防火墙解决方案.doc

大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。另一方面,神州数码DCFW-1800系列防火墙还内置了VPN功能,构建企业的虚拟专用网络。  防火墙VPN解决方案作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网()IPSEC通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性: 标准的IPSEC,IKE与PPTP协议支持Gateway-to-Gateway网关至网关模式虚拟专网支持VPN的星形(star)连接方式 VPN隧道的NAT穿越支持IP与非IP协议通过VPN 支持手工密钥,,PKI体系支持IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。支持密钥生存周期可定制支持完美前项保密支持多种加密与认证算法: 加密算法:DES,3DES,AES,CAST,BLF,PAP,CHAP 认证算法:SHA,MD5,Rmd160 支持Client-to-Gateway移动用户模式虚拟专网支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。  防火墙双机热备方案为了保证网络的高可用性与高可靠性,神州数码DCFW-1800E防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙。正常情况下主防火墙处于工作状态,另一个防火墙处于备份状态,称为从防火墙。当主防火墙发生意外down机、网络链路发生故障、硬件故障等情况时,从防火墙自动切换工作状态,从防火墙代替主防火墙正常工作,从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与,切换时间少于1秒。  网络安全解决方案神州数码网络安全解决方案主要由防火墙、入侵检测、防病毒等安全产品以及安全系统集成服务构成。由于神州数码DCFW-1800E防火墙支持流量映射功能,也就是说防火墙的HA接口可以复制其他网络接口的流量,因此入侵检测设备可以方便的接入网络,同时神州数码DCFW-1800系列防火墙支持与第三方IDS的联动。防病毒方案由四部分构成,即客户机防病毒、服务器防病毒、网关防病毒和防病毒产品管理控制台。管理控制台负责病毒代码、引擎、防病毒程序的升级和更新,管理策略、病毒扫描配置等的分发。安全系统集成服务包括两个方面,一方面,是指对不同类安全产品(如防火墙、防病毒等产品)的安装、配置和维护,另一方面,是在***和安全评估的基础上对用户的网络进行安全性增强配置服务。安全性增强配置服务主要包括网络设备的安全性增强配置、主机操作系统的安全性增强配置、应用系统安全性增强配置等。 screen防火墙是一种高性能的硬件防火墙,与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙,而Netscreen防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密,因此速度比其它防火墙要快得多。screen防火墙是状态检测与应用代理混合的防火墙,screen防火墙是监测整个通讯状态,如果发现通讯状态不正常便拒绝进入受保护的内部网络,screen防火墙有三大功能:1、防火墙2、VPN3、screen防火墙在企业网络中的位置 screen防火墙有三个以太网接口:DMZ接口、Trust接口、Untrust接口。如图所示,Trust接口连接受保护的内部网,Untrust连接外部网(),DMZ接口连接公司的对外的服务器如Mailserver,WEBServer等。从安全等级来看,Trust接口安全性最高,DMZ第二,最后是Untrust。screen防火墙在企业网络中能实现的安全保护功能1)防火墙■screen防火墙位于内部网和外部网络之间,物理上起着隔离内网和外网的作用。独有的ScreenOS底层操作系统提供了抵抗各种网络攻击的能力;s-creen防火墙能抵挡已知所有的网络攻击,并且ScreenOS是可升级的。■网络地址翻译(NAT)。通过NAT将内部不合法的IP地址翻译成外部Untrustd的合法地址,隐藏了内部网络结构,从而使攻击者不易找到攻击目标;同时也将内部的不合法的地址映射成外部合法地址,