第一章 用户需求剖析1.营业布景 XX是一家连锁工发卖企业,营业普遍全国各省。物流和财政信息的传输需要确保安区,可是申请专线的费用很高。Internet为企业的信息传输供给了一个经济有用的平台,然而平安问题值得担忧。今朝有100多个分公司遍布全国各地,还有年夜量的出差在外的营业人员需要实时平安地访谒企业总部的处事器。2.需求剖析 信息实时沟通、资本共享是制约企业营业飞速成长的主要身分之一,集团内部的各类信息、营销策略若何实时送达至所有在外工作的营业人员,而在外工作的营业人又若何能经由过程一种高效、平安、靠得住的体例将他们的营业开展情形反馈到集团总部,并经由过程企业内部的营销系统、ERP等营业系统迅速展此刻企业抉择妄想者面前,一向是我集团等候解决的问题之一。公司在国内的驻外人员分布在各盛会城市,负责该省内的所有产物营销营业。因为需要实时和企业总部进行财政及其它信息的传输,这些营业数据在Internet上直接传输时又存在较高的平安风险,一旦这些数据被窃取或泄露出去,必然会造成公司营业的严重损失踪。3.初步需求如下 100多个分公司分袂经由过程当地电信部门接入Internet。这些分支机构的收集要受到平安设备的防护,必需有防火墙设备,此外,为防止蒙受病毒,黑客入侵的威胁,应用层的平安必需受到呵护,设防火墙设备应该具备防病毒和防入侵的功能。企业总部收集有主要的数据库系统,防止病毒和黑客的入侵极为主要。因为所有分公司要和企业总部成立获得点VPN毗连实现平安的数据传输,高机能的VPN功能必需集成在设备内部,便于统一打点。此外出差在外的员工也要能够实时地经由过程Internet平安地访谒企业的数据库,移动用户必需经由过程VPN加密体例访谒企业收集资本。4.方案目的 作为呵护企业内部网免遭外部抨击袭击,确保信息平安地经由过程Internet传输,最有用的法子就是在分袂在企业系统内部网与外部广域网之间放置UTM设备(即:防火墙+VPN +网关防病毒+IPS),经由过程设置有用的平安策略,做到对企业内部网的访谒节制。为了便利远程/移动用户平安访谒集团内部的神秘资料,并为公司成立起平安经济的收集通信毗连,故举荐设置装备摆设使用基于深度包检痕手艺的UTM设备——美国SonicWALLUTM设备(防火墙 + VPN + 网关防病毒 + 防入侵)。 SonicWALL系列UTM设备是在NASDAQ上市的美国SONICWALL公司的闻名收集平顺产物,全球销量跨越60万台,是今朝全球销量最年夜的硬件防火墙和市场据有率最高的硬件VPN产物。 SonicWALL采用软硬件一体化设计,在高机能硬件平台上,操作前进前辈的防火墙手艺和SonicWALL专有的平安高效的实时操作系统,再加上世界领先的加密算法、身份认证手艺以及收集防病毒手艺,是一个强年夜的,集应用级防火墙、VPN,网关防病毒,防入侵(IPS)、内容过滤、,反间谍软件等多种平安策略为一体的,不变靠得住的高机能收集平安系统。其完美的产物系列和卓越的机能价钱比为分歧规模、分歧行业、分歧上网体例的用户供给平安、快速、矫捷、超值的收集平安解决方案。(详情请参考附件1)。 可以在总部或某一地址统一打点分布在全球的SonicWALL防火墙设备,可觉得分歧地址的SonicWALL防火墙设备做分歧的设置;成立报警中心,集中、实时的监控全球各地SonicWALL的运行状况和收集访谒流量。 第二章方案设计 首先,有用的隔离是保障平安的一项根基前提,而公司总部的收集安全是重中之重,所有有可能对总部收集平安造成威胁的毗连点都将是总部必需节制毗连的关头。是以,我们在总部的internet出口处设置装备摆设防火墙来进行有用的隔离,经由过程防火墙的策略来授权访谒总部的相关数据。同时,针对可能经由过程所有毗连到总部的所有接点倡议的针对总部的抨击袭击的侦测和提防也是一个必需考虑的主要身分之一,入侵检测和防护是必不成少的。此外,因为收集病毒的泛滥,有用阻隔外部传入的病毒是保障总部应用平安的一到樊篱,网关防病毒也是必需而且需要的。 