大型ICP网站网络安全解决方案

1、大型ICP网站网络安全解决方案 1. 前言 对于一个ICPP（Inteernet内内容供应商）来来说，拥有大大量的访问量量和用户是IICP的目标标，但这样，又又会带来系统统安全、网络络带宽与服务务器处理能力力的大量需求求。因此，我我们可以说，对对于一个ICCP来说，一一台好的防火火墙不但可以以给他们带来来网络的安全全，而且可以以不对网络造造成任何影响响，最好还可可以提高服务务器的响应速速度。而一般般的软件防火火墙由于是基基于通用操作作系统的，不不仅在安全性性上大受操作作系统本身的的影响，而且且网络效率大大打折扣。天网防火墙ICCP型，就是是面对ICPP开发的一代代全新的防火火墙产品，它它的高安

2、全性性令服务器高高枕无忧，可可以媲美1000M以太网网交换机网络络效率令数据据畅通无阻，而而且天网防火火墙系统拥有有构造双机热热备份结构的的功能，从而而能提高系统统的稳定性、容容错性。由于于防火墙系统统是整个网络络的网关，是是连接内部网网络、外部网网络、DMZZ区的交通枢枢纽，具备双双机热备份本本领的天网防防火墙系统无无疑是整体网网络稳定性、容容错性的保证证。2. 产品特性性说明 软硬件一体化的的结构 防火墙对于用户户来说，只是是一个安全网网关。整体系系统采用黑盒盒设计，防火火墙系统与硬硬件紧密结合合，发挥硬件件最高效能，减减少由于操作作系统问题而而产生网络漏漏洞的可能，提提高系统自身身安全性

3、。 针对ICP的特特性，提供高高效畅通的网网络通道： 针对为ICP特特点：需要保保护的主机数数量少，但并并发连数量大大设计的执行行执照，天网网防火墙ICCP型并不象象其他产品，只只是笼统地按按照并发数量量作为价格依依据，而是采采用保护的主主机数量作为为防火墙的执执行执照。 作为一个ICPP节点，网络络系统将承受受大量的并发发用户访问，天天网防火墙的的网络核心可可支持超大量量的并发连接接，远超任何何基于通用操操作系统的防防火墙。 作为一台防火墙墙，其最基本本功能是保护护网络不受非非法入侵者所所破坏的同时时，还要保证证网络的畅通通无阻，天网网防火墙的网网络核心专门门为TCP/IP及Fiirewal

4、ll而设计，同同时还针对CCPU的计算算核心进行了了优化处理，能能大大提升系系统性能。网网络底层的多多个部分由汇汇编语言编写写，比同类系系统性能提高高20%-660%。快速安装功能 传统的防火墙在在安装时极为为麻烦，首先先需要安装操操作系统，调调整网络参数数，安装防火火墙软件，然然后进行网络络参数设置，系系统管理员如如果没有经过过专门的培训训，在短时间间内装好防火火墙几乎是不不可能的事情情。天网防火火墙具有快速速安装特性，可可以实现从上上架安装、连连接网线、上上电、参数设设置完毕整个个过程不超过过15分钟。 基于浏览器的WWeb管理界界面 通常一个小型企企业并没有一一个防火墙专专家来专门负负责

5、防火墙方方面的工作，天天网防火墙具具有多语言支支持简单易用用的Web设设置界面，令令管理员熟练练地掌握系统统的时间大大大减少，操作作简单、管理理方便，只要要具有一定网网络相关知识识的人即可胜胜任。 完善的访问控制制功能 天网防火墙灵活活完善的网络络访问控制，不不仅包括现有有的所有网络络服务，同时时可以兼顾将将来各种新的的网络服务，在在有效地保障障企业网络安安全的前提下下又能保证各各种网络服务务的畅通无阻阻。MAC地址绑定定 天网防火墙所具具有的MACC地址绑定功功能可以很好好地解决内部部网络在地址址资源的分配配问题。当内内部主机设定定一个IP地地址以后，防防火墙系统就就能接收到相相应的地址广广

