核动力西南物理研究院数据中心方案

核动力西南物理研究院数据中心安全方案杭州迪普科技有限公司2013年9月

目录1 项目概述 图1-1所示。DPTECHDPX8000系列深度交换网关DPTECHFW1000-Blade防火墙业务板外观为解决上述难题，迪普科技推出了基于全新多核处理器架构的下一代防火墙—FW1000-Blade防火墙。FW1000-Blade对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。以FW1000-Blade为例，在开启防火墙、IPSec/SSLVPN、NAT、URL过滤、攻击防护、行为审计功能的情况下，扩展应用控制协议库、URL过滤库等，处理能力依然可达万兆线速。DPTECHFW1000-Blade系列开创了应用防火墙的先河。基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和ConPlatOS安全操作系统，是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性，使FW1000-Blade可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的安全架构，并大大降低了企业网络总体拥有成本！产品特点强大的硬件平台FW1000-Blade业务模块采用先进的多核硬件架构，并利用快转技术，做到一次运算多次转发，实现了超万兆的安全防护。在高速处理应用请求的同时，原有业务处理不会受到任何影响。硬件加密FW1000-Blade业务模块支持全内置IPSecVPN、SSLVPN硬件加密接口扩展FW1000-Blade业务模块支持接口模块和业务模块的按需扩展。灵活组网FW1000-Blade业务模块支持路由模式、透明模式、混合模式组网。虚拟防火墙技术支持安全区域划分、虚拟防火墙技术应用层防护内嵌丰富的应用层过滤与控制引擎，实现细粒度的安全管理高可靠性冗余电源、双机状态热备、VRRP、双链路备份。支持丰富的网络协议支持丰富的网络协议，适应各种复杂组网环境。规格说明FW1000-Blade防火墙业务板的规格说明表项目描述内存类型及容量DDR2SDRAM标配为2GB管理接口1个CONSOLE配置口1个10/100/1000BASE-T管理以太网接口USB接口1个USB接口业务接口固定接口：12个10/100/1000BASE-T以太网电接口12个1000BASE-X以太网光接口功能特性列表FW1000-Blade防火墙业务板主要功能特性列表属性说明工作模式路由模式、透明模式、混合模式安全特性支持对Smurf、Land、TearDrop、Fraggle、PingofDeath、IPSpoofing、WinNuke、SYNFlood、ICMPFlood、UDPFlood、ARP欺骗攻击防范支持邮件过滤、URL过滤、内容过滤支持攻击实时告警、黑名单、地址绑定、流量告警功能及其日志支持安全事件统计和邮件告警功能VPN功能支持IPSecVPN、L2TPVPN、GREVPN、SSLVPN地址转换支持NAT地址转换网络协议支持DHCPRelay/Server/Client，支持静态路由、策略路由、RIPv1/2、OSPF、BGP，支持组播协议设备管理支持Web图形化、SSH和串口Console，并支持网管平台集中管理日志与报表日志容量：可以使用独立的日志服务器，容量无限制日志备份：支持自动定时备份报表输出：内置数百种报表，可图形化的查询、审计、统计、检索内网用户的各种网络行为日志，方便管理者了解和掌控网络高可靠性冗余电源、双机状态热备、VRRP、双链路备份IPS入侵检测防御板卡简介DPtechIPS2000-Blade入侵防御系统模块是一款安全业务模块，是DPtech公司面向企业客户、行业客户、电信客户开发的专业入侵防御模块，可透明部署在客户网络的关键路径上，如数据中心前、互联网出口、广域网边界、关键子网边界等，对客户网络提供全面、深度的保护。DPtechIPS2000-Blade入侵防御系统模块可以和DPXA3/DPXA5/DPXA12系列深度业务交换网关配合使用，可以在已使用该交换机的用户网络中方便部署，满足对网络保护的需要。部分DPtechIPS2000-Blade入侵防御系统模块的外观如图所示。IPS2000-Blade入侵防御系统模块外观DPtechIPS2000-Blade入侵防御系统模块开创性地将主网络设备的转发和业务处理有机融合在一起，在实现主网络设备高性能数据转发的同时，能够根据组网的特点处理安全业务，实现保护网络应用的安全。产品特点先进的系统架构DPtechIPS2000-Blade入侵防御系统模块基于DPtech公司领先的架构开发，通过内部的高速80G以太接口与主网络设备相连，DPtech主网络设备的后插卡具有的线速转发能力，更保证了与业务插卡间通畅的数据转发。一体化安全防护DPtechIPS2000-Blade入侵防御系统模块直接嵌入在DPtechDPXA3/DPXA5/DPXA12系列深度业务交换网关，即可实现入侵防御功能，不改变原网络的结构，与网络设备配合完成安全业务网关的工作，为用户提供一体化的安全保护，降低了用户首次和后续扩容的投入成本。