一、 方案说明
我们建议根据XX市XX区政府各单位的分布状况不同将XX市XX区政府政务网分成不同的级别,制定不同安全策略进行统一监控,分布管理。针对这种情况我们将分别进行方案设计。
1、XX市XX区政府数据交换中心
XX市XX区政府政务网数据中心为XX市XX区政府政务网数据存储中心、管理中心,因此流量及数据安全要求等级应当为最高。另外,其既与各相关所属单位连接,又与XX市政府等上级或平行单位连接、通讯,因此考虑可能的性能瓶颈问题及可靠性,建议采用大会话数防火墙设备,同时使用双击热备份。具体网络拓扑图如。
三星防火墙具有很强的会话处理能力,通过它良好的性能保证数据流量大的数据中心对吞吐量需求,此外可以采用ACTIVE-ACTIVE模式的双机热备份,实现系统可靠性的同时实现对防火墙的负载均衡,且无需使用L4交换机实现负载均衡。
2、XX市XX区政府所属各单位的防火墙解决方案
XX市XX区政府所属各单位的分布状况虽不同,但都在各自局域网络内存放着各自办公数据及重要资料。由于对Internet访问的需求,对上级主管部门通讯的需求及相关机构的信息往来等要求外部接入不可避免。因此要求防火墙除提供必不可少的局域网络保护和控制外,还需要防火墙提供多种配置模式,并且通过路由模式实现内网、外网、DMZ区域的划分,使网络更加安全可靠。同时由于XX市XX区政府所属各单位安全需求不同,又对可能用到的3A认证服务、各代理应用服务、附加功能的支持程度等都成为考虑的因素,这样来保证防火墙产品应用到各单位网络中后可灵活配置、满足各种变化的需求。对于认证服务器的要求可通过路由模式划分两个DMZ区域、一个内网区域,同时支持三个外网接入以满足不同用户的接入需求。具体网络拓扑如下。
对于较为复杂的单位网络环境还可采用简单的网桥透明模式,将防火墙放置在路由器与局域网交换机之间,访问将通过严格认证和控制。通过三星防火墙防火墙卓越的带宽管理功能,针对不同的区域、策略和主机分配带宽。
在路由模式下可对各单位网络的具体环境需求实现服务的负载平衡(Load Balancing)功能,并且合理分配关键主机的访问负载,满足我们实施政务网过程中进行分步投资网络服务器等设备的需求。
因三星防火墙 防火墙将黑客代码库集成在其可升级的防火墙操作系统中,所以它对黑客的多种攻击手段能做出最快的反应,例如著名的DDOS分布式拒绝服务攻击(Distributed Denial-Of Service),三星防火墙能根据客户端主机发出数据报的数量自动判断是否是DDOS 攻击程序攻击,并采取措施过滤掉攻击包或阻止。
3、远程用户的接入
三星防火墙 支持来自Internet等移动用户或访问站点的多种认证接入方式。无论是一次性口令认证访问方式,还是对口令加密的S/Key方式等都可作很好的支持。另外,三星防火墙防火墙还支持第三方的专用认证方式,例如RADUIS、LDAP、SecurID等。对于应用范围较广的拨号用户或相关单位的频繁访问,三星防火墙防火墙还可配置支持“容许支持相同用户名”、“容许用户使用相同IP地址”等方式来灵活应用防火墙并提供服务。
二、 方案优势
方案总体功能上能达到:
l 卓越的网络性能
l 丰富的应用拓展能力
l 完善的安全保护措施
l 全面的可靠性
l 灵活的互连能力
l 可扩充能力
l 开放性及安全性有机结合
l 跨平台的网络管理方式
卓越的网络性能
在XX区政府政务网络中,卓越的网络性能是政务在网上开展各种应用的必要保证,三星科技提供的政务网安全解决方案全部采用业界最新一代防火墙――第三类防火墙。第三类防火墙集合软、硬防火墙的优劣,具有专有操作系统,通过先进的分类算法技术、内核处理、多线程代理及特定的硬件平台实现防火墙的全线速处理。
同时利用三星防火墙支持状态检测功能下的多种应用程序能力和先进的分类算法技术实现对4层以上应用功能要求的服务进行高效处理和控制。并且可使产品高速性能不受策略数和会话数多少的影响。
