防火墙双机HA 方案模板.docx
《防火墙双机HA 方案模板.docx》由会员分享,可在线阅读,更多相关《防火墙双机HA 方案模板.docx(27页珍藏版)》请在冰豆网上搜索。
防火墙双机HA方案模板
防火墙双机热备方案
目录
前言4
第二章网络安全建设需求分析6
2.1网络安全建设原则6
2.2网络安全建设目标6
2.3网络结构分析6
第三章设备选型10
3.1NSAE6500重要性能指标(千兆安全过滤网关)10
第四章防火墙功能实现13
4.1免重组深度包检测防火墙13
4.2强大的防御功能13
4.3SonicWALL防火墙的售后服务13
4.4SonicWALL防火墙的操作系统14
4.5支持动态IP(DHCPClient)14
4.6支持ADSL接入14
4.7支持DDN、PPTP或L2TP等多种上网方式15
4.8NAT(NetworkAddressTranslation)地址转换15
4.9反向地址映射16
4.10面向对象可视化的规则编辑和管理工具16
4.11支持DHCP服务器16
4.12支持各种应用服务协议17
4.13提供进出双方向的带宽管理服务17
4.14虚拟专用网(VPN)18
4.15VPN客户端(软件)19
4.16内容过滤(选项)19
4.17网络防病毒(选项)21
4.18监测、报告软件ViewPoint(选项)22
4.19全球管理系统(选项)23
4.20支持双机热备24
4.21链路备份及负载均衡24
4.22入侵防御服务(IPS)25
4.23网关防病毒功能26
4.24反间谍软件功能26
前言
随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。
网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。
随着网络上电子商务,电子现金,数字货币,网络保险等新兴业务的兴起,网络安全问题变得越来越重要。
计算机网络犯罪所造成的经济损失实在令人吃惊。
仅在美国每年因计算机犯罪所造成的直接经济损失就达150亿美元。
在全球平均每二十秒就发生一次网上入侵事件。
有近80%的公司至少每周在网络上要被大规模的入侵一次,并且一旦黑客找到系统的薄弱环节,所有用户都会遭殃。
面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。
同时随着计算机技术的发展,互联网已经成为最大的公共数据网络,在全球范围内实现并促进了个人通信和商业通信。
互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。
越来越多的通信都通过电子邮件进行;移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络;而在互联网上通过WWW方式完成的商业贸易现在已经成为企业收入的重要组成部分。
但是这个庞大的网络及其相关的技术为不断增长的安全威胁提供了可乘之机,因而企业必须学会保护自己免受这些威胁的危害。
在捍卫网络安全的过程中,防火墙受到人们越来越多的青睐。
作为一种提供信息安全服务、实现网络和信息安全的基础设施,防火墙采用将内部网和公众网如Internet分开的方法,可以作为不同网络或网络安全域之间信息的出入口,根据企业的安全策略控制出入网络的信息流。
再加上防火墙本身具有较强的抗攻击能力,能有效地监控内部网和Internet之间的任何活动,从而为内部网络的安全提供了有力的保证。
网络面临的安全威胁大体可分为两种:
一是对网络设备的威胁。
这些威胁可能来源于各种各样的因素:
可能是有意的,也可能是无意的;可能是来源于企业外部的,也可能是内部人员造成的;可能是人为的,也可能是自然力造成的。
总结起来,大致有下面几种主要威胁:
(1).非人为、自然力造成的数据丢失、设备失效、线路阻断
(2).人为但属于操作人员无意的失误造成的数据丢失
(3).来自外部和内部人员的恶意攻击和入侵
前面两种的预防与传统电信网络基本相同。
最后一种是当前Internet网络所面临的最大威胁,是办公自动化、生产自动化、电子商务、政府上网工程等顺利发展的最大障碍,也是企业网络安全策略最需要解决的问题。
目前解决网络安全的最有效方法是采用防火墙。
随着技术的发展,各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,如针对Windows系统和Oracle/SQLServer等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的净荷部分。
传统的防火墙设备如第一代的包过滤防火墙,第二代的应用代理防火墙到第三代的全状态检测防火墙对此类攻击无能为力,因为它们只查TCP/IP协议包头部分而不检查数据包的内容。
此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。
