新闻中心
  FortiGate 解决方案
  卡巴斯基网络版(反病毒)解决方案
  深圳福义轩信息技术服务级别及优势
  WatchGuard防火墙系列解决方案
  SonicWALL防火墙解决方案
  Sophos UTM 防火墙安全解决方案
  BlueCoat网络安全解决方案
  CheckPoint 解决方案
  网康上网行为管理解决方案
  安全咨询
  云安全技术公共服务平台
  风险评估工作管理
  安全及运维
  山石网科的专业培训2017年时间安排
  安全技术服务
  桌面云解决方案
  山石网科产品的2017年度保修说明
  智慧城市信息安全运营保障系统
  新华三H3C解决方案
 
首页 > 解决方案 >SonicWALL防火墙解决方案 >sonicwall网络安全综合方案
 
sonicwall网络安全综合方案
[ 2009-4-21 16:28:44
 

第一章 用户需求分析

1.1业务背景

XX公司是一家芯片研发公司,总部在广州,在深圳有分公司,总公司内网PC100多台,分公司网络规模大约在100PC左右,总公司采用固定IP方式访问互联网,分公司通过ADSL拨号共享上网并与总部联络,目前总部已经划分了项目部、研发部以及内网用户来分隔内网间的网络,总部集中管理企业的邮件服务器、文件服务器以及数据库服务器,深圳分公司需要通过internet访问总部的相关服务器,需要安全保障数据传输的安全性及机密性;同时,该公司还有部分移动用户需要远程访问总部的相关服务器,数据的安全保密也需要得到关注。

1.2需求分析

信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一,企业分支机构和移动办公人员如何安全有效的连接到公司内部的服务器以及网络病毒、网络攻击和安全传输的实时性是公司期待解决的问题之一。

1.3初步需求

分公司分别通过大厦提供的宽带接入Internet。分公司的网络要受到安全设备的防护,强烈建议采用网络防火墙设备,此外,为防止遭受病毒,黑客入侵的威胁,应用层的安全必须受到保护,设防火墙设备应该具备防病毒和防入侵的功能。企业总部网络有重要的数据库系统,防止病毒和黑客的入侵极为重要。

由于分公司要和企业总部建立点到点VPN连接实现安全的数据传输,高性能的VPN功能必须集成在设备内部,便于统一管理。此外出差在外的员工也要能够及时地通过Internet安全地访问企业的数据库,移动用户必须通过VPN加密方式访问企业网络资源。

1.4方案目的

作为保护企业内部网免遭外部攻击,确保信息安全地通过Internet传输,最有效的措施就是在分别在企业系统内部网与外部广域网之间放置UTM设备(即:防火墙+ VPN +网关防病毒+ IPS),通过设置有效的安全策略,做到对企业内部网的访问控制。同时保证分支机构和总部之间的安全互联。故推荐配置使用基于深度包检测技术的UTM设备——美国SonicWALL UTM设备防火墙 + VPN + 网关防病毒 + 防入侵)同SonicWALL SSL-VPN

SonicWALL系列UTM设备是在NASDAQ上市的美国SONICWALL公司的著名网络安全产品,全球销量超过60万台,是目前全球销量******的硬件防火墙和市场占有率最高的硬件VPN产品。

SonicWALL采用软硬件一体化设计,在高性能硬件平台上,利用先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统,再加上************的加密算法、身份认证技术以及网络防病毒技术,是一个强大的,集应用级防火墙、VPN,网关防病毒,防入侵(IPS)、内容过滤、,反间谍软件等多种安全策略为一体的,稳定可靠的高性能网络安全系统。其完善的产品系列和卓越的性能价格比为不同规模、不同行业、不同上网方式的用户提供安全、快速、灵活、超值的网络安全解决方案。(详情请参考附件1)。

可以在总部或某一地点统一管理分布在全球的SonicWALL防火墙设备,可以为不同地点的SonicWALL防火墙设备做不同的设置;建立报警中心,集中、实时的监控全球各地SonicWALL的运行状态和网络访问流量。

同时作为轻量级的VPN解决方案,我们考虑在方案中部署SSL-VPN技术。

 

为此,我们设计了如下的安全方案。

 

