Secoway USG9300 系列产品 技术建议书模板V100901.docx
《Secoway USG9300 系列产品 技术建议书模板V100901.docx》由会员分享,可在线阅读,更多相关《Secoway USG9300 系列产品 技术建议书模板V100901.docx(31页珍藏版)》请在冰豆网上搜索。
SecowayUSG9300系列产品技术建议书模板V100901
USG9300技术建议书
目录
1概述3
1.1网络安全3
1.2网络安全管理3
2××网络分析3
2.1××网络现状3
2.2××××网络业务分析3
2.3××网络安全问题与分析3
2.4××网络安全需求3
3××网安全解决方案3
3.1大型IDC中心或城域网安全解决方案3
3.2政府或大型企业网络总部安全防护3
3.3大容量WAP网关安全防护3
3.4运营商各网络平面隔离3
3.5××网络安全设备选择3
4USG9300防火墙3
4.1高性能处理3
4.2多安全区域3
4.3多种功能模式3
4.3.1工作模式3
4.3.2集成路由功能3
4.4增强的报文过滤3
4.4.1更快捷的ACL查找3
4.4.2黑名单过滤恶意主机3
4.5多种NAT应用3
4.5.1地址转换3
4.5.2内部服务器3
4.5.3多种NATALG3
4.6强大的攻击防范能力3
4.6.1防范蠕虫病毒3
4.6.2防范多种DoS攻击3
4.6.3防范扫描窥探攻击3
4.6.4防范其它攻击3
4.7电信级高可靠性3
4.7.1可靠的产品设计3
4.7.2可靠性预测3
1.故障定义一:
系统50%业务中断称为系统中断3
2.故障定义二:
单业务通道业务中断称为系统中断3
4.8完备的流量监控3
4.8.1基本会话监控3
4.8.2承诺访问速率3
4.8.3实时统计分析3
4.9认证3
4.9.1多种认证方式3
4.10安全保障的VPN应用3
4.11QoS质量保证3
4.12增强的日志管理3
4.12.1日志服务器3
4.12.2两种日志输出方式3
4.12.3多种日志信息3
4.13丰富灵活的维护管理3
丰富的维护管理手段3
基于SNMP的终端系统管理3
软件热补丁3
4.14符合多项测试和认证要求3
4.15USG9300规格3
1概述
Internet的普及为社会的发展带来了巨大的推动力,但同时也产生了大量的网络安全问题,越来越受到政府、金融、教育、电力、交通等机构以及众多企业的重视。
网络安全问题主要包括两个层面:
网络本身的安全问题和网络安全管理问题。
1.1网络安全
Internet由于其开放性,使得非常容易遭受攻击。
随着攻击手段的变化多样而且攻击工具更容易获取,以及基于僵尸网络DDoS攻击的出现,使得基于网络层的攻击层出不穷。
主要的攻击包括:
ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻击、Land攻击、超大ICMP攻击、Fragile攻击、PingofDeath、TearDrop、PingScan、PortScan、IP路由选项攻击、Tracert攻击等等。
网络层攻击的目标主要有三个:
带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。
带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽,导致网络带宽拥挤,正常业务受到影响;主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据;主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息,为下一步入侵提供必要的信息。
1.2网络安全管理
网络安全安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分,使得在网络安全运行的基础上,促进企业自身的信息安全管理水平,更好的保证企业正常运作。
安全区域指的是在网络中拥有相同网络资源访问权限的主机集合,安全区域的划分主要依据企业内部部门的划分,例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。
将一个企业进行清晰的安全区域划分,大大简化了企业的网络资源控制与管理,在此基础上,实施适合企业管理要求的安全策略管理,提高企业信息安全管理水平。
2××网络分析
2.1××网络现状
[此部分主要包括两个部分(注意:
