基礎(chǔ)網絡方案設計(jì)

1基礎網絡架構設計

本次項目基礎(chǔ)網絡架構(gòu)拓撲設計如下圖：

本方案採(cǎi)用一台企業級網絡防火牆，實現電信光纖網絡接入、安全區域劃分及安全策略。採(cǎi)用二台三層(céng)核心交換機，提供24以太網端口
，可爲桌面計算機接入、服務器接入、二級交換機彙聚、防火牆接入提供高速、安全的交換平台。整個網絡方案提供共24個1000Mbps以太網端口，100Mbps到桌面的交換網絡。

爲瞭(le)提供服務器對互聯網的訪問及滿足發布内部服務器到互聯網的需求，本方案配置一台硬件防火牆，並(bìng)通過租用專線（20Mbps）連至互聯網，滿足瞭(le)服務器發布要求並(bìng)提供瞭(le)良好的訪問帶寬及訪問安全控制。

2防火牆安全系統設計

2.1防火牆系統架構設計

爲瞭(le)保證網絡整體安全，本方案在互聯網出口處的位置配置防火牆
，可以将xxxx電子内網，服務器群和其他外部網絡隔開，負責服務器群與内部辦(bàn)公網絡訪問策略的控制。有效過濾任何非法入侵。

根據數據的敏感程度和需要實施保護(hù)的強度，将網絡劃(huà)分爲以下3大區域：

• 外部不可信任區域

此區域的安全威脅最大，互聯網屬於(yú)此區域，因爲xxxx電(diàn)子内網與互聯網相連，互聯網網絡環境比較複雜，不可信任度高。

• 内部可信任區域

xxxx電子公司内部網絡屬於(yú)此區域，網絡環境清晰，可控制性和可檢測(cè)性強，安全威脅最小。

• 中立區域

中立區域存放主要是存放現有的經營管理系統服務器，該服務器提供對外、對内的信息發布服務等功能，因此專門設立中間區，此區域屬於(yú)重點(diǎn)保護區域。

 

防火牆使用4個接口，内網口接至xxxx電(diàn)子公司内網，中間區（即DMZ區）放置WEB服務器等需要發布到互聯網的公網服務器，外網口通過專線接至Internet，另一個端口作爲備(bèi)用或維護端口。

防火牆作爲網絡安全的核心部件，放置在網絡的出口，通過(guò)區域的合理劃(huà)分和設置有效的安全策略，實現以下的作用：

• 通過控制對關鍵服務器的授權訪問控制，攔截非法訪問；
• 對外網的服務請求加以過濾，隻允許正常通訊的數據包到達相應主機
  ，對於各攻擊包和探測包一律加以攔截；
• 對内部用戶訪問外網進行嚴格控制，普通用戶通過硬件防火牆訪問互聯網需設置明細的訪問策略；
• 控制和監測用戶源服務器的訪問，對於非授權訪問和可疑存取及時報警；
• 配置正確的服務器發布策略，保證服務器發布到互聯網的安全。

2.2防火牆産品選型

防火牆是企業網絡安全的核心部件，必須功能強大、運行穩定、配置靈活。作爲業界三大品牌之一的防火牆，SonicWALL的産品一直是用戶的第一選擇，其高端防火牆每年都保持NO.1的銷售額。2004年和美國著名的新型公衆網絡基礎設施提供商SonicWALL網絡公司合並(bìng)後，已成爲企業防火牆的領導者。因此本項目中，我們推薦防火牆採(cǎi)用SonicWALL防火牆。

SonicWALL網絡公司安全服務網關 NSA 4500是專用安全産(chǎn)品，爲中型分支機構和業務部署提供完美的性能、安全性、路由和局域網/廣域網連接。NSA 4500 可通過一套完整的統一威脅管理(UTM)安全特性來保護出入分支機構的流量免遭蠕蟲(chóng)、間諜軟件、特洛伊木馬和惡意軟件的攻擊，上述安全特性包括狀态防火牆、IPSecVPN、IPS、防病毒(包括防間諜軟件、防廣 告軟件和防網頁仿冒)、防 垃圾郵件和Web 過濾等。