 

                        第二章:安全解决方案

2.1方案原则

全局性、均衡性、综合性设计原则:

从全局出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。

可行性、可靠性、安全性:

在采用安全系统之后,不会对企业网原有的网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下,保证系统的安全。

适应性、可扩展性原则:

在采用安全系统之后,安全方案有着良好的网络适应性及安全功能适应性,同时,针对公司日益增加的应用需求有着良好的网络性能及安全功能的可扩展性

统一规划、分步实施原则:

针对整个XX企业网统一制定技术方案,采取相同的技术路线,这样有利于统一安全策略的制定,有利于保护整XX企业网的安全,并且可以节约投资,减少浪费。

2.2 安全解决方案

首先,有效的隔离是保障安全的一项基本前提,而公司总部的网络安全是重中之重,所有有可能对总部网络安全造成威胁的连接点都将是总部必须控制连接的关键。因此,我们在总部的internet出口处配置防火墙来进行有效的隔离,通过防火墙的策略来授权访问总部的相关数据。同时,针对可能通过所有连接到总部的所有接点发起的针对总部的攻击的侦测和防范也是一个必须考虑的重要因素之一,入侵检测和防护是必不可少的。另外,由于网络病毒的泛滥,有效阻隔外部传入的病毒是保障总部应用安全的一到屏障,网关防病毒也是必须而且必要的。

同时,由于总部需要安全隔离各部门,采用3层交换机之类的设备来隔离内部网络是一种很好的解决方案,但是购买一台三层交换机同时又购买一台防火墙对于企业来说成本太高,严重浪费了资源,防火墙本身的基本功能就是有效隔离各区域的,因此,如果防火墙上能够支持足够多的网络端口,那么也可以起到安全隔离各部门的效果,并且,由于防火墙上可以支持细粒度的授权控制访问,因此,对于在特定情况下部门间需要点对点访问的时候能够发挥良好的访问控制作用,由于此种配置不需要额外添加3层网络交换机,因此大大提高了资源利用率。

其次,由于分公司需要和总部互联,而internet的传输是不安全的,公司需要一种安全的互联网安全传输解决方案,而IPSec VPN是目前公认的一种经济安全的internet传输解决方案,因此,作为总公司interner出口出的防火墙必须具备IPSec VPN功能,以提供分公司及移动办公的人员到总公司的安全互联。

考虑到分公司以及移动用户使用电脑的特殊性,即,有些时候有的电脑终端不能或者不希望安装第3方的客户端软件,而IPSec-VPN则需要安装此类“肥”客户端软件,为了简化网络部署,减轻管理员部署软件终端的压力,我们考虑了另外一种解决方案,即SSL-VPN

SSL-VPN是一种无需预先安装客户端软件,可为企业提供简单及安全的无客户端远程网络与应用访问的安全解决方案。只需用一个标准Web浏览器,用户既可从任何位置方便及安全地访问企业LAN上的e-mail、文件、企业内部网、应用及其他资源。同时目前现行的网络设备几乎全部支持SSL-VPN形式封包的数据包的穿越,利用该项技术,可彻底解决可能存在的由于大厦网络设备不支持IPSec 数据包通过所带来的不便,因此,在本方案中,我们同时也需要把SSLV-VPN产品纳入到安全解决方案的考虑中来。

移动办公的人员需要及、安全有效的连接到总部服务器进行公务处理,移动VPN功能将是一个关注点,因此,作为总公司的internet出口防火墙必须支持移动VPN功能以解决移动办公的安全互联问题。

有鉴如此,我们设计了如下的方案,方案拓扑如下:

 

企业总部采用高性能的PRO3060 增强版UTM设备,具备防火墙功能, VPN 功能、网关防病毒,入侵防御,反间谍软件等功能,同时,总部起用SSL-VPN2000来作为额外的VPN补充,当分公司端设备不支持IPSec VPN穿越时用SSL-VPN来解决安全互联问题。

考虑到分公司连接到总部的连接量,针对各公司的internet接入规模,我们采用不同的sonicwall PRO2040标准版UTM防火墙设备,SonicWALL UTM设备均具备防火墙、VPN 功能、网关防病毒、入侵防御、反间谍软件等功能。

