Versión empresarial de Skynet Firewall
El firewall a nivel de departamento de Skynet está especialmente diseñado para la red interna de pequeñas oficinas/instituciones. Tiene funciones integrales, integra alta seguridad y alta disponibilidad, y es simple y flexible de usar. Puede resistir eficazmente varios ataques de Internet y garantizar el funcionamiento normal de los servicios normales de la red interna. También puede elegir diferentes módulos de funciones adicionales según las necesidades reales para satisfacer sus necesidades cambiantes.
Modelo de firewall: FW2010 a nivel de departamento
Funciones del sistema:
1. El primer núcleo de firewall profesional de propiedad nacional
2. firewall de filtrado basado en detección de estado
3. Puente virtual con función de filtrado de paquetes
4. Con función de detección de bandera TCP
5. función de traducción
6. Admite la vinculación de múltiples direcciones IP para puertos de red, admite aplicaciones de múltiples subredes y múltiples IP
7. Admite la vinculación de la dirección IP y la dirección MAC de la tarjeta de red
p>
8. Monitoreo del estado de la red y del sistema en tiempo real
9. La actualización del software del módulo de funciones es simple y fácil de expandir
10. gestionar
Solución de red típica:
Una pequeña oficina/institución suele tener una LAN independiente, que está conectada a Internet a través de una línea dedicada (ADSL, DDN, etc.) y necesita proteger el interior La red está protegida contra intrusiones externas. En esta aplicación típica, el firewall está construido detrás del dispositivo de acceso telefónico para proteger la seguridad de los usuarios de la red interna de pequeñas empresas que acceden a Internet. En los gobiernos y las grandes empresas, existen redes de área local independientes a gran escala, que necesitan acceder a redes externas a través de varias conexiones de banda ancha y, al mismo tiempo, deben proporcionar diversos servicios de aplicaciones para redes externas. El firewall Skynet de nivel empresarial para redes de grandes empresas no solo tiene la función única de defensa contra ataques del firewall Skynet, detección de banderas TCP y otras excelentes funciones básicas, sino que también tiene poderosas capacidades de procesamiento y módulos funcionales perfectos para proteger a las empresas de una manera casi transparente. Los miles de estaciones de trabajo internas y los importantes grupos de servidores nunca se convertirán en un cuello de botella en la red. Al configurar el firewall Skynet, la zona de la red interna y la zona neutral se separan en la LAN, y la seguridad de la red de los servidores externos y la LAN interna se distribuye y protege.
Modelos recomendados: firewall Skynet de nivel empresarial FW3010 tipo estándar, firewall Skynet de nivel empresarial FW3060 tipo extendido
Las funciones básicas del sistema de firewall incluyen:
1. -servicio Desarrolló un excelente kernel de firewall
2. Función de filtrado de paquetes basada en la detección de estado
3. Función de puente virtual con función de filtrado de paquetes
4. función
5. Tiene función de traducción de direcciones de red bidireccional
6. Tiene funciones de estadísticas de tráfico y restricción de tráfico
7. Actualizaciones a través de la interfaz. /p>
8. Tiene la primera tecnología de puerta de enlace de defensa DoS del mundo, que puede prevenir eficazmente varios tipos de ataques DoS.
9. Admite la vinculación de múltiples direcciones IP a un puerto de red. y múltiples aplicaciones IP.
10. Admite el enlace de direcciones IP y MAC para administrar eficazmente los recursos de direcciones IP.
11 Tiene función de monitoreo del sistema en tiempo real y puede observar el estado operativo del sistema y la conexión de red. estado
p>
12. Tiene función de alarma en tiempo real y puede emitir alarmas mediante llamadas telefónicas y correos electrónicos
13. Tiene registros de operación del sistema, que pueden registrar todo. operaciones del administrador del sistema
El módulo de agujero negro de red
se utiliza para impedir que los piratas informáticos detecten la estructura de la red y devuelve información incorrecta a los piratas informáticos, lo que puede prevenir eficazmente ataques externos.
