SonicWallUTM一体化网络安全简化版改NSA240精.docx
《SonicWallUTM一体化网络安全简化版改NSA240精.docx》由会员分享,可在线阅读,更多相关《SonicWallUTM一体化网络安全简化版改NSA240精.docx(11页珍藏版)》请在冰点文库上搜索。
SonicWallUTM一体化网络安全简化版改NSA240精
SonicWallUTM一体化网络安全
解决方案
前言
随着计算机技术的发展,互联网已经成为最大的公共数据网络,在全球范围内实现并促进了个人通信和商业通信。
互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。
越来越多的通信都通过电子邮件进行;移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络。
但是这个庞大的网络及其相关的技术为不断增长的安全威胁提供了可乘之机,因而企业必须学会保护自己免受这些威胁的危害。
在捍卫网络安全的过程中,防火墙受到人们越来越多的青睐。
作为一种提供信息安全服务、实现网络和信息安全的基础设施,防火墙采用将内部网和公众网如Internet分开的方法,可以作为不同网络或网络安全域之间信息的出入口,根据企业的安全策略控制出入网络的信息流。
再加上防火墙本身具有较强的抗攻击能力,能有效地监控内部网和Internet之间的任何活动,从而为内部网络的安全提供了有力的保证。
1.1XX公司网络现状分析:
随着技术的发展,各种入侵和攻击从针对TCP/IP协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击,如针对Windows系统和Oracle/SQLServer等数据库的攻击,这些攻击和入侵手段封装在TCP/IP协议的净荷部分。
传统的UTM设备如第一代的包过滤UTM,第二代的应用代理UTM到第三代的全状态检测UTM对此类攻击无能为力,因为它们只查TCP/IP协议包头部分而不检查数据包的内容。
此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。
同时层出不穷的即时消息和对等应用如MSN,QQ,BT等也带来很多安全威胁并降低员工的工作效率,另外网上游戏、视频等既耗上网带宽也降低员工的工作效率。
如今的安全威胁已经发展成一个混合型的安全威胁,传统的防火墙设备已经不能满足客户的安全需求。
1.2XX公司网络简述:
XX公司现有的网络属于紧缩核心层结构,通过核心交换机进行快速转发,与接入层交换机实现全网畅通,通过一台路由器与外网互连。
目前有台式机和服务器大约xxx台左右。
服务器上有公司的xxx和xxx等系统。
1.3部署后所达到的效果
XX公司根据办公的需要,Internet属于防火墙的WAN区域,内网用户属于防火墙的LAN区,服务器则属于防火墙的DMZ区域。
三个区域拥有不同的安全策略,互相受到策略的制约。
内外网的用户受到防火墙的隔离防护,UTM功能为流量进行应用层的过滤。
隔离网络:
通过对防火墙策略的实现,保证外网用户可以连接Internet,不得访问内部任何资源。
而内网用户根据策略,不得连接Internet,只能访问内网的数据库。
并且内外网之间也做到相互隔离。
⏹多种应用层防护:
SonicWALLUTM产品功能丰富,包含防火墙,VPN,网关防病毒,IPS,反间谍软件,内容过滤等等。
此外,支持双WAN链路负载均衡,策略路由,路由模式等等。
SonicWALL产品能为客户提供传统状态检测防护墙所不具备的应用层的安全防护,具有极高的性能价格比。
实时观察网络流量排名:
在网络异常流量随时可能出现的今天,我们需要了解网络中哪台计算机对网络造成的影响最大,哪台又在进行不正当的网络行为。
因此我们需要对网络中敏感数据流进行监控,监控内容包括前10名的流量的IP,前10名网络中使用的服务(如http等,网页点击率排名。
⏹控制应用层流量:
P2P,IM等应用已经严重的影响了公司的网络带宽,影响了公司正常服务效率。
然而某些部门却依赖着这些应用,因此我们需要对这些基于应用层的协议进行有效的管理。
如:
上班时间不允许下载BT,下班时间可以下载,某些部门可以使用QQ,MSN,有些部门则不能。
⏹查看网络异常连接:
以上介绍过,对异常流量的发现和控制。
但有些病毒爆发和攻击,并不一定造成流量的异常,而仅仅是连接数瞬间突增,但却完全可以使我们的网络或网络中的设备进行阻塞,甚至是瘫痪。
利用UTM设备,可以将网络中所有连接列出,然后再针对这些异常的连接进行有效的控制。
2.1设备简介
NSA240采用新一代统一威胁管理(UTM技术抵抗各种攻击,兼备入侵防御、防病毒及反间谍软件功能和SonicWALL应用防火墙的应用层控制功能。
NSA系列利用先进的路由、全状态同步高可用性以及高速VPN技术让企业网络倍添安全性、可靠性、功能性,同时还将成本及复杂程度降到最低.