豐富的UTM 安全特性允許您将NSA 4500部署成獨立的網絡保護産(chǎn)品。強韌的路由引擎還使您能夠将 NSA 4500 部署成傳統的分支機構路由器或者安全性和路由功能的組合産(chǎn)品，以幫(bāng)助降低IT 的前期購置和後期運行成本。

NSA 4500是模塊化平台，提供超過(guò) 2.75 Gbps 的防火牆流量和1Gbps 的IPSec VPN 流量。NSA 4500 支持 6 個(gè)闆載 10/100/1000 接口以及 1 控制口2個(gè)USB。

SonicWALL防火牆是一種高性能的硬件防火牆，與其它的硬件防火牆相比有本質的區别。其它的硬件防火牆實際上是運行在PC平台上的一個軟件防火牆，而SonicWALL防火牆則是由ASIC芯片來執行防火牆的策略和數據加解密，因此速度比其它防火牆要快得多。從軟件特性上看SonicWALL防火牆是狀态檢測與應用代理混合的防火牆，對於(yú)大部份的應用SonicWALL防火牆是監測整個通訊狀态，如果發現通訊狀态不正常便拒絕進入受保護的内部網絡，對於(yú)FTP或H322等通訊狀态不好跟蹤的服務SonicWALL防火牆通過應用代理來確(què)保服務安全。

SonicWALL防火牆(qiáng)有三大功能：

• 防火牆
• ＶＰＮ
• 流量分配和負載均衡

SonicWALL防火牆在企業網絡(luò)中能實現的安全保護(hù)功能：

防火牆

• 防黑客攻擊。SonicWALL防火牆位於内部網和外部網絡之間，物理上起著隔離内網和外網的作用。獨有的SonicWALLOS底層操作系統提供瞭抵抗各種網絡攻擊的能力；經ICSA的測試SonicWALL防火牆能抵擋已知所有的網絡攻擊，並且SonicWALLOS是可升級的。
• 網絡地址翻譯（NAT）。通過NAT将内部不合法的IP地址翻譯成外部Untrustd的合法地址，隐藏瞭内部網絡結構，從而使攻擊者不易找到攻擊目标；同時也将内部的不合法的地址映射成外部合法地址，如SonicWALL防火牆将WEB Server的内部地址192.168.1.1映射爲外部地址202.96.23.11，外部訪問202.96.23.11地址實際上就是訪問訪問192.168.1.1。
• 訪問控制。在防火牆上設置策略，需要的應用或服務打開，如HTTP，DNS，SMTP，FTP等。其它的則不允許通過。這樣能大大減少不必要的網絡流量及安全風險。

 

強大的VPN（虛拟專用網）功能：

SonicWALL能根據(jù)不同的需求實現不同的VPN功能，實現方式有兩(liǎng)種
：

企業到企業 　　 如圖所示:

如果企業有幾個不同的網絡位於(yú)不同的地點，不同網絡之間的互訪通過Internet進行，在Internet上傳(chuán)輸的數據是明文。企業到企業VPN方式就是通過兩個SonicWALL防火牆将一個企業的兩個不同地點的網絡連起來，在連接兩個網絡之間的公網上建立一個VPN加密通道。

企業到桌面（或用戶）
　　這種方式就是在用戶端的計算機内安裝一個由SonicWALL提供的VPN的客戶端軟件，用戶通過撥号上網在用戶端和公司網絡邊界上的防火牆建立VPN通道。如圖所示：

流量控制及負載均衡

SonicWALL防火牆能爲公司不同部門或不同的服務器分配帶(dài)寬以保證關(guān)鍵應用服務器或用戶的帶(dài)寬。

 

3SSL VPN安全遠程接入設計

3.1SSL VPN網絡部署設計

 

   根據客戶(hù)的網絡實際情況，SSL VPN網絡部署規(guī)劃如下：

  

 

