作者 費(fèi)宗蓮
本文將通過(guò)一個(gè)電力行業(yè)的成功案例，介紹病毒防火墻產(chǎn)品構(gòu)筑網(wǎng)絡(luò)安全整體解決方案的特點(diǎn)和優(yōu)勢(shì)。

電力系統(tǒng)的安全問(wèn)題現(xiàn)狀
南方某電力公司業(yè)務(wù)發(fā)展迅速，構(gòu)筑安全網(wǎng)關(guān)迫在眉睫。分析現(xiàn)狀，該電力信息系統(tǒng)大體存在這樣的問(wèn)題：防火墻性能跟不上網(wǎng)絡(luò)用戶的增長(zhǎng)；網(wǎng)關(guān)端沒(méi)有防病毒功能；系統(tǒng)缺乏有效的安全隔離；沒(méi)有部署VPN；沒(méi)有入侵檢測(cè)/阻斷功能；沒(méi)有內(nèi)容過(guò)濾；對(duì)于網(wǎng)絡(luò)流量沒(méi)有進(jìn)行帶寬控制等。

技術(shù)方案和設(shè)備選型的總體考慮
為了部署穩(wěn)定、可靠、高性能、多功能的綜合安全網(wǎng)關(guān)，該電力公司在總體設(shè)計(jì)和選擇設(shè)備方面，需要考慮以下因素：網(wǎng)絡(luò)Internet出口具有防火墻、防病毒、VPN和入侵檢測(cè)/阻斷功能；所選設(shè)備采用全線速硬件處理機(jī)制；要求選用設(shè)備能夠?qū)崿F(xiàn)基于策略的QoS帶寬管理；設(shè)備至少具有足夠的百兆和千兆以太網(wǎng)口連接端口；采用統(tǒng)一的中文管理界面，并能進(jìn)行遠(yuǎn)程管理；具備高可靠性，具有日志記錄功能。

設(shè)計(jì)思路和關(guān)鍵因素
綜合安全網(wǎng)關(guān)的設(shè)計(jì)思路是提供一個(gè)整體解決方案。在每個(gè)基層單位接入公司網(wǎng)絡(luò)處部署一臺(tái)百兆級(jí)安全網(wǎng)關(guān)，在Internet出口處部署兩臺(tái)容錯(cuò)的高性能安全網(wǎng)關(guān)，在電力公司網(wǎng)絡(luò)匯集處也部署兩臺(tái)容錯(cuò)的高性能安全網(wǎng)關(guān)。照此部署的安全網(wǎng)關(guān)必須能夠滿足上述功能和策略要求。
為了對(duì)現(xiàn)有系統(tǒng)進(jìn)行性能升級(jí)，還需要考慮以下幾個(gè)重要因素：充分了解現(xiàn)存的安全問(wèn)題和各項(xiàng)安全需求；選擇穩(wěn)定、可靠、高性能、功能強(qiáng)大的綜合安全網(wǎng)關(guān)產(chǎn)品；合理地部署防火墻產(chǎn)品，劃分各功能區(qū)域；對(duì)網(wǎng)絡(luò)（IP規(guī)劃、VLAN劃分、路由設(shè)置等）進(jìn)行全面的安全優(yōu)化和調(diào)整；選擇有實(shí)力的、售后服務(wù)有保證的系統(tǒng)集成商和原始廠商進(jìn)行合作。

方案和選用設(shè)備的用途說(shuō)明
該電力信息系統(tǒng)選用了美國(guó)Fortinet公司的四臺(tái)千兆防火墻FortiGate-3000和多臺(tái)百兆防火墻FortiGate-300：在公司級(jí)Internet出口安裝兩臺(tái)千兆防火墻，支持HA，防火墻吞吐量達(dá)2.25Gbps；在公司與ATM匯聚網(wǎng)絡(luò)之間安裝兩臺(tái)千兆防火墻；在各供電局或基層單位與ATM網(wǎng)絡(luò)之間則選用百兆防火墻，防火墻吞吐量達(dá)200Mbps。
在安全功能區(qū)域的劃分上，該信息系統(tǒng)包括三個(gè)區(qū)域：由出口處部署的兩臺(tái)千兆容錯(cuò)安全網(wǎng)關(guān)將網(wǎng)絡(luò)隔離為外部Internet網(wǎng)區(qū)、外部DMZ（保護(hù)）區(qū)、公司內(nèi)網(wǎng)區(qū)；由網(wǎng)絡(luò)匯集處部署的兩臺(tái)千兆容錯(cuò)安全網(wǎng)關(guān)將網(wǎng)絡(luò)隔離為接入網(wǎng)區(qū)、公司內(nèi)網(wǎng)區(qū)、服務(wù)器區(qū)；基層單位安全網(wǎng)關(guān)主要隔離為接入?yún)^(qū)和基層單位內(nèi)網(wǎng)區(qū)，也可以考慮增加一個(gè)基層單位自己的DMZ （保護(hù)）區(qū)。Internet出口防火墻策略設(shè)計(jì)需要開(kāi)啟網(wǎng)關(guān)防病毒/防蠕蟲(chóng)、撥號(hào)VPN、帶寬管理、防火墻、內(nèi)容過(guò)濾、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）以及日志管理等功能。

