中低端系列统一安全网关 技术建议书 201.docx
《中低端系列统一安全网关 技术建议书 201.docx》由会员分享,可在线阅读,更多相关《中低端系列统一安全网关 技术建议书 201.docx(48页珍藏版)》请在冰豆网上搜索。
中低端系列统一安全网关技术建议书201
中低端系列统一安全网关
技术建议书
华为赛门铁克科技有限公司
2010-9-22
声明
本文档包含的所有信息属成都市华为赛门铁克科技有限公司专有。
仅供××有限责任公司(以下简称“××”)使用。
所有内容均为机密信息,若未事先征得华为赛门铁克科技有限公司的书面同意,××确认将不会泄露给其它公司或与此项目无关的任何个人。
××需确保遵守与此有关的法律、法规和条款,来谨慎地使用这些信息。
©2006成都市华为赛门铁克科技有限公司
版权所有,保留一切权利。
文档信息
资料编码
产品名称
中低端防火墙
使用对象
市场行销
产品版本
R5
编写部门
防火墙市场技术部
资料版本
V1.0
拟制:
日期:
2010-9-22
审核:
日期:
审核:
日期:
批准:
日期:
修订记录
日期
修订版本
作者
描述
2010-9-22
V1.0
创建
目录
目录i
1概述1
1.1网络安全1
1.2网络安全管理4
1.3VPN接入4
2××企业网络现状分析4
2.1××企业分支机构网络现状4
2.2××企业分支机构网络安全问题分析5
3××企业分支机构网络安全设计原则5
4华赛网络安全解决方案6
4.1××企业分支机构网络安全解决方案6
4.1.1大中型企业宽带接入解决方案6
4.1.2企业内部部署统一安全网关USG解决方案7
4.1.3企业出口部署USG解决方案8
4.1.4企业VPN解决方案9
4.1.5企业SSLVPN解决方案10
4.1.6虚拟防火墙解决方案11
4.1.7组播解决方案12
4.1.8TR069管理方案13
4.1.9MPLSL3VPN解决方案13
4.1.10IPv4向IPv6网络过渡解决方案14
4.2××企业分支机构网络安全设备选择15
5安全解决方案特点15
5.1××企业分支机构网络业务流分析15
5.2××企业分支机构网络安全解决方案优点15
6中低端系列统一安全网关16
6.1中低端系列统一安全网关简介16
6.2中低端系列统一安全网关功能特点16
6.2.1安全区域管理16
6.2.2安全策略控制17
6.2.3丰富的组网能力18
6.2.4强大的攻击防范功能21
6.2.5ASPF深度检测功能22
6.2.6NAT功能23
6.2.7多种的VPN功能26
6.3完善的IPV6功能28
6.3.1IPV6基本功能28
6.3.2IPv6过渡技术29
6.4强大的UTM功能31
6.4.1IPS31
6.4.2AV38
6.5完善的管理系统43
6.5.1丰富的维护管理手段43
6.5.2接受华赛SecospaceVSM的管理43
6.6日志系统43
6.6.1日志服务器43
6.6.2两种日志输出方式44
6.6.3多种日志信息44
6.7中低端系列统一安全网关规格45
6.7.1中低端系列统一安全网关规格45
7华赛服务49
7.1服务理念49
7.2服务内容49
7.3服务保障49
1概述
1.1网络安全
Internet由于其开放性,使得非常容易遭受攻击。
随着攻击手段的变化多样而且攻击工具更容易获取,以及基于僵尸网络DDoS攻击的出现,使得基于网络层的攻击层出不穷。
主要的攻击包括:
ARPFlood、ICMPFlood、IPSpoofing、UDPFlood、Synflood、Smurf攻击、Land攻击、超大ICMP攻击、Fragile攻击、PingofDeath、TearDrop、PingScan、PortScan、IP路由选项攻击、Tracert攻击等等。
网络层攻击的目标主要有三个:
带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。
带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽,导致网络带宽拥挤,正常业务受到影响;主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据;主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息,为下一步入侵提供必要的信息。
华赛针对上述安全需求推出中低端系列统一安全网关。
