WatchGuard UTM VPN网络技术方案v01.docx

1、WatchGuard UTM VPN网络技术方案v01WatchGuard UTMVPN网络技术方案银兴科技QQ2236294174目 录第一章 XXX VPN网络需求分析 - 1 -第二章 VPN网络整体方案设计 - 2 -2.1. 技术选型分析 - 2 -2.2. 技术选型结论 - 3 -2.3. 产品选型分析 - 4 -2.4. 产品选型结论 - 5 -2.5. 设备部署及实施 - 5 -第三章 推荐设备型号清单 - 6 -第四章 WatchGuard UTM VPN的主要优势 - 7 -第五章 WatchGuard主要功能简介 - 8 -5.1. 基于ILS核心的预防御保护 - 8 -

2、5.2. 集成防火墙/VPN功能 - 8 -5.3. 全面的网络安全管理 - 9 -5.3.1. 生成网络活动报告 - 9 -5.3.2. 网络活动实时监控 - 10 -5.3.3. 多种告警方式 - 10 -5.4. 高级附加安全功能 - 10 -5.4.1. 网关防病毒/入侵防御 - 11 -5.4.2. Web访问过滤和控制 - 11 -5.4.3. 垃圾邮件过滤 - 12 -第六章 WatchGuard公司简介 - 13 -第一章 XXX VPN网络需求分析本段主要描述以下内容：1、 用户现有网络应用情况：拓扑、网络规模、主要应用等；2、 面临哪些VPN方面的问题？有哪些明确的VPN组

3、网需求？为准确、详细的描述以上问题，这部分资料和信息需要和用户进行深入沟通！示例：XXX是一个特大型的XXXX企业，主要经营石油、天然气勘探、开发、生产、炼制、储运、销售等业务，是一个按照现代企业制度运作，跨地区、跨行业、跨国经营的综合性公司。XXX在XX省各地分布着大量分支机构，本次项目的目标就是要组建一个安全、可靠、易维护的VPN网络，将省内的约400个分支机构和省中心连接在一起。省中心和各分支节点均已接入Internet，省中心有固定公网IP，各分支节点则通过512K ADSL链路拨号接入Internet，每个分支节点约有2-5台联网PC。组建VPN网络的主要用途是用于中心节点和各分支节

4、点之间安全、可靠、可控的传输数据。VPN网络建成后，既要能满足省中心定时安全访问分支节点硬盘录像资料的需求，又要保证省中心可以实时、安全、快速的完成各分支节点设备的远程管理。考虑到分支节点没有专业IT人员，各分支节点又分布广泛，VPN网络的可靠性、简易性、可维护性将是本次项目需要重点考虑的一个内容。第二章 VPN网络整体方案设计2.1. 技术选型分析VPN技术可利用廉价的Internet资源构建等同于专线的连接链路，同时保持高度的安全性、可靠性和强大的扩展性。它兼备了公众网和专用网的许多特点，将公众网可靠的性能、丰富的功能与专用网的灵活、高效结合在一起，能够充分利用现有网路资源，提供经济、灵活

5、的连网方式，为客户节省设备、人员和管理所需的投资，降低用户的电信费用，因此已经成为一种成熟的主流连接手段。本次项目，我们推荐选用的是基于IPSec VPN的联网技术。IPSec (Internet协议安全)是一个工业标准网络安全协议，由IPSec协议提供隧道安全保障，提供所有在网络层上的数据保护，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec VPN是基于IPSec协议的VPN产品，不受接入带宽限制，通过在Internet上利用安全、认证、加密等技术建立企业的专用线路，也就是一个安全的网络隧道（TUNNEL），在降低联网费

