大型ICP网站网络安全解决方案1

1、大型ICP网站网络安全解决方案1 .前言对于一个ICP （Internet内容供应商）来说，拥有大量的访问量和用户是ICP的目标，但这样，又会带来系统安全、网络带宽与服务器处理能力的大量需求。因此，我们可以说，对于一个ICP来说，一台好的防火墙不但可以给他们带来网络的安全，而且可以不对网络造成任何影响，最好还可以提高服务器的响应速度。而一般的软件防火墙由于是基于 通用操作系统的，不仅在安全性上大受操作系统本身的影响，而且网络效率大打折扣。天网防火墙ICP型，就是面对ICP开发的一代全新的防火墙产品，它的高安全性令服务器高枕无忧，可以媲美100M以太网交换机网络效率令数据畅通无阻，而且天网防火墙

2、 系统拥有构造双机热备份结构的功能，从而能提高系统的稳定性、容错性。由于防火墙 系统是整个网络的网关，是连接内部网络、外部网络、DMZ区的交通枢纽，具备双机热备份本领的天网防火墙系统无疑是整体网络稳定性、容错性的保证。2 .产品特性说明 软硬件一体化的结构防火墙对于用户来说，只是一个安全网关。整体系统采用黑盒设计，防火墙系统与硬件 紧密结合，发挥硬件最高效能，减少由于操作系统问题而产生网络漏洞的可能，提高系 统自身安全性。 针对ICP的特性，提供高效畅通的网络通道：针对为ICP特点：需要保护的主机数量少，但并发连数量大设计的执行执照，天网防火墙ICP型并不象其他产品，只是笼统地按照并发数量作为

3、价格依据，而是采用保护的主机数量作为防火墙的执行执照。作为一个ICP节点，网络系统将承受大量的并发用户访问，天网防火墙的网络核心可支持超大量的并发连接，远超任何基于通用操作系统的防火墙。作为一台防火墙，其最基本功能是保护网络不受非法入侵者所破坏的同时，还要保证网络的畅通无阻，天网防火墙的网络核心专门为TCP/IP及Firewall而设计，同时还针对CPU的计算核心进行了优化处理，能大大提升系统性能。网络底层的多个部分由汇编语 言编写，比同类系统性能提高 20%-60%。 快速安装功能传统的防火墙在安装时极为麻烦，首先需要安装操作系统，调整网络参数，安装防火墙 软件，然后进行网络参数设置，系统管

4、理员如果没有经过专门的培训，在短时间内装好 防火墙几乎是不可能的事情。天网防火墙具有快速安装特性，可以实现从上架安装、连 接网线、上电、参数设置完毕整个过程不超过 15分钟。 基于浏览器的Web管理界面通常一个小型企业并没有一个防火墙专家来专门负责防火墙方面的工作，天网防火墙具有多语言支持简单易用的 Web设置界面，令管理员熟练地掌握系统的时间大大减少， 操作简单、管理方便，只要具有一定网络相关知识的人即可胜任。 完善的访问控制功能天网防火墙灵活完善的网络访问控制，不仅包括现有的所有网络服务，同时可以兼顾将来各种新的网络服务，在有效地保障企业网络安全的前提下又能保证各种网络服务的畅 通无阻。

5、MAC地址绑定天网防火墙所具有的 MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问 题。当内部主机设定一个IP地址以后，防火墙系统就能接收到相应的地址广播，在防 火墙系统上列出相应的IP地址与MAC地址，并可以选择是否把这个 IP地址与相应的 MAC地址绑定，这样可限定IP地址只能在一台指定的主机上使用，既可以防止IP地址冒用，而且大大方便了日常网络的IP地址管理。 双机热备份（选件）采取双机热备份结构的天网防火墙系统在常规运作的时候分为主服务器和备份服务器， 备份服务器通过专用通信端口作主服务器设置、纪录数据的镜像。备份服务器的网络设 备并不运作，防火墙工作由主服务器完成。如果因网

6、络或某些因素使主防火墙服务器不 能正常运作时，备份服务器会在十秒钟内自动启动，负责保护网络安全，并发出警告通 知网络管理员。智能的负载分担模块(选件)降低了ICP 网站建设的成本随着出色的Internet 应用服务的使用人数不断增加，服务器变得不胜负荷，如果无法及时处理大量的用户服务请求，将出现服务中断的情况。以往在解决这些问题的时候，只能采用更强计算能力的服务器来替换原来的服务器，旧的服务器只能淘汰掉。并且，单台服务器的负载能力也是有限的，不可能无限扩展，同时，高档服务器的价格是随着服务器的性能呈现指数型上升，因此，采用多台廉价服务器组成负载分担的系统模型日渐成为主流。负载分担系统主要是将集

7、中在一台服务器上的用户服务请求分发到多台服务器上。在负载分担方式出现的初期，有不少网络的设计采用域名轮转的方式，即是一个域名对应多台服务器，作为一种廉价的方案，域名轮转的方式可以在解决一些服务器的负载问题， 但是， 由于这种负载分担的方式有很大的局限性：无法根据各台服务器的负载情况，将用户服务请求发送到不同的服务器上；在其中一台服务器出现问题无法工作的时候，系统仍然会将用户访问请求发送到出现故障的服务器上，造成一部分服务的中断；由于域名解释一般在各地白服务器上都会有Cache存在，因此会造成一个地区的用户访问请求将集中在同一台服务器上。因而实际上，采用域名轮转的方式来做系统负载分担，其效果并不