中低端系列统一安全网关基于华为专业的多核硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力、全面的状态检测防火墙特性,而且能够提供完备的地址转换(NAT)功能。
为了更好地满足企业的实际需要,中低端系列统一安全网关还支持丰富的多媒体协议和路由协议,组网方式灵活多样,是大中企业理想的网络安全防护设备。
除此之外,中低端系列统一安全网关还能够提供灵活的宽带接入、WLAN解决方案以及3G无线上网功能,全面满足大中企业的需求。
中低端系列统一安全网关包括USG2130、USG2130W、USG2160、USG2160W、USG2210、USG2220、USG2230、USG2250、USG5120、USG5150共10款产品。
USG2100系列和USG2200系列为1U标准机箱,前面板上带有1个console接口、1个USB接口、1FEWAN、8FELAN接口、1MicroSD接口。
Console口可以帮助用户登录设备进行故障检查、修改配置等。
USG2130系列同时还提供1个MIC卡插槽、1个Express插槽,USG2160系列同时还提供2个MIC卡插槽、1个Express插槽,USG2160的2个MIC卡插槽还可以当作一个DMIC插槽来使用,同时USG2130W、USG2160W是主机自带WIFI功能的产品,通过内置WIFI扣板,支持WIFI功能;
USG2210/2220/2230/2250系列为1U标准机箱,前面板上带有1Console接口、2个光电互斥GECombo接口、1个SD卡接口和2个USB接口。
Console口可以帮助用户登录设备进行故障检查、修改配置等。
同时USG2200系列还提供4个MIC卡插槽、2个FIC卡插槽;
USG5120为2U标准机箱,前面板上带有1个console接口、4个GE接口、1个SD卡接口和2个USB接口,其中2个为光电互斥GECombo接口,另外两个为GE电口。
Console口可以帮助用户登录设备进行故障检查、修改配置等。
同时USG5120还提供4个MIC卡插槽、2个FIC卡插槽和2个DFIC插槽;
USG5150系列为3U标准机箱,前面板上带有1个console接口、2个USB接口、4个光电互斥GECombo接口、1个SD卡接口和2个USB接口。
Console口可以帮助用户登录设备进行故障检查、修改配置等。
同时USG5150还提供4个MIC卡插槽、2个FIC卡插槽和4个DFIC插槽。
MIC卡插槽,用于插MIC接口卡,支持如下多种接口板:
1.5FE:
5端口百兆以太网交换电接口板;
2.1FE:
1端口百兆以太网电接口板;
3.1E1/CE1-1端口非通道化/通道化E1接口板;
4.1SA-1路同异步串口接口板;
5.2SA-2路同异步串口接口板;
6.1G.shdsl:
1路G.shdsl接口板;
7.2G.shdsl:
2路G.shdsl接口板;
8.4G.shdsl:
4路G.shdsl接口板;
9.13G-WCDMA:
1端口3G-WCDMA业务板,提供WCDMA接入;
10.13G-CDMA2000:
1端口3G-CDMA2000业务板,提供CDMA2000接入;
11.13G-TD-SCDMA:
1端口3G-TD-SCDMA业务板,提供TD-SCDMA接入;
12.1ADSL2+:
ADSL2+多PVC功能接口板,用于ADSL接入,支持多PVC功能;
13.WIFIMIC卡:
用于提供WIFI无线接入,支持IEEE802.11b、802.11g、802.11n,支持802.11b/g/n混合,支持802.11a/n混合,提供无线局域网(WLAN)服务。
FIC卡插槽,用于插FIC接口卡,,支持如下多种接口板:
1.1GE:
1端口千兆以太网电接口板(RJ45);
2.4GE:
4端口千兆以太网电接口板(RJ45);
3.2FE(RJ45)+2FE(RJ45&SFP):
4端口百兆以太混合接口板,两侧的FE接口为光电互斥COMBO接口;
4.2E1/CE1:
2端口非通道化/通道化E1接口板;
5.4E1/CE1:
4端口非通道化/通道化E1接口板;
6.8E1/CE1:
8端口非通道化/通道化E1接口板;
DFIC卡槽位,用于插FIC卡或DFIC卡,DFIC卡支持多种接口板:
1.16GE(RJ45)+4GE(SFP):
20端口千兆以太网混合接口板是用于SRG系列的千兆以太网接入模块,包含16个GE电口和4个GE光口接口;
2.18FE(RJ45)+2GE(SFP):
18端口百兆2端口千兆以太网混合接口板(RJ45)是用于SRG系列的百兆以太网接入模块,包含18个FE电口和2个光口接口;