6、用的同时，确保信息的安全性、完整性和真实性，它可以提供与昂贵的专线（DDN）类似的安全性，可靠性，可管理性和优先级别。IPSec VPN在提供工业级高安全性的同时，还具备以下突出的优势和特点： 高安全性：IPSec VPN 的显著特点就是它的安全性，通过高强度的加密、认证算法，集成的防火墙，应用层安全防护，结合RADIUS、LDAP、SecurID等多种身份认证方式，有效保证了VPN网络的整体安全；另外，分支节点VPN终端利用内置的防火墙功能，可以同时控制分支节点PC对Internet和VPN网络的访问，限制其访问的网络和应用，在确保安全的同时，也提供了足够的灵活性； 高可靠性：基于硬件设备的

7、IPSec VPN网络提供了丰富的冗余机制，支持省中心中心网关的冗余部署，支持各分支节点VPN访问链路的冗余备份，这些都大大提高了VPN网络的整体可用性； 经济优势：不再承担昂贵的固定线路的租费，各分支节点只承担本地的接入费用，无论分支多远，费用相同。另外，集成防火墙/VPN的设备功能强劲但造价低廉，并提供了良好的可管理性； 增强的管理特性：IPSec VPN设备集成了直观、使用的集中管理软件，提供了实时有效的安全集中管理特性，省中心管理人员可以远程完成对VPN网络的整体监控和维护，实时监控、调整任一分支节点VPN终端的配置； 可扩展性：IPSec VPN的核心设备具备良好的可扩展性，可以以低

8、廉的价格连接大量的分支，各分支节点的VPN终端设备可以无需更换硬件的进行功能、性能的升级； 支持多种应用：基于IPSec VPN的网络实现了真正的LAN-LAN的无缝互联，可以完美支持基于局域网的各种复杂网络应用，为用户网络应用的发展提供了有力的保障； 灵活性：适用于任何的Internet接入方式，可以是10M、100M，也可以ADSL，一个IPSec VPN 网络可以连接任意地点的分支；2.2. 技术选型结论综合以上的分析，IPSec非常适用于大规模部署的LAN 到LAN之间的虚拟专用网应用，完全符合本次VPN网络建设的需求和技术标准，能够达到项目建设后预期的目标。2.3. 产品选型分析针对

9、XXX网络及应用特点，结合实际需求，我们要求所选用的安全网关必须具备如下技术特点：（注：该部分需要结合实际需求描述，重点描述用户有明确需求的功能点） 网络接入情况：中心点为固定公网IP，各分支为ADSL动态IP，这就要求选用的VPN产品和技术必需支持灵活的网络接入方式及网络拓扑； VPN网络规模及可扩展性：约有300-400个分支节点需要接入VPN网络，而且节点数还有可能会进一步增加，大量的VPN网络节点，随时可能增加的节点数量，要求采用的VPN产品和技术必须是经过大规模部署考验的成熟技术，网络建成后，应该很容易进行扩展； 网络应用情况：用户要求VPN网络满足数据传输，远程管理的安全性、可靠性

10、及可控性。这些都要求采用的VPN产品和技术提供高等级的安全加密、身份认证等特性，同时可以在省中心灵活控制各分支节点的访问权限； VPN网络管理：中心节点配备有专业的网络管理人员，但是各分支节点的工作人员没有能力管理、维护VPN。为了确保VPN网络可靠、有效的运行，采用的VPN产品和技术必须提供直观、统一、安全的集中管理和维护手段，满足省中心管理人员监控、调整VPN网络的需求； 网络安全的整体防护：有了安全可靠的VPN网络传输数据，连接Internet的各分支节点及中心网络自身的安全也是必须要考虑的内容。来自Internet的攻击入侵、病毒等安全风险，都在威胁VPN网络系统的内部安全。为了确保V

11、PN网络整体安全，确保今后可能扩展的各种网络应用的安全，采用的VPN产品必须具备良好的可扩展能力，可以根据网络应用的需要，扩展安全防护能力，比如：增加IPS功能、网关防病毒功能等；2.4. 产品选型结论根据以上分析，结合网络实际情况和招标文件的具体要求，在对多家厂商相关产品和技术分析比较后，我们推荐选用美国WatchGuard公司的Firebox产品实施本次项目。Firebox产品集成VPN功能，提供集中统一管理平台，实时管理、监控VPN网络运行，更提供了WatchGuard专利的“拖方式VPN组建”技术，通过鼠标拖放即可轻松完成VPN的建立和维护。Firebox还可以根据需要添加网关防病毒、

