成长型企业防火墙应用方案.doc

NETGEAR公司成长型企业防火墙应用方案2005年3月NETGEAR公司目录1目标需求31.1稳定可靠的ISP接入41.2Internet对内网访问的安全控制41.3内网对Internet访问的安全控制41.4内网网络的安全控制41.5简单易用的安全系统管理42Netgear 方案42.1软件安全系统52.2交换机安全特性52.3防火墙安全系统53Netgear 优势63.1完整的成长型企业安全解决产品线63.2适合成长型企业的防火墙特性63.3最优的硬件平台满足成长型企业较长时间的升级需求63.3.1通用CPU构架73.3.2AISC构架73.3.3NP构架73.3.4发展趋势73.3.5FVX538的硬件构架83.4接入网络的冗余性83.4.1接入ISP的冗余93.4.2接入ISP的负载均担94实用客户对象94.1IPSec VPN应用104.1.1远程VPN访问104.1.2VPN网关互联104.2双广域口防护墙应用114.2.1防火墙124.2.2交换机124.2.3软件安全防护系统131 目标需求今天，在中国，通过ISP实现国际互联网接入的企业和个人用户在2003年底已达8000万之多。由于大多数用户疏于安全防范，近几年每遇病毒发作时都有大量的用户受到影响，现在病毒的侵害已不是仅限于对本机的攻击，还包括利用网络协议和系统的漏洞对其他网络上的主机进行攻击，往往是一台PC受到感染，局域网中的其他PC甚至是Internet上的PC都会受到严重的影响，冲击波蠕虫的肆虐就是一个典型的例子，而随着病毒机的产生，制造网络病毒的门槛也越来越低，这使得更多的变种病毒出现。由于大量的网络安全问题存在，所以网络安全设备和软件的采购已经成为企业组网的必选。而对于其中成长型企业的网络安全需求Netgear认为主要体现在以下几方面：1.1 稳定可靠的ISP接入随着电子商务的普及企业对网络的依赖程度越来越高，ISP接入的稳定性直接关系到公司的实际业务，所以当电信的宽带接入费加平民化时，很多企业会选择多个运营商或同一个运营商多条线路来提高网络传输效率及稳定性。1.2 Internet对内网访问的安全控制需要阻挡来自Internet的网络的非法访问以及蠕虫等网络病毒的攻击。1.3 内网对Internet访问的安全控制需要合理控制内网用户对Internet的访问行为，防止用户因为访问某些Internet的网站页面、下载文件、电子邮件而导致不良代码侵入本机，进而导致较大规模的病毒问题，甚至牵扯到公司商业机密的泄漏。1.4 内网网络的安全控制需要合理对用户进行数据传输、共享等本地网络的行为的管理和控制，防止用户因为随意共享有不良代码的文件造成大量主机被病毒感染，严重影响公司的正常运作。1.5 简单易用的安全系统管理成长型企业往往缺乏资深的IT网管，所以在整个安全系统的维护和管理上需求系统更加简单和实用。同时也考虑到网络病毒的扩散途径，需要从网络的多个层面来进行防护。2 Netgear 方案如上图所示整个网络安全系统包括如下组件：2.1 软件安全系统包括客户端杀毒软件、客户端防火墙以及间谍防护，客户端软件防护系统由安全策略管理服务器实施用户策略管理以及对客户端的网络行为实施控制。2.2 交换机安全特性针对成长型企业而言交换机的安全特性主要集中在二层方面，包括用户的阻隔模式、MAC地址与端口绑定以及802.1x认证功能等。其中最符合企业管理需求的应该是端口隔离功能。交换机可以采用Netgear的智能交换机系列或者全网管交换机系列。2.3 防火墙安全系统防火墙之所谓称之为安全系统因为其包含一系列安全组件，单个防火墙并不能有效的监控网络和截止攻击等非法行为。Netgear认为防火墙安全系统应该至少包含以下组件：硬件防火墙、防火墙日志监控分析系统、防火墙系统管理终端、防火墙流量监控系统、远程访问系统。这些系统可以是独立的主机安装也可以是安装在一台主机上。3 Netgear 优势3.1 完整的成长型企业安全解决产品线Netgear依赖其具有完备安全功能的产品线（VPN防火墙、交换机、无线设备、VPN客户端），配合业界先进的软件安全管理系统为用户提供了端到端的安全解决方案。通过所有网络设备的配合，最大限度的提供给用户一个安全稳定的网络平台。