所有的移动用户在笔记本电脑上安装SonicWALL  VPN客户端软件GVC,或者移动办公人员不安装GVC客户端软件,直接通过SSL-VPN2000来访问总公司相关服务器上的数据。

同时,在享用IPSec VPN 以及SSL-VPN2000所带来的便捷的同时,SonicWALL UTM设备的应用层安全防护可对SSL-VPN数据提供应用层安全防护,即可以清洁从分公司传入到总公司服务器上的数据,保障传输到总公司服务器上的数据是经过过滤的、安全的、保密的。

企业总部与分公司建立点到点的VPN隧道,移动办公的用户与企业总部的PRO3060建立客户端VPN连接。这样分布式企业的所有网络出口入口都受到防火墙的保护,分公司与总公司及移动用户与总公司的通信都受VPN隧道的保护,如果启用网关防病毒,入侵防御和反间谍软件功能,则所有地点的内部网络都受到应用层的安全防护。 此外,SonicWALL UTM设备能够阻断病毒,入侵在企业各个分公司和总公司之间通过VPN隧道的传播。间谍软件会造成企业或个人的敏感信息的泄漏,SonicWALL防间谍软件功能使SonicWALL能够中断来自计算机中已存在的间谍软件的后台通信,同时通过扫描并屏蔽间谍软件感染的电子邮件以及检测自动安装的ActiveX 控件的方式阻止间谍软件的传播。

SonicWALL PRO 系列UTM设备能够并行扫描超过50种协议上的近25000种病毒,检测并阻断近2000种入侵威胁。

SonicWALL还支持近百种签名对及时消息(IM,如MSNQQ)和对等应用(P2P,如BT下载、eMule下载)的通信进行控制,如封堵QQ2005,能够扫描NetBIOS 协议,防止病毒通过Windows文件共享进行扩散。

2.3 方案说明

针对不同的网络规模,我们设计了不同的安全配置来解决安全问题,同时也达到了资源的合理配置、资金的合理利用。

鉴于总公司的规模比较大,而且企业规模和业务应用模式在呈增长趋势,为应对今后日益扩大的企业规模和业务应用,在配置总公司internet出口防火墙时,必须考虑到设备的可扩展性,因此,我们在总部的internet出口出配置一台高性能的sonicwall PRO3060增强版UTM防火墙SonicWALL PRO3060增强版UTM防火墙有610/100Mbps自适应端口(1WAN1LAN,一个DMZ端口和3个自定义端口),支持无限用户, 支持多达1000条点到点VPN 隧道和500个客户端VPN隧道,同时SonicWALL SSL-VPN2000没有客户端用户限制,这两款设备都能够满足公司总部与分公司数据传输和内部访问的安全需要.

公司总部的局域网接在LAN口上,防火墙会阻止所有未经许可的访问到LAN口上的电脑;通过这种解决方案有效地保证公司局域网、各类服务器免受来自互联网黑客的各种攻击。移动用户采用VPN 客户端和总部连接。

在总公司,通过防火墙的扩展网卡来隔离内部网络,通过防火墙的安全策略来控制授权各隔离区域间的互通互访,并且通过UTM的功能来净化在区域间流动的数据,保障数据的“干净”,同样,此配置适用于分公司。

SonicWALL PRO3060UTM以及PRO2040内部集成的网关防病毒,入侵检测和防御及反间谍软件服务,确保应用层的安全,防护针对Windows操作系统和数据库诸如OracleSQL Server的攻击,还可以阻断不必要的应用如QQ2005 等等,提高员工的工作效率。

由于总公司及分公司均采用sonicwall  UTM防火墙。由于都是UTM设备,不用担心黑客的攻击。不象其他网络全产品公司,有些型号的产品是收购其他公司,所以不同型号的产品功能有很大区别,SonicWALL 全线产品都是SonicWALL 公司开发,具备同样的安全防护功能。SonicWALL 产品除了支持DDN专线等固定IP地址的线路外,还支持DHCPPPPoEPPTPL2TP,甚至ISDN或电话线拨号。不用担心现在的购买的SonicWALL 产品,将来因公司的发展要更换线路而不适用。

