网络安全VPN互联解决方案.doc

网络安全及VPN互联解决方案 2011年8月16日 目录 一、需求概述 2 二、解决方案 2 2.1 方案概述 2 2.2 网络拓扑 2 2.3 设备部署方式 2 三．产品选型和性能 2 四．产品功能介绍 2 4.1 深信服NGAF下一代应用防火墙功能特性 2 4.2 深信服S5000-AC上网行为管理功能特性 2 互联网及IT技术的应用在改变人类生活的同时，也滋生了各种各样的新问题，其中信息网络安全问题将成为其面对的最重要问题之一。网络带宽的扩充、IT应用的丰富、互联网用户的膨胀式发展，使得网络和信息平台早已成为攻击爱好者和安全防护者最激烈斗争的舞台。Web时代的安全问题已远远超于早期的单机安全问题，尽管防火墙、IDS、UTM等传统安全产品在不断的发展和自我完善，但是道高一尺魔高一丈，黑客们不仅专门针对安全设备开发各种工具来伪装攻击、逃避检测，在攻击和入侵的形式上也与应用相结合越来越紧密。这些都使传统的安全设备在保护网络安全上越来越难。目前更多的出现了以下的问题： 1.投资成本攀升，运维效率下降 2.“数据库泄密”、“网页遭篡改”等应用层安全事件频现 3.网络管理人员对企业流量束手无策 4.部署UTM，网络中断或访问变慢 5.内网出现威胁，追究责任困难 6.总部和分支之间的网络如何互连以实现安全资源共享 二、解决方案 2.1 方案概述 根据公司网络安全的需求，我们推荐采用深信服NGAF-1320下一代应用防火墙做出口网关，对内外网通讯以及内部服务器的安全提供保障，通过NGAF强大的流控功能对内部员工上网流量以及P2P等大流量行为进行控制，同时NGAF还提供了IPSec VPN互连的功能，可以用作总部分支的安全互连。针对分公司可以采用深信服S5000-AC上网行为管理网关作为分公司的互联网网关使用，通过AC设备的应用控制功能同样可以实现对内部员工的流量进行合理的管控，分公司通过AC上网行为管理的IPSec VPN功能与总部的NGAF防火墙进行互联，实现总部和分支的安全互联。 2.2 网络拓扑 2.3 设备部署方式 总部： 深信服NGAF-1320下一代应用防火墙 部署在总部互联网出口，通过专业的防火墙安全防护功能为内外网的流量以及服务器安全提供保障，通过流控功能实现内网用户流量的管控。 分支机构 深信服S5000-AC上网行为管理网关 替换分公司原有出口网关，作为互联网网关使用，通过IPSec VPN功能与总部进行互联，实现总部资源的共享；通过流控功能实现对流量的管控；通过自带的企业级防火墙为内部提供安全保障。 三．产品选型和性能 根据对公司需求的分析，本方案推荐在总部使用深信服科技的NGAF-1320下一代应用防火墙作为出口网关。在分公司采用深信服S5000-AC上网行为管理网关作为出口网关。 总部 深信服NGAF-1320下一代应用防火墙 一台 重要性能指标： 支持6个千兆网络接口。 吞吐速度： 并发会话数目：00,000 转发时延：0.1 ms 网络接口： 接口：1000BASE-T (RJ-45) * 扩展接口：无 电源： 输入电压：180-240V 冗余电源： 环境： 工作环境温度：-5~45 ℃ 环境相对湿度：5~90%，非冷凝 硬件规格： 尺寸(cm) ：43.9(W)×42.4(D)×4.45(H) 重量：7Kg 标准1U机架式结构 重要性能指标： S5000-AC 吞吐速度：30Mbps 并发会话数目：30,000 转发时延：0.1 ms 网络接口： 局域网接口：100BASE-T (RJ-45) * 2 广域网接口：100BASE-T (RJ-45) * 2 扩展接口：无 串口：RS232*1 电源： 输入电压：180-240V 冗余电源：无 环境： 工作环境温度：-5~45 ℃ 环境相对湿度：5~90%，非冷凝 硬件规格： 尺寸(cm) ：42.7(W)×24.8(D)×4.45(H) 重量：4Kg 1U机架式结构 四．产品功能介绍 4.1 深信服NGAF下一代应用防火墙功能特性 深信服NGAF-1320功能特性 项目 指标 具体功能要求 部署方式 网关模式 支持网关模式，支持NAT、路由转发、DHCP等功能； 网桥模式 支持网桥模式，以透明方式串接在网络中； 混杂模式 同时开启支持网关和网桥模式 网关管理 管理界面 支持SSL加密WEB方式管理设备； 分级管理 不同用户组的管理权限支持分配给不同管理员； 告警管理 支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志告警等； 排障工具 提供图形化排障工具，便于管理员排查策略错误等故障； 实时监控 设备资源信息 提供设备实时CPU、内存、磁盘占有率、会话数、在线