资源描述
下一代USG系列统一安全网关技术建议书
目录
1 概述 6
1.1 网络安全 6
1.2 威胁管理 6
1.3 网络安全管理 7
1.4 新网络带来的新威胁 7
2 ××企业网络安全分析 8
2.1 ××企业网络现状 8
2.2 ××企业网络业务流分析 8
2.3 ××企业网络安全问题与分析 8
3 ××企业网络安全需求 9
3.1 ××企业网络安全设计原则 9
3.2 ××企业网络安全需求 10
4 网络安全解决方案 10
4.1 ××企业网络安全解决方案 10
4.1.1 大中型企业边界防护方案 10
4.1.2 内网管控与安全隔离方案 12
4.1.3 数据中心边界防护方案 13
4.1.4 VPN远程接入与移动办公 14
4.1.5 云计算网关防护方案 16
4.1.6 MPLS VPN解决方案 17
4.1.7 IPv4向IPv6网络过渡解决方案 18
4.2 ××企业网络安全设备选择 19
5 安全解决方案特点 19
5.1 ××企业安全网络业务流分析 19
5.2 ××企业网络安全解决方案优点 19
6 USG系列防火墙统一安全网关 20
6.1 下一代USG系列防火墙简介 20
6.2 下一代USG系列防火墙功能特点 20
6.2.1 完善的传统防火墙安全功能 20
6.2.2 强大的内容安全防护 29
6.2.3 灵活的用户管理 36
6.2.4 精细的流量管理 37
6.2.5 领先的IPV6支持 38
6.2.6 多样的VPN接入方式 39
6.2.7 易用的虚拟防火墙 41
6.2.8 IDS联动 42
6.2.9 丰富的日志与报表 43
6.2.10 灵活的维护管理 44
6.2.11 符合多项测试和认证要求 45
7 服务 45
7.1 服务理念 45
7.2 服务内容 45
7.3 服务保障 45
2024-5-17
机密,未经许可不得扩散
第42页, 共42页
1 概述
Internet的普及为社会的发展带来了巨大的推动力,但同时也产生了大量的网络安全问题,越来越受到金融、教育、电力、交通等机构以及众多企业的重视。网络安全问题主要包括两个层面:网络本身的安全问题和网络安全管理问题。随着电信网络向融合、开放、和宽带不断演进,电信网络变得庞大而又复杂了,其面临着来自多个网络的各种安全威胁,网络安全事件频频发生,主要集中在病毒、蠕虫、恶意代码,网页篡改,垃圾邮件等方面,政府网站常常成为攻击目标。传统的防火墙设备对上述威胁难以应付采用单一的安全防范技术很难行之有效。
基于统一威胁管理的UTM技术应运而生。UTM设备采用专用多核架构平台,将IPS、Anti-Virus、UTRL过滤、VPN、防火墙和上网行为管理等安全特性集成于一体,形成立体的威胁防御解决方案。
1.1 网络安全
Internet由于其开放性,使得非常容易遭受攻击。随着攻击手段的变化多样而且攻击工具更容易获取,以及基于僵尸网络DDoS攻击的出现,使得基于网络层的攻击层出不穷。主要的攻击包括:ARP Flood、ICMP Flood、IP Spoofing、UDP Flood、Synflood、Smurf 攻击、Land 攻击、超大ICMP攻击、Fragile 攻击、Ping of Death、Tear Drop、Ping Scan、Port Scan、IP 路由选项攻击、Tracert 攻击等等。
网络层攻击的目标主要有三个:带宽攻击、主机或者网络设备攻击以及入侵前的主机扫描。带宽攻击指通过大量的攻击数据包占用正常业务数据的带宽,导致网络带宽拥挤,正常业务受到影响;主机或者网络设备攻击指的是攻击者通过攻击主机或者网络设备的某个应用端口导致被攻击设备处理不过来或者瘫痪使其不能处理正常业务数据;主机扫描指的是黑客在入侵之前通过IP或者端口扫描获取网络中活动的主机信息,为下一步入侵提供必要的信息。
1.2 威胁管理
越来越复杂的威胁、持续提高的规章要求以及持续发展的应用程序,不断给企业带来新的网络安全问题。威胁越来越复杂化,并且新的应用和技术也带来了更多漏洞。给IT管理者也带来巨大的挑战。统一威胁管理平台为企业提供全面的安全解决方案,提前扼杀网络威胁。
1.3 网络安全管理
