【導(dǎo)讀】A集團綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建

　　

【正文】 率。 NGFW4000 能夠允許管理員定義任意兩個網(wǎng)絡(luò)對象之間通信時的最大帶寬，而且?guī)捒梢允欠謱拥?，例如部門帶寬下面有小組帶寬然后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。具體如下圖所示： 圖表 3分布式管理 支持多種身份認證 支持多種身份認證支持，如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、TACACS/TACACS+、口令方式、數(shù)字證書（ CA ），更好更廣泛的實現(xiàn)了用戶鑒別和訪問控制。 更強的防御功能 在內(nèi)核上實現(xiàn)對病毒防護，內(nèi)容過濾（如 HTTP 、 FTP 等 ）和入侵檢測（ IDS ）功能，其中的入侵檢測功能，防火墻 4000 不但有內(nèi)置的 IDS 功能，還可以和 IDS 實現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了性能。 深層日志及靈活、強大審計分析功能 提供豐富的日志信息，用戶可根據(jù)特定的需要進行日志選項（不做日志、日志會話（即傳統(tǒng)的日志）、日志命令）。獨 創(chuàng)的網(wǎng)絡(luò)實時監(jiān)測信息，可詳細審計命令級操作，便于入侵行為的分析和追蹤。大大提高防火墻的審計分析的有效性。 一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。進行信息審計的前提是必須有足夠的多的日志信息。 NGFW4000 提供了非常強大的日志功能，用戶可以根據(jù)需要對不同的通訊會話記錄不同的日志。 NGFW4000 的審計日志包括如下兩個部分：日志會話、日志命令。日志會話也就是傳統(tǒng)的防火墻日志，負責(zé)記錄通訊時間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過。日志會話信息用來進行流量分析已經(jīng)足夠，但是用來進行安全性分析還遠遠不夠；應(yīng)用層日志命令在日志會話的基礎(chǔ)之上記錄下各個應(yīng)用層命令及其參數(shù)，比如 HTTP 請求及其要取的網(wǎng)頁名；訪問日志則是在應(yīng)用層命令日志的基礎(chǔ)之上記錄下用戶對網(wǎng)絡(luò)資源的訪問，它和應(yīng)用層日志命令的區(qū)別是：應(yīng)用層日志命令可以記錄下大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對 FTP 協(xié)議，日志會話只記錄下讀、寫文件的動作；日志命令則 是在訪問日志的基礎(chǔ)之上，記錄如用戶發(fā)送的郵件，用戶取下的網(wǎng)頁等。天融信新一代防火墻產(chǎn)品可以根據(jù)用戶的不同需要對不同的訪問策略做不同的日志，例如有一條訪問策略允許外界用戶取 FTP 服務(wù)器上的文件，如果做命令日志，用戶就可以知道到底是哪些文件被取走了。 4 .14 管理安全、方便靈活 防火墻 4000 經(jīng)過簡單的配置即可接入網(wǎng)絡(luò)進行通信和訪問控制， GUI 管理界面提供了清晰的管理結(jié)構(gòu)，每一個管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。對所有管理加密（支持 SSL 和 SSH ），并進行嚴格的審計，實現(xiàn)了真正的安全遠程管 理。同時，可以支持 SNMP 與當前通用的網(wǎng)絡(luò)管理平臺兼容，如 HP Openview 等，方便管理和維護。 優(yōu)秀的性價比 強大完善的功能、優(yōu)秀的性能、高的穩(wěn)定性和可靠性，及方便擴展 VPN 、IDS 、認證、計費、審計等安全服務(wù)，體現(xiàn)了優(yōu)秀的性價比，可有效地保護客戶投資。 獨立的防火區(qū)域 NGFW4000 防火墻的每個物理接口對應(yīng)一個獨立的防火區(qū)域，每個區(qū)域的安全策略只對該區(qū)域有效。每個區(qū)域可以單獨設(shè)置自己的默認安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域?qū)?yīng)的安全策略。