《梭子鱼下一代防火墙解决方案》由会员分享,可在线阅读,更多相关《梭子鱼下一代防火墙解决方案(32页珍藏版)》请在金锄头文库上搜索。
1、梭子鱼下一代防火墙解决方案梭子鱼中国2020年6月28日目录第一章梭子鱼公司简介3第二章前言4第三章网络现状及需求51.客户环境描述52.客户需求5第四章梭子鱼解决方案71.需求分析72.产品选型71)梭子鱼下一代防火墙F60082)梭子鱼下一代防火墙F40093)梭子鱼集中控管平台VC820103.方案拓扑114.方案实现121)梭子鱼VPN组网122)VPN高级功能153)WAN流量优化164)Web安全过滤185)应用安全206)智能流量控制217)应用路由228)入侵防御系统IPS229)安全防护手段2310)集中管理2411)DNS及DHCP服务305.快速部署安装311)集中控管平
2、台部署安装312)总部和门店防火墙的部署安装313)设备恢复技术32第一章 梭子鱼公司简介梭子鱼网络成立于2003年,秉承“复杂IT简单化”理念,为全球各行业组织与机构提供:性能卓越,简单易用,高效稳定的安全与存储解决方案。全球超过150,000组织与机构选择信赖梭子鱼,梭子鱼网络致力在安全与存储领域为用户提供行业领先,高满意度,高价值,定制化的 IT 解决方案。持续保持邮件和Web安全产品领先优势的同时,梭子鱼网络还将为用户提供一系列全方位的IT解决方案,其包括:邮件,Web,应用优化,网络安全,远程访问,存储与备份,邮件归档等,为各行业组织与机构提供真正的端到端的安全防护,同时支持硬件,虚
3、拟,云端以及各类混合的灵活部署模式。安全领域系列产品: - 梭子鱼病毒及垃圾邮件防火墙 - 梭子鱼邮件安全服务系统 - 梭子鱼Web安全网关 - 梭子鱼Web安全服务系统 - 梭子鱼Web应用防火墙 - 梭子鱼下一代防火墙 - 梭子鱼防火墙 - 梭子鱼负载均衡机 - 梭子鱼应用交付控制器(ADC) - 梭子鱼SSL VPN 存储领域系列产品: - 梭子鱼备份系统 - 梭子鱼邮件归档 - Yosemite备份软件- Copy 梭子鱼网络为全球超过150,000家组织与机构提供安全防护,应用优化和数据存储,拥有超过1亿客户端。梭子鱼网络核心客户主要集中在中级市场,覆盖行业包括:教育,政府,零售,金
4、融和医疗等。第二章 前言随着互联网的飞速发展, WEB 2.0, 3G/4G移动平台,云计算等技术的广泛应用,它们为企业带来业务便捷的同时,也带来了更多的安全威胁。在信息安全建设过程中,企业面临新一轮的挑战:l 传统的防火墙面对日益复杂的应用安全威胁已经显得力不从心;l 防火墙的部署、管理需要专业技术人员,小型企业或者企业分支机构难以维护;l 而防火墙/IPS/病毒墙这种“羊肉串式”的解决方案正变得日益复杂,IT投资性价比越来越低;基于上述需求,梭子鱼公司在推出了梭子鱼下一代防火墙(Next Generation Firewall)下一代防火墙。与传统的防火墙和UTM不同的是,NG采用独特的三
5、层引擎架构,除了传统的防火墙功能外,在应用安全,应用路由,VPN组网,WAN流量优化,集中管理方面都进行了专门的设计,独具特色。目前,梭子鱼下一代防火墙在分布式的网络环境有着广泛的应用。l 一方面,它非常适合于帮助用户组建大型分布式网络。例如:欧洲某金融企业部署了超过2500台NG防火墙,并建立VPN网络,全球只需4个IT管理员便可支撑系统的稳定运行。l 另一方面,它部署便捷。 例如:对于小型企业,管理员只需要把预配置U盘插入全新的NG设备,启动设备,即可运行。不需要管理员具备专业的知识。第三章 网络现状及需求1. 客户环境描述北京总部接入电信100M、联通50M、电信通20M 共3条线路,其
6、中以电信、联通线路为主线路,电信通线路主要作为备份。几十家门店分布在全国各省,使用Adsl动态IP拨号或光纤接入。下图为总部+单个门店的拓扑示意图。每个门店的网络架构大体一致。拓扑图:2. 客户需求1) 核心需求:1、总部与各门店之间建立VPN通道使得各软件系统之间可以加密安全通信;2、各门店的上网安全防护、流控管理等;2) 详细需求:1、总部服务器与门店服务器、门店服务器与总部服务器之间,会产生双方向的“主动发起”通讯,通讯内容主要基于HTTP协议。因此需要建立稳定的IPSEC Site-to-Site VPN隧道2、门店上网行为管理。包括网页访问过滤、网络应用控制、带宽流量管理、信息收发审
7、计、用户上网行为的分析统计、内网ARP病毒控制、带宽利用率等等。网址、应用、协议等特征库必须及时、全面3、网络安全性。需要对客户手机等非内部设备的流量做出限制。除了要支持常见的TCP/IP五元组ACL外,还需要支持基于应用层的ACL(如基于某应用层协议、某访问域名等等)4、广域网加速。门店与总部之间的VPN隧道跨越了千山万水,需要广域网加速技术来提高响应速度,降低业务延时5、DNS解析服务。它将会成为门店所有设备的DNS服务器。需要支持基于域名匹配的转发规则:即用户请求XXX.com/net/cn时通过VPN隧道转发给总部DNS服务器,用户请求其他域名时转发给外网公共DNS服务器6、集中统一管
8、理。总部管理人员可以对各门店VPN设备进行统一管理、配置、升级等,并实时监控各门店VPN设备的健康状况。第四章 梭子鱼解决方案1. 需求分析*公司具有多个分支网络,需要在总部和分支之间建立VPN以满足数据的安全、快速传输和可靠访问的需求,并要求对每个网络实现上网行为管理,应用控制和有效的流量优化。由于涉及到多个不同地方的网络管理,极需一套方便快捷的集中管理平台对所有网络进行统一管理和维护,以提高管理效率和降低维护成本,促进公司业务增长。针对*公司网络建设中的主要需求,通过相关技术可行性分析,梭子鱼提出以下解决方案,采用适合于分布式网络环境的梭子鱼下一代防火墙解决方案来满足*网络建设的需求。2.
