xx省民政厅网络vpn解决方案

xx省民政厅网络vpn解决方案内容摘要：

是一个动态发展的过程。 更多更强的安全技术和系统，如应用业务安全系统等，将随着应用业务系统的设计开发和成熟过程中得以逐步实现。 17 第四章 安全产品介绍 防火墙的说明 防火墙 NGFW 4000  采用独创的最新最先进的技术 核检测技术，即基于 OS 内核的会话检测技术，在 OS 内核实现对应用层访问控制。 它相对于包过滤和应用代理防火墙来讲，不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。  采 用独创的先进的设计思想 面向资源的进行设计，对不同对象的具体的组成资源，如文件、防火区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等，直接进行控制，极大的提高了安全性，并保证了配置的方便性。  先进独特的防火墙策略体系 面向资源的防火墙策略体系。 建立独立的防火区域，通过中央管理接口、管理端口协议、不同节点对象（网络邻居、自定义网路、防火墙所在子网等）、协议类型、应用行为等不同资源配置策略，使防火墙的策略配置更加简单，且便于维护。  分层式管理结构 防火墙的管理采用集中的层次管理结构，实现“防火墙 — 防 火区 对象 — 资源”的安全策略定义结构。 配置简单、配置安全性高；管理简单、维护方便；更好的保证了性能。  支持业界公认的 TOPSEC 协议 良好的体系构架设计充分保障了 TOPSEC 协议的高效实现，可以支持与IDS 、防病毒、加密产品等的联动，改变网络安全产品孤立工作的状态，大大提 18 高系统安全性。 是 TOPSEC 解决方案的端－端解决方案的核心组成部分。 TOPSEC （ Talent Open Protocol of SECurity ）协议是天融信公司在安全解决方案中引入的一种网络安全的新技术，它通过标准的、安全 的、可扩展的框架体系，可集成多种网络安全技术和产品，从而构造一个以防火墙为核心、多种安全技术和产品协同工作的完整的网络安全体系。 在相关安全产品能够相互通信并协同工作的基础上，实现防火墙、 IDS 、病毒防护系统、信息审计系统等的互通与联动，以实现最大程度和最快效果的安全保证。 同时，通过与国内具有强大技术实力和市场认同的网络安全厂商的合作，将网络卫士防火墙与其它成熟的网络安全产品联动，从而保证了 TOPSEC 安全解决方案能够充分发挥其系统功效。 这些产品是： NIDS 入侵检测系统、北信源的病毒防护系统、启明星辰 的 IDS 系统和上海复旦光华的安全审计系统等等。 NGFW4000 作为网络卫士防火墙的一个产品系列，是 TOPSEC 安全体系中的重要环节，并将随 TOPSEC 的发展而继续扩展。  适用更广泛的网络及应用环境 支持众多网络通信协议和应用协议，如 DHCP 、 VLAN 、 ADSL 、 IPX 、RIP 、 ISL 、 、 Spanning tree 、 DEC 、 NETBEUI 、 IPSEC 、 PPTP 、AppleTalk 、 、 BOOTP 等，使 4000 防火墙适用网络的范围更加广泛，保证用户 的网络应用。 方便用户扩展 IP 宽带接入及 IP 电话、视频会议、 VOD 点播等多媒体应用。  支持多种工作模式 可以支持透明、路由和混合工作模式。 其中，独创的混合模式源于天融信网络接口物理实现技术和天融信专用安全协议实现，并在 NGFW4000 中进行了重新设计和实现，进一步得到了优化，方便适用于复杂网络结构和应用的接入。  支持远程集中管理 可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。 实现统一的安全政策布署，保证整个系统的安全策略的一致性，提高整个系统的安全强度。 19 NGFW4000 的主要配置 和管理都是基于 Web 方式的，管理主机不需要安装专门的管理软件，只需通常的浏览器软件，就可以在不同操作系统平台、不同地域对防火墙进行配置和管理。  支持负载均衡和双机备份 支持多台防火墙之间的热机备份和负载均衡；支持多台服务器之间的负载均衡。 不但更好的试用不同的网络环境，且更好的提供高性能和保证可靠性。 支持服务器的负载均衡 NGFW4000 防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡，同时可以识别出故障的服务器。 