綜合安全網(wǎng)關(guān)的技術(shù)指標(biāo)
數(shù)據(jù)流處理方式：要求采用ASIC芯片專用硬件處理防火墻、VPN、防病毒、內(nèi)容過(guò)濾、入侵檢測(cè)數(shù)據(jù)流。
系統(tǒng)管理及界面：要求支持多種語(yǔ)言界面（中英文），支持Web、命令行、圖形界面管理，支持遠(yuǎn)程管理和集中管理。
防火墻功能：包過(guò)濾、狀態(tài)檢測(cè)。
防病毒功能：基于策略控制，支持HTTP、FTP、POP3、SMTP、IMAP病毒掃描、清除、隔離功能，自動(dòng)病毒庫(kù)升級(jí)更新，病毒特征庫(kù)大于6萬(wàn)條。
內(nèi)容過(guò)濾功能：基于策略控制、URL地址屏蔽、URL地址列表、關(guān)鍵字屏蔽、阻塞Internet小應(yīng)用程序。
防火墻模式：支持路由、NAT、透明模式、基于策略的NAT。
VPN功能：支持PPTP、IPSE、L2TP標(biāo)準(zhǔn)，支持網(wǎng)關(guān)到網(wǎng)絡(luò)、客戶端到網(wǎng)關(guān)模式。
入侵檢測(cè)/阻斷功能：支持DoS/DDoS（拒絕服務(wù)）攻擊檢測(cè)，支持IP層攻擊檢測(cè)，支持用戶定義攻擊列表，支持自動(dòng)攻擊特征庫(kù)升級(jí)、攻擊特征庫(kù)大于1300條。
流量管理：支持基于策略的流量管理、提供保證帶寬、最大帶寬、優(yōu)先帶寬功能。
進(jìn)行用戶認(rèn)證：支持本地?cái)?shù)據(jù)庫(kù)、遠(yuǎn)程Radius數(shù)據(jù)庫(kù)、LDAP數(shù)據(jù)庫(kù)和IP/MAC綁定。
日志和監(jiān)控：支持內(nèi)部日志記錄，可熱插拔日志記錄硬盤(pán)，支持遠(yuǎn)程Syslog和WebTrend日志存儲(chǔ)分析。

小結(jié)
基于ASIC體系結(jié)構(gòu)的FortiGate病毒防火墻，解決了功能與性能之間的矛盾，提高了性能，也降低了成本。它集防火墻、防病毒、內(nèi)容過(guò)濾、VPN、入侵檢測(cè)和流量控制功能于一體，在功能與性能上都優(yōu)于傳統(tǒng)網(wǎng)關(guān)安全產(chǎn)品，為企業(yè)提供了整體解決方案。經(jīng)過(guò)精心設(shè)計(jì)，該電力信息系統(tǒng)綜合性安全網(wǎng)關(guān)達(dá)到了預(yù)期的防護(hù)目的。

美國(guó)Fortinet公司北京代表處

地址：北京市海淀區(qū)中關(guān)村南大街2號(hào)
數(shù)碼大廈B座903室
郵編：100086
電話：010-82512622
傳真：010-82512630
網(wǎng)址：www.fortinet.com.cn

標(biāo)簽： ddos 安全 標(biāo)準(zhǔn) 防火墻 防火墻策略 防火墻功能 服務(wù)器 美國(guó) 企業(yè) 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 問(wèn)題 行業(yè) 選擇 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。