2.1.1主要特点与优势:
SonicWALL公司新一代安全产品结合了更高层次的UTM技术,集成了入侵防御、网关防病毒及反间谍软件以及应用防火墙可配置工具套件,以防止数据泄漏以及提供细粒度应用控制。
可扩展多核硬件及免重组深度包检测
安全供应商开发的下一代安全产品已经在基础硬件设计上采取了多种方法。
SonicWALL®
选择了多核处理器架构,其他供应商选择了通用处理器加单独的安全协
处理器结构。
甚至有一些供应商选择设计并构建ASIC(专用集成电路平台,多核处理器对于支持UTM产品有很多优于ASIC处理器和通用处理器的地方。
这些优势包括低功耗、联网安全协处理器和增加存储器带宽从而提高网络吞吐量。
SonicWALL
®的多核平台将硬件加速和自动化集成在更大范围的数据包处理和特殊应用功能中。
借
助上述硬件优点,SonicWall®
的SonicOC固件实现了软件无法匹敌的性能。
应用于SonicWALL®新一代安全产品的多核处理器为每一个核提供了额外的安全协处理器,可以使每个单独的核在芯片上具有额外的安全性硬件加速能力。
通过安全协处理器与多核平台的集成,SonicWALL®已经开发了一种高性能解决方案,可以明显降低安全协处理中的延迟问题。
而且,由于所有安全加速硬件都是片上(on-chip的,SonicWALL®多核架构不受总线频率的限制。
考虑到未来的重复利用性,SonicWALL®多核平台的设计可方便地扩展到使每块芯片拥有更多内核、每块主板拥有更多芯片、每个机箱拥有更多主板的应用中。
多核处理器的设计和实现也展示了其高效性。
例如,在SonicWALL®多核产品中,高效兼具最优化的设计使得芯片具有低能耗和小芯片面积的特性。
因此,这些处理器集成了大量专用的硬件加速,允许在单个处理器上集成多达16个核,从而可提供最佳的性能,现实生活中的大量应用就是其最好的证明。
多核处理器技术让SonicWALL®能
够开发出高性能的网络安全设备,这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约30%的功耗,而网速相差无几。
SonicWALL®多核处理器设备最多可采用16个内核(还为未来的重复利用设计了更多的内核空间,提供高性能并行数据包处理,集成了正常操作过程中具有较低功耗和低时频运行的安全协作处理器。
免重组深度包检测(RFDPI是由SonicWALL公司提出并实现的,可以实时扫描处理无限大的文件和无限多的网络连接。
RFDPI技术是为多核硬件而量身打造的,它可以实现超高速智能检测,与其它DPI方法相比它在可扩展性和性能方面更具优势。
与所有其他DPI方法不同,RFDPI不需要停机和在内存中储存信息流量。
通常,系统管理员习惯性在高负荷状态下要么对超负荷流量不检测而放行,要么形成流量拥堵,这也发生在正常的商业通讯中。
此外,与其它DPI方法不同,RFDPI不限制文件的大小,任何一个用户都能下载,也不限制同时保护文件的用户数量。
这使RFDPI架构成为业内可扩展性最强的架构,并成为实现实时的统一威胁管理(UTM功能最强大的解决方案
先进的尖端科技和性能及更低的总拥有成本通过同时使用多核处理能力而实现,极大地增加了吞吐量和并行检测能力,同时降低了功耗。
先进的路由服务及网络功能结合了先进的网络安全技术,包括802.1qVLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的NAT模式及更多技术,为您提供灵活的细粒度配置及全面的安全防护能力。
技术规范:
2.1.2主要功能介绍:
网关防病毒功能
SonicWALL采用独一无二的逐个包扫描深度包检测引擎专利技术(美国专利,无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵的扫描和防护,所以SonicWALL对同时下载的文件数目和文件的大小没有任何限制。
而目前其它防病毒网关产品都对下载的文件大小和数目有严格的限制,因为把要扫描的文件缓存在内存的Buffer中或者缓存在硬盘上,由于物理资源是有限的,所以能支持的扫描的文件大小必须有严格的限制。
当然还有很多UTM产品根本就不支持网关防病毒功能。
SonicWALL直接在安全网关上匹配全面的签名库,对网页下载、邮件传输及压缩文件的潜在威胁进行安全扫描。
SonicWALLUTM设备能够并行扫描超过50种协议上的25000多种病毒.