其次,因为分公司需要和总部互联,而internet的传输是不平安的,公司需要一种平安的互联网平安传输解决方案,而VPN是今朝公认的一种经济平安的internet传输解决方案,是以,作为总公司interner出口出的防火墙必需具备VPN功能,以供给分公司及移动办公的人员到总公司的平安互联。 移动办公的人员需要及、平安有用的毗连到总部处事器进行公务措置,移动VPN功能将是一个关注点,是以,作为总公司的internet出口防火墙必需撑持移动VPN功能以解决移动办公的平安互联问题。 企业平安互联的最终目的是为了提横跨产力,一个不间断运行的收集是有用提横跨产力的有力保障,鉴于属下分公司均采用ADSL接入体例来毗连到internnet和访谒总部,而ADSL的毗连体例并不是完全实时靠得住的,也就是说,ADSL的线路模式并不能保障分公司能实时的毗连到总部,是以,我们在设计方案是必需要考虑的这种实时毗连情形,一般的解决方案是:再添置此外一种毗连体例,好比此外一家ISP供给的线路,但这种体例显然不合适企业节源开流的精神,是以我们必需在现有的线路情形下,综合考虑解决方案,最年夜限度的操作现有线路来解决实时毗连问题。众所周知,ADSL是传输在通俗电话线路上的数据链路,在ADSL呈现以前,电话线路的拨号毗连体例曾经是一种主流的internet接入解决方案,那么,我们就可以年夜这里着手来考虑企业实时互联的解决方案了。即,我们可以把通俗电话线路上的拨号毗连来作为第2种冗余internet接入解决方案,那么作为 这种解决方案中的防火墙设备,必需冲要持PSTN的拨号毗连体例。有鉴如斯,我们设计了如下的方案,方案拓扑如下: 企业总部采用高机能的PRO5060UTM设备, 该设备具备防火墙功能, VPN功能、网关防病毒,入侵防御,反间谍软件等功能。 考虑到分公司毗连到总部的毗连量,针对各公司的internet接入规模,我们采用分歧的sonicwall防火墙设备,举荐规模–产物对应表如下: 分公司的接入到总公司统一采用SonicWALL UTM 设备,SonicWALLUTM设备均具备防火墙、VPN 功能、网关防病毒、入侵防御、反间谍软件等功能。 所有的移动用户在标识表记标帜本电脑上安装SonicWALLVPN客户端软件GVC,随时随地便利快捷地与企业总部甚至分支成立VPN毗连,平安地访谒企业的信息。 企业总部与分公司成立获得点的VPN地道,移动办公的用户与企业总部的PRO5060成立客户端VPN毗连。这样分布式企业的所有收集出口进口都受到防火墙的呵护,分公司与总公司及移动用户与总公司的通信都受VPN地道的呵护,如不美观启用网关防病毒,入侵防御和反间谍软件功能,则所有地址的内部收集都受到应用层的平安防护。此外,SonicWALL UTM设备能够阻断病毒,入侵在企业各个分公司和总公司之间经由过程VPN地道的传布。间谍软件会造成企业或小我的敏感信息的泄露,SonicWALL防间谍软件功能使SonicWALL能够间断来自计较机中已存在的间谍软件的后台通信,同时经由过程扫描并屏障间谍软件传染的电子邮件以及检测自动安装的ActiveX控件的体例阻止间谍软件的传布。 SonicWALL PRO系列UTM设备能够并行扫描跨越50种和滔喙啬近25000种病毒,检测并阻断近2000种入侵威胁。 SonicWALL还撑持近百种签名对实时动静(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信进行节制,如封堵QQ2005,能够扫描NetBIOS和谈,防止病毒经由过程Windows文件共享进行扩散。 第三章方案声名 针对分歧的收集规模,我们设计了分歧的平安设置装备摆设来解决平安问题,同时也达到了资本的合理设置装备摆设、资金的合理操作。