SonicWallUTM一体化网络安全简化版改NSA240精资料.docx

1、SonicWallUTM一体化网络安全简化版改NSA240精资料SonicWall UTM一体化网络安全解决方案前言随着计算机技术的发展,互联网已经成为最大的公共数据网络,在全球范围内实现并促进了个人通信和商业通信。互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。越来越多的通信都通过电子邮件进行;移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络。但是这个庞大的网络及其相关的技术为不断增长的安全威胁提供了可乘之机,因而企业必须学会保护自己免受这些威胁的危害。在捍卫网络安全的过程中,防火墙受到人们越来越多的青睐。作为一种提供信息安全服务、实现网络和信息安全的基础

2、设施,防火墙采用将内部网和公众网如Internet分开的方法,可以作为不同网络或网络安全域之间信息的出入口,根据企业的安全策略控制出入网络的信息流。再加上防火墙本身具有较强的抗攻击能力,能有效地监控内部网和Internet之间的任何活动,从而为内部网络的安全提供了有力的保证。1.1 XX公司网络现状分析:随着技术的发展,各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,如针对Windows系统和Oracle/SQL Server等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的净荷部分。传统的UTM设备如第一代的包过滤UTM,第二代的应用代理UTM到第

3、三代的全状态检测UTM对此类攻击无能为力,因为它们只查TCP/IP协议包头部分而不检查数据包的内容。此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。同时层出不穷的即时消息和对等应用如MSN,QQ,BT等也带来很多安全威胁并降低员工的工作效率,另外网上游戏、视频等既耗上网带宽也降低员工的工作效率。如今的安全威胁已经发展成一个混合型的安全威胁,传统的防火墙设备已经不能满足客户的安全需求。1.2 XX公司网络简述:XX公司现有的网络属于紧缩核心层结构,通过核心交换机进行快速转发,与接入层交换机实现全网畅通,通过一台路由器与外网互连。目前有台式机和服务器大约xxx台左右。服务器上有公司的

4、xxx和xxx等系统。 1.3部署后所达到的效果XX公司根据办公的需要,Internet属于防火墙的WAN区域,内网用户属于防火墙的LAN区,服务器则属于防火墙的DMZ区域。三个区域拥有不同的安全策略,互相受到策略的制约。内外网的用户受到防火墙的隔离防护,UTM功能为流量进行应用层的过滤。隔离网络:通过对防火墙策略的实现,保证外网用户可以连接Internet,不得访问内部任何资源。而内网用户根据策略,不得连接Internet,只能访问内网的数据库。并且内外网之间也做到相互隔离。多种应用层防护:SonicW ALL UTM 产品功能丰富,包含防火墙,VPN,网关防病毒,IPS,反间谍软件,内容过

5、滤等等。此外,支持双W AN链路负载均衡,策略路由,路由模式等等。SonicW ALL 产品能为客户提供传统状态检测防护墙所不具备的应用层的安全防护,具有极高的性能价格比。实时观察网络流量排名:在网络异常流量随时可能出现的今天,我们需要了解网络中哪台计算机对网络造成的影响最大,哪台又在进行不正当的网络行为。因此我们需要对网络中敏感数据流进行监控,监控内容包括前10名的流量的IP,前10名网络中使用的服务(如http等,网页点击率排名。控制应用层流量:P2P,IM等应用已经严重的影响了公司的网络带宽,影响了公司正常服务效率。然而某些部门却依赖着这些应用,因此我们需要对这些基于应用层的协议进行有效

6、的管理。如:上班时间不允许下载BT,下班时间可以下载,某些部门可以使用QQ,MSN,有些部门则不能。查看网络异常连接:以上介绍过,对异常流量的发现和控制。但有些病毒爆发和攻击,并不一定造成流量的异常,而仅仅是连接数瞬间突增,但却完全可以使我们的网络或网络中的设备进行阻塞,甚至是瘫痪。利用UTM设备,可以将网络中所有连接列出,然后再针对这些异常的连接进行有效的控制。2.1设备简介NSA 240采用新一代统一威胁管理(UTM技术抵抗各种攻击,兼备入侵防御、防病毒及反间谍软件功能和SonicWALL应用防火墙的应用层控制功能。NSA系列利用先进的路由、全状态同步高可用性以及高速VPN技术让企业网络倍