增中一台Soniwall Avential EX6000遠程接入設備(bèi)，部署在防火牆NSA4500的DMZ區域，所有遠程用戶的内網訪問首先接入到EX6000設備(bèi)，然後根據用戶的請求地址轉發(fā)到相應的應用系統。

 

3.2SSL VPN遠程安全接入方案特點

 1. 大大降低企業運營成本
     採用aventail SSL VPN系統後，不需要再租用專線鏈路即可實現遠程訪問及校區互連，這樣可以大大節約租用網絡鏈路的費用。
2. 輕松解決員工與代理商的訪問
     隻需部署aventail SSL VPN系統，無需改動原有應用和網絡環境，即可讓員工、代理商在在任何地點，輕松通過Internet訪問網内部系統如辦公系統、FTP下載
。
3. 極大的提高内部網絡以及服務器的安全性
     aventail SSL VPN可以讓所有遠程接入用戶都必須通過身份認證，才能使用内部網絡應用
，防止非法用戶的侵入，並可結合物理硬件認證（如：USB Key、SecueID等）做到強度認證，從而提高瞭訪問控制以及内部網絡的安全性。

     另外，所有的訪問者均不能直接訪問内部服務器，需要通過aventail SSL VPN代理訪問，有效防範瞭黑客、蠕蟲病毒等對應用服務器的攻擊，大大的提高瞭網絡的安全性。

4. 方便的管理性和使用性
     aventail SSL VPN不僅提供本地圖形化配置面和命令行配置面，而且還可以通過Internet網絡對aventail SSL VPN進行遠程管理。
     客戶端無需安裝軟件，操作員不需要額外培訓，隻要會使用IE浏覽器，就可通過身份認證訪問網絡内部資源，原應用系統的操作接口沒有任何改變，無論在什麽地方，都和在内部使用一樣。
5. 精細的權限控制
　　aventail SSL VPN具備細顆粒度權限控制功能，可針對不同的使用人員如領導
、員工、代理商設置不同的權限，以保證内部信息的高度機密及合理使用。並且，通過權限設置，不同的人員隻能看到與他相關的應用，非相關應用對他不可見，加強網絡數據信息的安全。

3.3SSL VPN遠程安全接入設備選型

   根據客戶提出的實際需求，有300個遠程用戶的接入，因此本方案設計採(cǎi)用美國sonicwall公司的Avential SSL VPN EX6000型号的SSL VPN設備，該型号最大支持2500個用戶的並(bìng)發遠程接入，實際在部署時，可以根據用戶的需求採(cǎi)購相應的license授權即可。

 

Aventail EX-6000：Aventail 智能SSL VPN 是具有完善的控制能力, 高安全性和應用訪問最好的VPN 設備。作爲世界上第一個替代IPSec 的VPN，Aventail 智能SSL VPN 提供各種類型的訪問方式，可以使任何設備在任何場所都可以訪問網絡。Aventail 系列的SSL VPN 易於管理和使用，在降低企業成本的同時，提高瞭它們的工作效率和安全性。

 

 

産(chǎn)品規(guī)格及功能說明：

 

安全性

網絡和設備(bèi)保護(hù)

·分割隧道控制

·隐藏的内部DNS 命名空間(jiān)和IP 尋(xún)址方案

·URL 可以使用别名

·強(qiáng)化的防攻擊(jī)策略

·TCP / UDP 端口限制

身份驗(yàn)證(zhèng)方法

·服務器端的數字證書、獨(dú)立的最終用戶(hù)身份驗證方法

·用戶(hù)名/ 密碼(mǎ)

·客戶(hù)機(jī)段的數字證書

·RSA UserID 及其他的一次性密碼(mǎ)權(quán)标

目錄(lù)

·Microsoft Active Directory（本機(jī)模式）

·LDAP（Active Directory, Sun iPlanet 等）

·RADIUS（Windows NT、ACE 等） ·IP（TCP、UDP、Netbios） ·Secure ID ·SSL ·LocalDB ·SSL-TLS ·SNMP ·支持SecureID與LDAP等多種疊(dié)加認(rèn)證的方式

