解决方案

GWF防火墻安全解決方案

1.概述

1.1 背景

谈及网络安全,直接联想到的往往是防火墙。早期的网络安全大多通过防火墙来实现。普通防火墙能够对数据包的状态进行检测,从而防止像SYN FLOODING(TCP泛洪)之类的较为常见的网络攻击。但是,对于商业网络来说,更多的交互式互联网应用,用户更多地参与到互联网的数据交换中,他们对于网络安全的直接感受,往往并非来源于类似SYN FLOODING之类的攻击。病毒、垃圾邮件、来源于网页的钓鱼攻击,这才是作为因特网用户的最直接的感受。

1.2 常见应用场景

GWF系列一般部署在中小型企业和中型行业分支机构的出口位置,能够满足企业、政府、金融、电力、财税等多种行业用户Internet安全接入、企业信息安全、分布式病毒防控等多方位的安全需求,在保证满足用户业务性能的前提下,大大提高网络综合安全防护能力。 这样的企业+分支机构模式,业务部署特点为分布式结构,由总部和分店两级组成,分店都通过Internet公网连接到总部服务器。由此总部和分店都暴露在整个Internet上,易于受到来自网络的各种攻击,主要可能有以下两类: 1) 外部攻击,即公网上固有的攻击源,这类攻击源在大网上随机的探测攻击目标,常见的攻击主要针对服务器操作系统漏洞、数据库访问漏洞或者Web服务、ftp、telnet服务等应用层漏洞; 2)内部攻击,可能是合法的网点机构终端感染病毒或木马,被恶意程序窃取了相关权限,进入服务器群的后台系统进行了相关操作。 为了降低安全风险,构建企业安全的IT信息系统,风云实业基于GWF1000/2000系列防火墙产品,提供整套综合安全解决方案。

2.解决方案

2.1 关键设备

GWF-1000系列

型号/指标 GWF-1000A GWF-1000B GWF-1000E-MA GWF-1000E-MB
物理参数
千兆电接口 6 8 8 8
千兆SFP光接口 2 4 8
万兆接口 2
设备尺寸 1U 1U 1U 1U
技术参数
最大吞吐量 2Gbps 4Gbps 8Gbps 20Gbps
并发会话 2.5M 3.5M 7M 7M
新建会话 25K 70K 200K 220K
最大策略数 100K 100K 100K 100K
VPN吞吐量 1Gbps 1.5Gbps 5Gbps 10Gbps
防病毒吞吐量 700Mbps 500Mbps 2.8Gbps 5Gbps
IPS吞吐量 1Gbps 1.5Gbps 3Gbps 4Gbps

GWF-2000系列

型号/指标 GWF-2000A GWF-2000E-MA GWF-2000E-MB
物理参数
千兆电接口 2 2 2
扩展卡槽位 3 5 5
设备尺寸 1U 1U 1U
电源
技术参数
最大吞吐量 40Gbps 60Gbps 80Gbps
并发会话 11M 12M 50M
新建会话 240K 250K 280K
最大策略数 100K 100K 100K
VPN吞吐量 30Gbps 50Gbps 50Gbps
防病毒吞吐量 6bps 10Gbps 12Gbps
IPS吞吐量 8Gbps 10Gbps 12Gbps

2.2 解决方案拓扑

2.3 方案详述

本解决方案有四级安全防护几点: 1) 局域网安全防护 2) 公网传输安全防护 3) 核心网安全防护 4) 服务端高可靠性防护

2.3.1 分支-总部(LAN-LAN VPN)

LAN-LAN VPN是两个局域网之间的VPN,根据不同的网络接入方式,GWF1000/2000系列支持以下情况: 1) 两个局域网均使用静态公网IP地址接入Internet:最简单、经典的VPN应用; 2) 当其中一个或两个局域网使用动态公网IP地址接入Internet,例如ADSL方式:可以使用DDNS(动态域名解析)方式将动态公网IP地址与FQDN域名绑定,建立VPN隧道的双方 均使用FQDN域名与对方通信; 3) 当其中一个局域网使用私网IP地址接入Internet,例如总部使用公网IP地址(静态或动态IP地址均可),分支机构使用私网IP地址:可以使用拨号VPN方式建立隧道,由分支机构向总部的公网IP地址或FQDN域名发起连接,总部无须事先知道分支机构使用的IP地址。利用NAT穿越技术,AppWay可以在NAT环境下,保证VPN的正常通信。当前在国内IP地址紧张的情况下,很多的分支机构都是通过服务商提供的私有网络地址连接公网的,在服务商的网络出口处统一进行地址转换。在这种情况下,只有支持NAT穿越技术的VPN产品能够适应服务商的NAT环境。

2.3.2 移动办公接入(拨号VPN)

拨号VPN与点对点VPN不同,VPN隧道的双方不是对等的角色,而是一方扮演服务器,一方扮演客户端,通常用于大量分支节点接入一个中心节点的环境,例如集团公司的大量分支机构及移动办公用户都通过IPSec VPN与总部连接,并进行数据交换。 拨号VPN客户端既可以使用GWF设备(如分支机构节点),也可以使用第三方的IPsec客户端软件(如移动办公用户)。

2.4 安全性设计

针对业务受到的安全威胁和未来可预见的安全风险,这里按照层次化设计四层安全防护体系,如图2-1所示,四层防护体系设计如下:

2.4.1 局域网安全防护

利用GWF1000防火墙,对于分支机构内部进行病毒隔离、IPS探测和上网行为管理,将安全风险控制在局域网内,严防扩散到总部。

2.4.2 公网传输安全防护

分支机构与总部间建立IPSec VPN,对接入机构进行认证,对传输数据进行加密与防篡改,防止数据在Internet公网上传输时被恶意劫持与篡改。

2.4.3 核心网安全防护

数据通过VPN进入总部网络前,首先进行解密和验证,并对数据内容进行防攻击和病毒检测;对于非VPN数据,可以根据策略进行丢弃或者经检查后通过。

2.4.4 服务端高可靠性防护

服务器端部署两台GWF2000型防火墙,通过特有协议进行双机热备,当一台设备出现故障或链路出现故障时,流量自动切换,不影响正常业务;内网选用两台三层交换机运行VRRP协议,对外虚拟成一个网关地址,当一台交换机或链路出现故障时进行流量自动切换。

3. 结束语

Web2.0时代的到来加速了人们对网络的依赖,传统防火墙在新生网络威胁面前渐渐力不从心, 风云实业愿意同业界一起推动第二代防火墙得到更广泛的应用,使得各种规模的商业用户均可获得更高性价比的解决方案。