网络安全管理指的是企业对自身的网络资源进行有效的安全区域、等级划分,使得在网络安全运行的基础上,促进企业自身的信息安全管理水平,更好的保证企业正常运作。安全区域指的是在网络中拥有相同网络资源访问权限的主机集合,安全区域的划分主要依据企业内部部门的划分,例如财务部门、研发部门、市场部门分别划分为三个不同安全等级的安全区域。将一个企业进行清晰的安全区域划分,大大简化了企业的网络资源控制与管理,在此基础上,实施适合企业管理要求的安全策略管理,提高企业信息安全管理水平。
1.4 新网络带来的新威胁
随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险:
(1)IP地址不等于使用者
在新网络中,通过操纵僵尸主机借用合法IP地址发动网络攻击,或者伪造、仿冒源IP地址来进行网络欺骗和权限获取已经成为最简单的攻击手段。一个报文的源IP地址已经不能真正反映发送这个报文的网络使用者的身份。同时,由于远程办公、移动办公等新兴的办公形式的出现,同一使用者所使用的主机IP地址可能随时在发生变化,所以通过IP地址进行流量控制已经不能满足现代网络的需求。
(2)端口和协议不等于应用
传统网络业务总是运行在固定的端口之上。例如HTTP运行在80端口,FTP运行在20、21端口。然而在新网络中,越来越多的网络应用开始使用未经因特网地址分配组织(Internet Assigned Numbers Authority, IANA)明确分配的非知名端口,或者随机指定的端口(例如P2P协议)。这些应用因为难以受到控制,滥用带宽,往往造成网络的拥塞。
同时,一些知名端口也被用于运行截然不同的业务。最为典型是随着网页技术的发展,越来越多不同风险级别的业务借用HTTP和HTTPS协议运行在80和443端口之上,例如WebMail、网页游戏、视频网站、网页聊天等等。
(3)报文不等于内容
单包检测机制只能对单个报文的安全性进行分析。这样无法防范在一次正常网络访问的过程中发生的病毒、木马等网络威胁。现在内网主机在访问Internet的过程中,很有可能无意中从外网引入蠕虫、木马及其他病毒,造成企业机密数据泄露,对企业经营造成巨大损失。所以企业的网络安全管理,有必要在控制流量的源和目的的基础上,再对流量传输的真实内容进行深入的识别和监控。
2 ××企业网络安全分析
[通过与××企业进行深入的交流,我们对其网络进行了充分的了解与分析。……]
2.1 ××企业网络现状
[此部分主要包括两个部分(注意:要给出网络的吞吐量):
1.××企业内部网络拓扑图,如果企业是新建网络,则提供没有安全设备的网络拓扑图,用来进行安全方案的分析。
2.××企业内部网络承载的业务,主要是内部业务以及出口网络业务]
2.2 ××企业网络业务流分析
[给出企业现网的业务流分析图,使得客户对现有网络安全问题理解的更加清晰]
2.3 ××企业网络安全问题与分析
[此部分主要包括以下几个部分(主要根据与客户的沟通以及我们自己的分析给出):
1.××企业网络出口安全隐患:DoS攻击,端口扫描
2.××企业内部网络内部安全区域的划分问题:不同部门安全网络资源权限管理
3.××企业内部服务器保护:DMZ区域的FTP、WEB、MAIL、数据库服务器保护
4.××企业业务安全隐患:需要对不同安全区域的业务进行过滤,丰富企业管理手段
5.××企业NAT设备问题:统一安全网关是专业的NAT设备,具有良好的性能以及灵活的策略NAT功能,以及丰富的NAT ALG功能
6.××企业出差员工移动办公问题:统一安全网关提供丰富的VPN接入功能,实现内部资源的外部安全访问。
7.××企业入侵隐患:与业界多数IDS联动,实现入侵检测监控。
8.××企业NAT事后追踪:由于NAT隐藏了企业内部的网络结构,使得企业内部访问外网出现社会安全事件时,事后追踪措施变得极为重要。统一安全网关USG5300提供专用的日志服务器,二进制的NAT日志存储、查询为事后追踪提供重要的技术手段。
3 ××企业网络安全需求
[针对××企业网络安全问题与分析给出简要的描述,例如:通过深入的交流与分析,××企业网络安全需求分为四个部分:网络攻击防护、安全区域划分、NAT地址转换。]
3.1 ××企业网络安全设计原则
根据××企业对网络安全的需求以及公司对网络安全的积累,我们提出××企业网络安全设计必须满足以下原则:
1. 先进性原则:××企业网络中的安全设备必须采用专用的硬件平台和安全专业的软件平台保证设备本身的安全,符合业界技术的发展趋势,既体现先进性又比较成熟,并且是各个领域公认的领先产品。