要给出网络的吞吐量,一般在10G流量以上,需要提供多个10G接口的时候使用USG9300产品,一般10-40G采用USG9310,10-80G采用USG9320):
1.××网络拓扑图,如果是新建网络,则提供没有安全设备的网络拓扑图,用来进行安全方案的分析。
2.××网络承载的业务,主要是内部业务以及出口网络业务]
2.2××××网络业务分析
[给出现网的业务流分析图,使得客户对现有网络安全问题理解的更加清晰]
2.3××网络安全问题与分析
[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出):
1.××网络出口安全隐患:
DoS攻击,端口扫描
4.××网络业务安全隐患:
需要对不同安全区域的业务进行过滤,丰富管理手段
5.××网络接入问题:
设备提供丰富的VPN接入功能,实现安全访问控制。
7.××网络地址转换问题:
专业的NAT设备,具有良好的性能以及灵活的策略NAT功能,以及丰富的NATALG功能。
8.××网络NAT事后追踪:
由于NAT隐藏了内部的网络结构,使得内部访问外网出现社会安全事件时,事后追踪措施变得极为重要。
提供专用的日志服务器,二进制的NAT日志存储、查询为事后追踪提供重要的技术手段。
2.4××网络安全需求
[新增统一安全网关,用以满足××网络以下需求(根据××网络安全问题与分析给出需求):
1.防范网络攻击:
在网络出口和不同的安全区域之间启用网络攻击防范,防止外网网络攻击和部门之间网络攻击蔓延。
2.安全区域划分:
将不同业务划分为不同的安全区域。
3.……]
举例如下:
由于各省会的PSDN要通过防火墙和ChinaNet相连,为用户提供互联网业务。
因此,CDMA承载网也就不可避免地面临各种安全风险。
位于Pi口的防火墙设备将起到安全域隔离和抵御各种攻击的作用。
通过防火墙的安全域划分和安全访问控制,可以控制由外到内(下行)的非法访问,通过该防火墙的攻击防御功能,也可将来自ChinaNet上的各种针对网络设备和服务的DDOS攻击拒之门外。
僵尸网络仍然是网络攻击的基本手段和资源平台。
2007年CNCERT/CC抽样监测发现感染僵尸程序的境内外主机数达623万个,其中我国大陆有362万个IP地址的主机被植入僵尸程序,并有1万多个境外控制服务器对我国大陆地区的主机进行控制。
僵尸网络主要被利用发起拒绝服务(DdoS)攻击、发送垃圾邮件、传播恶意代码,以及窃取受感染主机中的敏感信息,而由僵尸网络发出的大流量、分布式DDOS攻击是目前公认的世界难题,不仅严重影响互联网企业的运作,而且严重威胁着我国互联网基础设施的运行安全。
僵尸网络的规模以1000以内规模的僵尸网络居多。
大规模的僵尸网络仍然存在,有19个僵尸网络操控的计算机(即“肉鸡”)数量超过10万台。
2007年监测到的僵尸网络规模数量分布如下图所示。
未来僵尸网络的规模有不断扩大的趋势。
按照每台僵尸在不被宿主发现的情况下,大致一般可以发出400K-500Kbps的小包攻击流量,那么常见的DDOS攻击流量将在400M-500M之间。
但是达到2Gbps到3Gbps的程度DDOS攻击也并不少见。
根据公司的监测,2007年11月24日一天之内,国内某省的两个IDC客户各受到峰值2G的攻击;攻击持续时间40分钟左右;2008年03月12日一天之内国内某省的4个IDC用户受到攻击,流量分别在800M,900M,830M,1G左右。
3××网安全解决方案
3.1大型IDC中心或城域网安全解决方案
防火墙USG9300串连在大型IDC出口或城域网出口路由器上,在出口进行攻击防范等处理。
防火墙主要承担以下功能:
1.启用防火墙攻击防范以及访问控制,抵御外来的各种攻击。
2.根据需要启用地址转换功能,满足出口公网不足的需要。
3.根据需要开启虚拟防火墙功能,通过不同的虚拟防火墙与各大客户对应,将不同的服务器群用VPN隔离开。
4.启用L2TPVPN的功能,允许移动用户通过拨号的方式接入不同的VPN,访问不同VPN里的业务或者设备。
两台防火墙采用双机热备。
1.在防火墙的两侧启用VRRP和的专利技术VGMP保证流经防火墙的报文能够始终经过同一台防火墙。
同时CE路由器也启用VRRP。
防火墙和CE路由器的静态路由下一跳分别设置为对方的VRRP虚地址。
当其中一个防火墙出现故障后,另外一个迅速升为主设备,同时发送免费ARP更新CE路由器的MAC表,这个过程对CE路由器透明,倒换非常快。
倒换之后,报文将经过CE路由器之间的二层板转发到和主防火墙相连的CE路由器上,然后再转发给防火墙。
通过公司的VGMP技术,可以保证上行VRRP和下行VRRP组的主备状态一致,即两个VRRP组主设备始终是同一台防火墙,因此避免了报文来回路径不一致的问题。