6、播，在防火火墙系统上列列出相应的IIP地址与MMAC地址，并并可以选择是是否把这个IIP地址与相相应的MACC地址绑定，这这样可限定IIP地址只能能在一台指定定的主机上使使用，既可以以防止IP地地址冒用，而而且大大方便便了日常网络络的IP地址址管理。双机热备份（选选件） 采取双机热备份份结构的天网网防火墙系统统在常规运作作的时候分为为主服务器和和备份服务器器，备份服务务器通过专用用通信端口作作主服务器设设置、纪录数数据的镜像。备备份服务器的的网络设备并并不运作，防防火墙工作由由主服务器完完成。如果因因网络或某些些因素使主防防火墙服务器器不能正常运运作时，备份份服务器会在在十秒钟内自自动启动，负

7、负责保护网络络安全，并发发出警告通知知网络管理员员。智能的负载分担担模块（选件件）降低了IICP网站建建设的成本 随着出色的Innterneet应用服务务的使用人数数不断增加，服服务器变得不不胜负荷，如如果无法及时时处理大量的的用户服务请请求，将出现现服务中断的的情况。以往往在解决这些些问题的时候候，只能采用用更强计算能能力的服务器器来替换原来来的服务器，旧旧的服务器只只能淘汰掉。并并且，单台服服务器的负载载能力也是有有限的，不可可能无限扩展展，同时，高高档服务器的的价格是随着着服务器的性性能呈现指数数型上升，因因此，采用多多台廉价服务务器组成负载载分担的系统统模型日渐成成为主流。 负载分担系

8、统主主要是将集中中在一台服务务器上的用户户服务请求分分发到多台服服务器上。 在负载分担方式式出现的初期期，有不少网网络的设计采采用域名轮转转的方式，即即是一个域名名对应多台服服务器，作为为一种廉价的的方案，域名名轮转的方式式可以在解决决一些服务器器的负载问题题，但是，由由于这种负载载分担的方式式有很大的局局限性：无法法根据各台服服务器的负载载情况，将用用户服务请求求发送到不同同的服务器上上；在其中一一台服务器出出现问题无法法工作的时候候，系统仍然然会将用户访访问请求发送送到出现故障障的服务器上上，造成一部部分服务的中中断；由于域域名解释一般般在各地的服服务器上都会会有Cachhe存在，因因此会

9、造成一一个地区的用用户访问请求求将集中在同同一台服务器器上。因而实实际上，采用用域名轮转的的方式来做系系统负载分担担，其效果并并不明显，而而且存在着一一定的弊端。 使用天网防火墙墙的分布式方方案，可以建建造具有快速速响应时间和和高容错的大大容量服务器器集群系统。天天网防火墙的的负载分布模模块，可以智智能地将用户户的服务请求求分布到多台台服务器上面面，同时，提提供容错功能能，可以自动动隔离出问题题的服务器。系系统具体功能能如下： 1） 动态负载载均衡 天网防火墙的负负载分布模块块可以根据服服务器的负载载情况，包括括CPU 占占用量，系统统Load等等情况，自动动选择负载最最小的服务器器，将用户的

10、的服务请求发发送到该机器器上。2） 容错处理理 天网防火墙的负负载分布模块块可以自动检检测服务器的的可用性，当当某一台服务务器出现故障障的时候，分分布式系统会会自动绕开发发生故障的机机器，不会将将用户的服务务请求发送到到改机器上，保保证了系统的的正常运作。 在实际应用用中，由于服服务器端常常常存在着CGGI程序，这这些程序会将将用户的信息息保存在服务务器的内存中中，如果负载载分担系统不不能识别用户户来源，就会会将同一个用用户的请求分分布到不同的的服务器上，就就会导致无法法正常运行程程序。而天网网防火墙的负负载负担模块块采用独有的的IIDR（智智能身份识别别）算法，能能够保证同一一个用户的CCG

11、I请求可可以保留在同同一台服务器器上，保证服服务的正常运运作。 采用分布式结构构建造大规模模的Inteernet应应用，可以容容纳大量的用用户，然而在在用户量增大大到一定的情情况下，负载载分担服务器器处于整个网网络中心的位位置，有可能能反而成为服服务系统的瓶瓶颈。天网防防火墙负载分分担模块在设设计时采用的的高性能的专专用散列算法法，保证系统统即使在处理理巨大的用户户量（每秒同同时连接数大大于300000用户）下下，网络效率率仍然可以达达到80%以以上。 3. 网络安全全解决方案 3.1 用户需需求分析网站准备使用十十台服务器对对外提供Weeb服务，使使用四台服务务器作为Smmtp服务器器，两台

