易尚网关防火墙:中国数码港解决方案-防火墙解决方案.doc
易尚网关防火墙:中国数码港解决方案 -防火墙解决方案 易尚 ES4000 网关防火墙,是易尚公司为满足大型企业及服务提供商网络安全需求而设计开发的千兆级产品,尤其适合大型的千兆网络远程访问环境,其专用的高可靠性端口可在防火墙出现故障时实现无缝接管信息的传输。 易尚 ES4000 是应用在网络边界的安全保护硬件产品。它采用新一代 ASIC硬件设计体系,通过内容处理芯片和内容处理加速单元,与其它专用硬件一起,利用易尚专有操作系统 ESOS 的实时分析和协调处理能力,通过优化内容搜索、模式识别和数据分析,来达到病毒扫描、 VPN、内容过滤和基于网络的入侵检测处理的高性能,创造了业界性能新纪录。 易尚 ES4000 已经应用于院校、大型企业、电信等行业,在初期的测试和后期实际应用中,其全面的安全防护理念和超高的性能,都得到了用户的好评。较之国内其他品牌产品,其整体性设计(国内 产品普遍为模块化设计)方案,也为用户带来了很高的性能稳定性。 目前,网络病毒的危害已经到了非常严重的地步,特别是今年流行的冲击波和震荡波病毒,对使用网络的用户带来了前所未有的危害。而易尚 ES4000 的特有的网关防病毒功能,为用户使用网络带来了巨大的安全防护能力。可以有效防止外部网络中的病毒对内部网络的侵害。 另外,易尚 ES4000 还具有负载均衡功能,负载均衡技术较之先期的双机热备份技术有更好的应用前景,负载均衡技术可以提供更高的带宽要求,可以实现双机的同步分担负载,实现更高的性能需要。以下的方案 主要基于易尚 ES4000产品所独特的负载均衡技术的解决方案。 中国数码集团是为各个企业提供 INTERNET 接入的厂商,其所管理的网络设备和带宽资源以前只采用了黑洞攻击检测产品,而对于访问控制等安全需要一直都在考虑中,但是并没有实施,主要是由于其选择的防火墙产品不能满足其网络性能实际的需要。 由于中国数码集团提供了上百家企业的外部网络接入,其流量特别是突发流量是非常惊人的,因而其早期选择的多家产品都不能满足其性能上的需要。而且,其完成了网络改造以后,网络已经实现了全冗余的负载均衡方式,如果选择的防火墙产品没有此项功能,就不能满足中国数码集团网络安全的新的需要。 易尚 ES4000 提供 4G 的吞吐量,并发会话可以达到 100 万,而且,双机热备份功能和负载均衡功能可以满足用户的性能和功能需要。其实施以后的网络拓扑: 采用以上设计方案,易尚 ES4000 可以控制进出网络的信息流向和信息包,可以对数据包的内容进行过滤,防止蠕虫、恶意代码等进行过滤;提供使用和流量的日志和审计,对网络的正常使用提供依据。 易尚 ES4000 产品是易尚公司的高端产品,可以为用户的网络安全提供多种防护。下面是易尚 ES4000 产品介绍: 虚拟专用网( VPN) 支持在网络之间或网络与客户端之间进行安全通讯,能够在两个相距遥远的独立网络间建立安全的连接,或者远程办公和出差人员安全地连接到公司的网络中。 易尚的 VPN 功能符合工业标准,与第三方 VPN 网关、微软和其他提供商的客户端兼容。 IPSec 安全通道模式 硬件加速加密 加密算法( DES、 3DES、 AES) 自动 IKE 和手工密钥交换 PPTP 标准 L2TP 标准 基于 IPSec VPN 流量控制的防火墙策略 IPSec、 PPTP 和 L2TP 通过 IPSec NAT 穿越 VPN 集中器 (Hub and Spoke) IPSec 冗余 Web 内容过滤 易尚网关防火墙可设置内容过滤来扫描和屏蔽 URL 或网页中的所有 HTTP 内容。被屏蔽的网页会由一条 Web 管理器上编辑 的警报信息所替代。为避免合法网页中出现屏蔽列表中的内容而被屏蔽,可以在免屏蔽列表中添加该合法网页或网站的 URL,免屏蔽列表的优先级高于 URL 屏蔽。 脚本过滤可阻止网页的插件,例如 ActiveX、 Java Applets 和 Cookies。 病毒及蠕虫防护 易尚网关防火墙可更新的蠕虫、病毒库能够阻止数千种最新的具有很大破坏力的病毒和蠕虫。可以扫描 HTTP、 SMTP、 POP3、 IMAP 和 FTP 中被感染病毒的文件。还可以对加密的 IPSec VPN 流量中的数据。对每种协议,可针对不同的数据流 单独配置病毒防护。 能 100%检测发现当前病毒组织 Wild List(www.wildlist.org)公开的所有病毒 能检测发现以 PKZip 格式压缩起来的病毒 能检测发现 Email 中以 UUENCODE 格式编码过的病毒 能检测发现 Email 中以 MIME 编码格式编码过的病毒 在扫描时记录所有已发生行为的日志 入侵监测系统 易尚网关防火墙网络入侵检测系统 (NIDS) 是一个实时网络入侵检测工具,可以检测到 1300 多种网络攻击行为。可阻断 30 多种 DOS 和 DDOS 攻 击,当发现其中一种攻击时,该系统会把检测到的信息记录到日志,可通过配置 Email 警告系统来对发生的攻击进行实时警报。 高可靠性( HA) 易尚网关防火墙的高可靠性支持主 -主、主 -备模式,确保避免因 HA 组中有一台出现故障而产生服务中断现象。 提供系统故障切换功能。 状态失败恢复。 接口和主机的状态检测。 链路状态监控。 冗余电源。 VLAN 使用虚拟局域网( VLAN)技术,一台易尚网关防火墙可以为多个安全域内的电脑提供安全服务。来自不同安全域的流量被分配了各自的 VLAN 标识。