也可以設(shè)定是否允許從該區(qū)域 PING 、 TELNET 防火墻。 面向資源的管理機制 NGFW4000 中采用面向各種對象的不同組成資源的管理機制。對象是由許多種資源組成的實體，規(guī)則建立在這種實體的基礎(chǔ)上。資源的概念比對象控制更加細化，簡化了用戶規(guī)則，使規(guī)則更為直觀；同時，提高了配置管理員的效率，提高了配置的靈活性。 NGFW4000 提供了很多種資源，如，網(wǎng)絡(luò)節(jié)點、子網(wǎng)、第三方用戶、用戶數(shù)據(jù)庫、防火區(qū)域、端口協(xié)議、文件資源、 VLAN 、特殊端口。 支持透明接入 NGFW4000 支持透明接入。將 NGFW4000 配置為透明工作模式，無需更改用戶網(wǎng)絡(luò)的拓撲 結(jié)構(gòu)就能接入用戶網(wǎng)絡(luò)中，用戶網(wǎng)絡(luò)中的主機也無需更改任何網(wǎng)絡(luò)配置就能通過防火墻進行訪問（當然是要在防火墻規(guī)則允許的情況下）。透明接入極大的方便了防火墻的接入，同時并不降低網(wǎng)絡(luò)的安全性。 NGFW4000 還能工作在透明和路由的混合模式下，更能適應(yīng)各種不同網(wǎng)絡(luò)環(huán)境的接入。 多級過濾的立體訪問控制 為保證系統(tǒng)的安全性和提高防護能力，增強控制的靈活性， NGFW4000 采用了多級過濾措施：以基于 OS 內(nèi)核的會話檢測技術(shù)為核心，在 IP 層提供基于狀態(tài)檢測的分組過濾，可以根據(jù)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)協(xié)議以及 TCP 、 UDP 端口進行過濾；在應(yīng)用層通過重寫通訊會話的部分或者全部提供對高層應(yīng)用協(xié)議命令、訪問路徑、內(nèi)容、訪問的文件資源的過濾；同時還直接支持第三方認證服務(wù)器提供用戶級的鑒別和過濾控制。 NGFW4000 的多級過濾形成了立體的全面的訪問控制機制。 強大的地址轉(zhuǎn)換能力 NGFW4000 擁有強大的地址轉(zhuǎn)換能力。 NGFW4000 同時支持正向、反向地址轉(zhuǎn)換，能為用戶提供完整的地址轉(zhuǎn)換解決方案。 正向地址轉(zhuǎn)換用于使用保留 IP 地址的內(nèi)部網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時對源地址進行轉(zhuǎn)換。 NGFW4000 支持依據(jù)源或目的地址指定轉(zhuǎn)換 地址的靜態(tài) NAT 方式和從地址緩沖池中隨機選取轉(zhuǎn)換地址的動態(tài) NAT 方式，兩種方式總共可以有多達 32 個的不同轉(zhuǎn)換地址，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的需求。對公眾網(wǎng)來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不認為是來自內(nèi)部網(wǎng)的某個地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)等信息。同時內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，自身使用保留 IP 地址就可以正常訪問公眾網(wǎng)，有效的解決了全局 IP 地址不足的問題。 內(nèi)部網(wǎng)用戶對公眾網(wǎng)提供訪問服務(wù)（如 Web 、 FTP 服務(wù)等）的服務(wù)器如果是保留 IP 地址，或者想隱藏服務(wù)器的真實 IP 地址，都可以使用 NGFW4000 的反向地址轉(zhuǎn)換來對目的地址進行轉(zhuǎn)換。公眾網(wǎng)訪問防火墻的反向轉(zhuǎn)換地址，由內(nèi)部網(wǎng)使用保留 IP 地址的服務(wù)器提供服務(wù)，同樣既可以解決全局 IP 地址不足的問題，又能有效的隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進行保護。 NGFW4000 提供端口映射和 IP 映射兩種反向地址轉(zhuǎn)換方式，端口映射安全性更高、更節(jié)省全局 IP 地址， IP 映射則更為靈活方便。 