强大的性能可扩展性DPtechIPS2000-Blade入侵防御系统模块作为DPtechDPXA3/DPXA5/DPXA12系列深度业务交换网关的模块，用户可以根据需要，选择不同数量的模块，方便快捷的实现性能扩展。高度、灵活的安全功能集成作为深度业务交换网关的模块，DPtechIPS2000-Blade入侵防御系统模块可以和安全其他模块，如SSLVPN、FW、UAG模块等配合，实现丰富的安全特性。高密度的端口数对于部署在网络设备中的IPS模块，网络设备的所有端口均能用作IPS2000-BladeIPS模块的端口，这样就大大扩展了IPS2000-BladeIPS可防护的范围。业务模块强大的硬件平台DPtechIPS2000-Blade入侵防御系统模块采用了专用多核高性能处理器和高速存储器，在高速处理安全业务的同时，主网络设备的原有业务处理不会受到任何影响。模块故障、检测引擎故障保护、系统软件故障保护DPtechIPS2000-Blade入侵防御系统模块故障时，流量可以不继续牵引，有效的避免了单点故障，确保业务不会中断。DPtechIPS2000-Blade入侵防御系统模块内置的监测模块以很高的频率定时地监测IPS设备的健康状况。一旦探测到检测引擎或软件系统故障，该模块会将IPS设置成一个简单的二层交换设备，网络流量将在两个接口之间直接贯通，从而保持网络业务的连续性，如图2-1所示。检测引擎或系统软件故障时的二层回退保护冗余部署DPtechIPS2000-Blade入侵防御系统模块支持冗余部署。互为备份的多个IPS模块可以工作在负载分担（Active/Active）模式，与已经在网络中大规模部署的VRRP、OSPF多出口等冗余保护技术无缝的结合在一起。全面、及时的攻击特征库攻击特征库是检测引擎进行攻击检测的依据，没有完善的攻击特征库，再强大的检测引擎也无法发挥作用，就像动力强劲的发动机没有合适的、足够的燃油一样。DPtech公司多年的网络技术与安全技术积累，造就了资深的攻击特征库团队和安全服务团队，建有攻防实验室，紧跟网络技术与安全技术的发展前沿和网络攻防的最新动态，定期更新并发布攻击特征库升级包，源源不断地为强大的检测引擎注入高质量的燃油。DPtech公司的攻击特征库具有如下特点：覆盖全面，包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征，同时也包含了黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征；更新及时，常规情况下每周进行攻击特征库更新，紧急情况下24小时内提供更新的攻击特征库；攻击特征库与国际权威的漏洞库CVE兼容；攻击特征库虽然兼容国际，但仍根植中国，更多关注国内特有的网络安全状况，及时对国内特有的攻击提供防御；攻击特征库包含了与该攻击相关的详细描述，包括攻击的目标系统信息、攻击的危害程度、攻击的解决方法等；攻击特征分类合理、细致，易于查询、易于归类操作。实用、强大的业务增值功能DPtechIPS2000-Blade入侵防御系统模块除了能有效、实时地抵御网络攻击外，还提供了丰富实用的IPS之外的其他业务增值功能，如基于应用的带宽管理、URL过滤等，可为客户带去更多的业务体验、更高的性价比，从而使客户获得更高的投资收益率。基于应用的带宽管理DPtechIPS2000-Blade入侵防御系统模块的协议识别功能支持1000多种应用协议的识别，在这个协议识别的基础上，IPS模块可以对各种应用进行灵活的带宽控制，限制非关键应用，并保证了客户网络上关键应用的带宽。客户定制的URL过滤DPtechIPS2000-Blade入侵防御系统模块提供了URL过滤功能，客户可自定义URL过滤规则实现对敏感网页和网页内容进行过滤，URL过滤规则支持正则表达式。安全技术与网络的深度融合DPtechIPS2000-Blade入侵防御系统模块融合了丰富的网络特性，支持MPLS、802.1Q、QinQ、GRE、PPPoE等网络协议，可在各种复杂的网络环境中实现透明接入组网。丰富的响应方式IPS在分析报文检测到异常情况后，需要采取一个特定的响应动作。DPtechIPS2000-Blade入侵防御系统模块提供了丰富的响应方式，包括阻断、限流、TCPReset、抓取原始报文、隔离、Email告警、Syslog上报、记本地日志等。各响应方式可以相互组合，并且设备出厂内置了一些常用的动作组合，以方便客户使用。其中DPtech公司独特设计的重定向和隔离响应方式，不但能有效防止安全威胁在网络上扩散，而且还能及时通知有安全威胁的客户端相关的安全事件。强大、灵活的管理功能DPtechIPS2000-Blade入侵防御系统模块提供了强大、灵活的管理功能，DPtech公司在设计IPS管理功能的时候既考虑了客户单台或小规模部署时的轻便管理系统设计，又考虑了客户大规模部署时的集成管理系统设计。完备、实用的单机管理在单台或小规模部署时，为了让客户节约设备成本和管理成本，DPtechIPS2000-Blade入侵防御系统模块提供了单机的基于Web的图形化管理系统，让客户不用单独购买、部署额外的管理服务器硬件和管理软件就能实现对IPS的图形化管理。