由于采用了SonicWALL SSL-VPN设备,因此,管理员不需要担心必须为每台移动或者远程终端逐一安装“肥”客户端软件,终端用户的电脑只需要支持标准的浏览器(事实上,目前主流的操作系统几乎全部支持标准的浏览器),用户可以按照实际情况酌情使用IPSec-VPN或者SSL-VPN来连接到广州总部,在部署SSL-VPN时,管理员不需要干预终端客户,因此大大简化了操作流程,减轻了管理员的工作压力,同时也减化了维护流程。同时由于SonicWALL UTM的强大功能,也不用担心传输到总部服务器上的应用数据的安全问题,SonicWALL UTM在数据传输到总公司服务器上时以及“净化”了网络数据,保障服务器的安全。

SonicWALL SSL-VPN2000可以不依赖防火墙而独立存在,也可以和任何防火墙进行关联使用,同时,通过SonicWALL 独有的NetExtender技术,可以克服某些SSL-VPN应用上的瓶颈,即SSL-VPN产品必须依赖于基于web方式的应用。使用了NetExtender技术以后,通过浏览器界面的插件方式的安装,可以在客户机上自动安装一个轻量级的“瘦”VPN客户端,通过此客户端,远程用户就可以访问总公司任何基于TCP/IP应用的系统了。

在本方案中,如果用户已经部署了防火墙产品,那么只需要在该防火墙上配置相关策略,将SSL-VPN数据流转交给SonicWALL SSL-VPN2000来处理即可,此时,本方案中涉及到的防火墙可以为任何其他厂家的防火墙设备,同时,防火墙上自带的IPSec-VPN可以作为临时的备份连接机制。

在实际应用中,我们强烈推荐SonicWALL SSL-VPN2000产品和SonicWALL UTM设备配合使用,因为UTM技术和SonicWALL SSL-VPN产品的结合使用可以******限度的“净化”流入到公司总部的流量,大大减少总部受到的威胁。

2.3.1 IPS-ec VPN 解决方案

n        分公司和总公司的VPN连接

VPN在网络中拓扑示意图如下图所示。

下面是VPN的实现过程。如图下图所示:

在两台VPN1(总部)和VPN2(分部)之间建立一个VPN通道。假设网络A中的主机A与网络B中的主机B之间进行通讯。A发出请求包,该数据包首先到达VPN1VPN 1对其进行认证并加密,然后通过建立的VPN通道传送到VPN 2VPN 2对该数据包进行认证并解密,然后将此包传送给主机B。反向的数据包同样经过这个过程。这样就能保证数据包通讯过程中的完整性,机密性。

 

n        移动用户访问总部的VPN

客户端到总部的VPN的连接过程如下图:

  

根据一个中心多个远程节点的设计方法,采用移动用户与总部网互联方式,即站到站(Site-ClientVPN连接方式,连接过程如下:

     移动用户的VPN客户端向总部VPN网关发起连接请求,并发送第一阶段(Phase 1)用户验证和密匙信息(MD5SHA1加密);

     总部的VPN网关响应请求,并对移动发来的用户和密匙进行验证;

     如果第一阶段验证通过,主端发送第二阶段(Phase 2)验证挑战请求;

     从端发送第二阶段(Phase 2)用户验证和密匙信息(MD5SHA1加密);

     如果第二阶段验证也通过,两端的VPN核心引擎开始采用168位(3DES)协调数据加密算法,从而建立标准的IPSec VPN通道,双方局域网内的用户即可在VPN通道内传送加密的用户数据,每个传送的数据包都会随机选择不同的密钥进行数据加密。

备注: SonicWALL VPN 客户端认证支持内部数据库认证,Radius RSA SecureID, 及第三方证书等等。

 