2. 高可靠性:××企业网络是其信息化的基础,网络的稳定性至关重要;网络安全设备由于部署在关键节点,成为网络稳定性的重要因素。整个网络设计必须考虑到高可靠性因素。
3. 可扩展性:××企业处在发展阶段,其网络也会不断的扩充变化,要求在保证网络安全的基础上整个网络具有灵活的可扩展性,特别是对安全区域的新增以及原有安全区域扩充等要求具有良好的支持。
4. 开放兼容性:××企业的安全产品设计规范、技术指标符合国际和工业标准,支持多厂家产品,从而有效的保护投资。
5. 安全最小授权原则:××企业的安全策略管理必须遵从最小授权原则,即不同安全区域内的主机只能访问属于相应网络资源,对××企业的网络资源必须完全等到控制保护,防止未授权访问,保证××企业的信息安全。
3.2 ××企业网络安全需求
[新增统一安全网关,用以满足××企业以下需求(根据××企业网络安全问题与分析给出需求):
1. 安全区域划分:将财务部、市场业务部、研发部、生产部、总裁办……划分为不同的安全区域。
2. 防范网络攻击:在网络出口和不同的安全区域之间启用网络攻击防范,防止外网网络攻击和部门之间网络攻击蔓延。
3. ……]
4 网络安全解决方案
4.1 ××企业网络安全解决方案
[根据对××企业的需求分析选择以下的一个方案或者进行方案综合]
4.1.1 大中型企业边界防护方案
图1大中型企业边界防护典型部署
大中型企业员工人数通常都比较多,一般在500人以上的企业。大中型企业通常具有以下业务特征:
Ø 企业人员众多,业务复杂,流量构成丰富多样。
Ø 对外提供网络服务,例如公司网站、邮件服务等。
Ø 容易成为DDoS攻击的目标,而且一旦攻击成功,业务损失巨大。
Ø 对设备可靠性要求较高,需要边界设备支持持续大流量运行,即使设备故障也不能影响网络运转。
基于以上特征,USG系列防火墙作为大中型企业的出口网关提供如下功能:
Ø 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护
Ø 根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对图1中的文件服务器开启文件过滤和数据过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。
Ø 针对内网员工访问外部网络的行为,开启URL过滤、文件过滤、数据过滤、反病毒、应用行为控制等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。
Ø 在USG系列防火墙与出差员工、分支机构间建立VPN隧道,使用VPN保护公司业务数据,使其在Internet上安全传输。
Ø 开启DDoS防御功能,抵抗外网主机对内网服务器进行的大流量攻击,保证企业业务的正常开展。
Ø 对内外网之间的流量部署带宽策略,控制流量带宽和连接数,避免网络拥塞,同时也可辅助进行DDoS攻击的防御
Ø 部署eSight网管系统(需要单独采购),记录网络运行的日志信息。日志信息可以帮助管理员进行配置调整、风险识别和流量审计
Ø 采用双机热备部署,提高系统可靠性。单机故障时可以将业务流量从主机平滑切换至备机上运行,保证企业业务持续无间断的运行。
4.1.2 内网管控与安全隔离方案
图2 内网管控与安全隔离典型部署
如上图所示,对于一个大中型企业网络,通常其内部网络也需要划分安全等级。例如研发网络、生产网络、营销网络之间需要进行隔离,并对不同网络间的流量进行监控,以实现以下目的:
Ø 不同网络的业务类型和安全风险不同,需要部署不同的安全策略;
Ø 不同网络间的流量需要受控,避免企业核心信息资产通过网络泄露
Ø 将网络进行隔离,避免一个网络感染病毒扩散到整个企业内网
Ø 大部分流量主要发生在同一网络内,而同一网络内的流量传输往往无需过多干预。所以通过网络划分,可以降低安全设备的检测负担,提高检测效率,使网络更加通畅。
基于以上特征,USG系列防火墙作为大中型企业的内网边界,提供如下功能:
Ø 在内网部署一个或多个USG系列防火墙作为内部不同网络的边界网关,隔离不同网络。
Ø 建立用户管理体系,对内网主机接入进行用户权限控制。
Ø 相同安全等级的网络划分到同一个安全区域,只部署少量的安全功能,例如“研发部1”和“研发部2”同属于Research安全区域,但是两者间通信的流量仍可进行简单的包过滤、黑白名单、反病毒等功能。
