Fortinet VPN病毒防火墙解决方案
2∞4行业信息网络安全优秀解决方案展示
∥黎∥裳i戳e雹VPN病毒防火墙解决方案
融合了VPN功能的新型病毒防火墙,代表一种网络安全的新理念,突出了多功能实时网络防护的优势,完全适合电力系统网络的安全应用。本方案以南方省级电力公司信息中心综合安全网关为例进行介绍分析。
解决方案的总体要求
信息中心在总体安全设计方面要求部署一个稳定可靠的、高性能多功能的综合安全网关,具体考虑以下因素:要求网络Intemet出口处具有防火墙、防病毒、VPN和入侵检测/阻断功能:要求在中心与基层之间支持VPN功能,要求采用集成的防火墙、VPN、内容过滤、防病毒、带宽管理和入侵检测/阻断硬件一体化功能,要求在性能上达到全线速硬件处理机制,设备至少具有足够的百兆和千兆以太网口连接端口:要求实现基于策略的Qos带宽管理:要求采用统一的中文管理界面,并能通过web远程操作管理:要求具备高可靠性:要求具有日志记录功能。
设计思路和关键因素
综合安全网关的设计思路是提供一个整体解决方案。在每个基层单位接入公司中心网络处部署一台百兆级安全网关.在Jnternet出口处部署两台容错的高性能安全网关.在电力公司网络汇集处也部署两台容错的高性能安全网关。照此部署的安全网关必须能够满足前述功能和策略要求。
同时,为了能对现有系统进行性能升级,在选择设备时还需要考虑以下几
美国飞塔公司
个因素:
充分了解现存在的安全问题和各项
安全需求j选择稳定可靠、高性能、功
能强大的综合安全网关产品.合理地部
署防火墙产品,划分各功能区域:对网
络(IP规划、VLAN划分、路由设置等)
进行全面的安全优化和调整:选择有实
力的、售后服务有保证的系统集成商和
原始厂方进行合作。
设备选型
该系统选用了美国Fortinet公司的四
台千兆级防火墙FortiGate一3000和多台百
兆防火墙FortiGaIe一300。在公司级Intemet
出口安装两台千兆防火墙.支持HA,防
火墙吞吐量达225Gbps。在公司与ATM
汇聚网络之间安装两台干兆防火墙。而
在各供电局或基层单位与ATM网络之间
选用百兆防火墙,防火墙吞吐量达
200Mbps。
在安全功能区域的划分上系统包括
三个区域由出口处部署的两台千兆容
错安全网关将网络隔离为外部Intemet网
区、外部DMz(保护)区和公司内部网
区。由网络汇集处部署的两台千兆容错
臣系统信息中心安全网关拓扑图
安全网关;I奇网络隔离为接入网区、公司
内网区、服务器区。基层单位安全网关
主要隔离为接入区和基层单位内网区.
也可以考虑增加一个基层单位自己的
DMz(保护)区。
Intemet出口防火墙策略设计需要开
启网关防病毒/防蠕虫功能、拨号VPN
功能、带宽管理功能、防火墙功能、内
容过滤功能、网络地址转换(NAT)功
能、日志管理功能。
综合安全网关功能
●防火墙功能.包过滤、状态检测。支持路
由、NAT、透明模式、基于策略的NAT,
?防病毒功能.基于策略控制.支持HTTP、
FTP、PoP3、sMTP、|MAP病毒扫描、清除隔
离功能,可自动升级更新病毒库,
●内容过滤功能:基于策略控制、uRL地址
屏蔽、uRL地址列表、关键字屏蔽、阻塞Internet
小应用程序,
●VDN功能.支持PP什、lPsE、L2TP标准
支持网关到网络、客户端到网关模式.
●入侵检测/阻断功能.支持Dos/DDos(拒
绝服务)攻击检测、支持lP层攻击检测、支持
用户定义攻击列表、支持自动攻击特征库升级、
攻击特征库大于1400条.
●流量管理,
●数据流处理方式.采用硬件处理防火墙、
VPN、防病毒、内容过滤、入侵检测数据流,
●进行用户认证.
●日志和监控,
基于Asc体系结构的病毒防火墙,解决了
功能与性能之问矛盾,提高了性能,也降低了
成本。集防火墙防病毒.内容过滤.VPN.入
侵检测和流量控制功能于一体,在功能与性能
上都优于传统网关安全产品.性价比好,操作
维护简便,为企业提供了整体解决方案。
万方数据