深圳VPN解决方案.docVIP

**** VPN解决方案 Watchguard Technologies Inc. 支伯炜（工程师） 2006-01-05 一．引 言 根据贵司VPN的需求，我们编写了本方案，目的是说明该企业网络安全改造项目的技术可靠性，说明并分析所建议的方案。考虑到该企业网络中心目前的主要需求为VPN的实施，本方案重点阐述VPN技术及相应的产品在项目中的应用，其它技术细节不再细述。 贵公司需要通过VPN管理运营网络，目前需要实现深圳总部与广州分公司及远程分支机构之间联网进行信息共享、数据传输。目前贵司各处还是独立的网络，因此建立VPN网络为贵公司总部、分公司、远程分支机构间的办公及业务活动提供安全保证的信息网络基础平台。该平台构成了该企业商务活动的平台，一旦建立将会在节省通讯费用、提高工作效率 、改进工作质量 、方便用户 、堵塞漏洞方面带来巨大的经济效益。而且也为今后的应用扩展（比如视频、语音、流媒体等）提供了基础的平台。 二．需求分析 针对贵司将建设成以深圳总部为核心，其他分支机构为端点的VPN网络，我们模拟建成的VPN网络架构图如下： 从上面的结构图中可以看出，我们在企业深圳总部使用了一台Watchguard Firebox X1250e防火墙，并加载了网关防病毒、入侵防护、Web过滤和防垃圾邮件模块，以便更好的保护内网的安全，广州分公司使用了Watchguard Firebox X750e，其他分部使用Watchguard Firebox X20e作为端点，所有的分支机构与公司总部建立VPN隧道，届时分部和总部传输数据进行加密，保证数据传输的安全性。通过VPN架构的组建，我们将为该企业建设一个高效、安全、稳定的网络。 该方案有如下优点及相关介绍： 1．防火墙使用网关防病毒/入侵防御服务，对企业内网应用层等方面进行防护： 网关防病毒/入侵防御服务（Gateway AntiVirus/Intrusion Prevention Service），是Firebox? X Core?和Peak?统一威胁管理设备的基于特征的集成安全服务。它与 Firebox X“预防御”联手打造强大的实时防护，能够防止间谍软件、病毒、木马、缓存溢出、资料隐码、即时消息和点对点（P2P）通讯。 不同于其它网关防病毒解决方案，网关防病毒/入侵防御服务只扫描成功通过智能分层安全检测的访问流，不会因重复步骤占用网络而降低运行性能。网关防病毒/入侵防御服务通过WatchGuard System Manager（WSM）进行管理，运用同样丰富直观的用户界面对所有Firebox X Core和Peak UTM功能进行配置和管理。WSM记录、监控和报告所有活动。对防病毒及防入侵活动的实时监控能够使您随时了解有关情况及进行控制。 1.1 网关防病毒：真正网关级防病毒它是集成到Firebox X系列防火墙智能分层引擎中的，所以是网关级的。没有明显性能损失这种优良的性能得益于Firebox X系列防火墙智能分层引擎，由于防病毒安全层在多层安全过滤之后，并且WatchGuard 为新的E-mail防病毒设计了“深度应用检测”技术（Zero-Day Protection），能够在防病毒安全层之前检测大部分的安全指标，减轻了防病毒安全层的数据包负载，如下图所示：而传统的防病毒引擎是直接放在包过滤防火墙安全层之后，需要处理更多的数据包（如下图） 具有更高的防病毒安全性WatchGuard 网关级E-mail防病毒采用了最全面的病毒特征库，包括了wildlist和zoo-list的全部病毒特征库，数量超过22000个，并且可以连续更新（由客户自己决定时间间隔），最大程度缩短了新病毒和威胁出现到有效防护之间的弱点窗口时间，同时即使存在弱点窗口，zero-day protection仍能有效地阻止大部分的病毒和安全威胁，对比传统的网关防病毒产品极大地提升了安全性（如下图）：这个图显示了WatchGuard 在病毒库和zero-day protection 比传统网关防病毒产品更具安全性。WebBlocker 是一项与Firebox? X 集成的安全服务，增强了内置的Firebox X 预防御功能，是统一威胁管理解决方案不可或缺的组成部分。WebBlocker 适用于Firebox X Edge、Core?以及Peak?，让您能够管理网络访问方式及内容，并协助您控制用户的网上浏览。WebBlocker 采用不断更新的SurfControl? 数据库阻止危险网站，使您的网络免受风险性网络内容（如间谍软件以及威胁性网站）的侵扰。WebBlocker 也可以阻止您的用户访问传输流媒体、点对点(P2P)