Módulo de registro de datos de red
Se utiliza para registrar el tráfico de datos de la red, facturación del tráfico de usuarios y otras funciones. Este módulo requiere la instalación de un software cliente en una PC para la recopilación de datos y. análisis y procesamiento, y los resultados del análisis también se pueden importar a la base de datos para lograr el procesamiento automático.
Función de proxy transparente
Puede limitar el tiempo de Internet y el ancho de banda de los usuarios
VPN de red privada virtual
Logra filtrado de contenido, interceptación de URL típica Plan de red
Plan de seguridad de red de XXX Enterprise Group
El diseño de este plan sigue las siguientes ideas:
El principio de equilibrar riesgo, coste y eficiencia
p>
Consideraciones integrales y holísticas
Garantizar la disponibilidad del sistema, el sistema de seguridad tiene buena transparencia para las aplicaciones, administración centralizada y es fácil de mantener
Se deben aprobar productos de seguridad prácticos por el departamento de seguridad pública Productos legales inspeccionados. Y debe ser un producto seguro de producción nacional.
Integrarse con el sistema de aplicaciones para proporcionar una solución de seguridad integrada que combine la red y la aplicación
Política de seguridad
El propósito de formular la política de seguridad:
Dividir zonas de seguridad
Desarrollar políticas de seguridad, incluido el control de acceso de usuarios, definir niveles de acceso y determinar tipos de servicios.
Política de seguridad:
Finalidad:
Dividir áreas de seguridad.
Desarrollar políticas de seguridad, incluido el control de acceso de usuarios, definir niveles de acceso y determinar tipos de servicios.
Auditoría y filtrado, solo pueden pasar los procesos de acceso y respuesta que cumplan con las políticas de seguridad, y se niegan otras solicitudes de acceso.
En base al análisis de las necesidades de los usuarios, la red interna de una empresa se puede dividir en las siguientes zonas de seguridad:
Segmento de red interna
Segmento de red pública
Segmentos de red externos
Los segmentos de red que pertenecen a las tres zonas de seguridad están interconectados a través del firewall Skynet.
Los tipos existentes de aplicaciones y servicios que requieren auditoría y filtrado incluyen: Para los proveedores de servicios de red, proteger la seguridad de la red contra ataques es crucial, por lo que la elección del firewall debe ser cuidadosa. Skynet Firewall Carrier Grade es un firewall de gran capacidad y alto rendimiento especialmente diseñado para sitios web de ICP (proveedor de contenido de Internet) y centros de datos de IDC. Puede admitir una gran cantidad de visitas máximas y conexiones simultáneas, y es adecuado para varios tipos de ICP. sitios web y centros de datos de IDC. Requisitos complejos de intercambio de datos y negocios. Incluye varias funciones excelentes del sistema de firewall básico, además de potentes módulos funcionales, y también se puede expandir a una función de respaldo en caliente de doble máquina, lo que permite que el sistema cambie automáticamente a un sistema de firewall anormal de manera instantánea y proteja de manera integral a los proveedores de servicios de red de ilegales. ataque.
Modelos recomendados: tipo ICP FW5010 de nivel de operador de firewall Skynet; tipo IDC FW5060
Para sitios web pequeños, recomendamos el tipo ICP FW5010, y para sitios web ICP grandes o centros de datos IDC, etc. Para los operadores de red ISP, recomendamos utilizar el tipo IDC FW5060. En comparación con el tipo ICP, proporciona capacidades de procesamiento más potentes y viene con equilibrio de carga y funciones de respaldo en caliente de dos máquinas.
Vale la pena mencionar que los ataques DoS y DdoS actualmente amenazan seriamente la seguridad de varios sitios web de ICP, y la exclusiva puerta de enlace de defensa DoS de Skynet puede bloquear eficazmente dichos ataques, y en muchos casos exitosos se ha demostrado que el operador- El firewall Skynet de grado es de hecho el protector de todo tipo de sitios web y centros de datos.