丰富的应用拓展能力
三星防火墙产品不但能够线速地处理流量,而且能够开展多种服务要求,使得我们政务网络不仅仅是提供单纯的高速处理,而且可提供基于状态检测功能下的多种应用程序服务功能。
三星防火墙产品可支持SUN RPC 、SQL* NET、FTP (Passive/Active)、PPTP、H.323、IPSec、TFTP等多种应用程序及相关调用,并且可对这些程序进行策略控制。
另外,三星防火墙产品具有丰富的代理内容,包括HTTP、SMTP、DNS等。并且可针对这些代理定制丰富的应用内容和进行策略编辑。
完善的安全保护措施
三星科技应用并开发IDS功能,将IDS与防火墙结合。IDS作为三星防火墙的一功能模块可根据政务网络的具体环境需求进行开启。未开启IDS功能,三星防火墙防火墙仍可作到普通防火墙常有攻击检测与保护。这样IDS功能可为要求有深层次保护的网络提供一更完善的安全措施。
除此之外,三星防火墙产品还对HTTP附件、SMTP等可携带攻击可能的数据包实施CGI攻击检测、Java控件查询等安全措施来全方位保护内部网络。
同时三星防火墙产品与第三方的病毒厂商实现了良好的互动,整体、全面地实施网络安全保护。
全面的可靠性
在网络结构上支持高可靠性的HA结构,而且支持无需第4层交换设备的Active-Active方式。在冗余切换时,仍能稳定维持有效的会话通讯。
在操作系统开发上,OS基于Unix平台并将所选定的Unix平台予以精简。因为Unix是目前最稳定的平台,也是可扩展性最好的平台,在此平台上的开发无论是考虑产品稳定性还是可扩展性方面都是最优的选择。三星科技不仅选择了此平台,而且还将此平台予以精简,这又使得产品的性能与功能得到了良好的统一。
这样从整体到局部,三星可为整个网络系统提供足够的可靠性保证。
灵活的互连能力
由于XX市XX区政府所属的各单位对网络资源的需求经常随着政府网等的应用而发生变化,安全产品在互联方面应具有一定的灵活性。为满足各单位的不同需求而作灵活的系统配置和资源的再分配,三星防火墙可灵活配置到各种不同的网络环境中去。三星防火墙支持:
ü 单一物理端口的多IP配置
ü 动态OSPF路由通讯协议
ü NAT配置(PAT、动态NAT、静态NAT、LSNAT)
ü 透明模式
ü 路由模式
ü VLAN Trunk
另外,灵活性也表现在策略的制定和规划上。三星防火墙产品可充分利用其各种功能为政务网的全面应用和实施保驾护航。
可扩充能力
随着技术的发展和用户应用需求的不断提高,网络系统、应用系统等都需要进行不断的扩充。三星科技利用其防火墙产品和漏洞扫描评估产品的先进技术及一体化解决方案在将来扩充性方面提供了强有力的保障。
首先,防火墙产品和漏洞扫描评估产品都为三星科技一家的产品。在将来的产品更新、整体网络安全技术升级、非同类网络安全产品互通上都有良好可实现性和保障。
另外,三星科技在开发防火墙和漏洞扫描产品的整个过程中都将产品的可扩充作为主要考虑因素,扫描软件可自动完成更新,防火墙产品在配置菜单中留有升级选项。
总之,无论是产品的设计思想、体系结构,还是升级、扩充方式等,都为产品可扩充能力提供了强有力的保障并且我们的产品已经随着网络安全的发展在可扩充能力上达到国内和国际同类产品的领先水平。
开放性及安全性有机结合
三星科技的产品作为国际标准组织协议要求的一员,遵守国际标准的协议并向外提供接口。同时作为安全产品本身又有良好的安全性,产品本身无论从操作系统还是运行平台都是专有的。在类似分类算法等多项先进技术上申请了专利,使产品的开放性和安全性有机结合。
跨平台的网络管理方式
三星防火墙产品可实现跨平台的管理方式。无论我们的网络将来配置Unix系统的服务器还是Mac机器,三星防火墙的跨平台管理方式都会满足计算机管理者管理需求在任意平台上进行防火墙的管理工作。不受操作系统平台的限制。
同时还支持集中管理、SNMP等各种具体的管理方式。