yīng)用協(xié)議命令、訪問路徑、內(nèi)容、訪問的文件資源的過濾；同時還直接支持第三方認證服務(wù)器提供用戶 級的鑒別和過濾控制。 NGFW4000 的多級過濾形成了立體的全面的訪問控制機制。 強大的地址轉(zhuǎn)換能力 NGFW4000 擁有強大的地址轉(zhuǎn)換能力。 NGFW4000 同時支持正向、反向地址轉(zhuǎn)換，能為用戶提供完整的地址轉(zhuǎn)換解決方案。 正向地址轉(zhuǎn)換用于使用保留 IP 地址的內(nèi)部網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時對源地址進行轉(zhuǎn)換。 NGFW4000 支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài) NAT 方式和從地址緩沖池中隨機選取轉(zhuǎn)換地址的動態(tài) NAT 方式，兩 A 集團綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書 (硬件集成部分 ) 第 22頁 種方式總共可以有多達 32 個的不同轉(zhuǎn)換地址，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的 需求。對公眾網(wǎng)來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不認為是來自內(nèi)部網(wǎng)的某個地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)等信息。同時內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，自身使用保留 IP 地址就可以正常訪問公眾網(wǎng)，有效的解決了全局 IP 地址不足的問題。 內(nèi)部網(wǎng)用戶對公眾網(wǎng)提供訪問服務(wù)（如 Web 、 FTP 服務(wù)等）的服務(wù)器如果是保留 IP 地址，或者想隱藏服務(wù)器的真實 IP 地址，都可以使用 NGFW4000 的反向地址轉(zhuǎn)換來對目的地址進行轉(zhuǎn)換。公眾網(wǎng)訪問防火墻的反向轉(zhuǎn)換地址，由內(nèi)部網(wǎng)使用保留 IP 地址的服務(wù)器提供服務(wù)， 同樣既可以解決全局 IP 地址不足的問題，又能有效的隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進行保護。 NGFW4000 提供端口映射和 IP 映射兩種反向地址轉(zhuǎn)換方式，端口映射安全性更高、更節(jié)省全局 IP 地址， IP 映射則更為靈活方便。 透明應(yīng)用代理 NGFW4000 提供對常用高層應(yīng)用服務(wù)（ HTTP 、 FTP 、 SMTP 、 POP3 、NNTP ）的透明代理。用戶不需要在自己的主機上作任何的有關(guān)代理服務(wù)器的設(shè)置，只需管理員在防火墻上配置相關(guān)的規(guī)則，用戶通過防火墻進行的上述應(yīng)用訪問就會由防火墻進行代理，這些配置對用戶來說完 全是透明的，極大的方便了用戶使用代理。同時 NGFW4000 還對上述服務(wù)做了更詳細控制，如 HTTP 對命令（ GET 、 POST 、 HEAD 、 DELETE 、 OPTION 、 PUT 、 TRACE 等）和 URL 以及腳本類型進行過濾， FTP 對命令（ GET 、 PUT ）及訪問路徑進行控制， SMTP 、 POP3 對收發(fā)信人進行控制， NNTP 對命令（ POST 、 GROUP ）以及新聞組進行控制，這使得用戶使用代理訪問 Inter 更為安全。 內(nèi)嵌 VPN 功能支持 NGFW4000 內(nèi)建了 VPN 的主要功能 。用戶啟用 NGFW4000 的 VPN 功能，就能夠與 VPN 體系中的其它網(wǎng)關(guān) VPN 、 Windows 客戶端、當(dāng)然也包括另外的啟用了 VPN 功能的 NGFW4000 互通，建立加密隧道進行加密通信，形成虛擬專用網(wǎng)在異地局域網(wǎng)間通過互聯(lián)網(wǎng)提供安全可靠的網(wǎng)絡(luò)使用環(huán)境。在功能上就相當(dāng)于一臺 VPN 的網(wǎng)關(guān) VPN 與一臺 NGFW4000 兩臺設(shè)備組合起來，在硬件上僅為一臺設(shè)備，而且由于是內(nèi)建的功能支持，功能間的結(jié)合更加平滑易用。 安全服務(wù)器網(wǎng)絡(luò)（ SSN ）保護 NGFW4000 采用多穴主機體系，可以定義某個接口連接的 網(wǎng)絡(luò)為安全服務(wù)器網(wǎng)絡(luò)（ SSN—— Security Server Network ），將提供信息訪問服務(wù)的服務(wù)器安裝于該網(wǎng)絡(luò)區(qū)域內(nèi)，與內(nèi)、外網(wǎng)絡(luò)從物理上隔離開來，并提供專門的安全保護。NGFW4000 提出的 SSN 概念有別于傳統(tǒng)的所謂 DMZ ?；饏^(qū)模式，它是一種更為積極的安全防護理念：一般情況下， SSN 主機不允許主動向內(nèi)、外網(wǎng)發(fā)起連接請求，只允許向內(nèi)、外網(wǎng)回應(yīng)其請求數(shù)據(jù)包；外網(wǎng)用戶也只能訪問 SSN 上的主機，不能訪問內(nèi)部網(wǎng)主機。即 SSN 與外部網(wǎng)之間受防火墻保護，同時 SSN 與內(nèi)部網(wǎng)之間也受防火墻保護，即 使 SSN 受破壞，內(nèi)部網(wǎng)絡(luò)仍處于防火墻保護之下。同時 NGFW4000 提供的 SSN 保護功能針對用戶最常提供的 Web 訪問服務(wù)進行專門保護，能定時檢查 SSN 區(qū) Web 服務(wù)器，進行校驗，一旦發(fā)現(xiàn)服務(wù)器被入侵修改，能夠根據(jù)備份的信息及時恢復(fù)服務(wù)器內(nèi)容，將服務(wù)器被入侵修改造成的影響減至最小。 A 集團綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書 (硬件集成部分 ) 第 23頁 支持 SSL 、 SSH 安全管理 為了便于管理員的管理， NGFW4000 除了支持本地管理以外，還提供遠程登陸管理和基于 Web 方式的管理。 為了保證遠程管理的安全性， NGFW4000 不論是對管理員還是管理過程都采取了一系 列安全措施：對遠程管理員提供了基于 OTP 機制的管理員認證、管理員主機限定和同時只能有一個管理員登陸的限制。為了防止遠程管理過程被監(jiān)聽和修改，還支持基于 SSH 的遠程登陸管理和基于 SSL 的 Web 方式管理，將管理主機和防火墻之間的通訊進行加密以保證安全。