信息安全 > 网络安全 > 网络安全方案 >

sonicwallIT规划方案

基础网络方案设计

1基础网络架构设计

本次项目基础网络架构拓扑设计如下图: 本方案采用一台企业级网络防火墙,实现电信光纤网络接入、安全区域划分及安全策略。采用二台三层核心交换机,提供24以太网端口,可为桌面计算机接入、服务器接入、二级交换机汇聚、防火墙接入提供高速、安全的交换平台。整个网络方案提供共24个1000Mbps以太网端口,100Mbps到桌面的交换网络。 为了提供服务器对互联网的访问及满足发布内部服务器到互联网的需求,本方案配置一台硬件防火墙,并通过租用专线(20Mbps)连至互联网,满足了服务器发布要求并提供了良好的访问带宽及访问安全控制。

2防火墙安全系统设计

2.1防火墙系统架构设计

为了保证网络整体安全,本方案在互联网出口处的位置配置防火墙,可以将xxxx电子内网,服务器群和其他外部网络隔开,负责服务器群与内部办公网络访问策略的控制。有效过滤任何非法入侵。 根据数据的敏感程度和需要实施保护的强度,将网络划分为以下3大区域:
  • 外部不可信任区域
此区域的安全威胁最大,互联网属于此区域,因为xxxx电子内网与互联网相连,互联网网络环境比较复杂,不可信任度高。
  • 内部可信任区域
xxxx电子公司内部网络属于此区域,网络环境清晰,可控制性和可检测性强,安全威胁最小。
  • 中立区域
中立区域存放主要是存放现有的经营管理系统服务器,该服务器提供对外、对内的信息发布服务等功能,因此专门设立中间区,此区域属于重点保护区域。   防火墙使用4个接口,内网口接至xxxx电子公司内网,中间区(即DMZ区)放置WEB服务器等需要发布到互联网的公网服务器,外网口通过专线接至Internet,另一个端口作为备用或维护端口。 防火墙作为网络安全的核心部件,放置在网络的出口,通过区域的合理划分和设置有效的安全策略,实现以下的作用:
  • 通过控制对关键服务器的授权访问控制,拦截非法访问;
  • 对外网的服务请求加以过滤,只允许正常通讯的数据包到达相应主机,对于各攻击包和探测包一律加以拦截;
  • 对内部用户访问外网进行严格控制,普通用户通过硬件防火墙访问互联网需设置明细的访问策略;
  • 控制和监测用户源服务器的访问,对于非授权访问和可疑存取及时报警;
  • 配置正确的服务器发布策略,保证服务器发布到互联网的安全。

