1:业务背景
XX是一家连锁工销售企业,业务遍及全国各省。物流和财务信息的传输需要确保安区,但是申请专线的费用很高。 Internet为企业的信息传输提供了一个经济有效的平台,然而安全问题值得担忧。目前有100多个分公司遍布全国各地,还有大量的出差在外的业务人员需要及时安全地访问企业总部的服务器。
2:需求分析
信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一,集团内部的各类信息、营销策略如何及时送达至所有在外工作的业务人员,而在外工作的业务人又如何能通过一种高效、安全、可靠的方式将他们的业务开展情况反馈到集团总部,并通过企业内部的营销系统、ERP等业务系统迅速展现在企业决策者面前,一直是我集团期待解决的问题之一。
公司在国内的驻外人员分布在各省会城市,负责该省内的所有产品营销业务。由于需要及时和企业总部进行财务及其它信息的传输,这些业务数据在Internet上直接传输时又存在较高的安全风险,一旦这些数据被盗取或泄漏出去,必然会造成公司业务的严重损失。
3:初步需求如下
100多个分公司分别通过当地电信部门接入Internet。这些分支机构的网络要受到安全设备的防护,必须有防火墙设备,此外,为防止遭受病毒,黑客入侵的威胁,应用层的安全必须受到保护,设防火墙设备应该具备防病毒和防入侵的功能。企业总部网络有重要的数据库系统,防止病毒和黑客的入侵极为重要。
由于所有分公司要和企业总部建立点到点VPN连接实现安全的数据传输,高性能的VPN功能必须集成在设备内部,便于统一管理。此外出差在外的员工也要能够及时地通过Internet安全地访问企业的数据库,移动用户必须通过VPN加密方式访问企业网络资源。
4:方案目的
作为保护企业内部网免遭外部攻击,确保信息安全地通过Internet传输,最有效的措施就是在分别在企业系统内部网与外部广域网之间放置UTM设备(即:防火墙+ VPN +网关防病毒+ IPS),通过设置有效的安全策略,做到对企业内部网的访问控制。为了方便远程/移动用户安全访问集团内部的机密资料,并为公司建立起安全经济的网络通信连接,故推荐配置使用基于深度包检测技术的UTM设备——美国SonicWALL UTM设备(防火墙 + VPN + 网关防病毒 + 防入侵)。
SonicWALL系列UTM设备是在NASDAQ上市的美国SONICWALL公司的著名网络安全产品,全球销量超过60万台,是目前全球销量******的硬件防火墙和市场占有率最高的硬件VPN产品。
SonicWALL采用软硬件一体化设计,在高性能硬件平台上,利用先进的防火墙技术和SonicWALL专有的安全高效的实时操作系统,再加上************的加密算法、身份认证技术以及网络防病毒技术,是一个强大的,集应用级防火墙、VPN,网关防病毒,防入侵(IPS)、内容过滤、,反间谍软件等多种安全策略为一体的,稳定可靠的高性能网络安全系统。其完善的产品系列和卓越的性能价格比为不同规模、不同行业、不同上网方式的用户提供安全、快速、灵活、超值的网络安全解决方案。(详情请参考附件1)。
可以在总部或某一地点统一管理分布在全球的SonicWALL防火墙设备,可以为不同地点的SonicWALL防火墙设备做不同的设置;建立报警中心,集中、实时的监控全球各地SonicWALL的运行状态和网络访问流量。
二、方案设计
首先,有效的隔离是保障安全的一项基本前提,而公司总部的网络安全是重中之重,所有有可能对总部网络安全造成威胁的连接点都将是总部必须控制连接的关键。因此,我们在总部的internet出口处配置防火墙来进行有效的隔离,通过防火墙的策略来授权访问总部的相关数据。同时,针对可能通过所有连接到总部的所有接点发起的针对总部的攻击的侦测和防范也是一个必须考虑的重要因素之一,入侵检测和防护是必不可少的。另外,由于网络病毒的泛滥,有效阻隔外部传入的病毒是保障总部应用安全的一到屏障,网关防病毒也是必须而且必要的。
其次,由于分公司需要和总部互联,而internet的传输是不安全的,公司需要一种安全的互联网安全传输解决方案,而VPN是目前公认的一种经济安全的internet传输解决方案,因此,作为总公司interner出口出的防火墙必须具备VPN功能,以提供分公司及移动办公的人员到总公司的安全互联。
移动办公的人员需要及、安全有效的连接到总部服务器进行公务处理,移动VPN功能将是一个关注点,因此,作为总公司的internet出口防火墙必须支持移动VPN功能以解决移动办公的安全互联问题。
