分析了XX 保险公司网络的网络状况与安全风险,公司网络面临着黑客、蠕虫病毒、网络入侵、不良内容、垃圾邮件等的威胁,需要使用专门的安全产品,从网络隔离、病毒防护、入侵检测、内容过滤等各方面进行全方位的保护。如果在XXXXX 保险公司网络出口分别部署防火墙、防病毒网关、入侵检测系统、内容过滤、VPN 等一系列安全产品,采购产品成本及将来的维护成本过高。我们推荐使用WatchGuard 公司的新一代硬件综合安全网关Firebox X 系列产品,在XXXXX 保险公司网络网关处形成综合安全防护体系,提供当前最高的性价比。
XXXXX 保险公司整体网络安全方案如下图所示:
2.1 公司总部
如图所示,首先我们在XXXXX 保险公司总部的与Internet 相连的路由器后方部署2 台Firebox X1250e,配置成A-P(热备式)HA 结构。
Firebox X1250e 提供8 个10/100/1000 以太网口。Firebox 代表着业界最先进的技术方向,在安全、稳定、高效方面都有着极其优异的表现。Firebox X1250e支持线性加速,高达300Mbps 的防火墙吞吐量和200,000 的并发连接数,完全可以满足XXXXX 保险公司对网络性能要求。Firebox 防火墙支持完善的HA(高可用性)模式,当1 台设备出现故障无法继续工作时,另1 台设备仍然能够保证网络的不间断运行,对于网络的高可用性提供了良好的保障。
在Internet 的出口处部署UTM 设备,是根据前面我们对用户的网络层、系统层、接入层及应用层的安全分析后得来的。用户网络连接到Internet 面临着多种混合型的网络威胁,如病毒、网络入侵、不良网站、垃圾邮件等。如果采用专一功能的网络安全设备,用户将采购多种厂家的网络安全产品,将面临着在管理、维护上的诸多不便,使得后期的管理成本上升。同时,前期的设备硬件投入也随着设备数量的增加而增加。采用UTM 设备,所有的安全防御功能于一身,统一的硬件平台,用户只需要使用单一的集中管理软件即可操作设备,完成对混合型网络攻击的防御。保护的前期设备投资,方便了日后的维护使用。
2.2 分支机构
在各个分支机构,Internet 出口处部署Firebox X550e 一台。Firebox X550e具有4 个10/100 以太网口,提供125Mbps 防火墙吞吐量、25,000 并发连接数。每个分支机构都具有各自独立的网络结构,因此必须配置独立的UTM 设备对内部网络进行保护,同时完成与总部的VPN 连接任务。
2.3 设计特点
2.3.1 加强内网的上网行为管理
1. Firebox X1250e/X550e 工作在路由模式,启用NAT(地址转换)。NAT 有效地保护内部网络结构,节省了公网IP 地址资源;
2. 利用时间控制机制,管理内部人员对网络的使用时间;
3. 控制对IM、P2P 类应用的使用,提高企业上网带宽的利用率;
2.3.2 加强内容安全的管理
1. 防止在网页、邮件中含有病毒信息的内容进入内部网络;杜绝了病毒从Internet 进入企业内部网络
2. 控制上网用户可以访问到的网站类型;
3. 对垃圾邮件进行全面高效地处理;
2.3.3 加强对应用服务器的保护
1. IPS 功能有效地保护了企业对外提供服务的Web 及Mail 主机的安全,减少了主机被攻击的次数与宕机技术,提高了企业在网络上对
外服务的质量;
2. 自动阻断攻击功能,可以有效地节省UTM 资源的占用;
2.3.4 建立可靠的VPN 网络
1. 业务数据通过VPN 传输,得到了很好的安全保护;
2. 总部的冗余设计,提高了VPN 网络稳定性;
3. 分支机构的双链路设计,在提高对Internet 访问速度的同时,提供了VPN 网络链路的备份,一旦主链路断掉,从链路可以继续工作,保证了VPN 连接的可靠性;
2.3.5 良好的集中管理
WatchGuard 的Management Server 软件可以专门针对大型复杂网络的VPN 部署进行灵活地控制。它使用专利性的DVCP 技术来简化VPN 隧道的创建,它能认别一个Firebox 网络中必要的配置设定,并在不同位置之间自动建立IPSec VPN。网络管理员可在任何地方通过Management Server 对各个VPN隧道进行监控和配置,以确保网络的实时运行。这样在很大程度上可以减轻网络管理员的维护负担。
2.3.6 全面的网络监控
WatchGuard 提供网络管理监控功能,该功能是网络工程师量身定做的一项附加功能。WatchGuard 的网络监控工具可以实时地监控网络中各种数据流,以及用户在对哪些站点进行访问,还可以观察网络是否正在受到黑客的攻击。
2.3.7 实时的日志审记
WatchGuard 的Firebox 均带有详细的日志分析功能,用户可以自定义日专的格式、内容、更新周期等内容,提供Web 风格的报表,为管理员进行分析判断提供全面的第一手资料。 |