防火墙自身的负载均 衡 NGFW4000 支持负载均衡功能，可以在高带宽的网络环境中有效的提高性能，同时负载均衡还实现了接口之间的备份，当 A 机器的某个接口故障时， B 机器的相应接口可以接管它的工作，同时 A 机器的其他接口仍然正常地工作。 双机备份 为了保证网络的高可用性与高可靠性， NGFW4000 提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。 正常情况下一个处于工作状态，为主防火墙，另一个处于备份状态，为从防火墙。 当主防火墙发生意外 down 机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从防 火墙代替主防火墙正常工作，从而保证了网络的正常使用。 切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。 同时 NGFW4000 还实现了状态传送协议 STP ，当一台防火墙故障时，这台防火墙上的连接不需要重新建立就可以 20 透明地迁移到另一台防火墙上，用户不会觉察到。  多层次分布式带宽管理 带宽管理完全虚拟了网络带宽应用的实际环境，并实现多层次的分布式管理模式，避免了单层集中管理的缺点；而且，可以实现带宽分层、带宽分级、带宽分配、带宽优化等管理，优化网络资源的应用，提高网络资源应用效率。 NGFW4000 能够允许管理员定义任意两个网络对象之间通信时的最大带宽，而且带宽可以是分层的，例如部门带宽下面有小组带宽然后是个人带宽等，可以防止带宽被滥用，保证重要的通信的顺畅。 具体如下图所示：  支持多种身份认证 支持多种身份认证支持，如 OTP 、 RADIUS 、 S/KEY 、 SECUREID 、TACACS/TACACS+、口令方式、数字证书（ CA ），更好更广泛的实现了用户鉴别和访问控制。  更强的防御功能 21 在内核上实现对病毒防护，内容过滤（如 HTTP 、 POP3 、 FTP 、 TELNET 、SNMP ）和入侵 检测（ IDS ）功能，其中的入侵检测功能，防火墙 4000 不但有内置的 IDS 功能，还可以和 IDS 实现联动。 这不但提高了安全性，而且保证了性能。  高性能支持真正千兆 采用基于 OS 内核的会话检测技术，面向资源的设计、全新的物理实现和专用的通信协议，可以支持高达 100 万条以上的并发连接，真正保证了千兆设备的性能。 吞吐能力达到 860M 以上。 完全可支持骨干网络的应用需要。  深层日志及灵活、强大审计分析功能 提供丰富的日志信息，用户可根据特定的需要进行日志选项（不做日志、通信日志（即传统的日志）、应用层协议日 志、应用层内容日志）。 独创的网络实时监测信息，可详细审计命令级操作，便于入侵行为的分析和追踪。 大大提高防火墙的审计分析的有效性。 一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。 进行信息审计的前提是必须有足够的多的日志信息。 NGFW4000 提供了非常强大的日志功能，用户可以根据需要对不同的通讯会话记录不同的日志。 NGFW4000 的审计日志包括如下几个部分：通 讯日志、应用层命令日志、访问日志、内容日志。 通讯日志也就是传统的防火墙日志，负责记录通讯时间、源地址、目的地址、源端口、目的端口、字节数、是否允许通过。 通讯日志信息用来进行流量分析已经足够，但是用来进行安全性分析还远远不够；应用层命令日志在通讯日志的基础之上记录下各个应用层命令及其参数，比如 HTTP 请求及其要取的网页名；访问日志则是在应用层命令日志的基础之上记录下用户对网络资源的访问，它和应用层命令日志的区别是：应用层命令日志可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。 例如针对 FTP 协议，访问日志只记录下读、写文件的动作；内容日志则是在访问日志的基础之上记录 22 下用户传输的内容，如用户发送的邮件，用户取下的网页等。 天融信新一代防火墙产品可以根据用户的不同需要对不同的访问策略做不同的日志，例如有一条访问策略允许外界用户取 FTP 服务器上的文件，如果做访问日志，用户就可以知道到底是哪些文件被取走了。  管理安全、方便灵活 防火墙 4000 经过简单的配置即可接入网络进行通信和访问控制， GUI 管理界面提供了清晰的管理结构，每一个管理结构元素包含了丰富的控制元和控制模型。 对所有管理加密（支持 SSL 和 SSH ），并进行严格的审计，实现了真正的安全远程管理。 