Ø 不同安全等级的网络划分到不同的安全区域,根据业务需求部署不同的安全功能,例如仅允许部分研发网络主机访问指定的市场部主机,并在Research与Marketing、Production、Server之间应用反病毒、文件类型过滤、数据过滤等功能。
Ø 在各个区域之间应用带宽策略,控制带宽与连接数,避免内网网络拥塞。
Ø 内网各个区域与外网之间应用入侵防御、反病毒、文件类型过滤、数据过滤、URL过滤、应用行为控制等功能。
4.1.3 数据中心边界防护方案
图3 数据中心边界防护部署
数据中心(Internet Data Center,IDC),是基于Internet网络提供的一整套设施与相关维护服务体系。它可以实现数据的集中式收集、存储、处理和发送。通常由大型网络服务器提供商建设,为中小型企业或个人客户提供服务器托管、虚拟域名空间等服务。
数据中心的网络结构通常具有以下特征:
Ø 主要针对数据中心内的服务器进行保护,使用的安全功能需要根据服务器类型综合考虑。
Ø 数据中心可能部署有多家企业的服务器,更容易成为黑客的攻击目标。
Ø 数据中心的核心功能是对外提供网络服务,保证外网对数据中心服务器的正常访问极其重要,这不仅要求边界防护设备拥有强大的处理性能和完善的可靠性机制,还可以在发生网络攻击时仍不影响正常的网络访问。
Ø 数据中心流量复杂,如果流量可视度不高,则不能进行有针对性的配置调整。
基于以上特征,USG系列防火墙作为数据中心的边界,提供如下功能:
Ø 开启流量统计功能,基于IP、用户、应用对流量状况进行长期统计分析,以帮助安全策略的制定。
Ø 基于IP地址和应用进行限流,使服务器稳定运行,也避免网络出口拥塞,影响网络服务。
Ø 开启入侵防御、反病毒功能,使服务器免受入侵以及蠕虫、木马等病毒危害。
Ø 开启DDoS及其他攻击防范功能,避免服务器受到外网攻击导致瘫痪。
Ø 开启垃圾邮件过滤功能,保护内网邮件服务器不受垃圾邮件侵扰,也避免其无意中转发垃圾邮件被反垃圾邮件组织列入黑名单,影响正常邮件的发送。
Ø 开启文件过滤和数据过滤,避免数据泄露。
Ø 部署eSight网管系统(需要单独采购),记录网络运行的日志信息。日志信息可以帮助管理员进行配置调整、风险识别和流量检查。
Ø 采用双机热备部署,提高系统可靠性。单机故障时可以将业务流量平滑切换至备机上运行,保证服务器业务持续无间断的运行。
4.1.4 VPN远程接入与移动办公
图4 VPN远程接入与移动办公典型部署方案
现代企业为了在全球范围内开展业务,通常都在公司总部之外设立了分支机构,或者与外地机构进行业务合作。分支机构、合作伙伴、出差员工都需要远程接入企业总部网络开展业务,目前通过VPN技术可以实现安全、低成本的远程接入和移动办公。远程接入和移动办公通常都具有以下特征:
Ø 分支机构通常都需要无缝接入总部网络,并且持续不间断地开展业务。
Ø 合作伙伴需要根据业务开展的情况,灵活进行授权,限制合作伙伴可以访问的网络范围、可以传输的数据类型。
Ø 出差员工的地理接入位置不固定,使用的IP地址不固定,接入时间不固定,需要灵活地随时接入。而且出差员工所处位置往往不受企业其他信息安全措施的保护,所以需要对出差员工进行严格的接入认证,并且对出差员工可以访问的资源和权限进行精确内网控制。
Ø 所有远程接入的通信过程都需要进行加密保护,防止窃听、篡改、伪造、重放等行为,同时还需要从应用和内容层面防止机密数据的泄露。
基于以上特征,USG系列防火墙作为企业VPN的接入网关,提供如下功能:
Ø 对于拥有固定VPN网关的分支机构和合作伙伴,使用IPSec或者L2TP over IPSec建立静态永久隧道。当需要进行接入账号验证时,建议使用L2TP over IPSec。
Ø 对于地址不固定的出差员工,可以使用VPN Client 或者SSL VPN技术,对于VPN Client可以免费下载使用,对于SSL VPN无需安装VPN客户端,只需使用网络浏览器即可与总部建立隧道,方便快捷。同时可以对出差员工可访问的资源进行精细化控制。
Ø 在上述隧道中,通过IPSec加密算法或者SSL加密算法,对网络数据进行加密保护。
Ø 对于通过VPN隧道接入后的用户,进行接入认证,保证用户合法性。并且基于用户权限进行访问授权。
Ø 部署入侵防御、反病毒、文件过滤、数据过滤、DDoS攻击防范,避免网络威胁经由远程接入用户穿过隧道进入公司总部,同时防止机密信息泄露。