反间谍软件功能
SonicWALL的防间谍软件防护服务主要特点包括:
•阻止通过自动安装AcitveX组件(这也是传播恶意间谍软件程序的最常见途径进行传播的间谍软件
•扫描并记录通过网络传输的间谍软件威胁,并在检测和/或阻止新的间谍软件时及时通知管理人员
•阻止电脑上已经存在的间谍软件与因特网上的黑客和服务器进行后台通信,防止泄露机密信息
•允许管理员选择性地许可或拒绝安装某些间谍程序,从而对网络应用提供更细粒度的控制•扫描并屏蔽被感染的电子邮件通过SMTP、IMAP或基于Web的电子邮件进行传播,防止电子邮件传播间谍软件威胁
入侵防御服务(IPS
SonicWALLIntrusionPreventionService(IPS能有效的侦测阻止网络入侵攻击;如Nimda、CodeRed…等蠕虫病毒;软件安全漏洞如IIS未更新;木马及Spyware间谍程序。
SonicWALLIPS可实时扫描50种以上通讯协议,包含P2P如eDonkey、eMule等造成网络拥塞与非法软件;非法Video文档共享传送及网上聊天如MSN、ICQ等实时通讯管理,SonicWALL采用自行研发的DeepPacketInspectionEngine–快速深层封包扫瞄引擎,在不需要费时重组TCP封包,即可顺畅并行一次完成并对入侵或危险网络封包,从而根据危害级别进行阻挡。
SonicWALL公司透过安全技术中心主机不断自动更新内建于每部启用IPS功能Firewall的SignatureDatabase–目前这个网络危机数据库支持高达2000d多种状态特征码。
管理者可设定只要启用侦测或直接阻挡,经由敏感度微调设定可减少误判情形。
配合SonicWALLSecurityZone网络区域规划的分区隔离安全政策设定,防止日益严重的网络蠕虫病毒入侵与扩散‧
ISPFailover&Loadbalancing–链路备份及负载均衡
随着计算机技术的发展,互联网已经成为最大的公共数据网络,在全球范围内实现并促进了个人通信和商业通信。
互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。
越来越多的通信都通过电子邮件进行;移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络;而在互联网上通过WWW方式完成的商业贸易现在已经成为企业收入的重要组成部分。
随着互联网的应用越来越多,带宽成为互联网应用的瓶颈,很多公司增加连接互联网的带宽,但如果在专线增加带宽,费用昂贵。
所以很多用户会增加一条宽频线路。
SonicWALL产品增强版支持两条ISP互联网接入线路,并提供线路备份及负载均衡,更大的优化网络接入的安全性,经济、有效的保证企业实时在线。
ISPFailover支持“active-passive”线路备份架构;loadbalancing支持“active-active”均衡负载架构;
虚拟专用网(VPN虚拟专用网VPN(VirtualPrivateNetworking虚拟专用网)就是在公共网络基础上(Internet)利用安全、认证、加密等技术建立企业的专用线路,也就是一个安全的网络隧道(TUNNEL),在降低联网费用的同时确保信息的安全性、完整性和真实性。
VPN虚拟专网,是一个通过利用公用基础网络为企业各部门提供安全的互联网服务,它可以提供与昂贵的专线(DDN)类似的安全性,可靠性,可管理性和优先级别,可构筑于IP网络,帧中继网络和ATM网络上。
通过VPN功能,SonicWALLVPN安全地将公司的各个办公地点、移动和远程办公者、商业伙伴连接在一起。
SonicWALLVPN使用数据加密,使两个或更多的点或LAN之间通过Internet实现安全通信,而无需昂贵的专线。
可通过IP地址或动态域名(DDNS)建立VPN。
SonicwallVPN采用IPSec协议标准,可与其他执行IPSec标准的VPN产品共同使用,如AXENTRAPTOR、Checkpoint的Firewall-1、CISCOPIX等。
加密方法有56位的DES、168位的3DES、56位的ARC4和最新的AES-256位加解密。
SonicWALL使用专用网络安全处理器有效地减轻CPU加解密负担,VPN处理效能使又达另一高峰。
内容过滤随着连接在互联网上企业机构的不断增加,不适当Web内容也接踵而来。
由于不良Web内容造成的威胁有越来越严重的趋势,企业对于功能更强大的Web内容过滤工具的需求也越来越迫切。
为使企业Web应用集中于与业务相关的活动,各企业机构不仅需要保护公司资产和保持高业务生产率,还必须提高网络性能,并减少因浏览不良内容而暴露企业保密内容的机会。