同时，可以支持 SNMP 与当前通用的网络管理平台兼容，如 HP Openview 、 Cisco works 等，方便管理和维护。  优秀的性价比 强大完善的功能、优秀的性能、高的稳定性和可靠性，及方便扩展 VPN 、IDS 、认证、计费、审计等安全服务，体现了优秀的性价比，可有效地保护客户投资。  独立的防火区域 NGFW4000 防火墙的每个物理接口对应一个独立的防火区域，每个区域的安全策略只对该区域有效。 每个区域可以单独设置自己的默认安全策略，所有对该区域 的访问都将匹配与该区域对应的安全策略。 也可以设定是否允许从该区域PING 、 TELNET 防火墙。  面向资源的管理机制 NGFW4000 中采用面向各种对象的不同组成资源的管理机制。 对象是由许多种资源组 成的实体，规则建立在这种实体的基础上。 资源的概念比对象控制更加细化，简化了用户规则，使规则更为直观；同时，提高了配置管理员的效率，提高了配置的灵活性。 NGFW4000 提供了很多种资源，如，网络节点、子网、第三方用户、用户数据库、防火区域、端口协议、文件资源、 VLAN 、特殊端口。 23  支持透明接入 NGFW4000 支持透明接入。 将 NGFW4000 配置为透明工作模式，无需更改用户网络的拓扑结构就能接入用户网络中，用户网络中的主机也无需更改任何网络配置就能通过防火墙进行访问（当然是要在防火墙规则允许的情况下）。 透明接入极大的方便了防火墙的接入，同时并不降低网络的安全性。 NGFW4000 还能工作在透明和路由的混合模式下，更能适应各种不同网络环境的接入。  多级过滤的立体访问控制 为保证系统的安全性和提高防护能力，增强控制的灵活性， NGFW4000 采用了多级过滤措施：以基于 OS 内核的会话检测技术为核心，在 IP 层 提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及 TCP 、 UDP 端口进行过滤；在应用层通过重写通讯会话的部分或者全部提供对高层应用协议命令、访问路径、内容、访问的文件资源、邮件收发人地址等的过滤；同时还直接支持第三方认证服务器提供用户级的鉴别和过滤控制。 NGFW4000 的多级过滤形成了立体的全面的访问控制机制。  强大的地址转换能力 NGFW4000 拥有强大的地址转换能力。 NGFW4000 同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。 正向地址转换用于使用保留 IP 地址的内部 网用户通过防火墙访问公众网中的地址时对源地址进行转换。 NGFW4000 支持依据源或目的地址指定转换地址的静态 NAT 方式和从地址缓冲池中随机选取转换地址的动态 NAT 方式，两种方式总共可以有多达 32 个的不同转换地址，可以满足绝大多数网络环境的需求。 对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。 同时内部网用户共享使用这些转换地址，自身使用保留 IP 地址就可以正常访问公众网，有效的解决了全局 IP 地址不足的问题。 内部网用户对公众网 提供访问服务（如 Web 、 FTP 服务等）的服务器如果是保留 IP 地址，或者想隐藏服务器的真实 IP 地址，都可以使用 NGFW4000 的 24 反向地址转换来对目的地址进行转换。 公众网访问防火墙的反向转换地址，由内部网使用保留 IP 地址的服务器提供服务，同样既可以解决全局 IP 地址不足的问题，又能有效的隐藏内部服务器信息，对服务器进行保护。 NGFW4000 提供端口映射和 IP 映射两种反向地址转换方式，端口映射安全性更高、更节省全局IP 地址， IP 映射则更为灵活方便。  透明应用代理 NGFW4000 提供对常用高 层应用服务（ HTTP 、 FTP 、 SMTP 、 POP3 、NNTP ）的透明代理。 用户不需要在自己的主机上作任何的有关代理服务器的设置，只需管理员在防火墙上配置相关的规则，用户通过防火墙进行的上述应用访问就会由防火墙进行代理，这些配置对用户来说完全是透明的，极大的方便了用户使用代理。 同时 NGFW4000 还对上述服务做了更详细控制，如 HTTP 对命令（ GET 、 POST 、 HEAD 、 DELETE 、 OPTION 、 PUT 、 TRACE 等）和 URL 以及脚本类型进行过滤， FTP 对命令（ GET 、 PUT。