【導(dǎo)讀】網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(shū)

　　

【正文】 IPX 、RIP 、 ISL 、 、 Spanning tree 、 DEC 、 NETBEUI 、 IPSEC 、PPTP 、 AppleTalk 、 、 BOOTP、 pppoe協(xié)議 等，使 4000防火墻適用網(wǎng)絡(luò)的范圍更加廣泛，保證用戶(hù)的網(wǎng)絡(luò)應(yīng)用。方便用戶(hù)擴(kuò)展 IP 寬帶接入及 IP電話、視頻會(huì)議、 VOD 點(diǎn)播等多媒體應(yīng)用。 支持多種工作模式 可以支 持透明、路由和混合工作模式。其中，獨(dú)創(chuàng)的混合模式源于天融信網(wǎng)絡(luò)接口物理實(shí)現(xiàn)技術(shù)和天融信專(zhuān)用安全協(xié)議實(shí)現(xiàn)，并在 NGFW4000 中進(jìn)行了重新設(shè)計(jì)和實(shí)現(xiàn)，進(jìn)一步得到了優(yōu)化，方便適用于復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的接入。 支持遠(yuǎn)程集中管理 可通過(guò)安全的認(rèn)證及管理信息的加密傳輸實(shí)現(xiàn)全局防火墻設(shè)備的集中管理。實(shí)現(xiàn)統(tǒng)一的安全政策布署，保證整個(gè)系統(tǒng)的安全策略的一致性，提高整個(gè)系統(tǒng)的安全強(qiáng)度。 NGFW4000 的主要配置和管理都是基于 GUI（ Graphic User Interface） 方式的，管理主機(jī)只需安裝專(zhuān)門(mén)的管理軟件， 就可以在不同操作系統(tǒng)平臺(tái)、不同地域?qū)Ψ阑饓M(jìn)行配置和管理。 支持負(fù)載均衡和雙機(jī)備份 支持兩臺(tái)防火墻之間的雙機(jī)備份和負(fù)載均衡；支持多臺(tái)服務(wù)器之間的負(fù)載均衡。不但更好的適用不同的網(wǎng)絡(luò)環(huán)境，且更好的提供高性能和保證可靠性。 支持服務(wù)器的負(fù)載均衡 NGFW4000 防火墻可以支持一個(gè)服務(wù)器陣列，這個(gè)陣列經(jīng)過(guò)防火墻對(duì)外表現(xiàn)為單臺(tái)的機(jī)器，防火墻將外部來(lái)的訪問(wèn)在這些服務(wù)器之間進(jìn)行均衡，同時(shí)可以識(shí)別出故障的服務(wù)器。 A 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(shū) (硬件集成部分 ) 第 19頁(yè) 圖表 1 防火墻的負(fù)載均衡技術(shù) 防火墻自身的負(fù)載均衡 NGFW4000 支持負(fù)載均衡功能，可以在高帶寬的網(wǎng)絡(luò)環(huán)境中有效的提高性能，同時(shí)負(fù)載均衡還實(shí)現(xiàn)了接口之間的備份，當(dāng) A 機(jī)器的某個(gè)接口故障時(shí)， B 機(jī)器的相應(yīng)接口可以接管它的工作，同時(shí) A 機(jī)器的其他接口仍然正常地工作。 雙機(jī)備份 為了保證網(wǎng)絡(luò)的高可用性與高可靠性， NGFW4000 提供了雙機(jī)備份功能，即在同一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)使用兩個(gè)配置相同的防火墻。正常情況下一個(gè)處于工作狀態(tài)，為主防火墻，另一個(gè)處于備份狀態(tài)，為從防火墻。當(dāng)主防火墻發(fā)生意外 down 機(jī)、網(wǎng)絡(luò)故障、硬件故障等情況時(shí)，主從防火墻自動(dòng)切換工作狀態(tài)，從防火墻代替主防火 墻正常工作，從而保證了網(wǎng)絡(luò)的正常使用。切換過(guò)程不需要人為操作和其他系統(tǒng)的參與，切換時(shí)間可以以秒計(jì)算。同時(shí) NGFW4000 還實(shí)現(xiàn)了狀態(tài)傳送協(xié)議 STP ，當(dāng)一臺(tái)防火墻故障時(shí)，這臺(tái)防火墻上的連接不需要重新建立就可以透明地遷移到另一臺(tái)防火墻上，用戶(hù)不會(huì)覺(jué)察到。 