9、 产品选型梭子鱼下一代防火墙具有最新且最全面的下一代防火墙技术。不同于一些单项技术领先的下一代防火墙,梭子鱼下一代防火墙专门为分布式网络设计,从十几个到数以千计的分支地点的网络互联、安全防护与安全管理,甚至不管员工在公司还是漫游,只要通过VPN 方式远程接入都可以得到防护和管理。 梭子鱼下一代防火墙极大的简化管理,批量推送安全策略到整个广域网(WAN)中。其高级安全机制,能够提供面向应用的流量管理,优化对WAN 的访问,根据流量状况和链路状况快速智能的路由流量。例如,一条高质量的WAN 链路故障中断,则备份的链路将自动激活,并且根据QoS 策略分配带宽,确保最重要的商业应用享有足够带宽。又或者
10、让某个子网或某些用户或某个重要的终端优先享有带宽。梭子鱼下一代防火墙可以满足*当前的网络环境和主要需求。本方案涉及的产品型号主要有:总部:梭子鱼下一代防火墙F600一台,梭子鱼集中控管平台VC820一套(需提供硬件平台和虚拟化环境)。分支:梭子鱼下一代防火墙F400。1) 梭子鱼下一代防火墙F600项目梭子鱼下一代防火墙F600性能防火墙吞吐量4.7GbpsVPN吞吐量950MbpsIPS吞吐量1316Mbps并发连接300,000新建连接/S16,000硬件机架底盘1U尺寸(in)1.7*16.8*15.6重量(kg)5.4以太网电口10*1GbE+1*10/1001GB光纤SFP(标准/最
11、大)0/4电源单电源产品特性防火墙支持应用控制支持IPS支持Web安全支持智能流量控制支持IPSec VPN支持广域网优化支持2) 梭子鱼下一代防火墙F400项目梭子鱼下一代防火墙F400性能防火墙吞吐量3.9GbpsVPN吞吐量700MbpsIPS吞吐量900Mbps并发连接300,000新建连接/S16,000硬件机架底盘1U尺寸(in)1.7*16.8*17.7重量(KG)5.4以太网电口8*1GbE电源单电源产品特性防火墙支持应用控制支持IPS支持Web安全支持智能流量控制支持IPSec VPN支持广域网优化支持3) 梭子鱼集中控管平台VC820梭子鱼集中控管平台为虚拟化平台,需要提供
12、物理服务器和虚拟化平台的支持。支持的虚拟化平台虚拟化平台文件格式VMware hypervisor ESX 3.5 或以上*.ovaOpen-source Xen images for Xen 4.1或以上*.zipXen fully virtualized images.*.hvm.xvaCitrix-compatible paravirtualization Citrix Xen 6.0.0或以上*.pv.xva系统要求项目最低配置推荐配置CPU双核8核或以上内存2GB16GB或以上硬件空间80GB250GB或以上(具备RAID)3. 方案拓扑各门店网络出口处部署梭子鱼下一代防火墙F400
13、,总部网络出口处部署梭子鱼下一代防火墙F600,皆以网关形式部署,各门店到总部的链路建立VPN进行安全通讯,梭子鱼下一代防火墙支持标准的IPSec VPN,可与现有的第三方支持标准IPSec协议的设备建立VPN通道。在总部内网部署梭子鱼下一代防火墙实现对分布在不同地方的梭子鱼设备进行集中管理,通过访问该集中管理平台可实现配置防火墙的所有功能,并可以实时监控到所有梭子鱼防火墙的状态和网络情况。梭子鱼集中管理平台和梭子鱼下一代防火墙之间的通讯经过加密。部署拓扑如下图所示:4. 方案实现1) 梭子鱼VPN组网VPN是防火墙部署和管理的难点之一。特别是对于大型网络,如果采用传统的WEB/命令行管理方式
14、,需要登录到每一台防火墙进行配置,因此,管理员的工作量将随着部署设备的数量而线性增长。而且,后续的VPN监控也非常困难。图形化VPN组网对于梭子鱼下一代防火墙来说,管理10台设备和管理100台的VPN,其工作量几乎没有增加。通过梭子鱼下一代防火墙集中管理平台,管理员可以在单一图形化界面中,采用鼠标拖动的方式,完成所有NG设备的VPN配置和隧道管理。梭子鱼采用私有点到点VPN协议(TINA)建立VPN网络,TINA协议是在IPSec协议基础上经过进一步的安全强化和可用性优化研发出来的,具备IPSec VPN所有的功能,并且具有很多IPSec VPN无法实现的高级功能。通过TINA VPN组网, 图形化VPN管理模块VPN组网一,星型VPN组网,门店到总部之间建立VPN通道对已经加入到梭子鱼下一代防火墙集中控管中心的防火墙设备,只要选择需要建立VPN的网点,使用鼠标拖动线条,即可在任意两点之间建立VPN通道,无需命令行操作,无需登录具体的防火墙操作。建立VPN只是一拖一拉的过程,十分简单便捷。星型VP