所有sonicwall UTM防火墙内置了网关防病毒以及入侵检测和防护功能,可以有效的阻隔通过此网关传出/传入到总部的病毒,同时能自动侦测到针对总部内部网络的攻击并进行响应的防护处理。可以通过策略方式来实现针对指定的分支机构/IP传入到总部的数据进行病毒、入侵特征进行扫描。保障总部的安全。

sonicwallUTM防火墙内建VPN功能,同时支持端到端以及接点到中心的VPN接入方式,分公司和移动用户可以通过VPN安全方便的连接到总部进行业务处理,VPN在次连接中有效的保障数据传输的安全性。

sonicwall防火墙后,可以有效的阻隔可能发生的针对总部发起的网络扫描、端口探测、syn攻击、ping flood等等多种黑客攻击行为并对可能发生的针对总部的攻击行为做到及时的预警及防范;通过可以限制单IP的并发连接数,保障网络带宽的合理分配,另外,由于sonicwall防火墙支持带宽管理,可以针对不同的网络应用分配指定的带宽,优先指定服务级别较高的网络服务享用更多更合理的带宽,强化主要网络应用的优先权,保障分支机构和总部之间的关键业务顺畅进行而不会因为带宽不足导致网络塞车。

2.3.2 SSL- VPN 解决方案

SSL-VPN2000的部署方案有如下两种:

 

本方案中的防火墙可为其他任何品牌的防火墙设备,当远程用户请求SSL-VPN安全连接时,前端的防火墙会根据配置文件自动将SSL-VPN流量转向给SonicWALL SSL-VPN2000,由SSL-VPN2000来处理SSL-VPN连接信息,此时,防火墙仅对SSL-VPN流量进行简单转向,没有任何其他应用层的安全机制,而SonicWALL SSL-VPN设备也仅仅是处理SSL-VPN流,两个安全设备的配置非常有限,众所周知,缺少协同性的安全设备的集合,有时候不仅不能够提高系统的整体安全性,反而会降低系统的安全级别,因此,此解决方案不可取,或者说不是******解决方案。

有鉴于总部安全数据的安全级别非常高,对于内部系统的稳定性需要做重大考虑,因此,我们需要在任何数据流进入到总部前******限度的“净化”这些流量,确保总部网络万无一失。为此,我们设计了第2种方案:

该方案中,我们采用SonicWALL UTM技术在数据进入到SSL-VPN设备之前对数据流进行一道“净化”工序,数据流在进入SonicWALL SSL-VPN2000之前就已经是“干净“的,因此,不用担心因为VPN加密的原因而导致应用层安全检查设备无法识别加密数据流而不能清除数据流里可能隐藏的安全威胁,此方案中,两个安全设备可以良好协同工作,******限度的发挥了安全机制,提高了总部的安全级别,是一种非常好的安全解决方案。

2.4方案总结:

本方案同时采用了IPS-VPN以及SSL-VPN技术相结合,******限度的利用了两设备间安全性能的互补协同,充分发挥了安全机制,可大大提高总部系统的安全级别,同时,出于冗余的目的,当SSL-VPN设备意外失效时,也可以通过SonicWALL UTM设备自带的IPS-ec VPN技术来保障远程用户和总部的安全连接有效性,是一种经济且安全的解决方案。

2.5方案实施的效果:

通过上述安全设备的配置,在XX公司的网络安全方案实施后可以达到如下效果:

l         可有效隔离来自分支机构针对总部的非授权访问

l         可以有效隔离公司内部各部门间的相互访问

l         可以有效处理来自分支机构传入到总部局域网或者总部局域网传出的病毒

l         可实时侦测并防范来自internet针对总部局域网发起的攻击行为

l         可统一管理方案中配置的安全设备,做到集中管理,集中审计,集中策略分发。

l         可以实现什么分支机构在什么时间能访问总部的什么资源,确保总部资源的基于身份的访问权限

整体方案实施效果图如下图:

 

 

 

 

 

第三章  方案分析

3.1:全局性、均衡性、综合性

本方案从全局出发,综合考虑了各种安全风险,着重于公司总部的接入点的网络安全风险并采取了相应的安全措施,同时根据公司总部各接入点的安全强度的不同配置了相应的安全设备,综合考虑了安全产品的可集中控管性。

3.2:可行性、可靠性、安全性

本方案中涉及到的安全技术均是安全领域中成熟的、值得信赖的技术规范,其中所有安全技术均通过了ICSA的强制认证,其可行性、可靠性以及安全性均在安全领域中得到了大量的实践验证并被作为安全规范来执行,是经得起考验的。其次,sonicwall是安全领域的一个优势的实力品牌,其安全产品的可靠性和安全性同样值得信任!

