防火墙解决方案.docx

1、防火墙解决方案大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案，在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高平安性的需求，在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的根底上为用户节约投资本钱。另一方面，神州数码DCFW-1800系列防火墙还内置了VPN功能，可以实现利用Internet构建企业的虚拟专用网络。 防火墙VPN解决方案 作为增值模块，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用因特网InternetIPSEC通道为用户提供具有XX性，平安性，低本钱，配置简单等特性的虚拟

2、专网效劳，也可以为移动的用户提供一个平安访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性： 标准的IPSEC,IKE与PPTP协议 支持Gateway-to-Gateway网关至网关模式虚拟专网 支持VPN的星形star连接方式 VPN隧道的NAT穿越 支持IP与非IP协议通过VPN 支持手工密钥，预共享密钥与X.509 V3数字证书,PKI体系支持IPSEC平安策略的灵活启用：管理员可以根据自己的实际需要，手工制止和启用单条IPSEC平安策略，也为用户提供了更大的方便。 支持密钥生存周期

3、可定制 支持完美前项XX 支持多种加密与认证算法： 加密算法：DES, 3DES,AES,CAST,BLF，PAP，CHAP 认证算法：SHA, MD5, Rmd160 支持Client-to-Gateway移动用户模式虚拟专网 支持PPTP定制：管理员可以根据自己的实际需要，手工制止和启用PPTP。 防火墙双机热备方案 为了保证网络的高可用性与高可靠性，神州数码DCFW-1800E防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置一样的防火墙。正常情况下主防火墙处于工作状态，另一个防火墙处于备份状态，称为从防火墙。当主防火墙发生意外down 机、网络链路发生故障、硬件故障等情况时，从

4、防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于1秒。 网络平安解决方案 神州数码网络平安解决方案主要由防火墙、入侵检测、防病毒等平安产品以及平安系统集成效劳构成。 由于神州数码DCFW-1800E防火墙支持流量映射功能，也就是说防火墙的HA接口可以复制其他网络接口的流量，因此入侵检测设备可以方便的接入网络，同时神州数码DCFW-1800系列防火墙支持与第三方IDS的联动。 防病毒方案由四局部构成，即客户机防病毒、效劳器防病毒、网关防病毒和防病毒产品管理控制台。管理控制台负责病毒代码、引擎、防病毒程序的升级和更

5、新，管理策略、病毒扫描配置等的分发。 平安系统集成效劳包括两个方面，一方面，是指对不同类平安产品如防火墙、防病毒等产品的安装、配置和维护，另一方面，是在漏洞扫描和平安评估的根底上对用户的网络进展平安性增强配置效劳。 平安性增强配置效劳主要包括网络设备的平安性增强配置、主机操作系统的平安性增强配置、应用系统平安性增强配置等。企业平安解决方案 Netscreen防火墙Netscreen防火墙是一种高性能的硬件防火墙，与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙，而Netscreen防火墙那么是由ASIC芯片来执行防火墙的策略和数据加解密，因此速度比其

6、它防火墙要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙，对于大部份的应用Netscreen防火墙是监测整个通讯状态，如果发现通讯状态不正常便拒绝进入受保护的内部网络，对于FTP或H322等通讯状态不好跟踪的效劳Netscreen防火墙通过应用代理来确保效劳平安。Netscreen防火墙有三大功能： 、 防火墙 、 、 流量分配和负载均衡Netscreen防火墙在企业网络中的位置图一 一、Netscreen防火墙外部特点 Netscreen防火墙有三个以太网接口：DMZ接口、Trust接口、Untrust接口。如下图，Trust接口连承受保护的内部网，Untru

7、st连接外部网如Internet，DMZ接口连接公司的对外的效劳器如Mail server，WEB Server等。 从平安等级来看，Trust接口平安性最高，DMZ第二，最后是Untrust。二、Netscreen防火墙在企业网络中能实现的平安保护功能防火墙 防黑客攻击。Netscreen防火墙位于内部网和外部网络之间，物理上起着隔离内网和外网的作用。独有的ScreenOS底层操作系统提供了抵抗各种网络攻击的能力；经ICSA的测试Nets-creen防火墙能抵挡所有的网络攻击，并且ScreenOS是可升级的。 网络地址翻译NAT。通过NAT将内部不合法的IP地址翻译成外部Untrustd的合