3.1防火墙毗连方案3.1.1总公司 鉴于总公司的规模斗劲年夜,而且企业规模和营业应用模式在呈增添趋向,为应对此后日益扩年夜的企业规模和营业应用,在设置装备摆设总公司internet出口防火墙时,必需考虑到设备的可扩展性,是以,我们在总部的internet出口出设置装备摆设一台高机能的sonicwallPRO5060C/UTM防火墙,SonicWALLPRO5060C/UTM防火墙有6个10/100/1000Mbps自顺应端口(1个WAN、1个LAN,一个DMZ端口和3个自界说端口),撑持无限用户,撑持多达4000条获得点VPN 地道和6000个客户端VPN地道,能够知足公司总部与分公司数据传输和内部访谒的平安需要. … 继续阅读
第一章 用户需求剖析1.营业布景 XX是一家连锁工发卖企业,营业普遍全国各省。物流和财政信息的传输需要确保安区,可是申请专线的费用很高。Internet为企业的信息传输供给了一个经济有用的平台,然而平安问题值得担忧。今朝有100多个分公司遍布全国各地,还有年夜量的出差在外的营业人员需要实时平安地访谒企业总部的处事器。2.需求剖析 信息实时沟通、资本共享是制约企业营业飞速成长的主要身分之一,集团内部的各类信息、营销策略若何实时送达至所有在外工作的营业人员,而在外工作的营业人又若何能经由过程一种高效、平安、靠得住的体例将他们的营业开展情形反馈到集团总部,并经由过程企业内部的营销系统、ERP等营业系统迅速展此刻企业抉择妄想者面前,一向是我集团等候解决的问题之一。公司在国内的驻外人员分布在各盛会城市,负责该省内的所有产物营销营业。因为需要实时和企业总部进行财政及其它信息的传输,这些营业数据在Internet上直接传输时又存在较高的平安风险,一旦这些数据被窃取或泄露出去,必然会造成公司营业的严重损失踪。3.初步需求如下 100多个分公司分袂经由过程当地电信部门接入Internet。这些分支机构的收集要受到平安设备的防护,必需有防火墙设备,此外,为防止蒙受病毒,黑客入侵的威胁,应用层的平安必需受到呵护,设防火墙设备应该具备防病毒和防入侵的功能。企业总部收集有主要的数据库系统,防止病毒和黑客的入侵极为主要。因为所有分公司要和企业总部成立获得点VPN毗连实现平安的数据传输,高机能的VPN功能必需集成在设备内部,便于统一打点。此外出差在外的员工也要能够实时地经由过程Internet平安地访谒企业的数据库,移动用户必需经由过程VPN加密体例访谒企业收集资本。4.方案目的 作为呵护企业内部网免遭外部抨击袭击,确保信息平安地经由过程Internet传输,最有用的法子就是在分袂在企业系统内部网与外部广域网之间放置UTM设备(即:防火墙+VPN +网关防病毒+IPS),经由过程设置有用的平安策略,做到对企业内部网的访谒节制。为了便利远程/移动用户平安访谒集团内部的神秘资料,并为公司成立起平安经济的收集通信毗连,故举荐设置装备摆设使用基于深度包检痕手艺的UTM设备——美国SonicWALLUTM设备(防火墙 + VPN + 网关防病毒 + 防入侵)。 SonicWALL系列UTM设备是在NASDAQ上市的美国SONICWALL公司的闻名收集平顺产物,全球销量跨越60万台,是今朝全球销量最年夜的硬件防火墙和市场据有率最高的硬件VPN产物。 SonicWALL采用软硬件一体化设计,在高机能硬件平台上,操作前进前辈的防火墙手艺和SonicWALL专有的平安高效的实时操作系统,再加上世界领先的加密算法、身份认证手艺以及收集防病毒手艺,是一个强年夜的,集应用级防火墙、VPN,网关防病毒,防入侵(IPS)、内容过滤、,反间谍软件等多种平安策略为一体的,不变靠得住的高机能收集平安系统。其完美的产物系列和卓越的机能价钱比为分歧规模、分歧行业、分歧上网体例的用户供给平安、快速、矫捷、超值的收集平安解决方案。(详情请参考附件1)。 可以在总部或某一地址统一打点分布在全球的SonicWALL防火墙设备,可觉得分歧地址的SonicWALL防火墙设备做分歧的设置;成立报警中心,集中、实时的监控全球各地SonicWALL的运行状况和收集访谒流量。 