SonicwallPRO系列防火墙支持桥接模式、NAT、路由或者混合模式,可以很好的适应网络配置的更改,当实施本方案,即接入防火墙时,用户几乎感觉不到防火墙的存在,但是安全模式并没有因此而降低。

SonicWALL一体化全硬件防火墙结构将硬件单点失效的几率降到了更低的层次,大大提高了防火墙的整体可靠性,同时,SonicWALLDual WAN技术的使用大大提高了网络的连通可靠性,使得网络可以不因为防火墙的局部失效导致网络可靠性降低。

SonicWALL SSL-VPN由于不需要针对终端用户逐一部署“肥“客户端软件,可大大减轻维护及支持压力,同时SonicWALLUTM功能可以保障数据的应用安全,从整体上提高了联网应用数据的安全性。

3.3:适应性、扩展性

本方案在设计之初就充分考虑了方案的适应性和可扩展性,整个方案是针对XX公司广域网进行设计的,采用了相同的技术线路,因此,当安全系统扩展到整个XX公司的广域网范围时,能体现很好的适应性和扩展性,具体说明如下:

适应性:

n         SonicWALLPRO3060 UTM以及PRO2040防火墙的设计带宽均是100M,因此,当各分支机构网络规模扩大时,防火墙仍有很强的网络适应能力

n         方案中涉及的所有SonicWALL UTM防火墙内核引擎均可以通过fireware升级方式获得升级,可以很好的适应XX公司将来应用种类的增加。

n         方案中涉及的所有SonicWALL UTM防火墙的反病毒库和入侵特征库均是实时升级的,能从容应对未来病毒及入侵手段的更新。

n         SonicWALL SSL-VPN在代理模式下支持所有的操作系统,不会因为客户端操作系统的变更而不能支持;在NetExtender模式下支持所有当前主流的Windows操作系统,适应性良好。

 

可扩展性:

n         SonicWALL PRO2040UTM防火墙的标配物理端口数是3个,当升级至增强版(软件升级即可)后,非标配的物理端口(PRO2040 可扩展端口为1个)便可以轻松的扩展进来,SonicWALL PRO3060增强版上有6个端口,可以任意扩展,它们都有着良好的网络扩展性。

n         SonicWALL UTM防火墙是纯硬件防火墙,除了标准的UTM功能之外,还内建了许多的扩展功能,如邮件过滤功能、强制客户端网络防病毒功能、强制客户端个人防火墙功能、实时邮件黑名单功能,反间谍软件功能、internet内容过滤功能,这些都可以通过license方式来激活,当XX公司的应用需求扩展时,只需要增加相应的license就可以使用上述扩展功能,具有良好的应用功能扩展性。

n         SonicWALL的强制客户端安全系统和VPN客户端也是通过license来授权的,当公司的应用规模扩大时,只需要增加相应的授权license就可以实现用户数的轻松扩展,目前RPO3060的******VPN客户端授权是500个,可以在很好的适应将来的VPN规模扩展。

n         SonicWALL SSL-VPN2000对于客户端数量没有限制,在重载荷流量下,可******支持100个远程用户,因此,有着良好的可扩展性。

 

                         第四章  方案安全产品列表

 

本方案设计的安全产品列表及报价如下:

 

产品名称

产品描述

使用数量(台/套)

产品单价(RMB

PRO2040UTM标准版

1U机架型防火墙,标准版(支持3网卡),支持无限结点, 200M FW, 50M VPN 3DES/AES, 32,000 并发连接, 50 VPN 隧道: 10 VPN 客户端,含GAV/IPS一年服务

1

PRO3060UTM增强版

1U机架型防火墙,增强版,支持无限结点, 300M FW, 75M VPN 3DES/AES, 128,000 并发连接, 1,000 VPN 隧道: 25 VPN客户端GAV/IPS一年服务

1

SSL-VPN2000

1U机架型,支持无限制用户

1

 

 

注:

1.       GAV/IPS指网关防病毒/入侵防护,是内嵌在UTM内的功能