7、添安全性、可靠性、功能性,同时还将成本及复杂程度降到最低.2.1.1主要特点与优势:SonicWALL公司新一代安全产品结合了更高层次的UTM技术,集成了入侵防御、网关防病毒及反间谍软件以及应用防火墙可配置工具套件,以防止数据泄漏以及提供细粒度应用控制。可扩展多核硬件及免重组深度包检测安全供应商开发的下一代安全产品已经在基础硬件设计上采取了多种方法。SonicWALL 选择了多核处理器架构,其他供应商选择了通用处理器加单独的安全协处理器结构。甚至有一些供应商选择设计并构建ASIC(专用集成电路平台,多核处理器对于支持UTM产品有很多优于ASIC处理器和通用处理器的地方。这些优势包括低功耗、联网

8、安全协处理器和增加存储器带宽从而提高网络吞吐量。SonicWALL的多核平台将硬件加速和自动化集成在更大范围的数据包处理和特殊应用功能中。借助上述硬件优点,SonicWall 的SonicOC固件实现了软件无法匹敌的性能。应用于SonicWALL新一代安全产品的多核处理器为每一个核提供了额外的安全协处理器,可以使每个单独的核在芯片上具有额外的安全性硬件加速能力。通过安全协处理器与多核平台的集成,SonicWALL已经开发了一种高性能解决方案,可以明显降低安全协处理中的延迟问题。而且,由于所有安全加速硬件都是片上(on-chip的,SonicWALL多核架构不受总线频率的限制。考虑到未来的重复利

9、用性,SonicWALL多核平台的设计可方便地扩展到使每块芯片拥有更多内核、每块主板拥有更多芯片、每个机箱拥有更多主板的应用中。多核处理器的设计和实现也展示了其高效性。例如,在SonicWALL多核产品中,高效兼具最优化的设计使得芯片具有低能耗和小芯片面积的特性。因此,这些处理器集成了大量专用的硬件加速,允许在单个处理器上集成多达16个核,从而可提供最佳的性能,现实生活中的大量应用就是其最好的证明。多核处理器技术让SonicWALL能够开发出高性能的网络安全设备,这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约30%的功耗,而网速相差无几。SonicWALL多核处理器设备最多可

10、采用16个内核(还为未来的重复利用设计了更多的内核空间,提供高性能并行数据包处理,集成了正常操作过程中具有较低功耗和低时频运行的安全协作处理器。免重组深度包检测(RFDPI是由SonicWALL公司提出并实现的,可以实时扫描处理无限大的文件和无限多的网络连接。RFDPI技术是为多核硬件而量身打造的,它可以实现超高速智能检测,与其它DPI方法相比它在可扩展性和性能方面更具优势。与所有其他DPI方法不同,RFDPI不需要停机和在内存中储存信息流量。通常,系统管理员习惯性在高负荷状态下要么对超负荷流量不检测而放行,要么形成流量拥堵,这也发生在正常的商业通讯中。此外,与其它DPI方法不同,RFDPI不

11、限制文件的大小,任何一个用户都能下载,也不限制同时保护文件的用户数量。这使RFDPI架构成为业内可扩展性最强的架构,并成为实现实时的统一威胁管理(UTM功能最强大的解决方案先进的尖端科技和性能及更低的总拥有成本通过同时使用多核处理能力而实现,极大地增加了吞吐量和并行检测能力,同时降低了功耗。先进的路由服务及网络功能结合了先进的网络安全技术,包括802.1q VLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的NAT模式及更多技术,为您提供灵活的细粒度配置及全面的安全防护能力。技术规范: 2.1.2主要功能介绍:网关防病毒功能SonicW ALL采用独一无二的逐个包扫描深度包检

12、测引擎专利技术(美国专利,无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵的扫描和防护,所以SonicW ALL对同时下载的文件数目和文件的大小没有任何限制。而目前其它防病毒网关产品都对下载的文件大小和数目有严格的限制,因为把要扫描的文件缓存在内存的Buffer中或者缓存在硬盘上,由于物理资源是有限的,所以能支持的扫描的文件大小必须有严格的限制。当然还有很多UTM产品根本就不支持网关防病毒功能。SonicW ALL直接在安全网关上匹配全面的签名库,对网页下载、邮件传输及压缩文件的潜在威胁进行安全扫描。SonicW ALL UTM设备能够并行扫描超过50种协议上的25000多种病毒.反间谍

13、软件功能SonicW ALL的防间谍软件防护服务主要特点包括:阻止通过自动安装AcitveX组件(这也是传播恶意间谍软件程序的最常见途径进行传播的间谍软件扫描并记录通过网络传输的间谍软件威胁,并在检测和/或阻止新的间谍软件时及时通知管理人员阻止电脑上已经存在的间谍软件与因特网上的黑客和服务器进行后台通信,防止泄露机密信息允许管理员选择性地许可或拒绝安装某些间谍程序,从而对网络应用提供更细粒度的控制扫描并屏蔽被感染的电子邮件通过SMTP、IMAP或基于Web的电子邮件进行传播,防止电子邮件传播间谍软件威胁入侵防御服务 (IPSSonicW ALL Intrusion Prevention Ser