3.增强服务平台企业版-X86主板:
X86主板是用于USG系列的业务处理硬件平台:
X86主板是用于USG系列的业务处理硬件平台,可为用户提供开放的软件业务
4.增强服务平台-X86主板:
用于USG的业务处理硬件平台,可为用户提供开放的软件业务
这些卡能够支持不同的上行链路,支持二层交换,用户可以根据组网和应用需要进行灵活选配。
除上述接口外,面板还提供1个一键恢复按钮,用于恢复出厂默认配置和故障时复位操作,方便用户使用。
中低端系列统一安全网关采用集成的软件和硬件平台,采用了专有的、实时的操作系统,可以灵活的划分安全区域,不仅能设置为预定义的受信区、非受信区或者DMZ(demilitarizedzone)区,还可以自定义为其他安全级别的区域。
当数据在分属于两个不同安全级别的接口之间流动的时候,会激活防火墙的安全规则检查功能。
中低端系列统一安全网关支持丰富的路由特性,QoS特性,以及安全特性,能够满足用户多种组网需求、重要业务优先保证、支持NAT,提供多种攻击防范技术,满足用户灵活、方便、安全的组网需要。
中低端系列统一安全网关提供命令行管理、web管理,和一键恢复机制,极大地方便了用户的管理和配置。
1.2网络安全管理
网络安全安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分,使得在网络安全运行的基础上,促进企业自身的信息安全管理水平,更好的保证企业正常运作。
安全区域指的是在网络中拥有相同网络资源访问权限的主机集合,安全区域的划分主要依据企业内部部门的划分,例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。
将一个企业进行清晰的安全区域划分,大大简化了企业的网络资源控制与管理,在此基础上,实施适合企业管理要求的安全策略管理,提高企业信息安全管理水平。
1.3VPN接入
VPN技术是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性。
企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是企业传输数据非常理想的选择。
企业办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络,那么分之机构网络中的每个主机需要单独拨号接入,VPN接入不可控造成内部网络安全隐患,同时也大量消耗企业总部VPN网关隧道资源;如果采用单独的VPN网关与企业总部网关建立VPN隧道,又面临投资过大的问题。
华赛公司推出的USG系列统一安全网关能够有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾,配合华赛公司全系列的VPN设备为企业提供完善的VPN安全解决方案。
2××企业网络现状分析
[通过与××企业进行深入的交流,我们对其网络进行了充分的了解与分析。
……]
2.1××企业分支机构网络现状
[此部分主要包括两个部分:
1.××企业分支机构内部网络拓扑图,如果企业是新建网络则略。
2.××企业分支机构内部网络承载的业务,主要是内部业务以及出口到企业总部网络业务、Internet出口业务。
使得客户对网络安全问题理解的更加清晰]
2.2××企业分支机构网络安全问题分析
[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出):
1.××企业分支机构需要支持PPPoE拨号网关功能
2.××企业分支机构需要支持PPPoE+VPN一体化拨号网关功能
3.××企业分支机构需要支持VPN私网工作区域以及公网资料查询区域的隔离
4.××企业分支机构网络出口安全隐患:
网络攻击(DoS攻击、IPSpoofing等),黑客端口扫描,蠕虫病毒;
5.××企业分支机构内部网络内部安全区域的划分问题:
不同部门安全网络资源权限管理;
6.××企业分支机构内部服务器保护:
DMZ区域的FTP、数据库服务器保护
7.××企业分支机构业务安全隐患:
需要对不同安全区域的业务进行过滤,丰富××企业分支机构管理手段
8.××企业分支机构IP地址缺乏的问题:
需要进行NAT转换,灵活的转换策略,不影响原有业务。
3××企业分支机构网络安全设计原则
根据××企业和分支机构对网络安全的需求以及华为公司对网络安全的积累,我们提出××企业分支机构网络安全设计必须满足以下原则:
1.先进性原则:
××企业分支机构网络中的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