2.2防火墙产品选型

防火墙是企业网络安全的核心部件,必须功能强大、运行稳定、配置灵活。作为业界三大品牌之一的防火墙,SonicWALL的产品一直是用户的第一选择,其高端防火墙每年都保持NO.1的销售额。2004年和美国著名的新型公众网络基础设施提供商SonicWALL网络公司合并后,已成为企业防火墙的领导者。因此本项目中,我们推荐防火墙采用SonicWALL防火墙。 SonicWALL网络公司安全服务网关 NSA 4500是专用安全产品,为中型分支机构和业务部署提供完美的性能、安全性、路由和局域网/广域网连接。NSA 4500 可通过一套完整的统一威胁管理(UTM)安全特性来保护出入分支机构的流量免遭蠕虫、间谍软件、特洛伊木马和恶意软件的攻击,上述安全特性包括状态防火墙、IPSecVPN、IPS、防病毒(包括防间谍软件、防广 告软件和防网页仿冒)、防 垃圾邮件和Web 过滤等。 丰富的UTM 安全特性允许您将NSA 4500部署成独立的网络保护产品。强韧的路由引擎还使您能够将 NSA 4500 部署成传统的分支机构路由器或者安全性和路由功能的组合产品,以帮助降低IT 的前期购置和后期运行成本。 NSA 4500是模块化平台,提供超过 2.75 Gbps 的防火墙流量和1Gbps 的IPSec VPN 流量。NSA 4500 支持 6 个板载 10/100/1000 接口以及 1 控制口2个USB。 SonicWALL防火墙是一种高性能的硬件防火墙,与其它的硬件防火墙相比有本质的区别。其它的硬件防火墙实际上是运行在PC平台上的一个软件防火墙,而SonicWALL防火墙则是由ASIC芯片来执行防火墙的策略和数据加解密,因此速度比其它防火墙要快得多。从软件特性上看SonicWALL防火墙是状态检测与应用代理混合的防火墙,对于大部份的应用SonicWALL防火墙是监测整个通讯状态,如果发现通讯状态不正常便拒绝进入受保护的内部网络,对于FTP或H322等通讯状态不好跟踪的服务SonicWALL防火墙通过应用代理来确保服务安全。 SonicWALL防火墙有三大功能:
  • 防火墙
  • VPN
  • 流量分配和负载均衡
SonicWALL防火墙在企业网络中能实现的安全保护功能: 防火墙
  • 防黑客攻击。SonicWALL防火墙位于内部网和外部网络之间,物理上起着隔离内网和外网的作用。独有的SonicWALLOS底层操作系统提供了抵抗各种网络攻击的能力;经ICSA的测试SonicWALL防火墙能抵挡已知所有的网络攻击,并且SonicWALLOS是可升级的。
  • 网络地址翻译(NAT)。通过NAT将内部不合法的IP地址翻译成外部Untrustd的合法地址,隐藏了内部网络结构,从而使攻击者不易找到攻击目标;同时也将内部的不合法的地址映射成外部合法地址,如SonicWALL防火墙将WEB Server的内部地址192.168.1.1映射为外部地址202.96.23.11,外部访问202.96.23.11地址实际上就是访问访问192.168.1.1。
  • 访问控制。在防火墙上设置策略,需要的应用或服务打开,如HTTP,DNS,SMTP,FTP等。其它的则不允许通过。这样能大大减少不必要的网络流量及安全风险。
  强大的VPN(虚拟专用网)功能: SonicWALL能根据不同的需求实现不同的VPN功能,实现方式有两种: 企业到企业    如图所示:       如果企业有几个不同的网络位于不同的地点,不同网络之间的互访通过Internet进行,在Internet上传输的数据是明文。企业到企业VPN方式就是通过两个SonicWALL防火墙将一个企业的两个不同地点的网络连起来,在连接两个网络之间的公网上建立一个VPN加密通道。 企业到桌面(或用户)
  这种方式就是在用户端的计算机内安装一个由SonicWALL提供的VPN的客户端软件,用户通过拨号上网在用户端和公司网络边界上的防火墙建立VPN通道。如图所示:
 
流量控制及负载均衡 SonicWALL防火墙能为公司不同部门或不同的服务器分配带宽以保证关键应用服务器或用户的带宽。  

3SSL VPN安全远程接入设计

3.1SSL VPN网络部署设计

     根据客户的网络实际情况,SSL VPN网络部署规划如下:      增中一台Soniwall Avential EX6000远程接入设备,部署在防火墙NSA4500的DMZ区域,所有远程用户的内网访问首先接入到EX6000设备,然后根据用户的请求地址转发到相应的应用系统。  

3.2SSL VPN远程安全接入方案特点

 1. 大大降低企业运营成本
     采用aventail SSL VPN系统后,不需要再租用专线链路即可实现远程访问及校区互连,这样可以大大节约租用网络链路的费用。
2. 轻松解决员工与代理商的访问
     只需部署aventail SSL VPN系统,无需改动原有应用和网络环境,即可让员工、代理商在在任何地点,轻松通过Internet访问网内部系统如办公系统、FTP下载。
3. 极大的提高内部网络以及服务器的安全性
     aventail SSL VPN可以让所有远程接入用户都必须通过身份认证,才能使用内部网络应用,防止非法用户的侵入,并可结合物理硬件认证(如:USB Key、SecueID等)做到强度认证,从而提高了访问控制以及内部网络的安全性。

     另外,所有的访问者均不能直接访问内部服务器,需要通过aventail SSL VPN代理访问,有效防范了黑客、蠕虫病毒等对应用服务器的攻击,大大的提高了网络的安全性。