防火墙的倒换时间的基本可以做到小于1s的时延,对现网业务没有影响。
2.防火墙和路由器之间也可以采用OSPF路由协议来进行设备切换,防火墙两侧不启用VRRP。
这种方式需要防火墙快速备份会话表,确保报文经过哪一台防火墙都可以正常转发。
设备切换时间依赖于OSPF路由协议的收敛时间。
这种方式的优点是简化配置,不需要配置静态路由。
3.主备两台防火墙之间的状态同步可以选择上行或者下行的业务链路,也可以同时选择多个链路作为心跳链路。
但是为了避免链路拥塞导致的心跳报文丢失,建议采用专线作为心跳线。
确保不会出现双主的情况。
由于多个关键业务都要经过防火墙,设备的稳定性和倒换时间是一个影响业务的关键指标。
因此建议采用第一种方式组网并采用专门的心跳线同步防火墙的状态。
方案特点:
1.提供业界最优的防火墙性能,不会成为网络瓶颈;
2.提供高密度万兆以太或POS出口,支持灵活组网;
3.支持双机热备、板卡备份、链路聚合,提供高可靠性组网,不影响业务;
4.千万包每秒的抗攻击能力,可抵御大流量攻击,保护内部网络;
5.分布式扩展架构设备,便于网络扩容;
6.完善的防火墙功能,可支撑丰富的业务。
3.2政府或大型企业网络总部安全防护
防火墙USG9300放置在总部出口,主要承担以下功能:
1.启用防火墙攻击防范以及访问控制,抵御外来的各种攻击。
2.根据需要启用地址转换功能,满足出口公网不足的需要。
3.根据需要开启虚拟防火墙功能,通过不同的虚拟防火墙与各大客户对应,将不同的服务器群
用VPN隔离开。
4.启用L2TPVPN的功能,允许出差移动用户通过拨号的方式接入不同的VPN,访问不同VPN里的业务或者设备。
如移动用户访问需要加密,可启用L2TP+IPSec的方式,保证用户接入传输的可靠性。
两台防火墙采用双机热备。
5.在防火墙的两侧启用VRRP和的专利技术VGMP保证流经防火墙的报文能够始终经过同一台防火墙。
同时CE路由器也启用VRRP。
防火墙和CE路由器的静态路由下一跳分别设置为对方的VRRP虚地址。
当其中一个防火墙出现故障后,另外一个迅速升为主设备,同时发送免费ARP更新CE路由器的MAC表,这个过程对CE路由器透明,倒换非常快。
倒换之后,报文将经过CE路由器之间的二层板转发到和主防火墙相连的CE路由器上,然后再转发给防火墙。
通过公司的VGMP技术,可以保证上行VRRP和下行VRRP组的主备状态一致,即两个VRRP组主设备始终是同一台防火墙,因此避免了报文来回路径不一致的问题。
防火墙的倒换时间的基本可以做到小于1s的时延,对现网业务没有影响。
6.防火墙和路由器之间也可以采用OSPF路由协议来进行设备切换,防火墙两侧不启用VRRP。
这种方式需要防火墙快速备份会话表,确保报文经过哪一台防火墙都可以正常转发。
设备切换时间依赖于OSPF路由协议的收敛时间。
这种方式的优点是简化配置,不需要配置静态路由。
7.主备两台防火墙之间的状态同步可以选择上行或者下行的业务链路,也可以同时选择多个链路作为心跳链路。
但是为了避免链路拥塞导致的心跳报文丢失,建议采用专线作为心跳线。
确保不会出现双主的情况。
由于多个关键业务都要经过防火墙,设备的稳定性和倒换时间是一个影响业务的关键指标。
因此建议采用第一种方式组网并采用专门的心跳线同步防火墙的状态。
方案特点:
8.提供业界最优的防火墙性能,不会成为网络瓶颈;
9.提供高密度万兆以太或POS出口,支持灵活组网;
10.支持双机热备、板卡备份、链路聚合,提供高可靠性组网,不影响业务;
11.千万包每秒的抗攻击能力,可抵御大流量攻击,保护内部网络;
12.分布式扩展架构设备,便于网络扩容;
13.完善的防火墙功能,可支撑丰富的业务。
3.3大容量WAP网关安全防护
随着移动用户数量的迅猛增长,WAP业务的流量成几何增长态势,WAP网关急需大容量高性能安全网关进行安全隔离和攻击防范。
USG9310可提供10G-80G可扩展性能,满足用户日益增长的性能需求,千万级别的大并发连接,保证大量移动用户并发访问,强DDoS防护能力,确保WAP网关业务稳定。
3.4运营商各网络平面隔离
3.5××网络安全设备选择
[根据具体的情况选择USG9310或USG9320]
汇总以上业务、以及安全防范的需求,总结出对防火墙的性能规格要求,
综合上面章节的分析,建议采用的防火墙设备需要满足如下一些基本指标。
新建连接数:
×万/秒
并发连接数:
×万
吞吐量:
×G
VPN:
IPSecL2TPGRE
接口数量:
×
设备配置:
描述
规格
数量
备注
USG9310