第二章方案设计 首先,有用的隔离是保障平安的一项根基前提,而公司总部的收集安全是重中之重,所有有可能对总部收集平安造成威胁的毗连点都将是总部必需节制毗连的关头。是以,我们在总部的internet出口处设置装备摆设防火墙来进行有用的隔离,经由过程防火墙的策略来授权访谒总部的相关数据。同时,针对可能经由过程所有毗连到总部的所有接点倡议的针对总部的抨击袭击的侦测和提防也是一个必需考虑的主要身分之一,入侵检测和防护是必不成少的。此外,因为收集病毒的泛滥,有用阻隔外部传入的病毒是保障总部应用平安的一到樊篱,网关防病毒也是必需而且需要的。 其次,因为分公司需要和总部互联,而internet的传输是不平安的,公司需要一种平安的互联网平安传输解决方案,而VPN是今朝公认的一种经济平安的internet传输解决方案,是以,作为总公司interner出口出的防火墙必需具备VPN功能,以供给分公司及移动办公的人员到总公司的平安互联。 移动办公的人员需要及、平安有用的毗连到总部处事器进行公务措置,移动VPN功能将是一个关注点,是以,作为总公司的internet出口防火墙必需撑持移动VPN功能以解决移动办公的平安互联问题。 企业平安互联的最终目的是为了提横跨产力,一个不间断运行的收集是有用提横跨产力的有力保障,鉴于属下分公司均采用ADSL接入体例来毗连到internnet和访谒总部,而ADSL的毗连体例并不是完全实时靠得住的,也就是说,ADSL的线路模式并不能保障分公司能实时的毗连到总部,是以,我们在设计方案是必需要考虑的这种实时毗连情形,一般的解决方案是:再添置此外一种毗连体例,好比此外一家ISP供给的线路,但这种体例显然不合适企业节源开流的精神,是以我们必需在现有的线路情形下,综合考虑解决方案,最年夜限度的操作现有线路来解决实时毗连问题。众所周知,ADSL是传输在通俗电话线路上的数据链路,在ADSL呈现以前,电话线路的拨号毗连体例曾经是一种主流的internet接入解决方案,那么,我们就可以年夜这里着手来考虑企业实时互联的解决方案了。即,我们可以把通俗电话线路上的拨号毗连来作为第2种冗余internet接入解决方案,那么作为 这种解决方案中的防火墙设备,必需冲要持PSTN的拨号毗连体例。有鉴如斯,我们设计了如下的方案,方案拓扑如下: 企业总部采用高机能的PRO5060UTM设备, 该设备具备防火墙功能, VPN功能、网关防病毒,入侵防御,反间谍软件等功能。 考虑到分公司毗连到总部的毗连量,针对各公司的internet接入规模,我们采用分歧的sonicwall防火墙设备,举荐规模–产物对应表如下: 分公司的接入到总公司统一采用SonicWALL UTM 设备,SonicWALLUTM设备均具备防火墙、VPN 功能、网关防病毒、入侵防御、反间谍软件等功能。 所有的移动用户在标识表记标帜本电脑上安装SonicWALLVPN客户端软件GVC,随时随地便利快捷地与企业总部甚至分支成立VPN毗连,平安地访谒企业的信息。 企业总部与分公司成立获得点的VPN地道,移动办公的用户与企业总部的PRO5060成立客户端VPN毗连。这样分布式企业的所有收集出口进口都受到防火墙的呵护,分公司与总公司及移动用户与总公司的通信都受VPN地道的呵护,如不美观启用网关防病毒,入侵防御和反间谍软件功能,则所有地址的内部收集都受到应用层的平安防护。此外,SonicWALL UTM设备能够阻断病毒,入侵在企业各个分公司和总公司之间经由过程VPN地道的传布。间谍软件会造成企业或小我的敏感信息的泄露,SonicWALL防间谍软件功能使SonicWALL能够间断来自计较机中已存在的间谍软件的后台通信,同时经由过程扫描并屏障间谍软件传染的电子邮件以及检测自动安装的ActiveX控件的体例阻止间谍软件的传布。 