12、防垃圾邮件、入侵检测及URL过滤等安全功能，满足网络应用及安全的发展需要。WatchGuard公司是世界领先的高效率、全系列UTM安全解决方案提供商，为全球150个国家和地区提供了总计35万台以上的安全网关产品。WatchGuard公司2004年进入国内至今，已为国内3000多个大小用户提供了超过总计1万台WatchGuard安全产品，用户遍及金融保险、制造、交通、通信等行业及众多跨国公司和政府单位。2.5. 设备部署及实施根据上述分析，结合用户实际要求，我们给出如下的设备部署方案：（请结合实际情况描述设备的部署和实施，包括：部署位置，主要配置内容等） 在中心部署2台集成防火墙和IPSec V

13、PN功能的安全网关设备，配置为HA，作为全省VPN网络的中心节点，提供VPN连接及加密的数据传输和访问控制； 在中心部署集中安全管理平台，实现全网所有防火墙/VPN设备的统一集中管理，实现VPN及安全策略的统一管理、下发，确保安全策略的一致性。同时完成日志的收集，根据需要定期生成网络运行报告； 在各分支节点的Internet接入处部署1台防火墙/VPN安全网关设备，实现和中心之间LAN to LAN的IPSec VPN连接，同时保护本地局域网的安全，控制内部用户对外的网络访问；部署拓扑示意图如下：请补充实际拓扑第三章 推荐设备型号清单推荐型号列表：序号品 牌产品型号部署位置1WatchGuar

14、dFirebox X8500e-F中心2WatchGuardFirebox X10e各分支主要性能参数：Firebox X8500e-FFirebox X10e适用范围大型网络及数据中心小型分支防火墙性能2.3Gbps100MbpsVPN性能600Mbps35Mbps端口数4 10/100/1000Mbps电口4 1000Mbps多模光口6 10/100Mbps电口BOVPN遂道数4005移动VPN隧道数4001/11型号可升级可升级到X20e或X55e第四章 WatchGuard UTM VPN的主要优势 高可靠性WatchGuard作为全球知名的网络安全设备供应商，其Firebox系列产品

15、在全球有着大规模的部署应用，是经过市场长期考验的成熟产品，Firebox设备0.12%的硬件故障率为VPN网络的安全可靠运行提供了有力的保障；Firebox产品支持VPN隧道冗余备份，当主链路隧道故障时，可以自动切换到备份链路，大大提高了VPN网络的可靠性，如果结合中心节点双机热备部署，VPN全网的可用性将大大增加； 高安全性Firebox产品集成的VPN功能基于IPSec，IPSec作为工业标准的网络安全协议，提供了高强度的加密和身份认证，结合Firebox本身提供的访问控制、身份认证、攻击防御等安全功能，可以有效保护VPN网络中心节点及各分支节点网络的安全； 高可扩展性Firebox产品在

16、提供安全、高效的防火墙、VPN功能的同时，还支持UTM特性，可以更具实际应用需求，在无需更换硬件的情况下，扩展网关防病毒、IPS、防垃圾邮件、Web访问控制功能。对各分支节点设备，还支持设备型号的升级，无需变更硬件，即可升级到更高的型号，提供更好的性能和功能。这些独有的安全特性，为用户VPN网络的安全运行和扩展提供了有力的保障； 高可控性Firebox产品集成VPN及高性能防火墙功能，支持完善的身份认证机制，可以灵活而有效的控制各分支节点对省中心的访问，省中心管理人员可以根据需要实时调整各分支节点和省中心之间的网络访问权限，确保省中心及各网络节点的自身安全； 高可维护性大规模VPN网络最大的问

