XX电信IDC网络安全解决方案.doc

1、XX电信IDC网络安全解决方案 ———————————————————————————————— 作者： ———————————————————————————————— 日期： 2 个人收集整理 勿做商业用途

2、 WatchGuard Firebox X8000 XX电信IDC网络安全解决方案 建 议 书 成都市鼎科信息技术发展有限公司 2006-7—23 一．引 言 本建议书编写的目的是说明XX电信IDC网络安全改造项目的技术可靠性，说明并分析所建议的方案。可用于编制可行性研究报告及方案设计书的参考材料.考虑到该企业网络中心目前的主要需求为防火墙及网络安全的实施，本建议书重点阐述安全技术及相应的产品

3、在项目中的应用，其它技术细节不再细述. XX电信IDC机房拥有大型、丰富的管理运营网络,主要从事服务器托管服务.目前需要规划和实现网络中心与下面各接入点之间的安全访问、认证等功能。通过对XX电信IDC的网络要求和今后发展需要的了解，我们将为其构建一个先进、高效、快速、稳定的安全运营平台。 二．WatchGuard安全防护和优化网络 1. 在网络出口部署高性能的X Peak 8000防火墙; 根据网络出口的流量以及今后网络扩展的需要，我们在网络出口布署了1台X Peak 8000防火墙，主要用来阻止来自外部的黑客攻击及日常的网络安全限制；X Peak 8000防火墙采用高性能的

4、芯片技术，具有1000Mbps以上的网络吞吐量，所以可以快速处理网络封包的请求.另外，X Peak 8000防火墙上面可以阻止很多种黑客攻击的类型，比如ICMP Flood/SYN Flood/UDP Flood/IP Option/Source Route/DDOS等。 如果出口没有布署防火墙，很多来自内部和外部的攻击根本无法控制，造成网络的严重拥塞。部署了X Peak 8000防火墙后,我们可以把所有流入和流出的流量全部封掉。只针对某些需要应用的端口开放.对流入的访问进行更加严格的限制，这样可以封掉大部分病毒向外感染的端口。 另外,内部可能有很多虚拟的IP地址可能会向外发布大量的无

5、用请求,这些IP可能是黑客伪造生成的地址，也可能是某些电脑已经严重感染病毒,需要进行杀毒处理。我们可以在防火墙上面把这些非法的IP地址封掉，结合Sniffer分析会得到较好的效果。 2. 使用应用代理技术； 代理技术是防火墙在网络中保护关键脆弱点的一种非常有效的方式.其他方式还有“包过滤”和“状态包过滤"，但两者对数据进行检查的深度都无法与代理媲美。 代理是最高级的通信控制方法,能通过防火墙执行真正的入侵防御。代理位于客户机与服务器之间，检查双方的所有通信，验证它是否符合事先规定好的规则。在此期间，代理不仅要检查客户机和服务器之间传输的所有数据包的包头，还要检查那些数据包的

6、实际载荷。另外，还可以修改或移除违反安全策略的东西.注意，包过滤只检查包头，而代理对数据包的内容进行筛选,阻挡恶意代码（比如可执行文件、Java applet、ActiveX等等）。许多人最后才非常惊讶地知道，原来只有代理才能在数据包传输中途真正检查内容（包括实际数据)。 代理还会检查内容是否符合协议标准。例如，某些形式的黑客攻击会发送一些特殊的元字符,目的是欺骗受害机器；还有一些攻击会使用数量巨大的数据来冲击目标机器。代理则能识别非法字符或者过载的字段,并有效地阻挡它们。 代理在处理通信时,所花的时间会比包过滤稍长一些，这是因为它们要为每个数据包做更多的工作.但是,“稍长”只是相

7、对的；通常,在同一个系统上，WatchGuard的应用层代理会以包过滤一半的速度来扫描数据包。但速度就会很慢吗？答案是否定的.事实上，它的速度仍然要比大多数公司的Internet连接速度快许多倍。通常，Internet连接速度才是一个网络真正的瓶颈。代理虽然在实验室评测中会稍慢一些，但在实际的工作环境中,你的用户绝对无法感觉到网络速度的下降。 单纯比较防火墙的数据吞吐量并没有实际的意义。假如一种防火墙声称要比另一种防火墙快,一定要问清楚那种防火墙对通过它的数据进行了哪些处理。包过滤肯定会比代理快,但却无法提供充分的安全性。Firebox® Vclass产品将速度和安全性都发挥到了极致.