圖表 2 防火墻雙機(jī)備份 多層次分布式帶寬管理 帶寬管理完全虛擬了網(wǎng)絡(luò)帶寬應(yīng)用的實(shí)際環(huán)境，并實(shí)現(xiàn)多層次的分布式管理模式，避免了單層集中管理的缺點(diǎn)；而且，可以實(shí)現(xiàn)帶寬分層、帶寬分級(jí)、帶寬分配、帶寬優(yōu)化等管理，優(yōu)化 網(wǎng)絡(luò)資源的應(yīng)用，提高網(wǎng)絡(luò)資源應(yīng)用效率。 NGFW4000 能夠允許管理員定義任意兩個(gè)網(wǎng)絡(luò)對(duì)象之間通信時(shí)的最大帶寬，而且?guī)捒梢允欠謱拥?，例如部門(mén)帶寬下面有小組帶寬然后是個(gè)人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。具體如下圖所示： A 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(shū) (硬件集成部分 ) 第 20頁(yè) 圖表 3分布式管理 支持多種身份認(rèn)證 支持多種身份認(rèn)證支持，如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、TACACS/TACACS+、口令方式、數(shù)字證書(shū)（ CA ），更好更廣泛的實(shí)現(xiàn)了用戶(hù)鑒別和訪問(wèn)控制。 更強(qiáng) 的防御功能 在內(nèi)核上實(shí)現(xiàn)對(duì)病毒防護(hù)，內(nèi)容過(guò)濾（如 HTTP 、 FTP 等 ）和入侵檢測(cè)（ IDS ）功能，其中的入侵檢測(cè)功能，防火墻 4000 不但有內(nèi)置的 IDS 功能，還可以和 IDS 實(shí)現(xiàn)聯(lián)動(dòng)。這不但提高了安全性，而且保證了性能。 深層日志及靈活、強(qiáng)大審計(jì)分析功能 提供豐富的日志信息，用戶(hù)可根據(jù)特定的需要進(jìn)行日志選項(xiàng)（不做日志、日志會(huì)話（即傳統(tǒng)的日志）、日志命令）。獨(dú)創(chuàng)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)信息，可詳細(xì)審計(jì)命令級(jí)操作，便于入侵行為的分析和追蹤。大大提高防火墻的審計(jì)分析的有效性。 一個(gè)安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄 安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過(guò)該節(jié)點(diǎn)的符合安全策略的訪問(wèn)和不符合安全策略的企圖，使管理員可以隨時(shí)審核系統(tǒng)的安全效果、追蹤危險(xiǎn)事件、調(diào)整安全策略。進(jìn)行信息審計(jì)的前提是必須有足夠的多的日志信息。 NGFW4000 提供了非常強(qiáng)大的日志功能，用戶(hù)可以根據(jù)需要對(duì)不同的通訊會(huì)話記錄不同的日志。 NGFW4000 的審計(jì)日志包括如下兩個(gè)部分：日志會(huì)話、日志命令。日志會(huì)話也就是傳統(tǒng)的防火墻日志，負(fù)責(zé)記錄通訊時(shí)間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過(guò)。日志會(huì)話信息用來(lái)進(jìn)行流量分析已經(jīng)足夠，但是用 來(lái)進(jìn)行安全性分析還遠(yuǎn)遠(yuǎn)不夠；應(yīng)用層日志命令在日志會(huì)話的基礎(chǔ)之上記錄下各個(gè)應(yīng)用層命令及其參數(shù)，比如 HTTP 請(qǐng)求及其要取的網(wǎng)頁(yè)名；訪問(wèn)日志則是在應(yīng)用層命令日志的基礎(chǔ)之上記錄下用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，它和應(yīng)用層日志命令的區(qū)別是：應(yīng)用層日志命令可以記錄下大量的數(shù)據(jù)，有些用戶(hù)可能不需要，如協(xié)商通信參數(shù)過(guò)程等。