防火墙解决方案介绍.doc

大型企业网络防火墙解决方案 神州数码大型企业网络防火墙整体解决方案，在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求，在各分支机构和分公司采用神州数码DCFW-1800S防火墙在满足需要的基础上为用户节约投资成本。另一方面，神州数码DCFW-1800系列防火墙还内置了VPN功能，可以实现利用Internet构建企业的虚拟专用网络。 ? 　　防火墙VPN解决方案 　　作为增值模块，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用因特网（Internet）IPSEC通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务，也可以为移动的用户提供一个安全访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性： 　　标准的IPSEC,IKE与PPTP协议 　　支持Gateway-to-Gateway网关至网关模式虚拟专网 　　支持VPN的星形（star）连接方式 　　VPN隧道的NAT穿越 　　支持IP与非IP协议通过VPN 　　支持手工密钥，预共享密钥与X.509 V3数字证书,PKI体系支持IPSEC安全策略的灵活启用：管理员可以根据自己的实际需要，手工禁止和启用单条IPSEC安全策略，也为用户提供了更大的方便。 　　支持密钥生存周期可定制 　　支持完美前项保密 　　支持多种加密与认证算法： 　　加密算法：DES, 3DES,AES,CAST,BLF，PAP，CHAP 　　认证算法：SHA, MD5, Rmd160 　　支持Client-to-Gateway移动用户模式虚拟专网 　　支持PPTP定制：管理员可以根据自己的实际需要，手工禁止和启用PPTP。 ? 　　防火墙双机热备方案 　　为了保证网络的高可用性与高可靠性，神州数码DCFW-1800E防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下主防火墙处于工作状态，另一个防火墙处于备份状态，称为从防火墙。当主防火墙发生意外down 机、网络链路发生故障、硬件故障等情况时，从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于1秒。 ? 　　网络安全解决方案 　　神州数码网络安全解决方案主要由防火墙、入侵检测、防病毒等安全产品以及安全系统集成服务构成。 　　由于神州数码DCFW-1800E防火墙支持流量映射功能，也就是说防火墙的HA接口可以复制其他网络接口的流量，因此入侵检测设备可以方便的接入网络，同时神州数码DCFW-1800系列防火墙支持与第三方IDS的联动。 　　防病毒方案由四部分构成，即客户机防病毒、服务器防病毒、网关防病毒和防病毒产品管理控制台。管理控制台负责病毒代码、引擎、防病毒程序的升级和更新，管理策略、病毒扫描配置等的分发。 　　安全系统集成服务包括两个方面，一方面，是指对不同类安全产品（如防火墙、防病毒等产品）的安装、配置和维护，另一方面，是在漏洞扫描和安全评估的基础上对用户的网络进行安全性增强配置服务。 　　安全性增强配置服务主要包括网络设备的安全性增强配置、主机操作系统的安全性增强配置、应用系统安全性增强配置等。? 企业安全解决方案 －Netscreen防火墙 Netscreen防火墙是一种高性能的硬件防火墙，与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙，而Netscreen防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密，因此速度比其它防火墙要快得多。从软件特性上看Netscreen防火墙是状态检测与应用代理混合的防火墙，对于大部份的应用Netscreen防火墙是监测整个通讯状态，如果发现通讯状态不正常便拒绝进入受保护的内部网络，对于FTP或H322等通讯状态不好跟踪的服务Netscreen防火墙通过应用代理来确保服务安全。Netscreen防火墙有三大功能： １、 防火墙 ２、 ＶＰＮ ３、 流量分配和负载均衡Netscreen防火墙在企业网络中的位置　 图一 一、Netscreen防火墙外部特点 Netscreen防火墙有三个以太网接口：DMZ接口、Trust接口、Untrust接口。如图所示，Trust接口连接受保护的内部网，Untrust连接外部网（如Internet），DMZ接口连接公司的对外的服务器如Mail server，WEB Server等。 从安全等