透明應(yīng)用代理 NGFW4000 提供對常用高層應(yīng)用服務(wù)（ HTTP 、 FTP 、 SMTP 、 POP3 、NNTP ）的透明代理。用戶不需要在自己的 主機上作任何的有關(guān)代理服務(wù)器的設(shè)置，只需管理員在防火墻上配置相關(guān)的規(guī)則，用戶通過防火墻進行的上述應(yīng)用訪問就會由防火墻進行代理，這些配置對用戶來說完全是透明的，極大的方便了用戶使用代理。同時 NGFW4000 還對上述服務(wù)做了更詳細控制，如 HTTP 對命令（ GET 、 POST 、 HEAD 、 DELETE 、 OPTION 、 PUT 、 TRACE 等）和 URL 以及腳本類型進行過濾， FTP 對命令（ GET 、 PUT ）及訪問路徑進行控制， SMTP 、 POP3 對收發(fā)信人進行控制， NNTP 對命令（ POST 、 GROUP ）以及新聞組進行控制，這使得用戶使用代理訪問 Inter 更為安全。 內(nèi)嵌 VPN 功能支持 NGFW4000 內(nèi)建了 VPN 的主要功能。用戶啟用 NGFW4000 的 VPN 功能，就能夠與 VPN 體系中的其它網(wǎng)關(guān) VPN 、 Windows 客戶端、當然也包括另外的啟用了 VPN 功能的 NGFW4000 互通，建立加密隧道進行加密通信，形成虛擬專用網(wǎng)在異地局域網(wǎng)間通過互聯(lián)網(wǎng)提供安全可靠的網(wǎng)絡(luò)使用環(huán)境。在功能上就相當于一臺 VPN 的網(wǎng)關(guān) VPN 與一臺 NGFW4000 兩臺設(shè)備組合起來，在硬件上僅為一臺設(shè)備 ，而且由于是內(nèi)建的功能支持，功能間的結(jié)合更加平滑易用。 安全服務(wù)器網(wǎng)絡(luò)（ SSN ）保護 NGFW4000 采用多穴主機體系，可以定義某個接口連接的網(wǎng)絡(luò)為安全服務(wù)器網(wǎng)絡(luò)（ SSN—— Security Server Network ），將提供信息訪問服務(wù)的服務(wù)器安裝于該網(wǎng)絡(luò)區(qū)域內(nèi)，與內(nèi)、外網(wǎng)絡(luò)從物理上隔離開來，并提供專門的安全保護。NGFW4000 提出的 SSN 概念有別于傳統(tǒng)的所謂 DMZ 停火區(qū)模式，它是一種更為積極的安全防護理念：一般情況下， SSN 主機不允許主動向內(nèi)、外網(wǎng)發(fā)起連接請求，只允許向內(nèi)、外網(wǎng)回應(yīng)其 請求數(shù)據(jù)包；外網(wǎng)用戶也只能訪問 SSN 上的主機，不能訪問內(nèi)部網(wǎng)主機。即 SSN 與外部網(wǎng)之間受防火墻保護，同時 SSN 與內(nèi)部網(wǎng)之間也受防火墻保護，即使 SSN 受破壞，內(nèi)部網(wǎng)絡(luò)仍處于防火墻保護之下。同時 NGFW4000 提供的 SSN 保護功能針對用戶最常提供的 Web 訪問服務(wù)進行專門保護，能定時檢查 SSN 區(qū) Web 服務(wù)器，進行校驗，一旦發(fā)現(xiàn)服務(wù)器被入侵修改，能夠根據(jù)備份的信息及時恢復(fù)服務(wù)器內(nèi)容，將服務(wù)器被入侵修改造成的影響減至最小。 支持 SSL 、 SSH 安全管理 為了便于管理員的管理， NGFW4000 除了 支持本地管理以外，還提供遠程登陸管理和基于 Web 方式的管理。 為了保證遠程管理的安全性， NGFW4000 不論是對管理員還是管理過程都采取了一系列安全措施：對遠程管理員提供了基于 OTP 機制的管理員認證、管理員主機限定和同時只能有一個管理員登陸的限制。為了防止遠程管理過程被監(jiān)聽和修改，還支持基于 SSH 的遠程登陸管理和基于 SSL 的 Web 方式管理，將管理主機和防火墻之間的通訊進行加密以保證安全。 支持 SNMP （簡單網(wǎng)絡(luò)管理協(xié)議） 目前在計算機網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理標準是 SNMP （簡單網(wǎng)絡(luò)管理協(xié) 議）。 