USG9310基础配置
包含机框、电源、主控板
1
必配
USG9310交换网板
交换网板
2
必配
USG9310接口板
10GE接口板
N
选配
USG9310业务处理板
防火墙安全业务处理模块
N
选配
4USG9300防火墙
USG9300防火墙采用36U/20U标准机箱,提供了多种接口板。
USG9300防火墙在设计上秉承公司在电信领域的丰富经验,采用全面的安全技术。
USG9300防火墙提供了交流供电、直流供电两种供电方案,并且支持电源1+1备份,电源模块及风扇模块支持热插拔,很好地满足了电信级网络对高可靠性的需求。
USG9300防火墙采用多核处理器技术,提供丰富的业务和强大的安全防范性能。
USG9300防火墙的主控部分采用高速PowerPC微处理器和实时操作系统,以公司拥有自主知识产权的VRP(VersatileRoutingPlatform)通用路由平台为基础,结合设备和网络管理技术,具备完善的自身安全防范功能,并提供丰富的业务特性。
安全部分采用高性能网络处理器进行硬件处理,提供了强大的安全防范、业务加速能力。
USG9300防火墙拥有一致的网络界面、用户界面和管理界面,具有很强的可伸缩性、可配置性,支持丰富的接口和业务特性。
在组网应用方面,USG9300防火墙作为高性能安全设备提供全面的攻击防范能力,提供全方位的、灵活的网络解决方案,有效提高了网络的安全级别。
USG9300防火墙的软硬件特性符合国际标准,保证了与其它厂家产品在各个层面上的互通,可最大限度地保护用户的已有投资。
4.1高性能处理
USG9310/9320定位于运营商用户,通过采用NP技术提供线速的高性能安全防范和报文处理能力,在提供高性能的同时,还可以支持数万条ACL(AccessControlList)规则。
在整机最大吞吐量方面,USG9310可以达到40Gbps,USG9320可以达到80Gbps。
4.2多安全区域
安全区域是一个或多个接口的组合,不同安全区域具有互不相同的安全级别。
USG9310/9320支持多个安全区域,即除了支持本地区域(Local)、受信区域(Trust)、非受信区域(Untrust)、DMZ(DemilitarizedZone)区域四种预定义的安全区域外,还支持多个用户自定义安全区域。
通常:
●Trust域用来连接用户要保护的内部网络
●Untrust域连接外部网络
●DMZ域连接用户向外部提供服务的网络
●Local域用来保护USG9300防火墙自身
任何访问设备自身的报文(如Telnet到设备)都被看作是从入接口所连接区域访问Local域的跨域访问,从而有效保护防火墙自己。
当数据在两个不同的安全区域之间流动的时候,就会激活防火墙的安全规则检查功能。
通过在安全区域之间设置不同的安全防范策略,可以灵活有效地监控进出该区域的信息流。
此外,USG9310/9320还支持基于VLAN(VirtualLocalAreaNetwork)划分安全区域。
4.3多种功能模式
4.3.1工作模式
USG9310/9320支持多种功能模式,丰富了组网应用:
●路由模式:
USG9310/9320各接口具有确定的IP(InternetProtocol)地址,内部网络和外部网络的设备都清楚到该USG9310/9320的路由,这种方式适合网络初建时,IP地址统一规划有助于全网络管理。
●透明模式:
USG9310/9320各接口不配置IP地址,以透明方式嵌入到内部网络和外部网络之间,内部和外部网络的设备都察觉不到该USG9310/9320的存在。
这种方式无需重新规划网络中的IP地址和路由,同时可以使USG9310/9320免受外界入侵。
混合模式:
USG9310/9320既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。
混合模式主要用于双机热备份应用,此时启动备份功能的接口需要配置IP地址,其它接口不配置IP地址。
4.3.2集成路由功能
USG9310/9320在提供丰富安全特性的同时,集成了部分路由能力,如静态路由及RIP(RoutingInformationProtocol)、OSPF(OpenShortestPathFirst)、BGP(BorderGatewayProtocol)动态路由,同时还支持路由策略、路由迭代和路由管理,从而使得USG9310/9320的组网应用更加灵活。
4.4增强的报文过滤
4.4.1更快捷的ACL查找
USG9310/9320不仅支持手工配置ACL规则,而且还支持动态添加/删除ACL规则。