8、由于使用的是应用层代理,所以它们在检测和阻挡攻击方面（比如入侵防御），具有十分高的效率. WatchGuard的应用层代理具有大量配置特性和设置，可通过一个获奖的图形用户界面 （GUI)来轻松地控制.通过应用层代理与其他防火墙管理工具的组合，网管可非常精细地控制网络安全。Vclass目前两种最主流的应用代理是：SMTP代理和HTTP代理. SMTP代理 SMTP应用代理程序监控传入和传出的电子邮件，使你的网络远离危险.它的部分功能包括： l 指定邮件收件人的最大数量。这是垃圾邮件的第一道防线。通常,垃圾邮件会抄送数百乃至数千个收件人. l 指定邮件的最大长度。这样能防

9、止邮件服务器超载，并有效阻挡邮件炸弹攻击，帮助你合理地使用带宽和服务器资源. l 根据公认的Internet标准，只允许在电子邮件地址中出现特定的字符。如前所述，某些形式的攻击会通过地址中的非法字符来进行。你可设置代理，只允许那些正确的字符通过。 l 筛选内容，拒绝可执行内容类型.发送病毒、蠕虫和木马的最常见的方法就是发送看似无害的电子邮件附件.SMTP代理能根据类型和名称来识别和消除这些攻击，使其永远进不了你的网络. l 伪装域名和邮件ID.你对外发送的电子邮件和收到的电子邮件一样，也包含了邮件标题.标题中的数据会暴露你的网络的许多秘密，它暴露的秘密之多,有时甚至超过你的想象。SM

10、TP代理可隐藏或更改这些信息，使黑客无法根据邮件头来摸透你的网络. HTTP代理 HTTP代理在用户访问Web时监视传入和传出的通信。它选择性筛选内容,保护你的Web客户端以及需要依赖Web访问的其他应用程序，防御基于Internet和HTML的攻击。它的部分功能包括： l 移除客户机连接信息。代理可主动剥离敏感的标头信息，包括操作系统版本、浏览器名称以及版本,甚至剥离有关上一次访问的网页的信息。使用HTTP代理，你可选择不暴露这些可能被别有用心的人利用的信息。 l 强制严格遵循Web通信标准.许多黑客故意发送被篡改的数据包，肆意修改一个网页的元素，或者企图使用你的Web浏览器设

11、计者预料不到的方式来进入你的网络。HTTP代理不允许所有这些有悖于标准的通信传入和传出。Web通信必须遵循正式的Web标准，否则就禁止连接. l 筛选MIME内容类型。MIME类型帮助Web浏览器解释内容,使图像能真正显示为一幅图像,.wav文件能真正播放出声音，文本能真正显示为文本，等等.许多Web攻击会篡改数据包，使其报告虚假的MIME类型，或者根本不指定一个类型。HTTP代理能识别这种可疑的行动,并中止此类通信. l 筛选Java和ActiveX控件。程序员用Java和ActiveX来创建小程序（脚本程序），以便在一个Web浏览器内部执行(例如，假定员工访问一个色情网页,那个网页

12、中的ActiveX脚本会将那个页自动设置成员工浏览器的新主页）。代理能阻挡此类应用程序，将大量攻击拒之门外。 l 移除Cookie.HTTP代理能从HTTP请求中剥离所有Cookie,保护网络的隐私。 l 移除未知的标头。HTTP代理能剥离不符合标准的HTTP标头.这意味着不必根据签名来识别一种特定的攻击，代理会直接阻止所有不符合规则的通信。这有助于防御未知的攻击技术. l 内容筛选.美国法律规定，所有员工都享有在一个“无敌意环境”中工作的权利。好的商业经验法则告诉我们,某些Web内容是不应该在一个公司的网络中出现的。HTTP代理强制贯彻公司制定的安全策略，明确规定哪些内容是可以接