2.稳定性:
××企业分支机构网络是其信息化的基础,网络的稳定性至关重要;网络安全设备由于部署在关键节点,成为网络稳定性的重要因素。
3.可扩展性:
××企业分支机构处在发展阶段,其网络也会不断的扩充变化,要求在保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。
4.开放兼容性:
××企业分支机构采用的安全产品设计规范、技术指标符合国际和工业标准,支持多厂家产品,从而有效的保护投资。
5.安全最小授权原则:
××企业分支机构的安全策略管理必须遵从最小授权原则,即不同安全区域内的主机只能访问属于相应网络资源,对××企业分支机构的网络资源必须完全等到控制保护,防止未授权访问,保证××企业分支机构的信息安全。
4华赛网络安全解决方案
4.1××企业分支机构网络安全解决方案
[根据对××企业的需求分析选择以下的一个方案或者进行方案综合]
4.1.1大中型企业宽带接入解决方案
如上图所示,USG系列统一安全网关部署在网络出口:
Ø提供Internet接入,提供E1、FE、GE、ADSL、3G、SA、G.SHDSL等多种接入方式;
Ø提供路由、交换、安全以及无线等功能;
Ø提供带宽管理管理功能,为用户上网提供带宽保证。
Ø提供出口网络攻击防范功能;
Ø提供企业网络安全域管理功能;
Ø支持企业内部DMZ管理功能;
Ø提供ACL对IP、端口的限制功能;
Ø提供内部网络的NAT/PAT地址转换功能;
Ø提供FTP、H.323、SIP、RTSP、MSN、QQ等应用业务的过滤、地址转换(NATALG)功能;
4.1.2企业内部部署统一安全网关USG解决方案
企业网的安全防护以前采用的主要措施为:
Ø实现内部网络的VLAN隔离,限制一些主机的可访问资源;
Ø对于重要的服务器安装基于主机的IDS软件,识别各种攻击;
现在可以在企业内部网的重要节点安装一台企业网关,它可以工作在透明模式也可以工作在路由模式,方便各种组网需求。
企业网关的主要功能为:
Ø隔离企业内部各个部门,可以为不同部门设置不同安全级别。
通过域间报文过滤功能实现各个部门之间的访问策略,也可以防范某些内部用户发起的针对其他区域内设备的各种攻击。
Ø保护企业内部的一些重要服务器,控制公司各个部门和公司外部对这些重要资源的访问,防范针对这些服务器的各种攻击。
Ø通过企业网关和IDS联动,可以充分利用专用IDS软件的功能,对流经网络的报文进行详细的分析与检查,探测各种可能的异常情况和攻击行为,并通过企业网关进行实时的响应。
4.1.3企业出口部署USG解决方案
Ø对来自外部网络和内部网络的各种攻击进行防范。
可以利用IDS和华赛企业网关的联动措施,主动更新企业网关的规则,主动防御。
通过华赛企业网关的攻击防范能力,保障内网的资源安全。
Ø完成NAT地址转换功能。
公司内部特定的用户可以访问Internet、电子商务、网上银行等网络,有效控制了内部主机对外部资源的访问,形成内外网络之间的安全保护屏障。
外地办事处机构或可信合作伙伴能通过企业网关访问位于DMZ区的内部服务器主机(如WWW、FTP等服务器),但不能访问其它内部资源。
屏蔽其它外部用户对公司内部和DMZ区的任何资源的访问,从而保护内部网络免遭外来攻击。
Ø提供高效的日志服务功能,可以满足用户对攻击、流量监控、会话流信息等日志信息进行记录。
Ø企业网关可以工作在透明模式、路由模式,可以满足用户的组网灵活性。
Ø企业网关支持双机热备组网,提高链路的可靠性。
4.1.4企业VPN解决方案
中低端系列统一网关支持丰富的VPN特性,支持L2TP、GRE、IPSec协议,提供全面的AccessVPN、IntranetVPN、ExtranetVPN解决方案。
中低端统一安全网关可以通过硬件加密(DES、3DES和AES),提供IPSec(IPSecurity)安全机制,为通讯双方提供访问控制、无连接完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
上图为企业VPN解决方案,在企业总部、分支机构出口部署防火墙作为VPN网关,形成企业的Intranet网络,主要实现以下功能:
Ø出差员工的移动办公。
中低端系列统一安全网关支持L2TP、IPSec方式的AccessVPN功能,为企业出差员工提供随时、随地的VPN接入功能,提高工作效率并节省通信费用。
Ø分支机构和企业总部实现VPN对接,保障数据传输安全,方便企业内部资源共享。
中低端系列统一安全网关内置DES、3DES、AES,提供高性能的VPN硬件加密功能,满足Site-to-SiteVPN要求。