8、法地址，隐藏了内部网络构造，从而使攻击者不易找到攻击目标；同时也将内部的不合法的地址映射成外部合法地址，如netscreen防火墙将WEB Server的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问访问192.168.1.1。 访问控制。在防火墙上设置策略，需要的应用或效劳翻开，如HTTP，DNS，SMTP，FTP等。其它的那么不允许通过。这样能大大减少不必要的网络流量及平安风险。强大的VPN虚拟专用网功能 Netscreen能根据不同的需XX现不同的VPN功能，实现方式有两种：企业到企业 如下图:如果企业有几个不同的

9、网络位于不同的地点，不同网络之间的互访通过Internet进展，在Int-ernet上传输的数据是明文。企业到企业VPN方式就是通过两个Netscreen防火墙将一个企业的两个不同地点的网络连起来，在连接两个网络之间的公网上建立一个VPN加密通道。企业到桌面或用户这种方式就是在用户端的计算机内安装一个由Netscreen提供的VPN的客户端软件，用户通过拨号上网在用户端和公司网络边界上的防火墙建立VPN通道。如下图：流量控制及负载均衡 Netscreen防火墙能为公司不同部门或不同的效劳器分配带宽以保证关键应用效劳器或用户的带宽。流量控制：假设实际带宽为100兆，可以在防火墙上定义市场部访问I

10、nternet的带宽为20兆，财务部访问Internet的带宽为10兆。也可为Internet 访问公司对外的WEB效劳器分配带宽。 负载均衡 负载均衡实现过程如下： 企业内部网络有三个WEB效劳器，每个效劳器内容完全一样，每个效劳器的内部IP地址不同。Netscreen防火墙将三个内部地址映射为一个外部地址202.96.23.10，Interent的用户在访问外部地址时，防火墙将根据预先设定的算法将外面进来的效劳请求转发给其中一台效劳器。负载均衡可以最大限度地发挥WEB效劳器使用效率，提供最大的访问带宽。cisco四种网络防火墙技术汇总我们知道防火墙有四种类型：集成防火墙功能的路由器，集成防

11、火墙功能的代理效劳器，专用的软件防火墙和专用的软硬件结合的防火墙。Cisco的防火墙解决方案中包含了四种类型中的第一种和第四种，即：集成防火墙功能的路由器和专用的软硬件结合的防火墙。一、 集成在路由器中的防火墙技术1、 路由器IOS标准设备中的ACL技术ACL即Access Control Lis t(访问控制列表)，简称Access List(访问列表)，它是后续所述的IOS FirewallFeature Set的根底，也是Cisco全线路由器统一界面的操作系统IOS(InternetOperation System，网间操作系统)标准配置的一局部。这就是说在购置了路由器后，ACL功能已经

12、具备，不需要额外花钱去买。2、 IOS Firewall Feature Set(IOS防火墙软件包)IOS Firewall Feature Set是在ACL的根底上对平安控制的进一步提升，由名称可知，它是一套专门针对防火墙功能的附加软件包，可通过IOS升级获得，并且可以加载到多个Cisco路由器平台上。目前防火墙软件包适用的路由器平台包括Cisco 1600、1700、2500、2600和3600，均属中、低端系列。对很多倾向与使用all-in-one solution(一体化解决方案)，力求简单化管理的中小企业用户来说，它能很大程度上满足需求。之所以不在高端设备上实施集成防火墙功能，这是

13、为了防止影响大型网络的主干路由器的核心工作-数据转发。在这样的网络中，应当使用专用的防火墙设备。Cisco IOS防火墙特征：l 基于上下文的访问控制(CBAC)为先进应用程序提供基于应用程序的平安筛选并支持最新协议l Java能防止下载动机不纯的小应用程序l 在现有功能根底上又添加了拒绝效劳探测和预防功能，从而增加了保护l 在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息l TCP/UDP事务处理记录按源/目的地址和端口对跟踪用户访问l 配置和管理特性与现有管理应用程序密切配合二、 专用防火墙-PIXPIX(Private Internet eXchange)属于四类防火墙

14、中的第四种-软硬件结合的防火墙，它的设计是为了满足高级别的平安需求，以较好的性能价格比提供严密的、强有力的平安防范。除了具备第四类防火墙的共同特性，并囊括了IOS Firewall Feature Set的应有功能。PIX成为Cisco在网络平安领域的旗舰产品已有一段历史了，它的软硬件构造也经历了较大的开展。现在的PIX有515和520两种型号(520系列容量大于515系列)，从原来的仅支持两个10M以太网接口，到10/100M以太网、令牌环网和FDDI的多介质、多端口(最多4个)应用;其专用操作系统从v5.0开场提供对IPSec这一标准隧道技术的支持，使PIX能与更多的其它设备一起共同构筑起