SonicWALL PRO系列UTM设备能够并行扫描跨越50种和滔喙啬近25000种病毒,检测并阻断近2000种入侵威胁。 SonicWALL还撑持近百种签名对实时动静(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信进行节制,如封堵QQ2005,能够扫描NetBIOS和谈,防止病毒经由过程Windows文件共享进行扩散。 第三章方案声名 针对分歧的收集规模,我们设计了分歧的平安设置装备摆设来解决平安问题,同时也达到了资本的合理设置装备摆设、资金的合理操作。3.1防火墙毗连方案3.1.1总公司 鉴于总公司的规模斗劲年夜,而且企业规模和营业应用模式在呈增添趋向,为应对此后日益扩年夜的企业规模和营业应用,在设置装备摆设总公司internet出口防火墙时,必需考虑到设备的可扩展性,是以,我们在总部的internet出口出设置装备摆设一台高机能的sonicwallPRO5060C/UTM防火墙,SonicWALLPRO5060C/UTM防火墙有6个10/100/1000Mbps自顺应端口(1个WAN、1个LAN,一个DMZ端口和3个自界说端口),撑持无限用户,撑持多达4000条获得点VPN 地道和6000个客户端VPN地道,能够知足公司总部与分公司数据传输和内部访谒的平安需要. 公司总部的局域网接在LAN口上,防火墙会阻止所有未经许可的访谒到LAN口上的电脑;经由过程这种解决方案有用地保证公司局域网、各类处事器免受来自互联网黑客的各类抨击袭击。移动用户采用VPN客户端和总部毗连。 SonicWALLPRO5060UTM内部集成的网关防病毒,入侵检测和防御及反间谍软件处事,确保应用层的平安,防护针对Windows操作系统和数据库诸如Oracle和SQLServer的抨击袭击,还可以阻断不需要的应用如QQ2005 等等,提高员工的工作效率。3.1.2分公司 因为分公司的收集应用规模斗劲小,接入带宽以及毗连到总公司的收集流量斗劲小,是以,针对分歧的收集规模,我们为其在internet的出口分袂对应设置装备摆设分歧型号的sonicwallUTM防火墙。因为SonicWALL产物是UTM设备,不用担忧黑客的抨击袭击。不象其他收集全产物公司,有些型号的产物是收购其他公司,所以分歧型号的产物功能有很年夜区别,SonicWALL全线产物都是SonicWALL 公司开发,具备同样的平安防护功能。SonicWALL产物除了撑持DDN专线等固定IP地址的线路外,还撑持DHCP、PPPoE、PPTP或L2TP,甚至ISDN或电话线拨号。不用担忧此刻的采办的SonicWALL产物,未来因公司的成长要改换线路而不合用。3.1.2.1基于ADSL拨号上网的分支 因为前述的ADSL的线路特点,充实考虑到收集实时毗连的高可用性,我们举荐使用sonicwallTZ170SPUTM产物,该产物内置modem,可以在主ADSL链路断开时自动经由过程电话拨号上网,解决了实时毗连到互联网及总公司的需求。3.1.2.2针对ADSL接入体例且有无线毗连需求的分支 我们采用TZ170SPW/UTM设备,该设备不仅可以冗余internet毗连,在主ADSL毗连断开时自动采用modem拨号体例实时毗连到互联网及公司总部,同时解决了无线毗连的问题。3.1.2.3针对小用户(<25用户)的分支 我们采用sonicwallPRO1260/UTM设备,该设备内置24个以太口交流机模块,可以在不额外添置局域网交流机的情形下有用操作防火墙的交流机模块解决内部上网毗连的需求。3.1.2.4针对有必然规模接入的分支 我们采用sonicwallPRO2040/UTM设备,该设备首要设计用滥暌功对有必然规模收集毗连的分支机构的收集平安解决方案。UTM功能的实施可以在深条理上解决更多的平安问题。3.2 VPN 解决方案3.2.1分公司和总公司的VPN毗连VPN在收集中拓扑示意图如下图所示。下面是VPN的实现过程。