企业安全互联的最终目的是为了提高生产力,一个不间断运行的网络是有效提高生产力的有力保障,鉴于下属分公司均采用ADSL接入方式来连接到internnet和访问总部,而ADSL的连接方式并不是完全实时可靠的,也就是说,ADSL的线路模式并不能保障分公司能实时的连接到总部,因此,我们在设计方案是必须要考虑的这种实时连接情况,一般的解决方案是:再添置另外一种连接方式,比如另外一家ISP提供的线路,但这种方式显然不符合企业节源开流的精神,因此我们必须在现有的线路情况下,综合考虑解决方案,******限度的利用现有线路来解决实时连接问题。众所周知,ADSL是传输在普通电话线路上的数据链路,在ADSL出现以前,电话线路的拨号连接方式曾经是一种主流的internet接入解决方案,那么,我们就可以从这里着手来考虑企业实时互联的解决方案了。即,我们可以把普通电话线路上的拨号连接来作为第2种冗余internet接入解决方案,那么作为这种解决方案中的防火墙设备,必须要支持PSTN的拨号连接方式。
有鉴如此,我们设计了如下的方案,方案拓扑如下:
企业总部采用高性能的PRO5060UTM设备, 该设备具备防火墙功能, VPN 功能、网关防病毒,入侵防御,反间谍软件等功能。
考虑到分公司连接到总部的连接量,针对各公司的internet接入规模,我们采用不同的sonicwall防火墙设备,推荐规模--产品对应表如下:
|
分公司internet接入规模(计算机数量)
|
推荐sonicwall配置
|
|
<=10
|
Sonicwall TZ170/10
|
|
<=25
|
Sonicwall TZ170/25
|
|
<=100
|
Sonicwall TZ170/UNR
|
|
<=200
|
Sonicwall PRO2040
|
|
<=300
|
Sonicwall PRO3060/PRO4060
|
|
>300
|
Sonicwall PRO5060
|
分公司的接入到总公司统一采用SonicWALL UTM 设备,SonicWALL UTM设备均具备防火墙、VPN 功能、网关防病毒、入侵防御、反间谍软件等功能。
所有的移动用户在笔记本电脑上安装SonicWALL VPN客户端软件GVC,随时随地方便快捷地与企业总部甚至分支建立VPN连接,安全地访问企业的信息。
企业总部与分公司建立点到点的VPN隧道,移动办公的用户与企业总部的PRO5060建立客户端VPN连接。这样分布式企业的所有网络出口入口都受到防火墙的保护,分公司与总公司及移动用户与总公司的通信都受VPN隧道的保护,如果启用网关防病毒,入侵防御和反间谍软件功能,则所有地点的内部网络都受到应用层的安全防护。 此外,SonicWALL UTM设备能够阻断病毒,入侵在企业各个分公司和总公司之间通过VPN隧道的传播。间谍软件会造成企业或个人的敏感信息的泄漏,SonicWALL防间谍软件功能使SonicWALL能够中断来自计算机中已存在的间谍软件的后台通信,同时通过扫描并屏蔽间谍软件感染的电子邮件以及检测自动安装的ActiveX 控件的方式阻止间谍软件的传播。
SonicWALL PRO 系列UTM设备能够并行扫描超过50种协议上的近25000种病毒,检测并阻断近2000种入侵威胁。
SonicWALL还支持近百种签名对及时消息(IM,如MSN、QQ)和对等应用(P2P,如BT下载、eMule下载)的通信进行控制,如封堵QQ2005,能够扫描NetBIOS 协议,防止病毒通过Windows文件共享进行扩散。
针对不同的网络规模,我们设计了不同的安全配置来解决安全问题,同时也达到了资源的合理配置、资金的合理利用。
3.1防火墙连接方案
3.1.1总公司
鉴于总公司的规模比较大,而且企业规模和业务应用模式在呈增长趋势,为应对今后日益扩大的企业规模和业务应用,在配置总公司internet出口防火墙时,必须考虑到设备的可扩展性,因此,我们在总部的internet出口出配置一台高性能的sonicwall PRO5060C/UTM防火墙,SonicWALL PRO5060C/UTM防火墙有6个10/100/1000Mbps自适应端口(1个WAN、1个LAN,一个DMZ端口和3个自定义端口),支持无限用户, 支持多达4000条点到点VPN 隧道和6000个客户端VPN隧道,能够满足公司总部与分公司数据传输和内部访问的安全需要.
