Fortinet VPN病毒防火墙解决方案

２∞４行业信息网络安全优秀解决方案展示

∥黎∥裳ｉ戳ｅ雹ＶＰＮ病毒防火墙解决方案

融合了ＶＰＮ功能的新型病毒防火墙，代表一种网络安全的新理念，突出了多功能实时网络防护的优势，完全适合电力系统网络的安全应用。本方案以南方省级电力公司信息中心综合安全网关为例进行介绍分析。

解决方案的总体要求

信息中心在总体安全设计方面要求部署一个稳定可靠的、高性能多功能的综合安全网关，具体考虑以下因素：要求网络Ｉｎｔｅｍｅｔ出口处具有防火墙、防病毒、ＶＰＮ和入侵检测／阻断功能：要求在中心与基层之间支持ＶＰＮ功能，要求采用集成的防火墙、ＶＰＮ、内容过滤、防病毒、带宽管理和入侵检测／阻断硬件一体化功能，要求在性能上达到全线速硬件处理机制，设备至少具有足够的百兆和千兆以太网口连接端口：要求实现基于策略的Ｑｏｓ带宽管理：要求采用统一的中文管理界面，并能通过ｗｅｂ远程操作管理：要求具备高可靠性：要求具有日志记录功能。

设计思路和关键因素

综合安全网关的设计思路是提供一个整体解决方案。在每个基层单位接入公司中心网络处部署一台百兆级安全网关．在Ｊｎｔｅｒｎｅｔ出口处部署两台容错的高性能安全网关．在电力公司网络汇集处也部署两台容错的高性能安全网关。照此部署的安全网关必须能够满足前述功能和策略要求。

同时，为了能对现有系统进行性能升级，在选择设备时还需要考虑以下几

美国飞塔公司

个因素：

充分了解现存在的安全问题和各项

安全需求ｊ选择稳定可靠、高性能、功

能强大的综合安全网关产品．合理地部

署防火墙产品，划分各功能区域：对网

络（ＩＰ规划、ＶＬＡＮ划分、路由设置等）

进行全面的安全优化和调整：选择有实

力的、售后服务有保证的系统集成商和

原始厂方进行合作。

设备选型

该系统选用了美国Ｆｏｒｔｉｎｅｔ公司的四

台千兆级防火墙ＦｏｒｔｉＧａｔｅ一３０００和多台百

兆防火墙ＦｏｒｔｉＧａＩｅ一３００。在公司级Ｉｎｔｅｍｅｔ

出口安装两台千兆防火墙．支持ＨＡ，防

火墙吞吐量达２２５Ｇｂｐｓ。在公司与ＡＴＭ

汇聚网络之间安装两台干兆防火墙。而

在各供电局或基层单位与ＡＴＭ网络之间

选用百兆防火墙，防火墙吞吐量达

２００Ｍｂｐｓ。

在安全功能区域的划分上系统包括

三个区域由出口处部署的两台千兆容

错安全网关将网络隔离为外部Ｉｎｔｅｍｅｔ网

区、外部ＤＭｚ（保护）区和公司内部网

区。由网络汇集处部署的两台千兆容错

臣系统信息中心安全网关拓扑图

安全网关；Ｉ奇网络隔离为接入网区、公司

内网区、服务器区。基层单位安全网关

主要隔离为接入区和基层单位内网区．

也可以考虑增加一个基层单位自己的

ＤＭｚ（保护）区。

Ｉｎｔｅｍｅｔ出口防火墙策略设计需要开

启网关防病毒／防蠕虫功能、拨号ＶＰＮ

功能、带宽管理功能、防火墙功能、内

容过滤功能、网络地址转换（ＮＡＴ）功

能、日志管理功能。

综合安全网关功能

●防火墙功能．包过滤、状态检测。支持路

由、ＮＡＴ、透明模式、基于策略的ＮＡＴ，

?防病毒功能．基于策略控制．支持ＨＴＴＰ、

ＦＴＰ、ＰｏＰ３、ｓＭＴＰ、｜ＭＡＰ病毒扫描、清除隔

离功能，可自动升级更新病毒库，

●内容过滤功能：基于策略控制、ｕＲＬ地址

屏蔽、ｕＲＬ地址列表、关键字屏蔽、阻塞Ｉｎｔｅｒｎｅｔ

小应用程序，

●ＶＤＮ功能．支持ＰＰ什、ｌＰｓＥ、Ｌ２ＴＰ标准

支持网关到网络、客户端到网关模式．

●入侵检测／阻断功能．支持Ｄｏｓ／ＤＤｏｓ（拒

绝服务）攻击检测、支持ｌＰ层攻击检测、支持

用户定义攻击列表、支持自动攻击特征库升级、

攻击特征库大于１４００条．

●流量管理，

●数据流处理方式．采用硬件处理防火墙、

ＶＰＮ、防病毒、内容过滤、入侵检测数据流，

●进行用户认证．

●日志和监控，

基于Ａｓｃ体系结构的病毒防火墙，解决了

功能与性能之问矛盾，提高了性能，也降低了

成本。集防火墙防病毒．内容过滤．ＶＰＮ．入

侵检测和流量控制功能于一体，在功能与性能

上都优于传统网关安全产品．性价比好，操作

维护简便，为企业提供了整体解决方案。

　万方数据