如图下图所示: 在两台VPN1(总部)和VPN2(分部)之间成立一个VPN通道。假设收集A中的主机A与收集B中的主机B之间进行通信。A发出请求包,该数据包首先达到VPN1,VPN1对其进行认证并加密,然后经由过程成立的VPN通道传送到VPN 2,VPN2对该数据包进行认证并解密,然后将此包传送给主机B。反向的数据包同样经由这个过程。这样就能保证数据包通信过程中的完整性,神秘性。3.2.2移动用户访谒总部的VPN客户端到总部的VPN的毗连过程如下图: 按照一个中心多个远程节点的设计体例,采用移动用户与总部网互联体例,即站到站(Site-Client)VPN毗连体例,毗连过程如下: 移动用户的VPN客户端向总部VPN网关倡议毗连请求,并发送第一阶段(Phase1)用户验证和密匙信息(MD5或SHA1加密); 总部的VPN网关响应请求,并对移动发来的用户和密匙进行验证; 如不美观第一阶段验证经由过程,主端发送第二阶段(Phase 2)验证挑战请求; 年夜端发送第二阶段(Phase 2)用户验证和密匙信息(MD5或SHA1加密); 如不美观第二阶段验证也经由过程,两头的VPN焦点引擎起头采用168位(3DES)协调数据加密算法,年夜而成立尺度的IPSecVPN通道,双方局域网内的用户即可在VPN通道内传送加密的用户数据,每个传送的数据包城市随机选择分歧的密钥进行数据加密。备注: SonicWALL VPN 客户端认证撑持内部数据库认证,Radius ,RSA SecureID,及第三方证书等等。 所有sonicwallUTM防火墙内置了网关防病毒以及入侵检测和防护功能,可以有用的阻隔经由过程此网关传出/传入到总部的病毒,同时能自动侦测到针对总部内部收集的抨击袭击并进行响应的防护措置。可以经由过程策略体例来实现针对指定的分支机构/IP传入到总部的数据进行病毒、入侵特征进行扫描。保障总部的平安。 sonicwallUTM防火墙内建VPN功能,同时撑持端到端以及接获得中心的VPN接入体例,分公司和移动用户可以经由过程VPN平安便利的毗连到总部进行营业措置,VPN在次毗连中有用的保障数据传输的平安性。 sonicwall防火墙后,可以有用的阻隔可能发生的针对总部倡议的收集扫描、端口探测、syn抨击袭击、pingflood等等多种黑客抨击袭击行为并对可能发生的针对总部的抨击袭击行为做到实时的预警及提防;经由过程可以限制单IP的并发毗连数,保障收集带宽的合理分配,此外,因为sonicwall防火墙撑持带宽打点,可以针对分歧的收集应用分配指定的带宽,优先指定处事级别较高的收集处事享用更多更合理的带宽,强化首要收集应用的优先权,保障分支机构和总部之间的关头营业顺畅进行而不会因为带宽不足导致收集塞车。3.3关于现有投资的呵护 XX总部今朝采用PRO2040来作为internet接入共享器,当实施上述收集平安方案之后,该PRO2040设备不会是以闲置而导致投资华侈,本方案设计之初就充实考虑了这个问题,是以在设计本方案时,我们年夜平安收集冗余的角度出发,充实考虑收集不间断运行的需求来设计本方案,我们的实施方案是:把PRO2040作为中心PRO5060的热备用设备,或者作为分支机构中斗劲针砭模的internet防火墙。3.4方案实施的效不美观 经由过程上述平安设备的设置装备摆设,在XX总部及各分支机构的收集平安方案实施后可以达到如下效不美观:可有用隔离来自分支机构针对总部的非授权访谒可以有用措置来自分支机构传入到总部局域网或者总部局域网传出的病毒可实时侦测并提防来自internet针对总部局域网倡议的抨击袭击行为可统一打点方案中设置装备摆设的平安设备,做到集中打点,集中审计,集中策略分发。可以实现什么分支机构在什么时刻能访谒总部的什么资本,确保总部资本的基于身份的访谒权限可以构建一个整网的VPN互联通道,确保传输的数据的平安性,靠得住性。实施效不美观图如下图示:
No comments:
Post a Comment