Ø 部署用户行为审计,及时发现风险,并且便于后续的回溯。
4.1.5 云计算网关防护方案
图5 USG系列云计算网关防护方案
云计算是目前一种新兴的网络服务提供模式,需要一系列技术的配合和支持。USG系列防火墙可以在云计算的部署中担任云计算网关的角色。
云计算技术目前存在多种应用方式,最为典型的方式是由网络服务提供商为网络用户提供硬件资源和计算能力,网络用户只需使用一台终端通过网络接入云端,就可以像操作家庭电脑一样操作自己保存在云端的资源。
云计算的核心技术是通过服务器的集群为大量网络用户提供相互独立而又完整的网络服务,其中涉及到多种虚拟化技术。
基于以上特征,USG系列防火墙作为云计算网关,提供如下功能:
Ø 在这个场景中,USG系列防火墙担任的是云计算网关的角色。通过虚拟系统功能,可以将一台物理设备划分为多台相互的独立的逻辑设备。每台逻辑设备都可以拥有自己的接口、系统资源以及配置文件,可以独立进行流量的转发和安全防护,所以被称为虚拟系统。
Ø 虚拟系统从逻辑上相互隔离,所以对于每一个云终端看来都拥有一个独享的防火墙设备。同时由于这些虚拟系统共用同一个物理实体,所以当需要虚拟系统之间进行流量转发时,转发效率非常高。所以USG系列防火墙在此场景中主要负责进行虚拟服务器之间的数据快速交换,以及在云终端接入云服务器的通信过程中进行网络安全的防护,为云计算方案提供增值的安全业务
4.1.6 MPLS VPN解决方案
MPLS 无缝地集成了IP 路由技术的灵活性和ATM 标签交换技术的简捷性。MPLS 在无连接的IP 网络中增加了面向连接的控制平面,为IP 网络增添了管理和运营的手段。USG系列防火墙系列业务路由网关支持MPLS VPN功能,既可以做PE设备,也可以做P设备。
Ø 支持VRF的路由表多实例
Ø 支持L2TP方式接入VPN
Ø 支持IPSEC方式接入VPN
Ø 支持灵活的VPN组网,包括跨域、“运营商至运营商”等
Ø 基于标准协议,能全面与其他主流厂家互通
Ø 支持CE-PE间静态路由或动态路由协议
4.1.7 IPv4向IPv6网络过渡解决方案
目前还存在大量的IPV4网络,随着IPV6的部署,很长一段时间是IPV4与IPV6共存的过渡阶段,USG系列防火墙系列业务路由网关支持多种IPV4向IPV6网络过渡解决方案,主要包括双栈技术、隧道技术以及IPV4/IPV6协议转换技术。
Ø 双栈技术:USG系列防火墙系列业务路由网关与IPV4节点通讯时使用IPV4协议栈,与IPV6节点通讯时使用IPV6协议栈;USG系列防火墙系列业务路由网关具有三种工作模式:只运行IPv6协议,表现为IPv6节点;只运行IPv4协议,表现为IPv4节点;双栈模式,同时打开IPv6和IPv4协议。
Ø 隧道技术:提供两个IPV6站点之间通过IPV4网络实现通讯连接,以及两个IPV4站点之间通过IPV6网络实现通讯连接的技术;USG系列防火墙系列业务路由网关支持多种隧道技术,包括IPv6 Over IPv4的GRE隧道、IPv6手工配置隧道、6over4隧道、IPv4兼容地址自动隧道以及6to4自动隧道。
IPV4/IPV6协议转换技术:提供了IPV4网络与IPV6网络之间的互访技术。USG系列防火墙系列业务路由网关支持NAT-PT(Network Address Translation-Protocol Translation)技术,负责在IPv4报文与IPv6报文之间进行翻译转换,从而达到只支持IPv6协议的主机与只支持IPv4协议的主机能进行互联互通的目的。
4.2 ××企业网络安全设备选择
[根据具体的情况选择部署USG系列防火墙的网络位置]
5 安全解决方案特点
[根据选用的方案进行具体的分析]
5.1 ××企业安全网络业务流分析
[(分析清楚网络中的业务流图,客户对我们的安全方案理解更加清晰)]
5.2 ××企业网络安全解决方案优点
[针对××企业原有网络业务流分析、具体方案的选择、××企业安全网络业务流分析给出解决方案的优点:
1. 网络拓展性优点;(针对××企业具体的网络情况展开)
2. 高可靠性优点;(针对××企业具体的网络情况展开)
3. 高安全性特点;(针对××企业具体的网络情况展开)
4. 高性价比特点;(针对××企业具体的网络情况展开)
]
6 USG系列防火墙统一安全网关
6.1 下一代USG系列防火墙简介
为了解决新网络带来的新威胁,下一代防火墙产品应运而生。通常要求下一代防火墙产品具有以下特征。