15、基于标准VPN连接。Cisco的PIX Firewall能同时支持16，000多路TCP对话，并支持数万用户而不影响用户性能，在额定载荷下，PIX Firewall的运行速度为45Mbps，支持T3速度，这种速度比基于UNIX的防火墙快十倍。主要特性：l 保护方案基于适应性平安算法(ASA)，能提供任何其它防火墙都不能提供的最高平安保护l 将获专利的切入代理特性能提供传统代理效劳器无法匹敌的高性能l 安装简单，维护方便，因而降低了购置本钱l 支持64路同时连接，企业开展后可扩大到16000路l 透明支持所有通用TCP/IPInternet效劳，如万维网()文件传输协议(FTP)、Telnet、

16、Archie、Gopher和rloginl 支持多媒体数据类型，包括Progressive网络公司的Real Audio，Xing技术公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2l 支持H323兼容的视频会议应用，包括Intel的Internet Video Phone和Microsoft的NetMeetingl 无需因安装而停顿运行l 无需升级主机或路由器l 完全可以从未注册的内部主机访问外部In

17、ternetl 能与基于Cisco IOS的路由器互操作 三、 两种防火墙技术的比拟IOS FIREWALL FEATURE SET PIX FIREWALL网络规模 中小型网络，小于250节点的应用。 大型网络，可支持多于500用户的应用工作平台 路由器IOS操作系统 专用PIX工作平台性能 最高支持T1/E1(2M)线路 可支持多条T3/E3(45M)线路工作原理 基于数据包过滤，核心控制为CBAC 基于数据包过滤，核心控制为ASA配置方式 命令行或图形方式(通过ConfigMaker) 命令行方式或图形方式(通过Firewall Manager)应用的过滤 支持Java小程序过滤 支持J

18、ava小程序过滤身份认证通过IOS命令，支持TACACS+、RADIUS效劳器认证。 支持TACACS+、RADIUS集中认证虚拟专网(VPN) 通过IOS软件升级可支持IPSec、L2F和GRE隧道技术，支持40或56位DES加密。 支持Private Link或IPSec隧道和加密技术网络地址翻译(NAT) 集成IOS Plus实现 支持冗余特性 通过路由器的冗余协议HSRP实现 支持热冗余自身平安 支持Denial-of-Service 支持Denial-of-Service代理效劳 无，通过路由器的路由功能实现应用 切入的代理效劳功能管理 通过路由器的管理工具，如Cisco Works

19、 通过Firewall Manager实现管理审计功能 一定的跟踪和报警功能 状态化数据过滤，可通过Firewall Manager实现较好的额监控、报告功能威达电完整的硬件防火墙解决方案一、前言随着网络的飞速开展,网络平安越来越显得重要，防火墙是网络平安的一个重要组成局部。一般来讲，大中型机构/企业在网络化过程中面临的平安问题可包括网络系统平安和数据平安。针对网络系统平安方面，机构/企业需要防止网络系统遭到没有授权的存取或破坏以及非法入侵；在数据平安方面机构/企业那么需要防止机要、敏感数据被窃取或非法复制、使用等。各类计算机病毒、系统陷阱TrapDoors、隐蔽访问信道、黑客攻击等造成敏感数

20、据泄密、Web站点瘫痪等等问题，都是企业/机构实现网络化面临的外部威胁。如何搭建平安的网络架构，如何将非法入侵者拒之门外、如何防止主页被非法篡改，这些都是企业/机构在进展网络化过程中必须解决的问题。 二、威达电为您提供完整的硬件防火墙解决方案1、多网口硬件平台解决方案现今在防火墙应用硬件方面，对系统的稳定性、高效性、兼容性都有很高的要求。为了保证企业内部与外部之间，企业内部各部门与部门之间的平安性，对防火墙所要求支持的网路数目也是越来越多。采用ICP的防火墙系统能够满足不同客户多层次的要求。 硬件平台提供NOVA-7897防火墙系统优点专门为防火墙设计的多网路功能，支持26个网路。并采取弹性的

21、设计，系统在两个网路的根底上，可根据需要通过加装LM-2G模块扩大出两个千兆以太网路，通过加装LM-102模块扩大出两个10/100M以太网路，因而最多可达6个网路，不仅能保证企业内部与外部之间的平安性，还能保证企业内部各部门与部门之间的平安性，满足不同客户多层次的要求。支持Intel Celeron/P甚至最新的Intel P Tualatin的CPU，133MHz外频，最大可以支持1.2GHz能满足低阶及高阶防火墙配置的不同需求。内存支持最大可到达512MB，即使在多个I/O设备同时工作时也能保证系统的高效能性。系统采用最新的Intel 815E高性能芯片组，使系统对Windows NT、