同时层出不穷的即时消息和对等应用如MSN,QQ,BT等也带来很多安全威胁并降低员工的工作效率。
如今的安全威胁已经发展成一个混合型的安全威胁,传统的防火墙设备已经不能满足客户的安全需求。
全新设计的高性能的UTM一体化网络安全设备。
一般来讲,UTM通常包括防火墙/VPN,网关防病毒和IPS,SonicWALL公司的UTM在此基础上又增加了反间谍软件服务,进一步确保企业信息安全。
SonicWALL采用独一无二的逐个包扫描深度包检测引擎,无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护,彻底消除了网关设备对同时下载的文件数目和文件的大小的限制,从UTM技术上是一个突破。
SonicWALLUTM设备能够并行扫描超过50种协议上的近25000种病毒,检测并阻断近2000种入侵威胁。
SonicWALL还支持近百种签名对及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信进行控制,如封堵QQ,能够扫描NetBIOS协议,防止病毒通过Windows文件共享进行扩散。
采用高性能的专用硬件实现IPSecVPN的加解密,使得SonicWALL设备在3DES和AES算法具备同样出色的表现。
对于分布式的企业,通过Internet建立VPN连接是安全经济的信息传输方式,此外,SonicWALL的网关防病毒和入侵防护功能不仅能防护从Internet过来的安全威胁,而且还能阻挡企业其它分支机构通过VPN隧道带来的安全威胁。
第二章网络安全建设需求分析
2.1网络安全建设原则
用户网络安全建设上应从长远考虑,本着基础先行,应用为本的原则,作总体设计,分步实施,避免重复投资。
基础设施建设,在技术上应以先进性和实用性为本,以达到最优的性能价格比为原则,为下一步的应用提供强大的、坚实的基础平台。
目前,网络并且飞速发展的今天,黑客的攻击方式以及病毒的发作方式也是多种多样的,不断的更新换代;网络安全方案应该能够完全满足现在的网络,并且能够灵活适应网络发展的趋势,适应将来的攻击方式,避免不可靠的投资。
2.2网络安全建设目标
我们的目标是完全满足用户的网络现状,有效的防止现有的各种攻击方式。
并且可以灵活升级,适应将来网络的发展。
能够保障用户网络的内部局域网络不受外界的攻击;同时,还要保障内部网络服务器的安全,以保障内部重要数据的安全。
2.3网络结构分析
根据工程实施的经验,我们建议双机部署可以考虑主/备和全网状主/备两种部署方式。
我们不推荐A/A全网部署,因为不论任何产品和技术,在A/A部署可能带来潜在的非对称路由和Troubleshooting的困难。
我们设计方案的原则的简单,可靠,出现故障是容易诊断和快速排查。
基于上述理念,我们推荐的防火墙双机部署方案如下:
2.3.1部署简单的主/备模式,可以满足大部分用户网络的可靠性需求:
配置说明:
两台防火墙采用相同硬件型号和软件版本,组成Active/Passive冗余模式。
通过专用的HA端口实现配置信息和会话同步。
2.3.2全网状部署,端口级备份+设备级备份
Layer3全网状连接A/P组网使用全交叉网络连接模式,容许在同一设备上提供链路级冗余,发生链路故障时,由备用链路接管网络流量,防火墙间无需进行状态切换。
仅在上行或下行两条链路同时发生故障情况下,防火墙才会进行状态切换,Fullmesh连接进一步提高了业务的可靠性。
该组网模式在提供设备冗余的同时提供链路级冗余,成为很多企业部署关键业务时的最佳选择。
SonicWALL独特的UTM技术:
网关防病毒和IPS解决方案
结合SonicWALL业界领先的深度包检测引擎,即时升级的病毒库及IPS签名库,SonicWALLNSA6500IPS/GAV(入侵防护及网关防病毒)可以阻挡来自病毒、间谍软件、木马程序、软件漏洞攻击的威胁,为用户提供常规防火墙设备所不能提供的更高级别的网络安全。
SonicWALL采用独一无二的逐个包扫描深度包检测引擎专利技术(美国专利申请中),无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵的扫描和防护,所以SonicWALL对同时下载的文件数目和文件的大小没有任何限制。
而目前其它防病毒网关产品都对下载的文件大小和数目有严格的限制,因为把要扫描的文件缓存在内存的Buffer中或者缓存在硬盘上,由于物理资源是有限的,所以能支持的扫描的文件大小必须有严格的限制。
当然还有很多防火墙产品根本就不支持网关防病毒功能。
SonicWALL直接在安全网关上匹配全面的签名库,对网页下载、邮件传输及压缩文件的潜在威胁进行安全扫描。
SonicWALLUTM设备能够并行扫描超过50种协议上的25000种病毒,检测并阻断(根据管理员的设置)将近2000种入侵威胁。