公司总部的局域网接在LAN口上,防火墙会阻止所有未经许可的访问到LAN口上的电脑;通过这种解决方案有效地保证公司局域网、各类服务器免受来自互联网黑客的各种攻击。移动用户采用VPN 客户端和总部连接。
SonicWALL PRO5060UTM内部集成的网关防病毒,入侵检测和防御及反间谍软件服务,确保应用层的安全,防护针对Windows操作系统和数据库诸如Oracle和SQL Server的攻击,还可以阻断不必要的应用如QQ2005 等等,提高员工的工作效率。
3.1.2分公司
由于分公司的网络应用规模比较小,接入带宽以及连接到总公司的网络流量比较小,因此,针对不同的网络规模,我们为其在internet的出口分别对应配置不同型号的sonicwall UTM防火墙。由于SonicWALL产品是UTM设备,不用担心黑客的攻击。不象其他网络全产品公司,有些型号的产品是收购其他公司,所以不同型号的产品功能有很大区别,SonicWALL 全线产品都是SonicWALL 公司开发,具备同样的安全防护功能。SonicWALL 产品除了支持DDN专线等固定IP地址的线路外,还支持DHCP、PPPoE、PPTP或L2TP,甚至ISDN或电话线拨号。不用担心现在的购买的SonicWALL 产品,将来因公司的发展要更换线路而不适用。
3.1.2.1基于ADSL拨号上网的分支
由于前述的ADSL的线路特点,充分考虑到网络实时连接的高可用性,我们推荐使用sonicwall TZ170SP UTM产品,该产品内置modem,可以在主ADSL链路断开时自动通过电话拨号上网,解决了实时连接到互联网及总公司的需求。
3.1.2.2针对ADSL接入方式且有无线连接需求的分支
我们采用TZ170SPW/UTM设备,该设备不仅可以冗余internet连接,在主ADSL连接断开时自动采用modem拨号方式实时连接到互联网及公司总部,同时解决了无线连接的问题。
3.1.2.3针对小用户(<25用户)的分支
我们采用sonicwall PRO1260/UTM设备,该设备内置24个以太口交换机模块,可以在不额外添置局域网交换机的情况下有效利用防火墙的交换机模块解决内部上网连接的需求。
3.1.2.4针对有一定规模接入的分支
我们采用sonicwall PRO2040/UTM设备,该设备主要设计用来应对有一定规模网络连接的分支机构的网络安全解决方案。UTM功能的实施可以在深层次上解决更多的安全问题。
3.2 VPN 解决方案
3.2.1分公司和总公司的VPN连接
VPN在网络中拓扑示意图如下图所示。
下面是VPN的实现过程。如图下图所示:
在两台VPN1(总部)和VPN2(分部)之间建立一个VPN通道。假设网络A中的主机A与网络B中的主机B之间进行通讯。A发出请求包,该数据包首先到达VPN1,VPN 1对其进行认证并加密,然后通过建立的VPN通道传送到VPN 2,VPN 2对该数据包进行认证并解密,然后将此包传送给主机B。反向的数据包同样经过这个过程。这样就能保证数据包通讯过程中的完整性,机密性。
3.2.2移动用户访问总部的VPN
客户端到总部的VPN的连接过程如下图:
根据一个中心多个远程节点的设计方法,采用移动用户与总部网互联方式,即站到站(Site-Client)VPN连接方式,连接过程如下:
移动用户的VPN客户端向总部VPN网关发起连接请求,并发送第一阶段(Phase 1)用户验证和密匙信息(MD5或SHA1加密);
总部的VPN网关响应请求,并对移动发来的用户和密匙进行验证;
如果第一阶段验证通过,主端发送第二阶段(Phase 2)验证挑战请求;
从端发送第二阶段(Phase 2)用户验证和密匙信息(MD5或SHA1加密);
如果第二阶段验证也通过,两端的VPN核心引擎开始采用168位(3DES)协调数据加密算法,从而建立标准的IPSec VPN通道,双方局域网内的用户即可在VPN通道内传送加密的用户数据,每个传送的数据包都会随机选择不同的密钥进行数据加密。
备注: SonicWALL VPN 客户端认证支持内部数据库认证,Radius ,RSA SecureID, 及第三方证书等等。
所有sonicwall UTM防火墙内置了网关防病毒以及入侵检测和防护功能,可以有效的阻隔通过此网关传出/传入到总部的病毒,同时能自动侦测到针对总部内部网络的攻击并进行响应的防护处理。可以通过策略方式来实现针对指定的分支机构/IP传入到总部的数据进行病毒、入侵特征进行扫描。保障总部的安全。
sonicwallUTM防火墙内建VPN功能,同时支持端到端以及接点到中心的VPN接入方式,分公司和移动用户可以通过VPN安全方便的连接到总部进行业务处理,VPN在次连接中有效的保障数据传输的安全性。