例如針對(duì) FTP 協(xié)議，日志會(huì)話只記錄下讀、寫(xiě)文件的動(dòng)作；日志命令則是在訪問(wèn)日志的基礎(chǔ)之上，記錄如用戶(hù)發(fā)送的郵件，用戶(hù)取下的網(wǎng)頁(yè)等。天融信新一代防火墻產(chǎn)品可以根據(jù)用戶(hù)的不同需要對(duì)不同的訪問(wèn)策略做不同的日志，例如有一 條訪問(wèn)策略允許外界用戶(hù)取 FTP 服務(wù)器上 A 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(shū) (硬件集成部分 ) 第 21頁(yè) 的文件，如果做命令日志，用戶(hù)就可以知道到底是哪些文件被取走了。 4 .14 管理安全、方便靈活 防火墻 4000 經(jīng)過(guò)簡(jiǎn)單的配置即可接入網(wǎng)絡(luò)進(jìn)行通信和訪問(wèn)控制， GUI 管理界面提供了清晰的管理結(jié)構(gòu)，每一個(gè)管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。對(duì)所有管理加密（支持 SSL 和 SSH ），并進(jìn)行嚴(yán)格的審計(jì)，實(shí)現(xiàn)了真正的安全遠(yuǎn)程管理。同時(shí)，可以支持 SNMP 與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如 HP Openview 等，方便管理和維護(hù)。 優(yōu)秀的性?xún)r(jià)比 強(qiáng)大完善的功能、優(yōu)秀的性能、 高的穩(wěn)定性和可靠性，及方便擴(kuò)展 VPN 、IDS 、認(rèn)證、計(jì)費(fèi)、審計(jì)等安全服務(wù)，體現(xiàn)了優(yōu)秀的性?xún)r(jià)比，可有效地保護(hù)客戶(hù)投資。 獨(dú)立的防火區(qū)域 NGFW4000 防火墻的每個(gè)物理接口對(duì)應(yīng)一個(gè)獨(dú)立的防火區(qū)域，每個(gè)區(qū)域的安全策略只對(duì)該區(qū)域有效。每個(gè)區(qū)域可以單獨(dú)設(shè)置自己的默認(rèn)安全策略，所有對(duì)該區(qū)域的訪問(wèn)都將匹配與該區(qū)域?qū)?yīng)的安全策略。也可以設(shè)定是否允許從該區(qū)域 PING 、 TELNET 防火墻。 面向資源的管理機(jī)制 NGFW4000 中采用面向各種對(duì)象的不同組成資源的管理機(jī)制。對(duì)象是由許多種資源組成的實(shí)體，規(guī)則建立在這種 實(shí)體的基礎(chǔ)上。資源的概念比對(duì)象控制更加細(xì)化，簡(jiǎn)化了用戶(hù)規(guī)則，使規(guī)則更為直觀；同時(shí)，提高了配置管理員的效率，提高了配置的靈活性。 NGFW4000 提供了很多種資源，如，網(wǎng)絡(luò)節(jié)點(diǎn)、子網(wǎng)、第三方用戶(hù)、用戶(hù)數(shù)據(jù)庫(kù)、防火區(qū)域、端口協(xié)議、文件資源、 VLAN 、特殊端口。 支持透明接入 NGFW4000 支持透明接入。將 NGFW4000 配置為透明工作模式，無(wú)需更改用戶(hù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)就能接入用戶(hù)網(wǎng)絡(luò)中，用戶(hù)網(wǎng)絡(luò)中的主機(jī)也無(wú)需更改任何網(wǎng)絡(luò)配置就能通過(guò)防火墻進(jìn)行訪問(wèn)（當(dāng)然是要在防火墻規(guī)則允許的情況下）。透明接入極大的方便了防火 墻的接入，同時(shí)并不降低網(wǎng)絡(luò)的安全性。 NGFW4000 還能工作在透明和路由的混合模式下，更能適應(yīng)各種不同網(wǎng)絡(luò)環(huán)境的接入。 