Ø 使用签名和特征,而不是端口号和协议来对应用进行定义,以识别报文的真实属性和所携带的不安全因素。
Ø 集成SA( Service Awareness,业务感知)功能,并且使用专业的硬件系统来检测报文的真实应用和内容。
Ø 集成IPS功能,性能更高,威胁的识别和阻断结合得更加紧密。
Ø 丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的网络状况,以帮助管理员更好地做出防护措施。
公司推出的下一代防火墙USG系列产品不仅完全满足上述特征,而且还具有以下明显优势:
(1) 稳定高效的万兆多核全新硬件平台
(2) 专业内容安全防御技术
(3) 安全、路由、VPN多业务集成
(4) 基于应用和用户的精细化管理
(5) 可视化管理与丰富的日志报表
(6) 电信级可靠性保证方案
(7) 灵活的扩展能力
6.2 下一代USG系列防火墙功能特点
6.2.1 完善的传统防火墙安全功能
(1)安全区域管理
² 基于安全区域的隔离
USG系列防火墙统一安全网关的安全隔离是基于安全区域,这样的设计模型为用户在实际使用统一安全网关的时候提供了十分良好的管理模型。统一安全网关提供了基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,因此统一安全网关的安全管理模型是不会受到网络拓扑的影响。
² 可管理的安全区域
业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求,但是在一些安全策略要求较高的场合,这样的保护模型还是不能满足要求。
统一安全网关默认提供四个安全区域:trust、untrust、DMZ、local,在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域,本地安全区域可以定义到统一安全网关本身的报文,保证了统一安全网关本身的安全防护。例如,通过对本地安全区域的报文控制,可以很容易的防止不安全区域对统一安全网关本身的Telnet、ftp等访问。
统一安全网关还提供自定义安全区域,可以最大定义16个安全区域,每个安全区域都可以加入独立的接口。
² 基于安全区域的策略控制
统一安全网关支持根据不同的安全区域之间的访问设计不同的安全策略组(ACL访问控制列表),每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理,方便用户对各种逻辑安全区域的独立管理。
基于安全区域的策略控制模型,可以清晰的分别定义从trust到untrust、从DMZ到untrust之间的各种访问,这样的策略控制模型使得统一安全网关的网络隔离功能具有很好的管理能力。
(2)NAT功能
² 优异的地址转换性能
统一安全网关采用基于连接的方式提供地址转换特性,针对每条连接维护一个Session表项,并且在处理的过程中采用优化的算法,保证了地址转换特性的优异性能。在启用NAT的时候,性能下降的非常少,这样就保证了在通过统一安全网关提供NAT业务的时候不会成为网络的瓶颈。
² 灵活的地址转换管理
统一安全网关提供了基于安全区域的管理功能,利用“安全区域”的概念把统一安全网关管理的网络按照功能区域、安全要求等因素从逻辑上划分为几个逻辑子网,每个逻辑子网称为一个“安全区域”。默认情况,统一安全网关提供了4个默认的安全区域:trust、untrust、DMZ、local,一般情况下,untrust区域是连接Internet的,trust区域是连接内部局域网的,DMZ区域是连接一些内部服务器的,例如放置邮件服务器、FTP服务器等。统一安全网关的地址转换功能是按照安全区域之间的访问进行配置的,这样就可以非常方便的进行网络管理。例如,对于内部服务器的网络如果有足够的IP地址,可以直接使用公网IP地址,在DMZ->untrust区域间不使用地址转换,而内部局域网使用私网地址,在trust->untrust区域间使用地址转换。
同时地址转换可以和ACL配合使用,利用ACL来控制地址转换的范围,因此即使在同一个网络区域,有公网、私网混合组网的情况,统一安全网关依然可以方便的设定地址转换的规则。
² 强大的内部服务器支持
内部服务器就是可以使得外部网络的用户可以访问到内部网络,比如可以对外提供Web服务器。很多统一安全网关实现内部服务器的时候是提供一个“静态映射”,将一个私有地址和一个公有地址绑定,这个方式的最大弱点就是浪费合法的IP地址。