12、服务务器作为POOP3服务器器，对外进行行服务，估计计将有23-25M的流流入数据量和和12-144M的外流数数据量 ： 1、 公共共网络。提供供网站的Weeb界面访问问，收发电子子邮件服务。22、 外部网网络。提供到到Interrnet连接接。主要应用类型包包括：1、 Web应用用 2、POOP3及Smmtp电子邮邮件应用 33、DNS服服务 4、FFTP服务 安全策略为先关关闭全部服务务和端口，在在开放部分服服务和端口。3.2 网络结结构 根据网站当前的的网络需求，我我们建议使用用基于天网防防火墙ICPP型的安全解解决方案。下下图为本建议议方案的网络络拓扑示意图图。 为了保证站点的的稳定性

13、、容容错性，本方方案使用天网网防火墙ICCP型，通过过防火墙划分分为物理上相相互独立的两两个网段：11、 公共网网段（Pubblic NNetworrk） 2、私私有网段（PPrivatte Nettwork）。 其中，公共共网段提供面面向Inteernet的的广域网连接接和接受互联联网用户访问问的支持；私私有网段安放放十台Webb服务器、四四台Smtpp服务器和两两台POP33服务器，提提供Web和和电子邮件应应用服务。 3.3 安全策策略 目的：1、 划划分安全区域域。2、 制制订安全策略略， 包括用用户访问控制制， 定义访访问级别，确确定服务类型型。 3、审审核和过滤，仅仅符合安全策策略

14、的访问和和响应过程可可以通过，拒拒绝其他访问问请求。根据对用户需求求的分析， 163.nnet北京站站点的网络可可以划分为以以下几个安全全区域： 11、内部网段段 2、 外外部网段。分属两个安全区区域的网段通通过天网防火火墙进行互连连。No.安全区域安全级别访问级别1外部网段低级无。提供网络连连接。2内部网段高级可自由访问外部部网络资源；对外不可见见。现有需要进行审审核和过滤的的应用和服务务类型包括：服务类型端口范围/协议议类型说明WWW80,tcpWWW服务FTP21,tcp文件传输服务DNS53,tcp/udp域名解析服务SMTP/POOP325/110,tcp电子邮件4. 防火墙配配置方

15、案 根据网络安全解解决方案中的的用户需求、网网络拓扑以及及制定的安全全策略，防火火墙采取以下下配置方案：4.1网络设置置类别项目IP地址/掩码码说明备注networkksIxternaal_Nettwork192.1688.0.0/24内部网络Externaal_Nettwork/224外部网络Interfaacesfxp2/224连接到公共网络络fxp0192.1688.0.1/24连接到内部网络络internaal_hosstsconsolee192.1688.0.X/24网管工作站服务器192.1688.0.X/24Web服务器服务器192.168

16、8.0.X/24电子邮件服务4.2系统配置置路由设置目的网络地址/掩码网关地址0/DNS设置Internaal_DNSS1Internaal_DNSS2系统纪录输出地地址CONSOLEE4.3安全规则则设定来源目的协议行动附加行动说明anyinternaal_nettworkanydenybind:fxxp2,coontinuueinternaal_nettwork is a proteectinternaal_nettworkanyanydenybind:fxxp2,coontinuueping iss permmitany anyicmppermitper

17、mit consoole too manaagerConsoleeany:88887,88888tcppermitremembeer to bind IP too MApemit aany innboundd trafffic tto pubblicanyWeb:80interrnal_nnetworrktcppermitbind:fxxp2any DNS:53interrnal_nnetworrktcp/udpppermitbind:fxxp2anyMail:255inteernal_netwoorktcppermitbind:fxxp2anyMail:1110intternall_netw

18、worktcppermitbind:fxxp2anyFTP.21interrnal_nnetworrktcppermitbind:fxxp24.4网络地址址转换规则设设定类型绑定设备原来地址转换后地址选项说明映射fxp2192.1688.0.0/24/332内核代理21FTP代理FTP/TCPP映射fxp2192.1688.0.0/24/332端口映射TCPP/UDP网络地址转换（PPAT）10000：665000重定向fxp2:880Web:80TCPHTTP重定向fxp2:1110Mail:1110TCPPOP3重定向fxp2:225Mail:255TCPSMTP重定向fxp2:553DNS:53TCP/UDPPDNS重定向fxp2:221FTP:21TCPFTP5. 技术服务务 网络安全特性检检测 网络安全检测（包包括对网络设设备、防火墙墙、服务器、主主机、操作系系统等的安