防火墻作為一種網(wǎng)絡(luò)安全訪問控制的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，為它提供一種標準的網(wǎng)絡(luò)管理方式是有必要的， NGFW4000 就提供了對這個標準協(xié)議的支持。 為了更好地支持網(wǎng)絡(luò)集中管理， NGFW4000 提供了對 SNMP 的 v1 、 v2 、 v2c 、v3 等不同版本的支持，并與當前通用的網(wǎng)絡(luò)管理平臺兼容，如 HP Openview 、Cisco works 等，可以通過這些管理平臺對防火墻的運行狀況進行監(jiān)控，并接收通過 SNMP TRAP 發(fā)送的報警信息，幫助網(wǎng)絡(luò)管理員找出并糾正 TCP/IP 互聯(lián)網(wǎng)中的故障。為了避免由于 SNMP 本身的安全性上的缺陷而導(dǎo)致防火墻本身的安全性受到威脅，系統(tǒng)僅允許網(wǎng)管系統(tǒng)查詢信息，而不允許改變防火墻的配置。 簡單方便的配置備份與恢復(fù) NGFW4000 提供簡單方便的配置文件管理，管理員可通過 Web 界面進行配置文件的備份、下載、刪除、恢復(fù)和上載。用戶可以隨時手工備份防火墻的配置文件，可以將備份結(jié)果下載到本地管理主機中保存，也可以將備份上載回防火墻進行恢復(fù)還原。 用戶定制特殊功能支持 NGFW4000 使用模塊化設(shè)計，用戶可以根據(jù)需要，通過網(wǎng)絡(luò)下載相應(yīng)的模塊，通過升級程序增加新的功能。還可依據(jù) 用戶的特定安全需求定制特殊功能。 支持動態(tài) IP 地址 NGFW4000 支持運行 DHCP 、 BOOTP 等協(xié)議的動態(tài)主機，讓用戶在管理方便的同時不損失安全性。對于使用 DHCP 服務(wù)器來動態(tài)分配 IP 地址的網(wǎng)絡(luò)環(huán)境，很難使用 IP 地址來進行訪問控制，因為網(wǎng)絡(luò)中的主機沒有固定的靜態(tài) IP 地址，此時的解決方式有兩種：一種是讓防火墻自己來充當 DHCP 服務(wù)器進行IP 地址的分配，此時防火墻自身可以知道主機的動態(tài) IP 地址，從而進行訪問控制，但是在這種方式下，防火墻內(nèi)部必須開啟 DHCP 服務(wù)，這不僅會增加防火墻的額外負 荷，更為嚴重的是防火墻自身啟動過多的服務(wù)會影響自身的安全性。 另一種方式是防火墻自身不充當 DHCP 服務(wù)器，而是在客戶端主機上安裝一個開機自動運行的小軟件，每次在主機開機后，自動將主機獲取的動態(tài) IP 地址傳遞給防火墻，這樣就可以對指定的主機進行訪問控制了。天融信新一代防火墻產(chǎn)品使用的就是后一種方式來解決對 DHCP 環(huán)境的支持的。 源、目地址路由功能 天融信新一代防火墻產(chǎn)品采用一種特殊的路由技術(shù)，一般的路由技術(shù)只根據(jù)目標地址來做出路由選擇，而網(wǎng)絡(luò)衛(wèi)士防火墻 4000 則根據(jù)通訊的源地址和目標地址來做出路由選擇。 這種源目地址路由技術(shù)可以很好的適應(yīng)有多個網(wǎng)絡(luò)出口的環(huán)境。比如對于某些教育系統(tǒng)的網(wǎng)絡(luò)可能同時有兩條互聯(lián)網(wǎng)出口，一條是通過教育網(wǎng)的線路連接到 Inter ，另外一條就是申請電信的線路直接連接到互聯(lián)網(wǎng)如圖所示。對于這種環(huán)境為了更好的利用帶寬，讓網(wǎng)絡(luò)中的部分終端走教育網(wǎng)的出口，另外一部分終端走電信線路，這樣可以很好的利用現(xiàn)有的帶寬資源，不會造成帶寬的浪費，但是在這種網(wǎng)絡(luò)環(huán)境下，如果防火墻不支持源目的地址路由技術(shù)就很難實現(xiàn)，因為到互聯(lián)網(wǎng)的目標地址都是一樣的，只是來源不一樣。 采用 NG FW4000 防火墻 , 支持 IP 分組管理功能，能夠防御源路由攻擊、 IP碎片包攻擊、 DNS/RIP/ICMP 攻擊、 SYN 等多種攻擊：防火墻系統(tǒng)可以檢測到對網(wǎng)絡(luò)或內(nèi)部主機的多種拒絕服務(wù)攻擊，提供透明代理功能：防火墻提供應(yīng)用級代理，對常用高層應(yīng)用（ HTTP、 FTP、 SMTP、 POP NNTP）提供詳細控制。 支持 IP/MAC 地址綁定，提供自動查詢 MAC