1、背景介绍: 随着某集团业务的快速增长,现有数据中心已经不能满足庞大业务的需求,主要表现在:各级公司的机房、网络和业务系统缺乏长远的规划,绝大部分处于低水平建设等级;机房监控及技术手段配备严重不足;各级公司的数据中心应用系统没有容灾方案,都是单一设备部署,网络可靠性、安全性低。
2、用户需求: 此次某集团重新建立新的数据中心,作为整个基础架构的一部分,在安全领域提出如下要求
1、 设备级的网络层-应用层防护
2、 能够满足5万人左右的访问需求
3、 能够使用多种手段有效的隔离应用层的入侵或者漏洞
4、 能够阻止不同区域之间的病毒、木马等各种威胁的传播
5、 能够根据应用程序来制作相应的访问规则
6、 能够实时的监控当前的网络中的各种应用流量及各种网络访问情况,并且能够够根据应用的不同归类
7、 必须要有足够的应用层的吞吐量
3、网络拓扑:Dell Sonicwall 根据用户的需求,提出如下解决方案:
4、方案说明:
网络结构主要分为internet接入区、广域网区、及三个分支机构数据中心。
· 在互联网区域, 部署两台Dell Sonicwall NSA E8510设备做HA,A/P的模式,设备的工作模式为路由模式。并开启UTM功能来预防来着internet的安全威胁。
· 在广域网与核心业务区之间部署两台 Dell Sonicwall suppermassive E10200设备做HA,A/P模式,设备的工作模式为wire mode带安全检测模式,并做相应的访问规则,允许哪些用户能够访问到哪些资源,并且开启UTM功能预防来自广域网的威胁。
· 另外三个数据中心其中1号数据中心使用两台NSA3500设备做HA,A/P模式,设备的工作模式为NAT模式,2号和3号数据中心各一台设备,工作模式同样为NAT模式全部开启了UTM功能和相应的访问策略。
· 广域网用户需要访问核心数据中心的业务系统,必须经过DELL sonicwall suppermassive NGFW扫描,包含GAV IPS 反间谍软件、应用层扫描、将威胁拒之门外
· 其他分支机构的用户访问核心业务区也需要本地的sonicwall NGFW和广域网核心区的suppermassive NGFW扫描。
· 因广域网的访问量非常庞大,业务吞吐量大概在2G左右,所以必须有足够强大的应用层处理能力,才能不造成业务的卡壳
· 核心业务区的应用访问internet或者internet用户访问核心业务区,同样需要通过sonicwall E8510的NGFW的扫描
5、设备选型
internet出口选择两台NSA E8510,广域网与核心业务区之间选择suppermassive 10200两台,1号数据中心两台3500,2号和3号数据中心各一台3500.
6、实施周期 (NGFW防火墙部分)
防火墙部署实施在各厂商及用户IT人员的配合下,3天之内完成全部配置。