17、题是实施部署及维护，Firebox IPSec VPN解决方案为全硬件解决方案，提供集中管理平台，提供专利的鼠标拖放式VPN部署、维护，管理人员在总部即可轻松完成VPN全网的管理维护和实时监控。这些独有的技术优势，为VPN网络的安全可靠运行提供了必要而充分的保障；第五章 WatchGuard主要功能简介5.1. 基于ILS核心的预防御保护WatchGuard Firebox X系列产品采用智能分层安全（Intelligent Layered Security）技术，ILS核心构架通过协议异常检测、模式匹配、行为分析技术，提供了“预防御”（Zero Day）保护，无需依赖攻击特征签名，既可有效阻

18、止新的和未知的攻击。另外，ILS构架通过协调各功能模块的工作，有效分配系统处理流程及系统资源，减轻实现安全功能所需的计算和处理，如：IPS模块发现攻击时，可立刻通知防火墙模块进行处理，确保安全性的同时，大大优化了安全处理性能。5.2. 集成防火墙/VPN功能集成高效率、高安全性的状态包过滤防火墙，隐藏内部网络信息，保护用户内部网络应用的安全，防范来自Internet的非法访问和探测、攻击，同时控制内部用户的网络访问； 状态检测型防火墙技术，同时提供FTP、HTTP、DNS、SMTP、TCP应用代理； 支持路由模式、透明模式、混合模式三种运行模式，满足各种网络环境的需要； 支持多种地址转换：动态

19、NAT、静态NAT（端口映射）和1-to-1的NAT； 支持多种用户认证方式； 基于策略的QoS、服务优先级流量管理； 支持多外网口接入，支持多外网口的负载均衡、链路备份，支持双机热备份； 内置IPS模块，有效抵御DoS和DdoS等常见攻击和扫描，并可动态阻断不良IP地址；集成高安全性的IPSec VPN功能，方便公司管理者或出差员工远程安全访问公司内部网络资源；5.3. 全面的网络安全管理WatchGuard Firebox X系列产品通过专用软件WatchGuard System Manager （WSM）进行管理，WSM采用直观的图形用户界面，提供综合日志、创建拖放VPN以及实时监控功能

20、。另外，Firebox X系列产品集成了丰富、实用的网络应用管理功能，确保网络接入带宽被充分利用，并能控制内部员工的网络应用和访问行为，为网络管理者提供有效的网络应用管理和监督工具，提高网络的利用效率和员工的工作效率。5.3.1. 生成网络活动报告根据用户实际需要，自动生成图文并茂的网络活动报告，报告内容可以根据用户需要定制，直观反映用户的互联网使用情况。网络活动报告内容可以根据用户需要定制，并自动定时生成。报告内容包括： 网络带宽的分配和使用情况； 内部具体用户、具体主机的网络带宽占用情况及网络连接及应用情况； 具体网络应用的网络带宽占用情况； 网络安全事件的统计和分析明细；网络活动报告可以

21、输出为Html格式或NetIQ格式。HTML文件可以通过浏览器直接查看或通过网站远程发布。5.3.2. 网络活动实时监控WatchGuard提供的图形化实时监控工具，可以实时监控： 网络带宽的占用和分布情况； 内部用户的网络访问情况，及时了解内部用户访问的网络资源； 网络应用的连接情况，实时查看网络连接的状态； 网络事件日志和信息5.3.3. 多种告警方式WatchGuard支持基于策略的事件告警，并支持多种告警方式： 在日志中记录告警信息； 向指定邮箱发送Email告警； 发送SNMP Trap告警； 在管理工作站上弹出窗口告警；5.4. 高级附加安全功能WatchGuard Firebox

22、 X支持多种可选的高级安全功能网关防病毒/入侵防御以及垃圾邮件防范和Web访问控制，用户可以根据自己需要选购以上安全功能。这些高级安全功能与 Firebox X系列产品“预防御”技术联手打造强大的实时防护，防范垃圾邮件、钓鱼网站、间谍软件、病毒、木马等安全威胁，并可有效检测和控制即时消息和点对点（P2P）通讯。5.4.1. 网关防病毒/入侵防御网关防病毒/入侵防御（GAV/IPS）能够防止间谍软件、病毒、木马、缓存溢出、资料隐码、即时消息和点对点（P2P）通讯。GAV/IPS可以自动阻断攻击来源IP的所有网络访问，确保内部网络安全。GAV/IPS通过锁定可疑附件，防止在电脑上执行恶意软件。支持