單(dān)點(diǎn)登錄适配器

·側(cè)重於(yú)形式的單點登錄，用於(yú)類似Netegrity SiteMinder 和RSA ClearTrust 的Web 應用産品

·HTTP 基本身份驗(yàn)證(IETF RFC 2617) 轉發(fā)

·Windows 域SSO（僅(jǐn)在連(lián)接時有效）

·針對(duì) Microsoft Web 服務(wù)器的NTIM

密碼(mǎ)管理

·密碼(mǎ)到期通知，以及在Aventail WorkPlace 入口處(chù)更改密碼(mǎ)。

訪(fǎng)問(wèn)管理選件

·用戶和組（處(chù)理多個(gè)組中的用戶）

·源IP 和網(wǎng)絡(luò)

·目标網(wǎng)絡(luò)

·服務/ 端口,例如FTP 和HTTP（僅(jǐn)适用於(yú)OnDemand 和Connect）

·通過目标URL、主機名稱(chēng)或IP 地址、IP 範(fàn)圍、子網絡和域定義資源。

·日、日期、時間(jiān)和範(fàn)圍

·通過關(guān)鍵字長(zhǎng)度進行浏覽器加密

·策略區域（控制基於(yú)最終用戶安全配置文件的訪(fǎng)問和數據）

·控制的文件系統(tǒng)（Windows 域、Windows 服務器UNC、全路徑(jìng)UNC）

加密

·可配置的會話(huà)長(zhǎng)度

·密碼(mǎ)：DES、3DES、KC4、AES

·散列：MDS、SHA

Aventail Smart Tunneling

（第3 層(céng)連(lián)接）

·分割隧道以及對(duì)所有訪(fǎng)問重定向

·動(dòng)态代理服務器檢測(cè)與身份驗證

·動(dòng)态路由

·自适應(yīng)尋(xún)址

·OnDemand 隧道模式（通過WorkPlace 進行基於(yú)浏覽器的訪(fǎng)問）

·連接隧道模式（Windows 安裝客戶(hù)機(jī)）

Aventail End Point Control

·Aventail End Point Interrogator（将終端劃(huà)分到策略區域裏(lǐ)）

·帶(dài)有布爾(ěr)操作的通配符選擇

·Aventail Cache Control （數據(jù)保護(hù)）

·Aventail Secure Desktop（數據保護(hù)和主機(jī)完整性）

·Aventail Secure Desktop（高級(jí)數據保護(hù)）

·Sygate OnDemand （數據保護(hù)和主機(jī)完整性）

·從(cóng)Zone Labs、Sygate 和Windows XP SP2 防火牆中識别集成的個(gè)人防火牆

·Norton 和McAlee 防病毒檢(jiǎn)測(cè)