另外,SonicWALL还支持对100多种及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信控制,能够扫描NetBIOSoverTCP/IP,防止病毒通过Windows文件共享进行扩散。
同时,SonicWALL解决方案还可以限制带有宏的Office文件、密码保护的压缩文件和“加壳”的可执行文件的传输。
采用DEA架构,SonicWALL的安全设备做到了每个小时自动更新病毒签名库和入侵签名库。
SonicWALL的UTM设备还能阻止病毒在内部网络扩散,防止内部的黑客入侵行为。
此外,SonicWALL的UTM设备即将支持反间谍软件功能,通过简单的软件升级,现有的网关防病毒和IPS用户可直接享用反间谍软件服务。
第三章设备选型
3.1NSAE6500重要性能指标(千兆安全过滤网关)
NSAE6500接口
8个10/100/1000Mbps电口,1个1000MbpsHA心跳口,1个控制台接口、2个USB
最大并发连接
1,000,000
最大UTM并发连接
600,000
状态检测吞吐量
5.0Gbps
网关杀毒吞吐量
1.69Gbps
IPS吞吐量
2.3Gbps
UTM综合吞吐量(GAV+IPS)
1.59Gbps
3DES/AES吞吐量
2.7Gbps
点对点VPN隧道数
6000
VPN客户端授权
赠送2000(最大6000)
平均无故障时间MTBF
11.9年
NSA6500千兆级UTM防火墙产品介绍
一、产品概述
SonicWALL公司最新NSA家族成员NSA6500千兆防火墙,使用更高运算性能的多核NP处理器和两片专用Cavium网络安全处理器,1G的RAM,512MBFlashMemory,集合8个10/100/1000Mbps自适应千兆以太网接口,适用千兆网络环境企业和大学用户,提供防火墙、虚拟局域网络(VPN)、网站内容过滤、网关防病毒、强制客户端防病毒,入侵检测与防护(IPS),双WAN链路备份及负载均衡、带宽管理、全球管理、双机热备,安全的无线网络扩展等等,是高效能的硬件式一体化的安全平台(UTM设备)。
NSA6500的核心是SonicWALL多内核架构,设计用于在实时网络流量上提供突破性深度包检测和粒子网络智能,而对网络性能没有任何影响。
SonicWALLE-ClassNSA可以通过并行使用专业安全处理内核,有效提供超高速性能。
统一使用多内核的处理能力,可在降低开销影响的同时,显著增加吞吐量和并行检测能力。
SonicWALLNSA6500能充分保障各分支机构办公室及各点间通讯的安全,避免商业机密被窃取与破坏。
SonicWALLNSA6500采用独立式作业平台,容易安装、管理和使用;可由浏览器如:
IE、Netscape等来使用与管理。
SonicWALLNSA6500内含双VPN加速芯片(CaviumNitroxcryptoprocessors)可使168Bits3DES/256bitsAESVPN效率达2.7GBps,并且赠送VPNClient客户端软件2000个授权用户。
NSA6500支持6,000个site-to-siteVPN和6,000个client-to-siteVPN隧道。
二、功能介绍
SonicWALLNSA6500为19"标准架构,支持无限制用户,内含SonicOSenhanced系统软件。
NSA6500c具备有8个10/100/1000MBps自适应千兆以太网接口,适用于千兆的网络环境,大型企业、电子商务中心、数据中心和ISP等,产品提供以下功能:
防火墙功能
SonicWALLNSA6500采用全状态检测技术,防止来自Internet对私人网络的数据窃取破坏或窜改,并且能自动侦测-阻断服务攻击DenialofService(DoS),禁止无使用权的人存取使用网络设备与资源。
SonicWALLNSA6500也支持使用网络地址转换NetworkAddressTranslation(NAT)使网络环境更易于使用和管理。
同时SonicWALL支持专利技术的DPI引擎,实现应用层的安全防护,包括网关防病毒和IPS,反间谍软件等等。
IPSecVPN–虚拟局域网
SonicWALLVPN适用于各办公室,商业伙伴及远程使用者一个安全便利的网络加密方式,包括168bitDataEncryptionStandard(Triple-DES),和256比特AES方式。
SonicWALLVPN提供了各分支点间或大多数远程使用者采用IPSecVPN方式,将数据自动加密解密的通讯方式。
使用专属高效能ASIC加解密芯片有效地减轻加解密负担,使NSA6500的VPN处理效能又达另一高峰,防火墙处理能力高达5Gbps以上,3DES及AESVPN传输效率高达2.7Gbps,并且支持VPN通道备份;支持动态域名解析。
双WANISP线路备份及负载平衡.NSA6500可指定一个网络接口成为第二个WANport以支持"active-passive"链路备份,并提供Active-Active模式WANoutbound负载平衡.