例如有一个内部局域网的主机IP地址是10.110.0.0/24,而该局域网利用专线连接到Internet上,拥有从ISP申请来的合法的IP地址:202.38.160.1。如果该局域网想设置一台WEB服务器,IP地址为10.110.0.1,配置一个静态的映射,将地址202.38.160.1和地址10.110.0.1绑定,Internet如果想访问这台WEB服务器,使用202.38.160.1访问,就会实际访问到主机10.110.0.1,这样虽然可以提供内部服务器了,但是也使得内部网络的其他主机不能访问Internet了,因为该局域网只有一个合法的IP地址。该IP地址被内部服务器占用,因此其他主机就不能访问Internet了,同时该局域网不能再提供任何对外服务了(比如想提供一个DNS或者FTP服务器都是不可能的了)。
静态绑定方式存在如下弱点:
Ø 这个方式严重浪费IP地址,地址转换技术的最大优势就是节省IP地址,但是通过这个静态绑定的方式,使得IP地址不能被充分利用,虽然解决了地址转换技术中“反向访问”的问题,但是同时带来了浪费地址的问题。
Ø 存在比较大的安全隐患,一般对外提供的服务器都是单一用途,例如WEB服务器就是为了给外部提供Http服务,对于这个机器来说,只需要提供80端口的访问就可以了。但是使用了静态绑定的方式提供WEB内部服务器的时候,存在这样的问题:外部网络的用户不但可以访问到内部服务器的80端口,而且可以访问任何的端口。这样就存在安全隐患。例如某个服务器可以通过Telnet进行维护,但是这种维护只能是内部网络本身的机器才可以进行,如果使用了静态绑定的地址转换方式,则外部网络的主机也可以Telnet到这个服务器上了。
Ø 提供不是标准端口的服务器存在困难。例如用户想提供2个WEB服务器,其中一个WEB服务器不想使用80端口,而想使用8080端口,使用静态绑定的方式也很难实现。
统一安全网关的地址转换功能可以对内部服务器的支持到达端口级。允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议。对于上面的例子使用的地址转换,不仅可以保证202.38.160.1做为WEB服务器的地址,同时可以做为FTP服务器的地址,同时可以使用http://202.38.160.1:8080提供第二台WEB服务器,还可以满足内部用户同时使用202.38.160.1的地址进行访问Internet。
统一安全网关提供了基于端口的内部服务器映射,可以使用端口来提供服务,同时也可以提供地址的一对一映射。同时,每台统一安全网关可以提供多达256个内部服务器映射,而且不会影响访问的效率。
² 强大的业务支撑
地址转换比较难处理的情况是报文载荷中含有地址信息的情况,这种情况的代表协议是FTP。统一安全网关的地址转换现在已经非常完善的支持了ICMP重定向、不可达、FTP(支持被动主动两种模式)、H323、NetMeeting、PPTP、L2tp、DNS、NetBIOS、SIP、QQ、MSN等特殊协议。依靠现在支持的各种业务,统一安全网关已经可以提供非常好的业务支撑,可以满足绝大部分的Internet业务,使得地址转换不会成为网络业务的瓶颈。
为了更好的适应网络业务的发展,统一安全网关还提供了一种“用户自定义”的ALG功能,对于某些特殊业务应用,通过命令行进行配置就可以支持这种业务的ALG,通过这样的方式更可以保证统一安全网关对业务的支撑,达到快速响应的效果。
另外统一安全网关在结构上面,充分考虑了地址转换需要支持特殊协议的问题。从结构上保证可以非常快速的支持各种特殊协议,并且对报文加密的情况也做了考虑。因此在应用程序网关方面,统一安全网关在程序设计、结构方面做了很大的努力和考虑,在针对新出现的各种特殊协议的开发方面上,统一安全网关可以保证会比其他设备提供更快、更好的反应,可以快速的响应支持用户的需求,支持多变的网络业务。
² 无数目限制的PAT方式转换
统一安全网关可以提供PAT(Port Address Translation)方式的地址转换,PAT方式的地址转换使用了TCP/UDP的端口信息,这样在进行地址转换的时候使用的是“地址+端口”来区分内部局域网的主机对外发起的不同连接。这样使用PAT方式的地址转换技术,内部局域网的很多用户可以共享一个IP地址上网了。