3.2 适合成长型企业的防火墙特性Netgear成长型企业的防火墙包含以下特性 动态包过滤技术，动态维护通过防火墙的所有通信的状态（连接），基于连接的过滤 可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题，并支持路由模式。 可以设置信任域与不信任域以及DMZ域之间的数据出入的策略 可以定义规则计划，使得系统在某一时可以自动启用和关闭策略 具有详细的日志功能，提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录。并支持日志服务器和日志导出 支持MAC地址过滤，可以有效地控制用户上网的主机 具有IPSec VPN功能，可以实现跨互联网安全的远程访问 具有邮件通知功能，可以将系统的告警通过发送邮件通知网络管理员 支持SNMP网管，可以在标准的SNMP网管平台上对防火墙进行有效地管理和监控 支持端口镜像功能，便于用户对时段流量进行监控。 具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃 支持基于应用策略的QoS以及Diffesvr的字段改写 支持SSL VPN软件升级，以满足用户VPN应用平台的支持 Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤3.3 最优的硬件平台满足成长型企业较长时间的升级需求目前成长型企业中防火墙的硬件构架3.3.1 通用CPU构架通用CPU即Intel P系列和AMD Desktop系列的硬件构架，这些我们称之为x86系列的防火墙开发周期短可以很短，而且依赖于现有的操作系统如linux、NT等可以灵活的实现各种所需的安全应用，并且开发成本很低。但是由于采用通用CPU作为构架的核心所以往往程序执行效率低下，需要耗费大量的硬件资源对网络层及高层的报文进行过滤和监控，在早期网络的安全领域中由于网络的带宽及应用都比较单一，所以x86的防火墙由于其功能的灵活性和价格的低廉在安全市场占有很大的比重。但是随着网络带宽的倍数增加，网络应用也不断丰富如BT、Skype等P2P应用大行其道，各种网络蠕虫、木马等危害性程序也无所不在，这使得防火墙必须有足够的性能来应付内外网络的安全问题并且同时还要提供给用户最为简易的VPN接入方式如SSL VPN，而这些对于x86构架的防火墙来说几乎是Impossible Mission。3.3.2 AISC构架ASIC技术是通过把指令或计算逻辑固化到硬件中，来获得很高的处理能力。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用，是公认的使防火墙达到线速转发，满足高速网络环境骨干级应用的技术方案。 但是ASIC将指令或计算逻辑固化到了硬件中，缺乏灵活性，也不便于修改和升级；深层次包分析（L4+）增加了ASIC的复杂度，不 能满足防火墙产品对网络协议进行二到七层处理的需求；ASIC的开发周期长，设计费用昂贵且风险较大；硬件的ASIC防火墙缺乏可编程性，对新功能的实施 周期长，很不灵活，使得它难以跟上当今防火墙功能的快速发展。3.3.3 NP构架NP （网络处理器）是专门为处理数据包而设计的可编程处理器，集成了多个数据处理引擎，可以并发进行数据处理工作，因此比较容易实现高速。此外，NP采用高速的接口技术和总线规范，具有较高的I/O能力，并且对数据包处理的一般性任务进行了优化（如校验和计算、包分类、路由查找等），因此NP的体系结构使得防火墙处理能力得到了极大的提升。NP芯片对于网络层面数据报文的处理，其执行效率是十分高的，但是面对复杂单一的功能处理上就无法满足较高的需求了。3.3.4 发展趋势今后成长型企业防火墙的发展趋势将以NP+ASIC为主，NP芯片用于处理较为复杂网络层面的报文，而ASIC芯片用于处理较为单一安全功能，如SSL加密、3DES、AES等。这样既可以灵活的满足复杂的防火墙应用层的报文过滤和监测，同时也可以满足特定安全功能的线速处理。3.3.5 FVX538的硬件构架从上图我们可以看出FVX538的硬件构架由业界优秀的Inter IXP425 NP平台和专注于IPSec、SSL等安全加密技术的AISC芯片共同构建而成，正是因为这样的硬件结构才能以最优的性价比为用户提供将来软件升级所带了丰富的软件特性的支持其中包括高端的SSL VPN支持。3.4 接入网络的冗余性随着接入ISP的竞争日趋激烈，宽带接入的形式及费用更加有利于用户。