解决方案
GWF防火墻安全解決方案
1.概述
1.1 背景
谈及网络安全,直接联想到的往往是防火墙。早期的网络安全大多通过防火墙来实现。普通防火墙能够对数据包的状态进行检测,从而防止像SYN FLOODING(TCP泛洪)之类的较为常见的网络攻击。但是,对于商业网络来说,更多的交互式互联网应用,用户更多地参与到互联网的数据交换中,他们对于网络安全的直接感受,往往并非来源于类似SYN FLOODING之类的攻击。病毒、垃圾邮件、来源于网页的钓鱼攻击,这才是作为因特网用户的最直接的感受。
1.2 常见应用场景
GWF系列一般部署在中小型企业和中型行业分支机构的出口位置,能够满足企业、政府、金融、电力、财税等多种行业用户Internet安全接入、企业信息安全、分布式病毒防控等多方位的安全需求,在保证满足用户业务性能的前提下,大大提高网络综合安全防护能力。 这样的企业+分支机构模式,业务部署特点为分布式结构,由总部和分店两级组成,分店都通过Internet公网连接到总部服务器。由此总部和分店都暴露在整个Internet上,易于受到来自网络的各种攻击,主要可能有以下两类: 1) 外部攻击,即公网上固有的攻击源,这类攻击源在大网上随机的探测攻击目标,常见的攻击主要针对服务器操作系统漏洞、数据库访问漏洞或者Web服务、ftp、telnet服务等应用层漏洞; 2)内部攻击,可能是合法的网点机构终端感染病毒或木马,被恶意程序窃取了相关权限,进入服务器群的后台系统进行了相关操作。 为了降低安全风险,构建企业安全的IT信息系统,风云实业基于GWF1000/2000系列防火墙产品,提供整套综合安全解决方案。
2.解决方案
2.1 关键设备
GWF-1000系列
| 型号/指标 | GWF-1000A | GWF-1000B | GWF-1000E-MA | GWF-1000E-MB |
|---|---|---|---|---|
| 物理参数 | ||||
| 千兆电接口 | 6 | 8 | 8 | 8 |
| 千兆SFP光接口 | 无 | 2 | 4 | 8 |
| 万兆接口 | 无 | 无 | 无 | 2 |
| 设备尺寸 | 1U | 1U | 1U | 1U |
| 技术参数 | ||||
| 最大吞吐量 | 2Gbps | 4Gbps | 8Gbps | 20Gbps |
| 并发会话 | 2.5M | 3.5M | 7M | 7M |
| 新建会话 | 25K | 70K | 200K | 220K |
| 最大策略数 | 100K | 100K | 100K | 100K |
| VPN吞吐量 | 1Gbps | 1.5Gbps | 5Gbps | 10Gbps |
| 防病毒吞吐量 | 700Mbps | 500Mbps | 2.8Gbps | 5Gbps |
| IPS吞吐量 | 1Gbps | 1.5Gbps | 3Gbps | 4Gbps |
GWF-2000系列
| 型号/指标 | GWF-2000A | GWF-2000E-MA | GWF-2000E-MB |
|---|---|---|---|
| 物理参数 | |||
| 千兆电接口 | 2 | 2 | 2 |
| 扩展卡槽位 | 3 | 5 | 5 |
| 设备尺寸 | 1U | 1U | 1U |
| 电源 | 双 | 双 | 双 |
| 技术参数 | |||
| 最大吞吐量 | 40Gbps | 60Gbps | 80Gbps |
| 并发会话 | 11M | 12M | 50M |
| 新建会话 | 240K | 250K | 280K |
| 最大策略数 | 100K | 100K | 100K |
| VPN吞吐量 | 30Gbps | 50Gbps | 50Gbps |
| 防病毒吞吐量 | 6bps | 10Gbps | 12Gbps |
| IPS吞吐量 | 8Gbps | 10Gbps | 12Gbps |
2.2 解决方案拓扑
2.3 方案详述
本解决方案有四级安全防护几点: 1) 局域网安全防护 2) 公网传输安全防护 3) 核心网安全防护 4) 服务端高可靠性防护
2.3.1 分支-总部(LAN-LAN VPN)
LAN-LAN VPN是两个局域网之间的VPN,根据不同的网络接入方式,GWF1000/2000系列支持以下情况: 1) 两个局域网均使用静态公网IP地址接入Internet:最简单、经典的VPN应用; 2) 当其中一个或两个局域网使用动态公网IP地址接入Internet,例如ADSL方式:可以使用DDNS(动态域名解析)方式将动态公网IP地址与FQDN域名绑定,建立VPN隧道的双方 均使用FQDN域名与对方通信; 3) 当其中一个局域网使用私网IP地址接入Internet,例如总部使用公网IP地址(静态或动态IP地址均可),分支机构使用私网IP地址:可以使用拨号VPN方式建立隧道,由分支机构向总部的公网IP地址或FQDN域名发起连接,总部无须事先知道分支机构使用的IP地址。利用NAT穿越技术,AppWay可以在NAT环境下,保证VPN的正常通信。当前在国内IP地址紧张的情况下,很多的分支机构都是通过服务商提供的私有网络地址连接公网的,在服务商的网络出口处统一进行地址转换。在这种情况下,只有支持NAT穿越技术的VPN产品能够适应服务商的NAT环境。
2.3.2 移动办公接入(拨号VPN)
拨号VPN与点对点VPN不同,VPN隧道的双方不是对等的角色,而是一方扮演服务器,一方扮演客户端,通常用于大量分支节点接入一个中心节点的环境,例如集团公司的大量分支机构及移动办公用户都通过IPSec VPN与总部连接,并进行数据交换。 拨号VPN客户端既可以使用GWF设备(如分支机构节点),也可以使用第三方的IPsec客户端软件(如移动办公用户)。
2.4 安全性设计
针对业务受到的安全威胁和未来可预见的安全风险,这里按照层次化设计四层安全防护体系,如图2-1所示,四层防护体系设计如下:
2.4.1 局域网安全防护
利用GWF1000防火墙,对于分支机构内部进行病毒隔离、IPS探测和上网行为管理,将安全风险控制在局域网内,严防扩散到总部。
2.4.2 公网传输安全防护
分支机构与总部间建立IPSec VPN,对接入机构进行认证,对传输数据进行加密与防篡改,防止数据在Internet公网上传输时被恶意劫持与篡改。
2.4.3 核心网安全防护
数据通过VPN进入总部网络前,首先进行解密和验证,并对数据内容进行防攻击和病毒检测;对于非VPN数据,可以根据策略进行丢弃或者经检查后通过。
2.4.4 服务端高可靠性防护
服务器端部署两台GWF2000型防火墙,通过特有协议进行双机热备,当一台设备出现故障或链路出现故障时,流量自动切换,不影响正常业务;内网选用两台三层交换机运行VRRP协议,对外虚拟成一个网关地址,当一台交换机或链路出现故障时进行流量自动切换。
3. 结束语
Web2.0时代的到来加速了人们对网络的依赖,传统防火墙在新生网络威胁面前渐渐力不从心, 风云实业愿意同业界一起推动第二代防火墙得到更广泛的应用,使得各种规模的商业用户均可获得更高性价比的解决方案。