14、vice (IPS能有效的侦测阻止网络入侵攻击; 如Nimda、Code Red等蠕虫病毒; 软件安全漏洞如IIS 未更新; 木马及Spyware间谍程序。SonicW ALL IPS 可实时扫描50 种以上通讯协议,包含P2P 如eDonkey、eMule等造成网络拥塞与非法软件; 非法Video文档共享传送及网上聊天如MSN、ICQ等实时通讯管理, SonicW ALL 采用自行研发的Deep Packet Inspection Engine 快速深层封包扫瞄引擎,在不需要费时重组TCP封包,即可顺畅并行一次完成并对入侵或危险网络封包,从而根据危害级别进行阻挡。SonicWALL 公司透过

15、安全技术中心主机不断自动更新内建于每部启用IPS 功能Firewall 的Signature Database 目前这个网络危机数据库支持高达2000d多种状态特征码。管理者可设定只要启用侦测或直接阻挡,经由敏感度微调设定可减少误判情形。配合SonicWALL Security Zone 网络区域规划的分区隔离安全政策设定,防止日益严重的网络蠕虫病毒入侵与扩散ISP Failover & Load balancing链路备份及负载均衡随着计算机技术的发展,互联网已经成为最大的公共数据网络,在全球范围内实现并促进了个人通信和商业通信。互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。

16、越来越多的通信都通过电子邮件进行;移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络;而在互联网上通过WWW方式完成的商业贸易现在已经成为企业收入的重要组成部分。随着互联网的应用越来越多,带宽成为互联网应用的瓶颈,很多公司增加连接互联网的带宽,但如果在专线增加带宽,费用昂贵。所以很多用户会增加一条宽频线路。SonicW ALL产品增强版支持两条ISP互联网接入线路,并提供线路备份及负载均衡,更大的优化网络接入的安全性,经济、有效的保证企业实时在线。ISP Failover支持“active-passive”线路备份架构;load balancing支持“active-act

17、ive”均衡负载架构;虚拟专用网(VPN 虚拟专用网 VPN（Virtual Private Networking 虚拟专用网）就是在公共网络基础上（Internet）利用 安全、认证、加密等技术建立企业的专用线路，也就是一个安全的网络隧道（TUNNEL）, 在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN 虚拟专网，是一个通过 利用公用基础网络为企业各部门提供安全的互联网服务，它可以提供与昂贵的专线（DDN） 类似的安全性，可靠性，可管理性和优先级别，可构筑于 IP 网络，帧中继网络和 ATM 网络 上。 通过 VPN 功能， SonicWALL VPN 安全地将公司的各个办公地

18、点、 移动和远程办公者、 商业伙伴连接在一起。 SonicWALL VPN 使用数据加密，使两个或更多的点或 LAN 之间通 过 Internet 实现安全通信，而无需昂贵的专线。可通过 IP 地址或动态域名（DDNS）建立 VPN。 Sonicwall VPN 采用 IPSec 协议标准，可与其他执行 IPSec 标准的 VPN 产品共同使用，如 AXENT RAPTOR、 Check point 的 Firewall-1、 CISCO PIX 等。 加密方法有 56 位的 DES、 168 位的 3DES、56 位的 ARC4 和最新的 AES-256 位加解密。 SonicWALL 使用

19、专用网络安全处理器有效地减轻 CPU 加解密负担， VPN 处理效能 使 又达另一高峰。 内容过滤 随着连接在互联网上企业机构的不断增加， 不适当 Web 内容也接踵而来。 由于不良 Web 内容造成的威胁有越来越严重的趋势，企业对于功能更强大的 Web 内容过滤工具的需求也 越来越迫切。为使企业 Web 应用集中于与业务相关的活动，各企业机构不仅需要保护公司 资产和保持高业务生产率， 还必须提高网络性能， 并减少因浏览不良内容而暴露企业保密内 容的机会。SonicWALL 自带的自定义过滤功能是可以直接使用，包含禁止访问域、允许访 问域和关键字。 SonicWALL UTM 把内容过滤作为可

20、选项购买。 SonicWALL 内容过滤允许管 理员设置访问类别和内容控制，限制访问带有色情、种族偏见、赌博等网站。也可给特定用 户一个密码来绕过过滤器，给他们不受限制地访问 Internet。另外 SonicWALL 还可以 Websense 和 N2H2 的内容过滤（Websense 或 N2H2 需要单独购买） 。 网络防病毒 全球第一家通过 ICSA 认证的 ASP 模式防病毒产品， 采用 McAfee 病毒引擎和病毒代码， 强制执行防病毒安全策略， 保证实时升级到最新病毒码， 彻底清查邮件和邮件附件中的病毒， 全球首次真正实现防病毒工作的零维护。SonicWALL 防病毒功能采用了

