-4-14传统防火墙解决方案_第1页
-4-14传统防火墙解决方案_第2页
-4-14传统防火墙解决方案_第3页
-4-14传统防火墙解决方案_第4页
-4-14传统防火墙解决方案_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

综述前言随着计算机技术和通信技术的飞速发展,信息化浪潮席卷全球,一种全新的先进生产力的出现已经把人类带入了一个新的时代。信息技术的发展极大地改变了人们的生活、工作模式,网上新闻、网上购物、远程教育、电子商务等等各种应用层出不穷,世界各地的信息资源得到了高度的共享。这充分显示出信息化对社会生产力的巨大变革作用。深信服的安全理念网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。为提高恶意攻击者的攻击成本,深信服的安全理念提供了多层次、多深度的防护体系,。防火墙解决方案网络攻击检测对有服务攻击倾向的访问请求,防火墙采取两种方式来处理:禁止或代理。对于明确的百害而无一利的数据包如地址欺骗、PingofDeath等,防火墙会明确地禁止。对一些借用正常访问形式发生的攻击,因为不能一概否定,防火墙会启用代理功能,只将正常的数据请求放行。防火墙处在最前线的位置,承受攻击分析带来的资源损耗,从而使内部数据服务器免受攻击,专心做好服务。因为防火墙主动承接攻击,或主动分析数据避免攻击,其性能方面有一定的要求。完善的解决方案应该是安全产品从技术设计层面、实际应用层面能够承受大工作量下的性能、安全需求。访问控制从外网(互联网或广域网)进入内部网的用户,可以被防火墙有效地进行类别划分,即区分为外部移动办公用户和外部的公共访问者。防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。限制用户访问的方法,简单讲就是策略控制。通过源IP、目的IP、源应用端口、目的端口等对用户的访问进行区分。此外,配合策略控制,还有多种辅助手段增强这种策略控制的灵活性和强度,如日志记录、流量计数、身份验证、时间定义、流量控制等。深信服防火墙的规则设置采取自上而下的传统。每条策略可以通过图形化的方式添加、修改、移动、删除,也可以通过ID号进行命令行操作。一些细小的特性使使用者感到方便,如可以在添加策略的同时定义Address等。深信服防火墙支持区域到区域之间、相同区域内、区域到其他所有区域的策略定义,而且其不同的策略种类具有不同的优先级,充分体现出灵活性与实用性。管理方式任何网络设备都需要合理的管理方式。安全产品要求合理的、丰富的管理方式以提供给管理人员正确的配置、快速的分析手段。在整体的安全系统中,如果涉及数量较大的产品,集中的产品管理、监控将降低不必要的重复性工作,提高效率并减少失误。流量控制IP技术“尽力发送”的服务方式对服务质量控制能力的欠缺是IP技术发展的桎梏。防火墙作为网络系统的关键位置上其关键作用的关键设备,对各种数据的控制能力是保证服务正常运行的关键。不同的服务应用其数据流量有不同的特征,突发性强的FTP、实时性的语音、大流量的视频、关键性的Telnet控制等。如果防火墙系统不能针对不同的应用做出合理的带宽分配和流量控制,某一个用户的应用会在一定的时间内独占全部或大部分带宽资源,从而导致关键业务流量丢失、实时性业务流量中断等。目前很多IP网络设备包括防火墙设备在流量管理上采取了不同的实现方法。具有流量管理机制的防火墙设备可以给用户最大的两或控制带宽效率的手段,从而保证服务的连续性、合理性。深信服防火墙的典型部署及应用高可靠全链路冗余应用环境电信网络和许多骨干网络的可靠性要求很高,不允许出现因为设备的故障造成网络的不可用,因此在电信网络和骨干网络中加入防火墙的时候也必须考虑到这个问题,下图为深信服防火墙在骨干网络中应用的例子。正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通讯。当其中一台防火墙发生意外宕机、网络故障、硬件故障等情况时,该防火墙的网络通讯自动切换到另外一台防火墙,从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。同时,防火墙之间的其中一条链路用于实现状态表传送,当一台防火墙故障时,这台防火墙上的连接可以透明的、完整的迁移到另一台防火墙上,用户不会觉察到有任何变化。防火墙之间的另外一条链路用于数据通讯,增加网络链路的冗余,增强可靠性。旁路环境下双机热备环境本案例环境防火墙部署是在大型数据中心(IDC)经常使用的方案,利用交换机划分VLAN的功能,相当于将交换机模块根据不同的VLAN分成几个交换模块使用,一个VLAN连接在防火墙的外部接口和上联路由器的接口,另外几个VLAN连接内部网和防火墙的内部接口。所有外部流量从路由器接口进入交换机然后通过二层交换直接进入防火墙的外部接口,经过防火墙的内部接口后在进入交换机,最后进入内部核心网络。骨干网内网分隔环境据赛迪(CCID)统计报告,网络攻击有70%以上来自于企业内部,因此,保护公司网络的安全不仅要保护来自互联网的侵害而且要防止内部的攻击。深信服防火墙从3个到8个千兆接口可进行模块化扩展,除了可以用作多DMZ区设置外,还可以将内网进行多重隔离保护。通过防火墙将公司内部不同部门的网络或关键服务器划分为不同的网段,彼此隔离。这样不仅保护了企业内部网和关键服务器,使其不受来自Internet的攻击,也保护了各部门网络和关键服务器不受来自企业内部其它部门的网络的攻击。内网分隔的另一个目的是:防止问题的扩大。如果有人闯进您的一个部门,或者如果病毒开始蔓延,网段能够限制造成的损坏进一步扩大。混合模式接入环境深信服防火墙支持各种接入模式,分别为:透明模式、路由模式和混合模式,并支持各种模式之上的NAT模式。透明工作模式:防火墙工作在透明模式下不影响原有网络设计和配置,用户不需要对保护网络主机属性进行重新设置,方便了用户的使用。路由工作模式:防火墙相当于静态路由器,提供静态路由功能。混合工作模式:防火墙在透明模式和路由模式同时工作,极大提高网络应用的灵活性。下图为企业的典型应用,需要防火墙支持混合工作模式,而许多防火墙不支持这种接入模式,给企业的应用带来不便。例如:某企业内网的地址为保留地址/24-0/24,企业的对外WWW服务器、MAIL服务器、DNS服务器的内部地址分别为0、01、02,防火墙的内端口地址为,防火墙外网地址为对于服务器和Internet之间防火墙可使用透明方式,内网与服务器或Internet之间可以使用NAT方式,方便灵活部署防火墙。支持VLAN环境VLAN(VirtualLocalAreaNetwork)中文一般译为虚拟局域网络,是一种在交换机上通过端口、地址等方式划分虚拟网络的技术。在没有配置路由的情况下,不同VLAN之间是不能进行通讯的,目前的网络环境中,许多企业也通过VLAN进行网络安全保护,例如:将财务部门划为一个VLAN等。下图为一个企业划分VLAN的示意图:此企业划分了4个VLAN,并且通过路由器作VLAN之间的路由。此时如果加入防火墙,就需要防火墙支持VLAN。否则防火墙会将VL

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论