易尚网关防火墙可以识别不同的 VLAN 标识,并根据这个标识给不同的安全域设定不同的安全策略和 VPN 加密策略。易尚网关防火墙还可以在不同的安全域之间的网络和 VPN 数据流上应用不同的认证、内容过滤和防病毒保护等策略。 流量管理 流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽,确保在用户上网浏览或在执行其他非关键性应用时而不会影响关键性业务的流量 。 根据 IP 地址、应用或时间段来进行管理。 设定保障带宽和最大带宽。 流量控制分三个优先级。 系统管理 易尚网关防火墙拥有强大的管理体系,让网络管理员可以高安全、低成本、简易方便地管理大量的设备和远程 VPN 客户端。 提供快速配置模版,根据配置模版,实现简单配置。 内建的 Web UI 实现了安全的浏览器界面配置管理。 远程管理:通过浏览器界面,使用 HTTPS 远程登录管理;还可以通过命令行界面,使用 SSH 远程管理。 命令行界面:提供 Console 口或安全远程连 接。 电子邮件告警、 SNMP 告警。 通过与 Syslog 或 WebTrends 集成,实现外部监控、分析和管理。 通过易尚的 ESCentreManager 集中化管理和监 控。 易尚 ES4000 的特性: 防火墙性能 : 2.25Gbps 3DES:530Mbps 并发会话数 :975,000 每秒新建会话数: 20,000 策略: 100,000 时间表: 256 工作模式 透明模式:是 路由模式:是 NAT: 是 PAT(端口地址转换):是 虚拟 IP(Virtual IP):是 IP 路由 --静态路由:是 每个端口的用户数:没有限制 网络功能 多个广域网口支持 多区域支持 各区域间路由 防火墙攻击检测 Dos & DDoS 阻断 (30 多种 ):是 SNY flood:是 ICMP flood: 是 UDP flood: 是 Smurf flood:是 Ping of death: 是 IP spoofing: 是 Land attack: 是 Tear drop attack: 是 IP address sweep attack: 是 WinNuke attack: 是 IP source route: 是 Java/ActiveX/Cookies: 是 指纹识别( Fingerprinting) :是 Ping 扫描 :是 端口扫描 :是 缓冲区溢出 :是 操作系统识别 :是 Brute Force Attack:是 CGI 脚本 :是 Web 服务器攻击 :是 Web 浏览攻击 :是 SMTP (SendMail) 攻击 :是 IMAP/POP 攻击 :是 Bind 和 Cache 在内的 DNS 攻击 :是 IP 欺骗 : 是 特洛伊木马攻击 :是 VPN 专用隧道: 3,000 手动密钥、 IKE:是 DES&3DES&AES 加密:是 SHA-1:是 MD5:是 完全正向保密 (DH 群组 ): 1,2,5 数据 重演检测:是 野蛮模式和主模式:是 远程接入 VPN(Remote access VPN):是 L2TP:是 PPTP:是 站点间 VPN(Site-to-site VPN):是 集中星型 VPN 网络拓扑:是 IPSec NAT Traversal:是 IPSec 冗余:是 防火墙和 VPN 用户认证 内置数据库:是 RADIUS 数据库:是 LDAP 数据库 : 是 IP/MAC 地址绑定:是 流 量 管 理 保障带宽:适用 最大带宽:适用 优先使用带宽:适用 安全区域 默认 自定义 VLAN 支持 802.1q 高可靠性 (HA) 主 -主模式:是 主 -备模式:是 设备故障监测:是 链路故障监测:是 故障切换网络通知:是 系 统 管 理 网址浏览器配置管理 (WebUI、 HTTP and HTTPS) console: RS-232 9600 命令行界面 (telnet) 安全命令外壳 SSH SNMP 完全自定义 MIB 管理 多个管理员 超级管理员、普通管理员 可信主机 软件升级和配置变动: TFTP/WebUI 日志 /监控 系统日志 (Syslog):外部 电子邮件 (三个地址 ) Web Trends:外部 SNMP:是 Flash 盘 64MB 电源 自适应交流电源 : 100-240 伏 输入电流: 6 安 功率消耗:最大 460 瓦 频率: 50-60 赫 外 型 尺 寸 42.7 x 33 x 8.9 厘米 , 重量 8 公斤 接 口 3 个 10/100 BaseTX 端口 2 个多模光纤端口 1 个 10/100/1000 兆自适应端口 1 个 RS232 Console 端口( 9600) 支持的标准 ARP, TCP/IP, UDP, ICMP, HTTP, RADIUS, IPSec , MD5,SHA-1, AES, DES, 3DES, IKE, TFTP (client), SNMP, PPTP,L2TP,RIPv1/v2, IEEE802.1q 安全标准 FCC Class A Part 15, CSA/CUS S 存储温度 -25 - 70 °C 工作环境温度 0-40 °C 湿度 5%-90%,无冷凝 平均故障间隔时间 6-8 年 电子邮件: xfhuang@enet.com.cn 或者 ytian@enet.com.cn / 信息化热线电话 ; 86-10-65245588 转 3137 或 86-10-65245588 转 3416