所以基于电子商务的公司业务模式已经成为企业不可缺少的一部分，企业用户不断的在通过电子邮件、OA软件甚至商务智能软件来提供公司的业务效率。这使得成长型企业的公司业务越来越依赖互联网络，所以一旦Internet接入出现问题就会造成不可估量的经济损失。为了确保Internet接入的稳定性，不少企业选择了两个ISP为其提供不同的接入方式，或者是同一个ISP的两条不同接入链路。为了充分利用网络的带宽同时确保链路的冗余性，Netgear在FVX538防火墙上为用户提供了两个可以实现流量负载均担的广域网端口。3.4.1 接入ISP的冗余上组图显示的是网络用户拥有两个ISP接入线路ISP A和ISP B，在上组图中一开始ISP A是工作状态的而ISP B则处于备用状态。当防火墙通过DNS检测发现ISP A出现故障时，系统将会自动激活ISP B的线路确保Internet连接的稳定性。3.4.2 接入ISP的负载均担上组图显示的是网络用户拥有两个ISP接入线路ISP A和ISP B，在实现ISP负载均担时所可以实现的不同的出口导向。一种负载均担是将不同的IP导入不同的ISP网络中去，而第二种负载均担是将同一个IP的不同应用导入不同的ISP网络中。4 实用客户对象用户对防火墙的需求主要是基于VPN互联以及内外网安全控制，下面我们根据这两方面不同的用户需求来描述典型案例。4.1 IPSec VPN应用由于宽带的普及使得越来越多的用户愿意采用IPSec VPN方式实现远程互联，用户可以通过ISP 所提供的ADSL、以太网等较为廉价的接入方式来访问Internet并实现IPSec VPN互联。VPN的解决方案根据接入方式分为两类：4.1.1 远程VPN访问主要提供给公司内部在外出差和在家中办公的人员与公司建立通信如上图所示该方式中远程的分支机构以及出差用户通过ISP所提供的互联网接入方式，采用Netgear所提供的IPSec VPN客户端与公司总部的Netgear 系列VPN防火墙实现客户端到网关的远程的VPN互联。Netgear 系列VPN防火墙包括FVS318、FVS328、FVS338、FVX538分别提供不同加密速率和并发隧道的VPN接入能力。4.1.2 VPN网关互联主要提供给公司内部各分支办公室与中心办公室之间建立通信。如上图所示该方式中远程的分支机构通过ISP所提供的互联网接入方式，采用Netgear系列的VPN防火墙与公司总部的VPN防火墙实现网关到网关的远程VPN互联。Netgear 系列VPN防火墙包括FVS318、FVS328、FVS338、FVX538分别提供不同加密速率和并发隧道的VPN接入能力。4.2 双广域口防护墙应用上图显示了一个成长型企业的网络安全构架图，下面我们将对网络中的安全组件分别简述：4.2.1 防火墙在出口处采用Netgear FVX538防火墙实现内外网络的安全和ISP的接入负载均担的ISP接入FVX538防火墙支持两个WAN端口可以通过不同的方式与ISP实现负载均担的Internet接入，图中FVX538通过两条PPPoE连接分别接入到ISP A和ISP B中，用户则可以根据不同的应用以及源地址来选择ISP A或ISP B来实施Internet流量的分担。 防火墙的内外策略防护FVX538是标准的三通结构的防火墙，即由WAN、DMZ、LAN接口组成。FVX538防火墙通过设置这三个区域相互间的策略，确保内网的安全性和内网对互联网访问的限制。 防火墙日志管理Netgear系列防火墙具有完善的日志记录，记录防火墙的工作状态、策略触发的用户应用会话日志等。 防火墙实时流量监控FVX538/FVS338防火墙具有内置的Sniffer机制，可以有效地帮助网络管理员监控实时的完整的网络流量。 防火墙管理Netgear系列防火墙提供了简捷的Web管理方式，简化了用户管理配置设备的难度，同时考虑到部分大型企业分支机构对网元管理标准化的需求FVX538/FVS338防火墙还支持标准的SNMP协议。 远程VPN互联提供出差用户以及各分支机构之间的VPN互联。4.2.2 交换机Netgear网管交换机的产品线相当全面，在成长型企业安全的网络构架中我们可以提供以下安全特性： 用户或用户组群之间的端口隔离，用户只能与指定的共享服务器进行通讯，通过设定具有病毒检测程序的文件共享服务器，取代用户之间杂乱的的文件共享模式，来减少病毒地感染几率。 基于端口的MAC地址邦定，限制用户随意的更换交换机端口便于定位管理。 基于端口的