XX电信IDC网络安全解决方案————————————————————————————————作者：————————————————————————————————日期：个人收集整理勿做商业用途个人收集整理勿做商业用途个人收集整理勿做商业用途WatchGuardFireboxX8000XX电信IDC网络安全解决方案建议书成都市鼎科信息技术发展有限公司2006-7—23一．引言本建议书编写的目的是说明XX电信IDC网络安全改造项目的技术可靠性，说明并分析所建议的方案。可用于编制可行性研究报告及方案设计书的参考材料.考虑到该企业网络中心目前的主要需求为防火墙及网络安全的实施，本建议书重点阐述安全技术及相应的产品在项目中的应用，其它技术细节不再细述.XX电信IDC机房拥有大型、丰富的管理运营网络,主要从事服务器托管服务.目前需要规划和实现网络中心与下面各接入点之间的安全访问、认证等功能。通过对XX电信IDC的网络要求和今后发展需要的了解，我们将为其构建一个先进、高效、快速、稳定的安全运营平台。二．WatchGuard安全防护和优化网络在网络出口部署高性能的XPeak8000防火墙;根据网络出口的流量以及今后网络扩展的需要，我们在网络出口布署了1台XPeak8000防火墙，主要用来阻止来自外部的黑客攻击及日常的网络安全限制；XPeak8000防火墙采用高性能的芯片技术，具有1000Mbps以上的网络吞吐量，所以可以快速处理网络封包的请求.另外，XPeak8000防火墙上面可以阻止很多种黑客攻击的类型，比如ICMPFlood/SYNFlood/UDPFlood/IPOption/SourceRoute/DDOS等。如果出口没有布署防火墙，很多来自内部和外部的攻击根本无法控制，造成网络的严重拥塞。部署了XPeak8000防火墙后,我们可以把所有流入和流出的流量全部封掉。只针对某些需要应用的端口开放.对流入的访问进行更加严格的限制，这样可以封掉大部分病毒向外感染的端口。另外,内部可能有很多虚拟的IP地址可能会向外发布大量的无用请求,这些IP可能是黑客伪造生成的地址，也可能是某些电脑已经严重感染病毒,需要进行杀毒处理。我们可以在防火墙上面把这些非法的IP地址封掉，结合Sniffer分析会得到较好的效果。使用应用代理技术；代理技术是防火墙在网络中保护关键脆弱点的一种非常有效的方式.其他方式还有“包过滤”和“状态包过滤"，但两者对数据进行检查的深度都无法与代理媲美。代理是最高级的通信控制方法,能通过防火墙执行真正的入侵防御。代理位于客户机与服务器之间，检查双方的所有通信，验证它是否符合事先规定好的规则。在此期间，代理不仅要检查客户机和服务器之间传输的所有数据包的包头，还要检查那些数据包的实际载荷。另外，还可以修改或移除违反安全策略的东西.注意，包过滤只检查包头，而代理对数据包的内容进行筛选,阻挡恶意代码（比如可执行文件、Javaapplet、ActiveX等等）。许多人最后才非常惊讶地知道，原来只有代理才能在数据包传输中途真正检查内容（包括实际数据)。代理还会检查内容是否符合协议标准。例如，某些形式的黑客攻击会发送一些特殊的元字符,目的是欺骗受害机器；还有一些攻击会使用数量巨大的数据来冲击目标机器。代理则能识别非法字符或者过载的字段,并有效地阻挡它们。代理在处理通信时,所花的时间会比包过滤稍长一些，这是因为它们要为每个数据包做更多的工作.但是,“稍长”只是相对的；通常,在同一个系统上，WatchGuard的应用层代理会以包过滤一半的速度来扫描数据包。但速度就会很慢吗？答案是否定的.事实上，它的速度仍然要比大多数公司的Internet连接速度快许多倍。通常，Internet连接速度才是一个网络真正的瓶颈。代理虽然在实验室评测中会稍慢一些，但在实际的工作环境中,你的用户绝对无法感觉到网络速度的下降。单纯比较防火墙的数据吞吐量并没有实际的意义。假如一种防火墙声称要比另一种防火墙快,一定要问清楚那种防火墙对通过它的数据进行了哪些处理。包过滤肯定会比代理快,但却无法提供充分的安全性。Firebox®Vclass产品将速度和安全性都发挥到了极致.由于使用的是应用层代理,所以它们在检测和阻挡攻击方面（比如入侵防御），具有十分高的效率.WatchGuard的应用层代理具有大量配置特性和设置，可通过一个获奖的图形用户界面（GUI)来轻松地控制.通过应用层代理与其他防火墙管理工具的组合，网管可非常精细地控制网络安全。Vclass目前两种最主流的应用代理是：SMTP代理和HTTP代理.SMTP代理SMTP应用代理程序监控传入和传出的电子邮件，使你的网络远离危险.它的部分功能包括：指定邮件收件人的最大数量。这