Astaro多功能安全网关方案
根据优化方案中指出的出口网关问题,我们设计如下Astaro多功能安全网关解决方案,保护并监控用户对Internet资源的使用。
一、 公司内部Astaro多功能安全网关部署
1. 网络结构图
2. 部署设备说明
a. 如上图所示,在网络出口位置配置一台Astaro多功能安全网关——ASG 320,部署在Internet线路和核心千兆交换机之间。按路由模式工作,不需要调整网络IP地址规划,ASG 320置换原有防火墙设备。
b. 可以在各个楼层根据需要部署Astaro公司的Wi-Fi接入点,这样可以形成一个无线网络方便用户使用。
3. ASG 320
Astaro公司的多功能安全网关——ASG 320,是一台中端安全网关设备,
其******吞吐量达到3.0Gbps,******并发连接数在60万,VPN处理能力达到350Mbps,提供8个千兆电口。
作为多功能安全网关,ASG 320可根据用户的发展需求配置对应的安全模块。按照用户对安全网关的需求,我们建议为ASG 320配置含三年技术服务和保修服务的全套安全模块。
ASG 320可以实现如下主要功能:
· 多条Internet链路接入
目前用户是一条Internet线路,ASG 320可以支持最多8条Internet链路的负载均衡,这样为用户今后的网络带宽增容提供的基础。
· 企业级防火墙功能
支持多种NAT方式;支持时间管理;支持DNS管理;可以通过策略控制源IP地址、目的IP地址和通讯端口;支持QoS;支持VLAN;支持多路负载均衡;支持HA等。
· 对P2P应用的控制
支持对当前Internet上使用的多种P2P应用进行识别,并可以做到记录行为、或阻断通讯、或实施限速。这样可以满足用户对P2P控制的需求,并帮助用户节省大量的Internet链路带宽开销,同时提高了内网PC的安全。
· 对Web网站浏览控制
支持对Internet上的所有网站进行分类管理。管理员可以设定哪类网站属于危害性网站,不对内部用户提供访问权。这样就可以确保用户在有意或无意中访问到危害性网站,从而威胁到PC的安全或影响生产力。
ASG 320对Internet网站的分类为96种,如果管理员有针对性的实施某些网站的访问控制,可以通过手工输入URL地址的方法实现对用户的控制和管理。
· 恶意软件的拦截
ASG 320提供强大的病毒扫描、间谍软件拦截、扩展名过滤等多种功能,用于保护用户上网时免受嵌套在网页中的恶意软件的攻击。在网关处统一保护内部用户PC,减轻桌面杀毒软件的工作压力。并让管理员全局地监控到网络威胁的发生,定位到具体的IP地址。
· 无线控制器
ASG 320通过配置无线控制模块,可以作为无线控制器使用,管理员无需登录到部署的每台AP设备单独配置,只需要通过ASG 320就可以做到对全部AP设备进行集中SSID管理、策略分发、IP地址控制、无线用户访问控制等多项功能。
· VPN功能
ASG 320支持网关间建立IPsec、SSL VPN,这样可以满足用户搭建公司与IDC机房的VPN通讯需求。同时也为移动用户提供SSL、PPTP、L2TP VPN接入功能,方便用户远程办公。
· 反垃圾邮件
如果用户希望对邮件进行安全处理,那么可以选择使用ASG 320的反垃圾邮件功能。该功能可以在SMTP和POP3协议上对邮件进行病毒扫描、垃圾邮件识别、SMTP邮件加密和提供邮件用户隔离区域的服务。其使用效果不次于专业反垃圾邮件产品。
4. Astaro Wireless AP
Astaro公司为多功能安全网关提供配套的Wi-Fi设备,用于方便用户在使用无线接入的同时,得到更专业的安全防护。
AP 30 AP 10
Astaro公司目前提供2中AP设备可供用户选择。
AP 30设计为吸顶结构,可以方便地嵌入用户建筑物的室内吊顶中,美观大方,不影响整体建筑环境。
AP 10设计为桌面结构,可以摆放也可以壁挂。
AP 10和AP 30的主要功能特点:
· 支持802.11 b/g/n
· 支持WAP/WAP2
· 支持802.1x认证
· 支持8个SSID
· 支持桥接与路由2种工作方式
· 支持无线用户漫游
· 无配置界面,需要使用ASG集中管理