13、受的，避免公司承担在工作环境中以不恰当的方式使用Internet的法律责任.HTTP代理还能避免员工因为上网成瘾而造成效率下降（目前只有Firebox System的各种型号支持内容筛选功能)。 我们可以在X Peak 8000防火墙上通过对HTTP代理的设定，可以挡掉来自内部和外部很多非法的HTTP请求,通过在HTTP代理里面更深层的设定,可以达到用户很多精细的要求。 3. 核心交换机上过滤非法端口和地址； 我们在防火墙上面已经做了很多的过滤设置，这样可以过滤很多来自内网的攻击，网络的性能将会得到明显的改善，接下来，我们可以在核心交换机上面过滤来自内部的非法端口，

14、这些端口主要是病毒和DDOS攻击引起的。比如135/137/1394/1464等,可以使用Sniffer抓包分析结果。 4. WatchGuard独有的LiveSecurity服务让您得到最快、最专业的安全服务； WatchGuard公司独有的LiveSecurity安全服务可以及时、准确地传递最新的病毒和黑客攻击信息，它可以教会你如何在WatchGuard防火墙上面调整设定，以阻挡这些非法攻击。该安全服务是由一个专家小组维护并发送的，它可以让网络管理员及时了解网络安全的变化及更新。微软去年报告了52个安全漏洞,LiveSecurity专家小组几乎在当天或隔天就报告了每个安全漏洞.

15、 三．该方案的优点 1、 强劲的网络安全特性和良好的兼容性 a、 网络中心的防火墙可以设置为状态包过滤和应用代理模式，而且Watchguard的X Peak防火墙可以支持路由、NAT和透明三种模式，NAT模式可以有效的隐藏受保护网络的内部真实IP地址，确保网络真实信息不被利用。 b、 X Peak防火墙支持静态NAT端口Mapping功能，即你可以把一个真实的端口通过NAT映射到一个虚拟的端口，而且X Peak还能做到邮件服务器和DNS服务器的伪装，这样黑客就不容易发现真实端口信息，保护网络安全。 c、 X Peak防火墙支持广域网多链路的负载均衡，它可以连接多个ISP，

16、并对其做备份。 d、X Peak可以对网络流量做QoS,它使用队列的方法对每个数据包定义优先级，还可以对网络端口进行Shaping。 d、X Peak同时集成VPN功能，它的IPSEC-VPN同其它牌子的VPN产品有着良好的兼容性，因为X Peak的产品很早就通过了ICSA实验室的IPSEC-VPN认证。所以只要对方的产品也通过了ICSA实验室的认证,则我们可以很轻松地与对方建立VPN隧道。而且X Peak支持DES/3DES/SHA—1/ESP/AES等加密认证模式。 e、X Peak的产品关于VPN的配置非常容易，而且支持静态对动态或动态对动态的VPN配置,即无论在中心点

17、使用固定或动态IP地址，都可以和下面的分支机构建立VPN隧道，同时X Peak也可以支持远程客户的VPN，出差的员工可以通过MUVPN软件方便地和中心点建立VPN，所有VPN功能在X Peak上面已经集成。 f、X Peak支持动态路由协议RIP/RIPII/OSPF/BGP4，因此可以很方便和其它网络设备做路由，提高网络灵活性. g、X Peak 支持GAV网关病毒,可以对HTTP和SMTP协议做病毒过滤,X Peak上面有详细的病毒库，所有的病毒信息可以实时更新。 h、X Peak支持基于签名的IPS检查技术，它有几百种攻击签名特征，并且实时更新最新的攻击特征,所以可以阻

18、拦最新的网络攻击。 2、良好的集中管理性 Watchguar的VPN Manager软件可以专门针对大型复杂网络的VPN部署进行灵活地控制.它使用专利性的DVCP技术来简化VPN隧道的创建，它能认别一个Firebox网络中必要的配置设定，并在不同位置之间自动建立IPSec VPN.网络管理员可在任何地方通过我们的VPN Manager软件对各个VPN隧道进行监控和配置，以确保网络的实时运行.这样在很大程度上可以减轻网络管理员的维护负担。 3、 实时的日志审记和全面的网络监控 a) X Peak防火墙均带有详细的日志分析功能,我们可以通过它自带的日志事件处理软件进行日志