4. 方便的管理性和使用性
     aventail SSL VPN不仅提供本地图形化配置面和命令行配置面,而且还可以通过Internet网络对aventail SSL VPN进行远程管理。
     客户端无需安装软件,操作员不需要额外培训,只要会使用IE浏览器,就可通过身份认证访问网络内部资源,原应用系统的操作接口没有任何改变,无论在什么地方,都和在内部使用一样。
5. 精细的权限控制
  aventail SSL VPN具备细颗粒度权限控制功能,可针对不同的使用人员如领导、员工、代理商设置不同的权限,以保证内部信息的高度机密及合理使用。并且,通过权限设置,不同的人员只能看到与他相关的应用,非相关应用对他不可见,加强网络数据信息的安全。

3.3SSL VPN远程安全接入设备选型

   根据客户提出的实际需求,有300个远程用户的接入,因此本方案设计采用美国sonicwall公司的Avential SSL VPN EX6000型号的SSL VPN设备,该型号最大支持2500个用户的并发远程接入,实际在部署时,可以根据用户的需求采购相应的license授权即可。   Aventail EX-6000Aventail 智能SSL VPN 是具有完善的控制能力, 高安全性和应用访问最好的VPN 设备。作为世界上第一个替代IPSec 的VPN,Aventail 智能SSL VPN 提供各种类型的访问方式,可以使任何设备在任何场所都可以访问网络。Aventail 系列的SSL VPN 易于管理和使用,在降低企业成本的同时,提高了它们的工作效率和安全性。     产品规格及功能说明:  
安全性
网络和设备保护
·分割隧道控制
·隐藏的内部DNS 命名空间和IP 寻址方案
·URL 可以使用别名
·强化的防攻击策略
·TCP / UDP 端口限制
身份验证方法
·服务器端的数字证书、独立的最终用户身份验证方法
·用户名/ 密码
·客户机段的数字证书
·RSA UserID 及其他的一次性密码权标
目录
·Microsoft Active Directory(本机模式)
·LDAP(Active Directory, Sun iPlanet 等)
·RADIUS(Windows NT、ACE 等) ·IP(TCP、UDP、Netbios) ·Secure ID ·SSL ·LocalDB ·SSL-TLS ·SNMP ·支持SecureID与LDAP等多种叠加认证的方式
单点登录适配器
·侧重于形式的单点登录,用于类似Netegrity SiteMinder 和RSA ClearTrust 的Web 应用产品
·HTTP 基本身份验证(IETF RFC 2617) 转发
·Windows 域SSO(仅在连接时有效)
·针对 Microsoft Web 服务器的NTIM
密码管理
·密码到期通知,以及在Aventail WorkPlace 入口处更改密码。
访问管理选件
·用户和组(处理多个组中的用户)
·源IP 和网络
·目标网络
·服务/ 端口,例如FTP 和HTTP(仅适用于OnDemand 和Connect)
·通过目标URL、主机名称或IP 地址、IP 范围、子网络和域定义资源。
·日、日期、时间和范围
·通过关键字长度进行浏览器加密
·策略区域(控制基于最终用户安全配置文件的访问和数据)
·控制的文件系统(Windows 域、Windows 服务器UNC、全路径UNC)
加密
·可配置的会话长度
·密码:DES、3DES、KC4、AES
·散列:MDS、SHA
Aventail Smart Tunneling
(第3 层连接)
·分割隧道以及对所有访问重定向
·动态代理服务器检测与身份验证
·动态路由
 