·WholeSecurity Confidence Online 企業版（故障部件和“特洛伊木馬”病毒檢(jiǎn)測(cè)）

·具有完整的Zone Labs 和Clientless Security （故障部件和“特洛伊木馬”病毒檢(jiǎn)測(cè)）

訪問和應用支持

Aventail WorkPlace Access（基於(yú)浏覽器的訪(fǎng)問）

·在無客戶端的情況下訪(fǎng)問基於(yú)Web 的資源

·基於(yú)Web：HTTP/HTTPS、DHTML/HTML、JavaScript、VBScript

·網絡(luò)文件訪(fǎng)問：SMB / CTFS、DFS

Aventail WorkPlace 移動(dòng)訪(fǎng)問

·針對所有移動(dòng)設備(bèi)的WorkPlsce 訪問配置

·支持WAP、手機(jī)、iMode 和PDA 浏覽(lǎn)器

Aventail OnDemand （C/S和WorkPlace 中的網絡(luò)訪(fǎng)問）

·被動(dòng)和主動(dòng)模式的FTP

·所有基於(yú)TCP 和UDP 的應用（單(dān)端口、多端口、動态端口，包括标準因特網電子郵件協議，本地電子郵件協議、終端仿真協議和終端服務）

Aventail Connect Access （Windows 客戶(hù)機(jī)）

·所有基於(yú)TCP 和UDP 的應用（單(dān)端口、多端口、動态端口，包括标準因特網電子郵件協議，本地電子郵件協議、終端仿真協議和終端服務）

@ 本地訪(fǎng)問(wèn)到Windows 終端服務和Citrix 上

·被動(dòng)和主動(dòng)模式的FTP

·Windows 網絡支持（Windows / NT 域登錄集成，驅動(dòng)映射、密碼更改通知及更改、登錄腳(jiǎo)本）

Aventail Connect Mobile

（Windows 移動(dòng)客戶(hù)端）

·适應於(yú)Windows 移動設備(bèi)的Aventail Connect 訪問 ·支持Unix、Linux、Windows文件共享

·輕質、Web 部署的代理程序提供對(duì)Web 和客戶機/服務器應用的訪(fǎng)問

監視和報表

審(shěn)查

·用戶(hù)/組(zǔ)

·源IP 和端口

·目标IP 地址和端口

·字節(jié)處(chù)理

·日期 / 時(shí)間(jiān)

·已訪(fǎng)問(wèn)的URL

·身份驗(yàn)證(zhèng)方法

·RADIUS 監(jiān)視和統計(jì)集成

監(jiān)視(shì)

·用戶(hù)連接監(jiān)視

·事件報(bào)警

·通過(guò)Aventail 管理控制台查看日志和性能信息

·包括專門(mén)用於(yú)Aventail 的SNMP MIB 在内的SNMP 集成

登錄(lù)

·支持中央SYSLOG 服務(wù)器

·W3C 普通登錄(lù)格式

·SOCKSS 登錄格式（僅(jǐn)适用於(yú)OnDemand 和 連接）

報(bào)表

·支持Crystal Report 和其他業界領(lǐng)先的報(bào)表格式

·爲Aventail 準備的報(bào)表模闆，用於(yú)創建标準審計和管理報(bào)表

管理

·Aventail 管理控制台（AWCT：針對(duì)所有選件的，基於(yú)Web 集中式的管理）

·安全Shell（SSH）支持

·目錄浏覽(lǎn)和連接測(cè)試

·DHCP 地址規(guī)定集成

·可自定義(yì)的模闆（針對(duì)WorkPlace 入口）

·視(shì)覺(jué)身份驗證流

·連接訪問的MSI 安裝程序選項集成瞭(le)标準化的軟件分布處(chù)理過程

·基於(yú)角色的管理 ·具備(bèi)用戶訪問會話超時功能，並(bìng)支持執設定超時時間 ·客戶(hù)端操作系統支持Windows Vista，windows XP、Windows2000、Windows PocketPC、Windows Mobile、Palm、RedHat、Mac等所有主動(dòng)操作系統的各版本。

高可用性

Aventail EX-2500

·支持高可用性（多達8 節點的來自外部源的雞群）帶有内置的負載均衡和狀态身份驗證失敗(bài)處(chù)理程序

·支持使用标準外部負(fù)載(zài)均衡程序的負(fù)載(zài)均衡陣列

 

 

硬件技術規格

EX-2500

形狀規格：1U 機架固定件

尺寸：17 英寸寬x  1.7 英寸高 x 19.6 英寸厚（43 厘米寬 x 4.4 厘米高 x 50 厘米厚）

處理器：Inter Xeon 2.4 GHz CPU 533 MHz FSB 2 GB DDR RAM 硬盤：80G

網絡：六個10/100/1000 T 形以太網

電源

輸入電壓：120(6A) / 240 (3A) VAC 自動開關

輸出功率：300 W

電源：MTBF 在35 攝氏度（95 華氏度）時可使用 100000 小時

環境

操作溫度：0 至40 攝氏度（32 至104 華氏度）

非操作振動：50 克、11 毫秒

所符合的規定

輻射 ：FCC 第15 條第A 部分 、CE、C-Tick、VCCI、CCC、BSMI

安全：UL、Cul、CE、TUV、STQC、S、PSB、CCC、BSMI、CB 報告