4.1.5企业SSLVPN解决方案
Ø对用户进行全面的身份认证、访问授权以及行为审计,充分保证用户身份的合法性,实现灵活细致的访问控制策略。
Ø对远程用户与企业内网之间的传输数据进行强加密,保护敏感信息,杜绝了有效信息的泄露。
Ø对广泛的远程访问业务提供支持,包括对web资源、文件系统、多种C/S应用以及与应用无关的全IP层业务访问。
Ø无需管理员大费周章地为用户安装、配置和维护客户端软件,用户只需要标准浏览器,就能实现访问,有效提高移动办公人员(如出差员工)的工作效率。
Ø提供虚拟网关功能,能够为企业的不同部门、不同的用户群组提供独立的访问体
Ø提供详细的日志功能,便于对用户/管理员的操作行为进行实时的审计与管理。
4.1.6虚拟防火墙解决方案
USG2200系列和USG5100系列支持虚拟防火墙特性,最大100个。
每个虚拟防火墙均可以独立支持TRUST、UNTRUST、DMZ、VZONE8个安全区域,接口灵活划分和分配。
典型的应用是VPN环境,虚拟防火墙的每个用户管理员可独立配置防火墙,例如去开通一个VPN链路,就象操作本地防火墙一样。
Ø资源独立分配,每个虚系统的转发表项等资源是独立分配的,这样从技术根本就保证了每一个虚系统和一个独立防火墙从实现上是一样的。
而且非常安全,各个虚系统之间是无法直接访问的。
只有在虚系统之间引入了对方的某些路由,才可以使得虚系统之间是可以通信的。
Ø引入了VZONE(虚拟安全区域)的概念,VZONE是虚系统之间访问的策略配置的必要关口,每个虚系统都有一个VZONE。
需要互通的两个虚系统之间只有都打开VZONE对应的安全策略,才可能保证两个安全区域之间的访问。
这样就大大增加了虚系统之间的安全。
Ø所有的安全业务都可以针对虚系统独立配置。
例如,包过滤、NAT、攻击防范等等。
这样在用户使用虚系统服务的时候,也可以同时享受各种Eudemon所能提供的各种安全业务。
Ø每个虚系统提供独立的管理员权限,针对虚系统的管理员只能管理本虚系统的相关配置,也只能看到自己虚系统的配置。
对虚系统管理员而言,他只能看见一个虚拟独立的防火墙配置。
4.1.7组播解决方案
中低端系列统一网关支持组播协议,包括:
IGMP、PIM-DM/SM、MSDP、MBGP等;
Ø支持多个组播协议间的互操作性;
Ø支持组播路由策略处理;
Ø所有接口类型支持组播,包括:
子接口、Trunk接口以及RPR接口
Ø高速端口组播线速转发
Ø支持可控组播,提供组播效率和安全性
4.1.8TR069管理方案
Ø首先要打通上行物理通道,然后SRG发送DHCP请求,DHCPServer通过optioin43下发ACS的ip地址或者URL以及SRG自身的IP地址;
ØSRG获取到自身IP地址以及ACS地址后,就可以向ACS注册,注册的时候需要携带自身唯一的标识SN。
Ø如果DHCPServer下发的是ACSURL,那么上层网络还需要有DNS服务器的支持才行。
4.1.9MPLSL3VPN解决方案
MPLS无缝地集成了IP路由技术的灵活性和ATM标签交换技术的简捷性。
MPLS在无连接的IP网络中增加了面向连接的控制平面,为IP网络增添了管理和运营的手段。
USG2100/2200/5100支持MPLSL3VPN功能,USG2100/2200/5100既可以做PE设备,也可以做P设备。
Ø支持VRF的路由表多实例
Ø支持CE以多种方式、多种接口接入PE,如Ethernet、POS、ATM、VLAN等方式
Ø支持L2TP方式接入VPN
Ø支持IPSEC方式接入VPN
Ø支持灵活的VPN组网,包括跨域、“运营商之运营商”等
Ø基于标准协议,能全面与其他主流厂家互通
Ø支持CE-PE间静态路由或动态路由协议
4.1.10IPv4向IPv6网络过渡解决方案
目前还存在大量的IPV4网络,随着IPV6的部署,很长一段时间是IPV4与IPV6共存的过渡阶段,VxR5版本支持多种IPV4向IPV6网络过渡解决方案,主要包括双栈技术、隧道技术以及IPV4/IPV6协议转换技术。
Ø双栈技术:
USG2100/2200/5100与IPV4节点通讯时使用IPV4协议栈,与IPV6节点通讯时使用IPV6协议栈;USG2100/2200/5100双栈节点具有三种工作模式:
只运行IPv6协议,表现为IPv6节点;只运行IPv4协议,表现为IPv4节点;双栈模式,同时打开IPv6和IPv4协议。
Ø隧道技术:
提供两个IPV6站点之间通过IPV4网络实现通讯连接,以及两个IPV4站点之间通过IPV6网络实现通讯连接的技术
升级会员 