21、Network Associates 的防病毒技术， 是一个网络型防病毒解决方案。 除了具备其他防病毒软件的功能和可以检测 邮件附件外，其最大的特点是强制性、自动升级更新的防病毒政策，能够自动搜索系统有否 安装了指定的防病毒软件，识别防病毒程序是否正在在运行，病毒码是否最新，并强制阻止 不符合以上防病毒条件的计算机访问互联网或从互联网接收电子邮件等，不给病毒可乘之 机。 SonicWALL 防病毒功能采用类似客户机/服务器的模式，SonicWALLUTM 充当防病毒 网关，过滤邮件附件中的病毒，客户端安装防病毒软件，防范网页、邮件、光盘、软盘等各 种来源的病毒。 管理员可以集中管理所有客户端的

22、防病毒软件，而不必分别为每台客户端 分别安装， 防病毒网关会不断的到防病毒网站搜寻最新的病毒码并及时强制用户下载。 通过 SonicWALL 的防病毒功能，用户可以安心的实现整个网络的自动防病毒，最大限度的减少 传统的管理维护工作和维护不及时带来的安全漏洞。 监测、 监测、报告软件 ViewPoint 对商业机构来说，他们不但要保护网络资源，同时还要确保员工的工作效率，因此网络 活动的监测与报告功能极其重要。SonicWALL ViewPoint 报告软件帮助网管员追踪网络活动 和事件，甄别可疑的网络流通情况， 并判断员工是否滥用网络资源。ViewPoint 中的风险评 估工具可以帮助网管员确

23、保公司网络安全并防止攻击。 这种时实时的网络活动报告用于帮助 网管员甄别不恰当或无效的网络资源应用。 SonicWALL ViewPoint 具备网络安全的监测能力，并可提供实时及历史的图表报告。这 些报告能够总结网络中全部 SonicWALL 网络安全产品的活动情况，而且涵盖多种网络活 动，包括个人或群体使用某一类型或某一组 UTM 产品的情况，以及 UTM 遭受攻击的类型 与时间等等。这一灵活、随需定制的报告界面能够显示员工经常访问的网站地址、网络使用 者、应用软件及带宽分配情况。 另外， SonicWALL 公司的 ViewPoint 软件可与 Web 服务器、syslog 服务器及数据

24、库集 成，进行轻松地配置、使用与维护。其并发连接部分允许多名网管员登录，查看 UTM 活动 报告以监测本地区的安全响应。 全球管理系统（ 全球管理系统（SonicWALL Global Management System ） 众所周知，分布式网络通常包括：公司总部、远程及分支机构、远程工作者和移动工作 者。目前，网络环境日趋分布，越来越多的员工需要从远程点接入到公司网络。GMS 可以 完全满足这一需求，它具有管理 SonicWALL 全球 VPN 客户端的功能，可以帮助网管员经 济有效地管理远程工作者或移动工作者，让他们随时随地、安全地接入公司网络。 SonicWALL GMS 能够监测并管理

25、上千台 SonicWALL 网络安全产品和客户端，并允许商业 机构和服务提供商的网管员配置 UTM 和其他 SonicWALL 服务，其中包括虚拟专用网 （VPN） 、防病毒、无线安全和网页内容过滤。网管员能够通过加密的 VPN 通道从中心为个 体、群组或全球范围远程设置安全策略。 支持双机热备 为了保证网络的高可用性与高可靠性，SonicWALLUTM 提供了双机热备份功能，即在 同一个网络节点使用两个配置相同的 UTM。正常情况下主 UTM 处于工作状态，另一个处 于备份状态，当工作状态的系统出现故障时，备份状态的 UTM 自动切换到工作状态，并保 证网络的正常使用。要保护网络的安全，UTM 本身首先要安全。即使 UTM 没被黑客攻击， 也会由于电力，原器件老化，异常死机等特殊原因发生故障，万一故障发生，网络的安全就 无 法 保 证 。 对 于 需 要 高 度 可 靠 性 的 用 户 ， 一 定 要 选 用 有 双 机 热 备 技 术 的 UTM 。 SonicWALLUTM 的双机热备功能可以使 UTM 备用主机在极短时间完成整个切换过程，切 换过程不需要人为操作和除两个 UTM 以外的其他系统的参与。