专属高效能网络安全处理器加解密芯片.有效减轻加解密负担NSA6500的处理效能又达另一高峰,状态封包检查防火墙效能高达5G以上,3DES及AESVPN传输效率高达2.7Gbps.
支持硬件AES加密.
支持多网络接口的安全区域(SecurityZone). 网络管理者可集合NSA6500多个实体网络接口成为逻辑的区域 "Zones"以增进弹性及简化管理,并且在部署SonicWALL防火墙到各种网络架构时能提升延展性及增加内部安全性.
基于对象的管理机制.NSA6500提供定义对象的能力,例如使用者群(UserGroup)、网络(Network)、服务(Service)或接口(Interface).当安全政策改变时,管理者只需修改预先定义好的对象即可自动生效不需重新定义规则,让安全管理工作简单又有效率.
基于策略的NAT.除了一般常见的NAT(多对一)功能,NSA6500呈现给管理者更多的NAT政策控制权,如一对一NAT、多对多NAT、一对多NAT、连入端口地址转换(InboundPAT)、弹性NAT(网络地址重迭),以及可选择只有某些来源或目的地址才进行NAT转换,结果是更高弹性的支持及管理各种NAT需求.
完整的中心管理.NSA6500支持SonicWALL备受赞誉的全球管理系统(GMS)提供管理者最佳的中心管理工具,简化设定组态、强化及管理全部的安全政策、VPN、及服务.
支持高可用度防火墙备援功能(HA). 针对大型网络执行关键性任务的需求,提供万一防火墙故障时的实时备援功能,购买两台NSA6500即可启用此功能.
第四章防火墙功能实现
4.1免重组深度包检测防火墙
SonicWALL使用目前最先进的第三代防火墙技术——“Statefulpacketinspection”全状态检测技术,不但能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制,而且能够记录通过防火墙的连接状态,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤。
有效阻止DoS、DDoS等各种攻击。
有效的保护您的局域网和公用服务器免受来自Internet上的黑客和入侵者的攻击、破坏。
SonicWALL防火墙能够根据数据包报头进行以下控制:
✧源和目的地址
✧源和目的接口
✧“欺诈”的IP地址
✧IP协议号
✧TCP和UDP端口号
✧端口范围
✧ICMP信息类型
✧IP和TCP中都有的选项类型
✧IP和TCP标记组合
4.2强大的防御功能
SonicWALL防火墙提供对黑客攻击强大的防御功能:
防止黑客对网络的TCP/UDP端口扫描
防止PingOfDeath、Syn-Flood、Teardrop等多种DOS/DDOS的攻击
可防御源路由攻击、IP碎片包攻击、假冒IP攻击
4.3SonicWALL防火墙的售后服务
SonicWALL防火墙的硬件保修是一年,软件升级是90天。
SonicWALL防火墙定时会自动到SonicWALL网站检查有无最新的软件;同时当有新的软件发布时,SonicWALL将自动发送电子邮件给系统管理员,系统管理员看到邮件后到Sonicwall公司的网站()上下载最新的防火墙软件。
由于黑客的攻击方式不断推陈出新,现有的防火墙软件如果不及时升级,就很难防范新的攻击方式,所以SonicWALL防火墙软件的升级最大程度的保护了用户的投资和保障能防御最新的黑客技术。
4.4SonicWALL防火墙的操作系统
SonicWALL防火墙的操作系统是自己开发的操作系统,不基于任何操作系统,避免操作系统的漏洞导致防火墙安全性能实效。
当今的客户越来越多注重产品的性能价格比这一参数,不再去为用不着的功能和部件去花费高昂的购买费用,甚至维护费用。
SonicWall防火墙正是针对这种理性的消费理念而对产品进行定位的,SonicWall以网络安全领域专家角度为客户设计和生产客户实用、可用、好用的网络安全产品。
故SonicWALL是目前唯一同一产品支持两套操作系统,根据客户的网络环境和需求选择不同的操作系统。
SonicOSStandard面向网络环境简单的用户,配置简单快速.SonicOSEnhanced面向网络环境复杂,功能需求苛刻的环境.