DPtechIPS2000-Blade入侵防御系统模块的单机管理系统的功能虽然没有它的集中管理系统强大，但是所有管理功能也是完备的，包括安全策略管理（如安全策略配置、下发等）、攻击事件管理（如攻击事件查询、统计分析、报表等）、各种对象管理等。同时，DPtechIPS2000-Blade入侵防御系统模块的单机管理系统界面友好，方便易用，客户无需安装专门的客户端软件，直接采用标准浏览器即可实现一目了然的图形化管理。强大的集中管理在大规模部署时，为了让客户对全网网络安全动态进行统一的监控，DPtechIPS2000-Blade入侵防御系统模块提供了强大的集中管理系统，客户通过集中管理系统可以在全网范围内制定统一的安全策略，方便地分发到各地的IPS设备上，同时各地的IPS设备上产生的攻击事件可以集中上报到集中管理中心，管理中心对全网范围内的安全事件进行集中的统计分析，并提供各种直观、详细的报表，在全景式的分析报表中，客户可以轻松地看到整网过去的安全状况和未来的安全趋势。主要性能指标列表项目指标值最大连接数200万新建连接数10万时延<30usDPtechUAG3000-Blade统一审计网关模块产品概述REF_Ref210271051\r\h第1章REF_Ref210271052\h产品简介PAGE4UAG审计及流控板卡简介DPtechUAG3000-Blade统一审计网关模块是一款安全业务模块，是DPtech公司面向运营商、大中型企业、教育系统开发的专业应用控制网关模块，可以用于DPtechDPXA3/DPXA5/DPXA12系列深度业务交换网关，作为DPtechDPXA3/DPXA5/DPXA12系列深度业务交换网关的业务模块提供上网审计和应用控制业务。DPtechUAG3000-Blade统一审计网关模块的外观如图所示。UAG3000-Blade统一审计网关模块外观DPtechUAG3000-Blade统一审计网关模块作为DPtechDPXA3/DPXA5/DPXA12系列深度业务交换网关的业务模块，可以在已使用该设备的用户网络中方便部署，满足对流量运营管理的需要。DPtechUAG3000-Blade统一审计网关模块开创性地将主网络设备的转发和业务处理有机融合在一起，在实现主网络设备高性能数据转发的同时，能够根据组网的特点处理安全业务，实现流量的管理和上网行为的审计。DPtechUAG3000-Blade统一审计网关模块产品概述REF_Ref210271085\r\h第2章REF_Ref210271087\h产品特点产品特点：先进的系统架构DPtechUAG3000-Blade统一审计网关模块基于DPtech公司领先的架构开发，通过内部的高速80G以太接口与主网络设备相连，DPtech主网络设备的后插卡具有的线速转发能力，更保证了与业务插卡间通畅的数据转发。一体化安全防护DPtechUAG3000-Blade统一审计网关模块直接嵌入在DPtechDPXA3/DPXA5/DPXA12系列深度业务交换网关，即可实现上网审计和应用控制网关功能，不改变原网络的结构，与网络设备配合完成安全业务网关的工作，为用户提供一体化的安全保护，降低了用户首次和后续扩容的投入成本。强大的性能可扩展性DPtechUAG3000-Blade统一审计网关模块作为DPtechDPXA3/DPXA5/DPXA12系列深度业务交换网关的模块，用户可以根据需要，选择不同数量的模块，实现性能的扩展。同时，也可以和安全其他模块，如SSLVPN、FW、IPS、流量清洗模块等配合，实现丰富的安全特性。高度、灵活的安全功能集成作为深度业务交换网关的一种类型的模块，DPtechUAG3000-Blade统一审计网关模块可以和安全其他模块，如SSLVPN、FW、IPS、流量清洗模块等配合，实现丰富的安全特性。高密度的端口数对于部署在网络设备中的UAG模块，网络设备的所有端口均能用作UAG3000-Blade模块的端口。模块故障保护DPtechUAG3000-Blade统一审计网关模块故障时，流量可以不继续牵引，有效的避免了单点故障，确保业务不会中断。业务模块强大的硬件平台DPtechUAG3000-Blade内容审计模块采用了专用多核高性能处理器和高速存储器，在高速处理安全业务的同时，主网络设备的原有业务处理不会受到任何影响。丰富的特性深度应用识别以DPtech公司深度应用识别专利技术为核心，对种类繁多的应用协议进行模型化，分类进行识别，在模型化识别的基础上进行智能决策，从而准确识别多种应用协议，包括P2P、VoIP、IM、炒股应用软件、游戏以及其它如流媒体、WEB访问、FTP下载、网络管理等多种应用协议。提供可扩展、可升级的应用识别和行为识别能力。可以动态的升级新的应用及其行为实体的定义，并及时扩展新的应用协议的分析模块。流量统计基于DPtech公司具有专利技术的通用流量统计模型，提供基于用户、应用、时间段、源/目的IP等丰富的业务流量统计信息日志。可以对业务组以及某个业务下的所有子业务的流量趋势、业务带宽占用趋势以及业务流量分布等各种流量信息进行统计分析并生成日志。流量信息包括上下行双向流量。带宽管理提供限流、放行