23、多种类型的压缩及编码文件（包括ZIP、RAR2.0、TAR、GZIP、ARC及MS CAB），提供可靠、高效的保护。GAV/IPS的病毒库及攻击特征库实时在线自动更新，确保用户网络始终获得最新防护。P2P（BT、电驴等）软件占用巨大的网络带宽，而IM（MSN、QQ）软件则给病毒的传播提供了便捷的渠道。GAV/IPS可以对P2P和IM软件进行有效的阻隔，用户可根据自己的需求进行限制和开放。GAV/IPS还可以阻止内部网络用户访问已知间谍网站，阻止间谍软件入侵内部网络。5.4.2. Web访问过滤和控制员工工作时间浏览大量无关网站，即浪费带宽，又降低工作效率，还带来间谍软件、钓鱼网站等诸多安全问题

24、。FireBox提供的WebBlock网页访问控制功能，采用不断更新的SurfControl数据库阻止危险网站，也包括流媒体、P2P、网络邮件等网站。WebBlock自动更新的数据库包含1440万个以上的网站，分为40个网站类别，可以根据用户、IP地址、用户组和域名来控制内部员工的Web访问。通过WebBlock，可以跟踪用户所访问的网络地址及访问时间，并可生成当天的网络使用情况图形报告，有利于内部用户上网行为的规范管理和监控。5.4.3. 垃圾邮件过滤垃圾邮件会阻塞网络通信、传播病毒、散布间谍软件，影响用户正常工作。Firebox提供的SpamBlock防垃圾邮件功能采用先进的Commtou

25、ch循环模式检测（RPD）技术，通过对互联网全球电子邮件流量模式的跟踪检测，将邮件的行为特征作为判别依据，可阻止任何语言、内容或格式的垃圾邮件。SpamBlock与RPD引擎自动进行实时通信，确认垃圾邮件，用户无需修改垃圾邮件规则即可精确过滤垃圾邮件，准确率高达97%。第六章 WatchGuard公司简介WatchGuard公司1996年成立于美国华盛顿西雅图，在北美、南美、EMEA和亚洲等地设有办事处，在中国北京设立有研发中心。全球员工总数约300多名。WatchGuard公司是生产网关类网络安全设备的先锋，全球排名前5位的网关安全设备供应商。为不同规模的用户提供网络安全管理解决方案，从跨国

26、大型企业和远程工作人员，到使用单个宽带连接的家庭用户，WatchGuard都有对应的安全产品和解决方案，以满足不同规模用户的不同要求。WatchGuard公司2004年开展对华业务至今，已为国内3000用户提供了超过总计1万台WatchGuard安全产品，用户遍及金融保险、制造、交通、通信等行业及众多跨国公司和政府单位。WatchGuard中国区部分典型用户名单通讯行业江苏电信 广西电信 重庆电信 北京网通 江苏网通江西网通 中兴通讯 中企通讯 盐城电信金融行业用户东亚银行 中国银联 中信银行 北京农商行 浦发集团中信证券 华安保险教育行业用户上海虹口教委城域网 无锡教育城域网 上海闵行教委上海理工大学 上海交通大学 华南理工大学 德威国际学校武汉工业大学能源行业用户上海石化 江苏石化 壳牌南京 北京电力 上海电力湖南电力 宁波电力制造行业用户西门子中国 宝马汽车 三一重工 耀特玻璃明基电脑 瑞萨集成电路 罗盖特制药政府机构用户国家地震局 山东省政府 佛山劳动局 湖南省档案局深圳质检局 江苏省公路局 江苏国税 北京园林局北京工商局 北京环境保护局