4.5支持动态IP(DHCPClient)
用户如果通过城域网、小区宽带或CableModem等方式接入Internet时,其IP地址为动态分配的。
这时候安装防火墙的时候,需要防火墙支持动态IP才能对数据包进行访问控制。
SonicWALL防火墙支持动态IP,其接口可以动态的获得IP地址,方便灵活的接入用户的网络环境。
4.6支持ADSL接入
目前国内越来越多的企业通过ADSL接入Internet,而ADSL需要拨号以后才能获得IP地址。
这时如果要安装防火墙需要防火墙必须支持PPPoE协议,否则无法完成拨号过程,无法接入网络。
SonicWALL防火墙支持PPPoE协议,通过在防火墙上输入用户名和口令后便可以ADSL接入,可以通过ADSL获得动态IP地址进行地址转换、VPN等操作。
同时SonicWALL还支持带有固定IP的ADSL的线路。
4.7支持DDN、PPTP或L2TP等多种上网方式
SonicWALL防火墙除了支持动态IP和ADSL上网外,还支持DDN专线、PPTP或L2TP,甚至ISDN拨号、电话线拨号。
根据不同上网接入方式,可采用不同网络地址的模式。
4.8NAT(NetworkAddressTranslation)地址转换
NAT英文全称是,称是网络地址转换,它是一个IETF标准,允许一个机构以一个地址出现在Internet上。
NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。
它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
SonicWALL防火墙支持常见的NAT功能(多对一)外,还可以提供更多的NAT策略控制权。
如:
一对一的NAT、多对多NAT、一对多NAT,地址端口转换(PAT),及选择特定的源/目的地址进行NAT转换,使各种管理及支持变得更加便捷。
对互联网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,能够有效的隐藏内部网络的拓扑结构等信息。
同时内部网用户共享使用这些转换地址,自身使用保留IP地址就可以正常访问公众网,有效的解决了全局IP地址不足的问题。
4.9反向地址映射
目前国内越来越多的企业通过ADSL或CableModem接入Internet,是可以获得动态的真IP地址,在以前这种线路想提供Web、FTP服务等是不可能的,但现在结合防火墙的端口映射和动态域名(DDNS)就可以提供Web、FTP服务。
SonicWALL防火墙的反向地址转换来对目的地址进行转换。
同样既可以解决全局IP地址不足的问题,又能有效的隐藏内部服务器信息,对服务器进行保护。
SonicWALL防火墙提供端口映射和IP映射两种反向地址转换方式,方便用户的部署。
4.10面向对象可视化的规则编辑和管理工具
从本质上讲,防火墙仅仅是实现网络安全的工具,是否能起到对网络的保护作用,以及起到多大的作用在很大程度上取决于管理员是否能够正确地使用。
传统的防火墙规则是通过命令行来设置的,如Cisco防火墙;另外其它防火墙的设置过于晦涩难懂,非专业人员很难配置,如CheckPoint。
特别是当规则数目稍多时,规则的含义和结果,以及其正确性的判断将变得十分困难。
从而经常使防火墙成为网络故障的发源地,更严重的是一些故障隐患长期存在,难以发觉,而对入侵者大开方便之门。
SonicWALL防火墙对这种配置方式做了彻底的摈弃,提出了全新的可视化的管理和配置概念。
SonicWALL的管理工具提供了友好的GUI界面,可以在网络的逻辑图上的对象进行访问控制的配置。
用户可以直接指定所期望的控制结果,而控制结果在图上一目了然,不需要根据规则进行控制结果的推断。
添加安全规则时,SonicWALL防火墙会根据自身的规则排序,也可自定义规则的顺序。
4.11支持DHCP服务器
SonicWALL既可作为DHCP服务器,也可作为DHCP用户端。
当SonicWALL
升级会员 