多級(jí)過(guò)濾的立體訪問(wèn)控制 為保證系統(tǒng)的安全性和提高防護(hù)能力，增強(qiáng)控制的靈活性， NGFW4000 采用了多級(jí)過(guò)濾措施：以基于 OS 內(nèi)核的會(huì)話檢測(cè)技術(shù)為核心，在 IP 層提供基于狀態(tài)檢測(cè)的分組過(guò)濾，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及 TCP 、 UDP 端口進(jìn)行過(guò)濾；在應(yīng)用層通過(guò)重寫(xiě)通訊會(huì)話的部分或者全部提供對(duì)高層應(yīng)用協(xié)議命令、訪問(wèn)路徑、內(nèi)容、訪問(wèn)的文件資源的過(guò)濾；同時(shí)還直接支持第三方認(rèn)證服務(wù)器提供用戶(hù) 級(jí)的鑒別和過(guò)濾控制。 NGFW4000 的多級(jí)過(guò)濾形成了立體的全面的訪問(wèn)控制機(jī)制。 強(qiáng)大的地址轉(zhuǎn)換能力 NGFW4000 擁有強(qiáng)大的地址轉(zhuǎn)換能力。 NGFW4000 同時(shí)支持正向、反向地址轉(zhuǎn)換，能為用戶(hù)提供完整的地址轉(zhuǎn)換解決方案。 正向地址轉(zhuǎn)換用于使用保留 IP 地址的內(nèi)部網(wǎng)用戶(hù)通過(guò)防火墻訪問(wèn)公眾網(wǎng)中的地址時(shí)對(duì)源地址進(jìn)行轉(zhuǎn)換。 NGFW4000 支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài) NAT 方式和從地址緩沖池中隨機(jī)選取轉(zhuǎn)換地址的動(dòng)態(tài) NAT 方式，兩 A 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(shū) (硬件集成部分 ) 第 22頁(yè) 種方式總共可以有多達(dá) 32 個(gè)的不同轉(zhuǎn)換地址，可以滿(mǎn)足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的 需求。對(duì)公眾網(wǎng)來(lái)說(shuō)，訪問(wèn)全部是來(lái)自于防火墻轉(zhuǎn)換后的地址，并不認(rèn)為是來(lái)自?xún)?nèi)部網(wǎng)的某個(gè)地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。同時(shí)內(nèi)部網(wǎng)用戶(hù)共享使用這些轉(zhuǎn)換地址，自身使用保留 IP 地址就可以正常訪問(wèn)公眾網(wǎng)，有效的解決了全局 IP 地址不足的問(wèn)題。 內(nèi)部網(wǎng)用戶(hù)對(duì)公眾網(wǎng)提供訪問(wèn)服務(wù)（如 Web 、 FTP 服務(wù)等）的服務(wù)器如果是保留 IP 地址，或者想隱藏服務(wù)器的真實(shí) IP 地址，都可以使用 NGFW4000 的反向地址轉(zhuǎn)換來(lái)對(duì)目的地址進(jìn)行轉(zhuǎn)換。公眾網(wǎng)訪問(wèn)防火墻的反向轉(zhuǎn)換地址，由內(nèi)部網(wǎng)使用保留 IP 地址的服務(wù)器提供服務(wù)， 同樣既可以解決全局 IP 地址不足的問(wèn)題，又能有效的隱藏內(nèi)部服務(wù)器信息，對(duì)服務(wù)器進(jìn)行保護(hù)。 NGFW4000 提供端口映射和 IP 映射兩種反向地址轉(zhuǎn)換方式，端口映射安全性更高、更節(jié)省全局 IP 地址， IP 映射則更為靈活方便。 透明應(yīng)用代理 NGFW4000 提供對(duì)常用高層應(yīng)用服務(wù)（ HTTP 、 FTP 、 SMTP 、 POP3 、NNTP ）的透明代理。用戶(hù)不需要在自己的主機(jī)上作任何的有關(guān)代理服務(wù)器的設(shè)置，只需管理員在防火墻上配置相關(guān)的規(guī)則，用戶(hù)通過(guò)防火墻進(jìn)行的上述應(yīng)用訪問(wèn)就會(huì)由防火墻進(jìn)行代理，這些配置對(duì)用戶(hù)來(lái)說(shuō)完 全是透明的，極大的方便了用戶(hù)使用代理。