另外,USG9310/9320基于TCAM技术进行ACL查找,在进行数万条ACL规则的查找时处理速度保持不变,从而确保了ACL查找的高速度,提高了系统整体性能。
4.4.2黑名单过滤恶意主机
USG9310/9320将某些可疑报文的源IP地址记录在黑名单列表中,系统通过丢弃黑名单用户的所有报文,从而有效避免某些恶意主机的攻击行为,这项功能就为用户群体广泛的服务商或企事业机构提供了安全保证。
USG9310/9320提供如下几种黑名单列表维护方式:
●手工添加黑名单记录,实现主动防御
●与攻击防范结合自动添加黑名单记录,起到智能保护
●系统根据ICMP(InternetControlMessageProtocol)、TCP(TransmissionControlProtocol)/UDP(UserDatagramProtocol)过滤情况维护黑名单列表
4.5多种NAT应用
地址转换NAT功能主要用于将私有网络地址转换为公有网络(Internet)地址,同时也可以提供“内部服务器”功能。
4.5.1地址转换
地址转换技术引入地址池的概念,在转换时,USG9310/9320从地址池中根据特定规则选择一个IP地址作为转换后的源地址,完成地址转换。
这个选择的过程对用户来讲是透明的。
地址转换包括两种形式:
●支持一对一的纯IP地址转换
●支持基于地址池的IP地址转换
●支持根据不同地址实施不同策略的地址转换
●支持结合地址和端口(TCP/UDP协议的端口信息)进行PAT转换(PortAddressTranslation)
●支持根据ACL规则进行地址转换
●支持端口级地址转换
4.5.2内部服务器
内部服务器是一种“反向”的地址转换,通过配置参数,使得某些私有地址的内部主机可以被外部网络访问。
内部网络的服务器是一台配置了私有地址的机器,可以通过NAT为这台主机映射一个合法的公网IP地址;或通过PAT为主机提供一个公网IP地址和端口,当外部用户访问该合法地址时,NAT或PAT网关(即USG9310/9320)就将该访问请求送到了内部服务器,这样就为外部网络提供了“内部服务器”。
4.5.3多种NATALG
NAT采用“注册”方式支持多种NATALG(ApplicationLevelGateway),包括:
●支持FTP协议的NATALG
●支持NBT(NetBIOSoverTCP)协议的NATALG
●支持ICMP协议的NATALG
●支持H.323(包括T.120、RAS、Q.931和H.245等)协议的NATALG
●支持SIP和MGCP协议的NATALG
●支持RTSP协议的NATALG
●支持HWCC协议的NATALG
●支持DNS(DomainNameSystem)协议的NATALG
●支持ILS协议的NATALG
●支持PPTP(PointtoPointTunnelingProtocol)协议的NATALG
●支持对腾讯公司的QQ聊天会话的NATALG
●支持Microsoft公司提供的MSNmessenger聊天会话的NATALG
通过“注册”方式支持特殊协议,使软件有良好的扩充性,无需更改软件构架,很容易支持新的协议。
4.6强大的攻击防范能力
随着Internet的广泛应用,网络攻击手段越来越高明,并且越加隐蔽。
按照攻击采用的方式,网络攻击大致可以分为:
病毒攻击、DoS(DenialofService)攻击、扫描窥探攻击、其它攻击。
USG9310/9320提供强大的攻击防范机制,对设备进行安全保护,防止非法报文对内部网络造成危害。
4.6.1防范蠕虫病毒
目前,对Internet危害最大的是蠕虫类病毒,每一次病毒发作时都开启大量的连接、耗费巨大的网络带宽,导致巨额的经济损失。
这类病毒种类繁多,目前包括RedCode、MSBlast、SoBig、NetSky等。
蠕虫病毒发作的特点是:
产生大量的连接去感染其他设备;蠕虫病毒将启动IP地址扫描/端口扫描以探测设备是否存在。
USG9310/9320根据蠕虫病毒的特点,设计了增强的流量监控/检测功能、增强的用户连接数检测功能、增强的防IP地址扫描、防端口扫描功能及增强的黑名单功能。
可以设定是否允许染毒用户继续通过,还是封闭该用户一段时间。
通过USG9310/9320的黑名单功能,可以提取出可疑的用户列表名单。
通过该名单,可以提供下一步的服务(如公告、在线杀毒等)。
4.6.2防范多种DoS攻击
通常,DoS攻击使用大量数据包(或某些畸形报文)来攻击系统,使系统无法正常响应合法用户的请求,或者导致主机挂起从而不能提供正常的工作。
DoS攻击和其他类型的攻击有显著的区别,即攻击者并不是去寻找进入内部网络的入口,