因为TCP/UDP的端口范围是1~65535,一般1~1024端口范围是系统保留端口,因此从理论上计算,通过PAT方式的地址转换一个合法的IP地址可以提供大约60000个并发连接。但是统一安全网关采用专利技术提供了一种“无限制端口”连接的算法,可以保证使用一个公网IP地址可以提供无限个并发连接,通过这种技术就突破了PAT方式上网的65535个端口的限制,更大的满足了地址转换方式的实际使用,更加节省了公网的IP地址。
² 多种NAT ALG
下一代USG系列防火墙支持多种协议的NAT ALG转换功能,包括:
l 支持FTP协议的NAT ALG。
l 支持NBT(NetBIOS over TCP)协议的NAT ALG。
l 支持ICMP(Internet Control Message Protocol)协议的NAT ALG。
l 支持H.323(包括T.120、RAS、Q.931和H.245等)协议的NAT ALG。
l 支持SIP(Session Initiation Protocol)协议的NAT ALG。
l 支持RTSP(Real-Time Streaming Protocol)协议的NAT ALG。
l 支持HWCC(Huawei Conference Control Protocol)协议的NAT ALG。
l 支持ILS(Internet Locator Service)协议的NAT ALG。
l 支持PPTP(Point to Point Tunneling Protocol)协议的NAT ALG。
l 支持对腾讯公司的QQ聊天会话的NAT ALG。
l 支持Microsoft公司提供的MSN聊天会话的NAT ALG。
(3)安全策略控制
² 灵活的规则设定
统一安全网关可以支持灵活的规则设定,可以根据报文的特点方便的设定各种规则。
Ø 可以依据报文的协议号设定规则
Ø 可以依据报文的源地址、目的地址设定规则
Ø 可以使用通配符设定地址的范围,用来指定某个地址段的主机
Ø 针对UDP和TCP还可以指定源端口、目的端口
Ø 针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围
Ø 针对ICMP协议,可以自由的指定ICMP报文的类型和Code号,可以通过规则针对任何一种ICMP报文
Ø 可以针对IP报文中的TOS域设定灵活的规则
Ø 可以将多个报文的地址形成一个组,作为地址本,在定义规则时可以按组来设定规则,这样规则的配置灵活方便
² 高速策略匹配
通常,防火墙的安全策略都是由很多规则构成的,因此在进行策略匹配的时候会影响防火墙的转发效率。
统一安全网关采用了ACL匹配的专门算法,这样就保证了在很多规则的情况下,统一安全网关依然可以保持高效的转发效率,系统在进行上万条ACL规则的查找时,性能基本不受影响,处理速度保持不变,从而确保了ACL查找的高速度,提高了系统整体性能。
² MAC地址和IP地址绑定
统一安全网关根据用户配置,将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文,如果MAC地址不匹配则被丢弃;对于发往该IP地址的报文都被强制发送到指定的MAC地址处,从而有效避免IP地址假冒的攻击行为。
² 动态策略管理-黑名单技术
统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中,系统通过丢弃黑名单用户的所有报文,从而有效避免某些恶意主机的攻击行为。
统一安全网关提供如下几种黑名单列表维护方式:
Ø 手工添加黑名单记录,实现主动防御
Ø 与攻击防范结合自动添加黑名单记录,起到智能保护
Ø 可以根据具体情况设定"白名单",使得即使存在黑名单中的主机,依然可以使用部分的网络资源。例如,即使某台主机被加入到了黑名单,但是依然可以允许这个用户上网。
黑名单技术是一种动态策略技术,属于响应体系。统一安全网关在动态运行的过程中,会发现一些攻击行为,通过黑名单动态响应系统,可以抑制这些非法用户的部分流量,起到保护整个系统的作用。
(4)攻击防范功能
² 优秀的Dos防御能力的必要条件
Internet上的DOS攻击已经成为很常见的攻击行为,Do
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