8、明显，而且存在着一定的弊端。使用天网防火墙的分布式方案，可以建造具有快速响应时间和高容错的大容量服务器集群系统。 天网防火墙的负载分布模块，可以智能地将用户的服务请求分布到多台服务器上面，同时，提供容错功能，可以自动隔离出问题的服务器。系统具体功能如下：1) 动态负载均衡天网防火墙的负载分布模块可以根据服务器的负载情况，包括 CPU 占用量，系统Load等情况，自动选择负载最小的服务器，将用户的服务请求发送到该机器上。2) 容错处理天网防火墙的负载分布模块可以自动检测服务器的可用性，当某一台服务器出现故障的时候， 分布式系统会自动绕开发生故障的机器，不会将用户的服务请求发送到改机器上，保证了系

9、统的正常运作。在实际应用中，由于服务器端常常存在着CGI 程序，这些程序会将用户的信息保存在服务器的内存中，如果负载分担系统不能识别用户来源，就会将同一个用户的请求分布到不同的服务器上，就会导致无法正常运行程序。而天网防火墙的负载负担模块采用独有的IIDR （智能身份识别）算法，能够保证同一个用户的 CGI 请求可以保留在同一台服务器上，保证服务的正常运作。采用分布式结构建造大规模的Internet应用，可以容纳大量的用户，然而在用户量增大到一定的情况下，负载分担服务器处于整个网络中心的位置，有可能反而成为服务系统 的瓶颈。天网防火墙负载分担模块在设计时采用的高性能的专用散列算法，保证系统即使

10、在处理巨大的用户量（每秒同时连接数大于30000用户）下，网络效率仍然可以达到80%以上。3) 网络安全解决方案3.1 用户需求分析网站准备使用十台服务器对外提供 Web服务，使用四台服务器作为 Smtp服务器，两台 服务器作为POP3服务器，对外进行服务，估计将有23-25M的流入数据量和12-14M的 外流数据量：1、公共网络。提供网站的 Web界面访问，收发电子邮件服务。2、外 部网络。提供到Internet连接。主要应用类型包括：1、Web应用2、POP3及Smtp电子邮件应用 3、DNS服务4、 FTP服务安全策略为先关闭全部服务和端口，在开放部分服务和端口。3.2 网络结构根据网站

11、当前的网络需求，我们建议使用基于天网防火墙 ICP型的安全解决方案。下图为本建议方案的网络拓扑示意图POP3POP3 SmtpSmtpQ H Q O为了保证站点的稳定性、容错性，本方案使用天网防火墙ICP型，通过防火墙划分为物理上相互独立的两个网段：1、 公共网段(Public Network) 2、私有网段(PrivateNetwork)。 其中，公共网段提供面向Internet的广域网连接和接受互联网用户访问的 支持；私有网段安放十台 Web服务器、四台Smtp服务器和两台POP3服务器，提供 Web和电子邮件应用服务。3.3 安全策略目的：1、划分安全区域。2、制订安全策略，包括用户访问

12、控制，定义访问级别，确定服务类型。3、审核和过滤，仅符合安全策略的访问和响应过程可以通过，拒绝其 他访问请求。根据对用户需求的分析，北京站点的网络可以划分为以下几个安全区域：1、内部网段2、外部网段。分属两个安全区域的网段通过天网防火墙进行互连。No.安全区域安全级别访问级别1外部网段低级无。提供网络连接。2内部网段高级可自由访问外部网络资源；对外/、可现有需要进行审核和过滤的应用和服务类型包括:服务类型端口范围/协议类型说明WWW80,tcpWWW服务FTP21,tcp文件传输服务DNS53,tcp/udp域名解析服务SMTP/POP3 25/110,tcp电子邮件防火墙配置方案根据网络安全

13、解决方案中的用户需求、网络拓扑以及制定的安全策略，防火墙采取以下 配置万案:4.1网络设置类别项目IP地址/掩码说明备注networksIxternal_Network/24内部网络External_Network/24外部网络Interfacesfxp2/24连接到公共网络fxp0/24连接到内部网络internal_hostsconsole192.168.0.X/24网管工作站服务器192.168.0.X/24Web服务器服务器192.168.0.X/24电子邮件服务4.2系统配置路由设置目的网络地址/掩码

14、网关地址/DNS 设置 Internal_DNS1Internal_DNS2系统纪录输出地CONSOLE址4.3安全规则设定来源目的协议行动附加行动说明anyinternal_networkanydenybind:fxp2, continueinternal_network is a protectinternal_networkanyanydenybind:fxp2, continueping is permitanyanyicmppermitpermit console tomanagerConsoleany:8887,8888tcpperm

15、itremember to bind IPto MApemit any inboundtraffic to publicanyWeb:80internal_networktcppermitbind:fxp2anyDNS:53internal_networktcp/udppermitbind:fxp2anyMail:25internal_networktcppermitbind:fxp2anyMail:110internal_network tcppermitbind:fxp2anyFTP.21internal_networktcppermitbind:fxp24.4网络地址转换规则设定类型绑定

16、设备原来地址转换后地址选项说明映射fxp2/24/32内核代理21FTP代理FTP/TCP映射fxp2/24/32端 口映射TCP/UDP网络地址转换（PAT）10000: 65000重定向fxp2:80Web:80TCPHIIP重定向fxp2:110Mail:110TCPPOP3重定向fxp2:25Mail:25TCPSMTP重定向fxp2:53DNS:53TCP/UDPDNS重定向fxp2:21FTP:21TCPFTP技术服务 网络安全特性检测网络安全检测（包括对网络设备、防火墙、服务器、主机、操