SonicWALL自带的自定义过滤功能是可以直接使用,包含禁止访问域、允许访问域和关键字。
SonicWALLUTM把内容过滤作为可选项购买。
SonicWALL内容过滤允许管理员设置访问类别和内容控制,限制访问带有色情、种族偏见、赌博等网站。
也可给特定用户一个密码来绕过过滤器,给他们不受限制地访问Internet。
另外SonicWALL还可以Websense和N2H2的内容过滤(Websense或N2H2需要单独购买)。
网络防病毒全球第一家通过ICSA认证的ASP模式防病毒产品,采用McAfee病毒引擎和病毒代码,强制执行防病毒安全策略,保证实时升级到最新病毒码,彻底清查邮件和邮件附件中的病毒,全球首次真正实现防病毒工作的零维护。
SonicWALL防病毒功能采用了NetworkAssociates
的防病毒技术,是一个网络型防病毒解决方案。
除了具备其他防病毒软件的功能和可以检测邮件附件外,其最大的特点是强制性、自动升级更新的防病毒政策,能够自动搜索系统有否安装了指定的防病毒软件,识别防病毒程序是否正在在运行,病毒码是否最新,并强制阻止不符合以上防病毒条件的计算机访问互联网或从互联网接收电子邮件等,不给病毒可乘之机。
SonicWALL防病毒功能采用类似客户机/服务器的模式,SonicWALLUTM充当防病毒网关,过滤邮件附件中的病毒,客户端安装防病毒软件,防范网页、邮件、光盘、软盘等各种来源的病毒。
管理员可以集中管理所有客户端的防病毒软件,而不必分别为每台客户端分别安装,防病毒网关会不断的到防病毒网站搜寻最新的病毒码并及时强制用户下载。
通过SonicWALL的防病毒功能,用户可以安心的实现整个网络的自动防病毒,最大限度的减少传统的管理维护工作和维护不及时带来的安全漏洞。
监测、监测、报告软件ViewPoint对商业机构来说,他们不但要保护网络资源,同时还要确保员工的工作效率,因此网络活动的监测与报告功能极其重要。
SonicWALLViewPoint报告软件帮助网管员追踪网络活动和事件,甄别可疑的网络流通情况,并判断员工是否滥用网络资源。
ViewPoint中的风险评估工具可以帮助网管员确保公司网络安全并防止攻击。
这种时实时的网络活动报告用于帮助网管员甄别不恰当或无效的网络资源应用。
SonicWALLViewPoint具备网络安全的监测能力,并可提供实时及历史的图表报告。
这些报告能够总结网络中全部SonicWALL网络安全产品的活动情况,而且涵盖多种网络活动,包括个人或群体使用某一类型或某一组UTM产品的情况,以及UTM遭受攻击的类型与时间等等。
这一灵活、随需定制的报告界面能够显示员工经常访问的网站地址、网络使用者、应用软件及带宽分配情况。
另外,SonicWALL公司的ViewPoint软件可与Web服务器、syslog服务器及数据库集成,进行轻松地配置、使用与维护。
其并发连接部分允许多名网管员登录,查看UTM活动报告以监测本地区的安全响应。
全球管理系统(全球管理系统(SonicWALLGlobalManagementSystem)众所周知,分布式网络通常包括:
公司总部、远程及分支机构、远程工作者和移动工作者。
目前,网络环境日趋分布,越来越多的员工需要从远程点接入到公司网络。
GMS可以完全满足这一需求,它具有管理SonicWALL全球VPN客户端的功能,可以帮助网管员经济有效地管理远程工作者或移动工作者,让他们随时随地、安全地接入公司网络。
SonicWALLGMS能够监测并管理上千台SonicWALL网络安全产品和客户端,并允许商业机构和服务提供商的网管员配置UTM和其他SonicWALL服务,其中包括虚拟专用网(VPN)、防病毒、无线安全和网页内容过滤。
网管员能够通过加密的VPN通道从中心为个体、群组或全球范围远程设置安全策略。
支持双机热备为了保证网络的高可用性与高可靠性,SonicWALLUTM提供了双机热备份功能,即在同一个网络节点使用两个配置相同的UTM。
正常情况下主UTM处于工作状态,另一个处于备份状态,当工作状态的系统出现故障时,备份状态的UTM自动切换到工作状态,并保证网络的正常使用。
要保护网络的安全,UTM本身首先要安全。
即使UTM没被黑客攻击,也会由于电力,原器件老化,异常死机等特殊原因发生故障,万一故障发生,网络的安全就无法保证。
对于需要高度可靠性的用户,一定要选用有双机热备技术的UTM。
SonicWALLUTM的双机热备功能可以使UTM备用主机在极短时间完成整个切换过程,切换过程不需要人为操作和除两个UTM以外的其他系统的参与。