19、的分析与处理,也可以使用Syslog服务器把日志文件保存起来,以后可以通过专用网络工具进行日志的分析与管理。 b) X Peak同样也提供详细的网络监控功能，该功能是网络工程师量身定做的一项附加功能。X Peak的网络监控工具可以实时地监控网络中各种数据流，以及用户在对哪些站点进行访问，还可以观察网络是否正在受到黑客的攻击。 c) X Peak提供不同级别的日志分析能力,网管可以把这些日志用日志工具集合起来分析,也可以有选择性地分析哪几项数据指标。 四．Ｗatchguard Firebox X Peak产品介绍 五．产品报价 （人民币）

20、 产 品 名 称 数 量 单位 单价 价 格 X8000 1 台 合 计： 六、服务内容： 1．售后服务内容 　　成都市鼎科信息将以高度严谨、认真负责的态度对所销售的防火墙产品，为广大客户提供优质的服务。具体内容承诺如下： ＊ 安装调试 　　在签署相关合同后，依据合同内容为所属用户提供设备安装、调试服务，确保所售防火墙产品的正常运行。 * 培训服务 　　鼎科信息将免费为广大客户在我公司内部提供防火墙产品的安装、调试、使用、维护等相关方面的培训服务。 * 售后支持 　　我公司将依据

21、相关合同：对本地客户：在正常工作日内，实行2小时内做出响应，6小时内解决问题或整机更换；在假日内，实行12小时内响应,24小时内解决问题或整机更换； 对异地客户：在正常工作日内,实行2小时内做出响应，72小时内解决问题或整机更换(视飞机航班及国内EMS特快的具体情况而定）；在假日内，实行24小时内响应，72小时内解决问题或整机更换(视飞机航班及国内EMS特快的具体情况而定）； * 厂商标准服务 　　原厂产品提供一年硬件保修服务，一年软件升级服务(包括系统OS、病毒代码库及攻击特症库的升级）。 2．鼎科支持中心 8小时办公时间维护 其他时间维护 服务方式 现场、电话、邮

22、件 电话、邮件 响应时间 立即响应 2小时内响应 联系方式 电话：028-85224730 邮件:daibing@ 传真 028-85224730 联系地址 成都市磨子街7号新棕北大厦611 七、WatchGuard中国成功案例(举例） 电信行业： 广西电信 中企通讯 中兴通讯 石油与电力行业： 江苏石化 壳牌石油南京公司 上海电力 北京电力 政府金融行业： 东亚银行 广西交通局 北京疾病医疗中心 山东省政府 佛山劳动局 北京地税 上海医药情报局 上海虹口教育局

23、 大型企业： 西门子中国 三一重工 三共制药 耀特玻璃 上海钢才网 上海人才网 八、关于鼎科 成都市鼎科信息技术发展有限公司创立于1998年，位于成都市IT中心区域磨子桥，设重庆办事处。 l 是世界5大防火墙品牌之一WatchGuard安全产品在西南地区的总分销商。 l 是世界芯片级安全厂商SafeNet安全产品在西南地区的总代理。 l 是中国普天SSL VPN在西南地区的总代理。 l 是圣天诺（原彩虹）加密产品四川地区的总代理。 l 是趋势科技系列产品认证代理. l 是Symantec、IPD等网络安全策略提供商。 我们专注于信息安全、数据通信、软件保护三大领域。我们是专业的信息安全解决方案提供商，以为用户创造安全的信息系统为使命；我们拥有自主品牌的DinkNet转换器;我们是软件开发企业亲密的伙伴，为他们提供专业的反盗版解决方案. 通过几年的发展,公司建立了稳定的渠道合作伙伴；并已成功向数百家知名客户提供服务,主要包括电力、运营商、科研机构、大型企业、事业单位等。 合作伙伴 13