同時(shí) NGFW4000 還對(duì)上述服務(wù)做了更詳細(xì)控制，如 HTTP 對(duì)命令（ GET 、 POST 、 HEAD 、 DELETE 、 OPTION 、 PUT 、 TRACE 等）和 URL 以及腳本類(lèi)型進(jìn)行過(guò)濾， FTP 對(duì)命令（ GET 、 PUT ）及訪問(wèn)路徑進(jìn)行控制， SMTP 、 POP3 對(duì)收發(fā)信人進(jìn)行控制， NNTP 對(duì)命令（ POST 、 GROUP ）以及新聞組進(jìn)行控制，這使得用戶(hù)使用代理訪問(wèn) Inter 更為安全。 內(nèi)嵌 VPN 功能支持 NGFW4000 內(nèi)建了 VPN 的主要功能 。用戶(hù)啟用 NGFW4000 的 VPN 功能，就能夠與 VPN 體系中的其它網(wǎng)關(guān) VPN 、 Windows 客戶(hù)端、當(dāng)然也包括另外的啟用了 VPN 功能的 NGFW4000 互通，建立加密隧道進(jìn)行加密通信，形成虛擬專(zhuān)用網(wǎng)在異地局域網(wǎng)間通過(guò)互聯(lián)網(wǎng)提供安全可靠的網(wǎng)絡(luò)使用環(huán)境。在功能上就相當(dāng)于一臺(tái) VPN 的網(wǎng)關(guān) VPN 與一臺(tái) NGFW4000 兩臺(tái)設(shè)備組合起來(lái)，在硬件上僅為一臺(tái)設(shè)備，而且由于是內(nèi)建的功能支持，功能間的結(jié)合更加平滑易用。 安全服務(wù)器網(wǎng)絡(luò)（ SSN ）保護(hù) NGFW4000 采用多穴主機(jī)體系，可以定義某個(gè)接口連接的 網(wǎng)絡(luò)為安全服務(wù)器網(wǎng)絡(luò)（ SSN—— Security Server Network ），將提供信息訪問(wèn)服務(wù)的服務(wù)器安裝于該網(wǎng)絡(luò)區(qū)域內(nèi)，與內(nèi)、外網(wǎng)絡(luò)從物理上隔離開(kāi)來(lái)，并提供專(zhuān)門(mén)的安全保護(hù)。NGFW4000 提出的 SSN 概念有別于傳統(tǒng)的所謂 DMZ 停火區(qū)模式，它是一種更為積極的安全防護(hù)理念：一般情況下， SSN 主機(jī)不允許主動(dòng)向內(nèi)、外網(wǎng)發(fā)起連接請(qǐng)求，只允許向內(nèi)、外網(wǎng)回應(yīng)其請(qǐng)求數(shù)據(jù)包；外網(wǎng)用戶(hù)也只能訪問(wèn) SSN 上的主機(jī)，不能訪問(wèn)內(nèi)部網(wǎng)主機(jī)。即 SSN 與外部網(wǎng)之間受防火墻保護(hù)，同時(shí) SSN 與內(nèi)部網(wǎng)之間也受防火墻保護(hù)，即 使 SSN 受破壞，內(nèi)部網(wǎng)絡(luò)仍處于防火墻保護(hù)之下。同時(shí) NGFW4000 提供的 SSN 保護(hù)功能針對(duì)用戶(hù)最常提供的 Web 訪問(wèn)服務(wù)進(jìn)行專(zhuān)門(mén)保護(hù)，能定時(shí)檢查 SSN 區(qū) Web 服務(wù)器，進(jìn)行校驗(yàn)，一旦發(fā)現(xiàn)服務(wù)器被入侵修改，能夠根據(jù)備份的信息及時(shí)恢復(fù)服務(wù)器內(nèi)容，將服務(wù)器被入侵修改造成的影響減至最小。 A 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(shū) (硬件集成部分 ) 第 23頁(yè) 支持 SSL 、 SSH 安全管理 為了便于管理員的管理， NGFW4000 除了支持本地管理以外，還提供遠(yuǎn)程登陸管理和基于 Web 方式的管理。 為了保證遠(yuǎn)程管理的安全性， NGFW4000 不論是對(duì)管理員還是管理過(guò)程都采取了一系 列安全措施：對(duì)遠(yuǎn)程管理員提供了基于 OTP 機(jī)制的管理員認(rèn)證、管理員主機(jī)限定和同時(shí)只能有一個(gè)管理員登陸的限制。為了防止遠(yuǎn)程管理過(guò)程被監(jiān)聽(tīng)和修改，還支持基于 SSH 的遠(yuǎn)程登陸管理和基于 SSL 的 Web 方式管理，將管理主機(jī)和防火墻之間的通訊進(jìn)行加密以保證安全。