22、Windows 2000、Windows XP、Linux、UNIX、Netware等多种操作系统平台都具有良好的兼容性，从而保证了系统的稳定性。系统集成多项I/O设备端口：外建端口有一个VGA接口分辨率最大能到达1600X1280、1个RS-232串行通讯接口、1个打印机接口。内建端口有1个RS-232串行通讯接口、1个红外线传输端口、2个USB接口。集成声卡，支持ATA-100规格IDE设备。提供软件可编程看门狗功能，在系统死机时能自动重启从而保证系统的平安性。系统功能齐全，使客户无需再额外添置设备。 威达电能为客户系统量身定做1U、2U及4U厚度机箱，从而充分利用效劳器机箱内的有限空间。

23、机箱前端面板独一无二的LCD模组设计，能给客户提供包括可修改效劳器名称、IP地址、系统时间、报警信息等设置在内的可编程显示界面。并设计有温度感应及风扇监视器，便于管理员随时掌握系统的状况。采用冗余电源可拔插式设计，能够保证系统超长时间工作不当机，并且易于系统的管理与维护。2、标准型硬件平台解决方案： 硬件平台推荐 ISS-102系列:低功耗GX-300处理器,有效的降低了系统的发热量 SO-DIMM插槽,最高支持128M SDRAM支持CRT和LCD显示,满足客户对不同显示设备的要求 3个RJ45头以太网络接口,使用3颗Intel 82559(或RTL8139C芯片),让客户有更多的选择.软件

24、可编程看门狗功能，防止客户系统一直处于当机状态机箱EB-3800:专门为ISS-102设计的EB-3800机箱 220字符的A78 LCD显示模块，让日常维护变得更容易同时带有电源，报警,网络和硬盘指示灯，让您轻松了解系统的运行状况内置一个2.5硬盘驱动器3、简易型硬件平台解决方案随着Internet的开展和网络的不断延伸，黑客的活动变得日益频繁。在这种情况下，即使是一些规模很小的企业也不能幸免于黑客的攻击。为了保护自己的信息不受损害，人们不得不借助防火墙系统来抵御黑客的进攻。防火墙通常作为一个局域网的入口，能够为这个局域网提供信息保护功能。构造一个防火墙系统通常需要有足够的资金和完善的技术作

25、为保障，而很多小型IT公司却无法具备这样的条件。IEI为解决这样的难题提供了可行性的硬件平台。硬件平台推荐ROCKY-3782EV提供了两个10/100M网络接口,防止了因为网口缺乏而外接网络卡而产生兼容性和稳定性的疑虑。两个网路均用Intel82559芯片,保证了网络运行的稳定性。采用Intel810芯片组,为系统的稳定性提供最大限度的保障。 Socket-370架构，133M外频.支持Celeron / PentiumIII处理器。最大支持 562M内存,完全能满足客户对系统高性能的要求。 2个168-pin DIMM插座，最高支持512MB SDRAM两个IDE接口，支持DMA66传输模

26、式软件可编程看门狗功能，防止客户系统一直处于当机状态EC-1010机箱: 1U高度机箱,可节省空间,独一无二的前置2x20 LCD模组，给客户提供了包括修改效劳器名称、系统 时间,报警信息等可编程显示接口内建A106报警卡,可监测温度及风扇转速,同时具备扩展看门狗功能,能随 时监视用户系统是否正常工作两个3.5”硬盘空间-铝制可移动式硬盘架可保证良好的散热效能两个IDE HDD接口：支持ATA66传输模式电源：可插拔式设计，维护方便4、其它硬件平台产品推荐:1、ROCKY-3732EVS：Socket370架构双CPU卡，支持Intel Celeron/P，外频最大到133MHz，内存最大支持

27、2GB， 系统芯片组VIA VT/82C694X/VT82C686B，两个10M/100M以太网，自带显卡、音频及SCSI功能。2、ROCKY-3703EVR：Socket370架构CPU卡，支持Intel Celeron/P，外频最大到133MHz，内存最大支持1.5GB， 系统芯片组VIA PM133，两个10M/100M以太网，自带显卡、音频及RAID功能。?3、Rocky-3742EVFG：Socket370架构双CPU卡，支持Intel Celeron/P，外频最大到133MHz，内存最大支持2GB， 系统芯片组VIA VT/82C694X/VT82C686B，一个千兆以太网及一个10M/100M以太网,自带显卡、音频功能。欢送随时致电或通过电子与威达电联络，威达电CRM及业务人员均将秉以客为尊之热忱，为您效劳。