·自适应寻址
·OnDemand 隧道模式(通过WorkPlace 进行基于浏览器的访问)
·连接隧道模式(Windows 安装客户机)
Aventail End Point Control
·Aventail End Point Interrogator(将终端划分到策略区域里)
·带有布尔操作的通配符选择
·Aventail Cache Control (数据保护)
·Aventail Secure Desktop(数据保护和主机完整性)
·Aventail Secure Desktop(高级数据保护)
·Sygate OnDemand (数据保护和主机完整性)
·从Zone Labs、Sygate 和Windows XP SP2 防火墙中识别集成的个人防火墙
·Norton 和McAlee 防病毒检测
·WholeSecurity Confidence Online 企业版(故障部件和“特洛伊木马”病毒检测)
·具有完整的Zone Labs 和Clientless Security (故障部件和“特洛伊木马”病毒检测)
访问和应用支持
Aventail WorkPlace Access(基于浏览器的访问)
·在无客户端的情况下访问基于Web 的资源
·基于Web:HTTP/HTTPS、DHTML/HTML、JavaScript、VBScript
·网络文件访问:SMB / CTFS、DFS
Aventail WorkPlace 移动访问
·针对所有移动设备的WorkPlsce 访问配置
·支持WAP、手机、iMode 和PDA 浏览器
Aventail OnDemand (C/S和WorkPlace 中的网络访问)
·被动和主动模式的FTP
·所有基于TCP 和UDP 的应用(单端口、多端口、动态端口,包括标准因特网电子邮件协议,本地电子邮件协议、终端仿真协议和终端服务)
Aventail Connect Access (Windows 客户机)
·所有基于TCP 和UDP 的应用(单端口、多端口、动态端口,包括标准因特网电子邮件协议,本地电子邮件协议、终端仿真协议和终端服务)
@ 本地访问到Windows 终端服务和Citrix 上
·被动和主动模式的FTP
·Windows 网络支持(Windows / NT 域登录集成,驱动映射、密码更改通知及更改、登录脚本)
Aventail Connect Mobile
(Windows 移动客户端)
·适应于Windows 移动设备的Aventail Connect 访问 ·支持Unix、Linux、Windows文件共享
·轻质、Web 部署的代理程序提供对Web 和客户机/服务器应用的访问
监视和报表
审查
·用户/组
·源IP 和端口
·目标IP 地址和端口
·字节处理
·日期 / 时间
·已访问的URL
·身份验证方法
·RADIUS 监视和统计集成
监视
·用户连接监视
·事件报警
·通过Aventail 管理控制台查看日志和性能信息
·包括专门用于Aventail 的SNMP MIB 在内的SNMP 集成
登录
·支持中央SYSLOG 服务器
·W3C 普通登录格式
·SOCKSS 登录格式(仅适用于OnDemand 和 连接)
报表
·支持Crystal Report 和其他业界领先的报表格式
·为Aventail 准备的报表模板,用于创建标准审计和管理报表
管理
·Aventail 管理控制台(AWCT:针对所有选件的,基于Web 集中式的管理)
·安全Shell(SSH)支持
·目录浏览和连接测试
·DHCP 地址规定集成
·可自定义的模板(针对WorkPlace 入口)
·视觉身份验证流
·连接访问的MSI 安装程序选项集成了标准化的软件分布处理过程
·基于角色的管理 ·具备用户访问会话超时功能,并支持执设定超时时间 ·客户端操作系统支持Windows Vista,windows XP、Windows2000、Windows PocketPC、Windows Mobile、Palm、RedHat、Mac等所有主动操作系统的各版本。
高可用性
Aventail EX-2500
·支持高可用性(多达8 节点的来自外部源的鸡群)带有内置的负载均衡和状态身份验证失败处理程序
·支持使用标准外部负载均衡程序的负载均衡阵列
   
硬件技术规格
 
EX-2500
形状规格:1U 机架固定件
尺寸:17 英寸宽x  1.7 英寸高 x 19.6 英寸厚(43 厘米宽 x 4.4 厘米高 x 50 厘米厚)
处理器:Inter Xeon 2.4 GHz CPU 533 MHz FSB 2 GB DDR RAM 硬盘:80G
网络:六个10/100/1000 T 形以太网
电源
输入电压:120(6A) / 240 (3A) VAC 自动开关
输出功率:300 W
电源:MTBF 在35 摄氏度(95 华氏度)时可使用 100000 小时
环境
操作温度:0 至40 摄氏度(32 至104 华氏度)
非操作振动:50 克、11 毫秒
所符合的规定
辐射:FCC 第15 条第A 部分、CE、C-Tick、VCCI、CCC、BSMI
安全:UL、Cul、CE、TUV、STQC、S、PSB、CCC、BSMI、CB 报告