sonicwall防火墙后,可以有效的阻隔可能发生的针对总部发起的网络扫描、端口探测、syn攻击、ping flood等等多种黑客攻击行为并对可能发生的针对总部的攻击行为做到及时的预警及防范;通过可以限制单IP的并发连接数,保障网络带宽的合理分配,另外,由于sonicwall防火墙支持带宽管理,可以针对不同的网络应用分配指定的带宽,优先指定服务级别较高的网络服务享用更多更合理的带宽,强化主要网络应用的优先权,保障分支机构和总部之间的关键业务顺畅进行而不会因为带宽不足导致网络塞车。
3.3关于现有投资的保护
XX总部目前采用PRO2040来作为internet接入共享器,当实施上述网络安全方案之后,该PRO2040设备不会因此闲置而导致投资浪费,本方案设计之初就充分考虑了这个问题,因此在设计本方案时,我们从安全网络冗余的角度出发,充分考虑网络不间断运行的需求来设计本方案,我们的实施方案是:把PRO2040作为中心PRO5060的热备用设备,或者作为分支机构中比较有规模的internet防火墙。
3.4方案实施的效果
通过上述安全设备的配置,在XX总部及各分支机构的网络安全方案实施后可以达到如下效果:
l 可有效隔离来自分支机构针对总部的非授权访问
l 可以有效处理来自分支机构传入到总部局域网或者总部局域网传出的病毒
l 可实时侦测并防范来自internet针对总部局域网发起的攻击行为
l 可统一管理方案中配置的安全设备,做到集中管理,集中审计,集中策略分发。
l 可以实现什么分支机构在什么时间能访问总部的什么资源,确保总部资源的基于身份的访问权限
l 可以构建一个整网的VPN互联通道,确保传输的数据的安全性,可靠性。
实施效果图如下图示:
4.1:全局性、均衡性、综合性
本方案从全局出发,综合考虑了各种安全风险,着重于总部的接入点的网络安全风险并采取了相应的安全措施,同时根据集团总部各接入点的安全强度的不同配置了相应的安全设备,综合考虑了安全产品的可集中控管性。
4.2:可行性、可靠性、安全性
本方案中涉及到的安全技术均是安全领域中成熟的、值得信赖的技术规范,其中所有安全技术均通过了ICSA的强制认证,其可行性、可靠性以及安全性均在安全领域中得到了大量的实践验证并被作为安全规范来执行,是经得起考验的。其次,sonicwall是安全领域的一个优势的实力品牌,其安全产品的可靠性和安全性同样值得信任!
Sonicwall的PRO系列防火墙支持桥接模式、NAT、路由或者混合模式,可以很好的适应网络配置的更改,当实施本方案,即接入防火墙时,用户几乎感觉不到防火墙的存在,但是安全模式并没有因此而降低。
SonicWALL一体化全硬件防火墙结构将硬件单点失效的几率降到了更低的层次,大大提高了防火墙的整体可靠性,同时,SonicWALL的Dual WAN技术的使用大大提高了网络的连通可靠性,使得网络可以不因为防火墙的局部失效导致网络可靠性降低。
4.3:适应性、扩展性
本方案在设计之初就充分考虑了方案的适应性和可扩展性,整个方案是针对整个XX广域网进行设计的,采用了相同的技术线路,因此,当安全系统扩展到整个XX的广域网范围时,能体现很好的适应性和扩展性,具体说明如下:
适应性:
总部的设计带宽是1000M,采用的是SonicWALL的PRO5060 UTM设备,该设备的吞吐能力为2G,可远远适应公司总部目前的网络规模;分公司目前连接到总部的线路带宽均在10M以下,而SonicWALL的PRO系列和其他TZ系列的防火墙的设计带宽均是100M,因此,当各分支机构网络规模扩大时,防火墙仍有很强的网络适应能力
方案中涉及的所有SonicWALL UTM防火墙内核引擎均可以通过fireware升级方式获得升级,可以很好的适应XX将来应用种类的增加。
方案中涉及的所有SonicWALL UTM防火墙的反病毒库和入侵特征库均是实时升级的,能从容应对未来病毒及入侵手段的更新。
可扩展性:
SonicWALL PRO2040UTM/PRO3060防火墙的标配物理端口数均是3个,当升级至增强版(软件升级即可)后,非标配的物理端口(PRO2040 可扩展端口为1个,PRO3060可扩展端口为3个)便可以轻松的扩展进来,有着良好的网络扩展性。
SonicWALL UTM防火墙是纯硬件防火墙,除了标准的UTM功能之外,还内建了许多的扩展功能,如邮件过滤功能、强制客户端网络防病毒功能、强制客户端个人防火墙功能、实时邮件黑名单功能,反间谍软件功能、internet内容过滤功能,这些都可以通过license方式来激活,当XX的应用需求扩展时,只需要增加相应的license就可以使用上述扩展功能,具有良好的应用功能扩展性。
SonicWALL的强制客户端安全系统和VPN客户端也是通过license来授权的,当集团应用规模扩大时,只需要增加相应的授权license就可以实现用户数的轻松扩展,目前RPO5060标配的VPN客户端授权是2000个,可以在很好的适应将来的VPN规模扩展。
|