Funciones
Las funciones básicas del sistema incluyen:
1. Excelente núcleo de firewall de desarrollo propio
2 Filtrado de paquetes basado en detección de estado. Función
3. Función de puente virtual con función de filtrado de paquetes
4. Función de detección de bandera TCP
5. Función de conversión de dirección de red bidireccional. >6. Tiene funciones de restricción de tráfico y estadísticas de tráfico.
7. Se puede actualizar a través de la interfaz y es fácil de operar.
8. Tiene la primera tecnología de puerta de enlace de defensa DoS del mundo. , puede prevenir eficazmente varios tipos de ataques DoS
9. Admite un puerto de red para vincular múltiples direcciones IP, lo que admite múltiples subredes y múltiples aplicaciones IP.
10. Admite el enlace de direcciones IP y MAC para administrar eficazmente los recursos de direcciones IP.
11 Tiene función de monitoreo del sistema en tiempo real y puede observar el estado operativo del sistema y la conexión de red. estado
p>
12. Tiene función de alarma en tiempo real y puede emitir alarmas mediante llamadas telefónicas y correos electrónicos
13. Tiene registros de operación del sistema, que pueden registrar todo. operaciones del administrador del sistema ■Agujero negro de red
Se utiliza para bloquear la detección de redes ilegales
■Registro de datos de red
Se utiliza para registrar tipos de datos y tráfico que pasa a través del firewall. Este módulo requiere la instalación de un cliente en una PC. El software Terminal se utiliza para la recopilación, el análisis y el procesamiento de datos, y los resultados del análisis también se pueden importar a la base de datos para lograr el procesamiento automático.
■Copia de seguridad en caliente de doble máquina
Puede cambiar automáticamente en un instante sistemas de firewall que funcionan de forma anormal
■Equilibrio de carga
Puede cambiar de forma inteligente Distribuya las solicitudes de los usuarios a varios servidores.
Solución de red típica:
Un sitio web ICP grande planea utilizar diez servidores para proporcionar servicios web externos, cuatro servidores como servidores Smtp y dos como servidores. Servidor P0P3, el servidor proporciona servicios externos. Se estima que habrá un volumen de datos entrantes de 2325 M y un volumen de datos salientes de 1214 M:
Estructura de red
De acuerdo con los requisitos de red actuales de este. sitio ICP grande, recomendamos utilizar una solución de seguridad basada en el firewall IDC FW5060 de nivel de operador de Skynet.
Para garantizar la estabilidad y la tolerancia a fallas del sitio, esta solución utiliza dos firewalls ICP de Skynet para garantizar un funcionamiento normal ininterrumpido a través de la función de respaldo en caliente de doble máquina del firewall y divide toda la red. en físico Dos segmentos de red independientes:
Red pública
Red privada
Entre ellos, público El segmento de red ** proporciona conexiones WAN orientadas a Internet y admite acceso de usuarios de Internet; el segmento de redes privadas alberga diez servidores web, cuatro servidores Smtp y dos servidores P0P3 para brindar servicios de aplicaciones web y de correo electrónico.
Política de seguridad
Propósito:
Dividir áreas de seguridad
Desarrollar políticas de seguridad, incluido el control de acceso de usuarios, definir niveles de acceso y determinar tipo de servicios.
Auditoría y filtrado, solo pueden pasar los procesos de acceso y respuesta que cumplan con las políticas de seguridad, y se niegan otras solicitudes de acceso.
Según el análisis de las necesidades de los usuarios, la red del sitio de Beijing se puede dividir en las siguientes áreas de seguridad:
Segmento de red interna
Segmento de red externa
Los segmentos de red pertenecientes a las dos zonas de seguridad están interconectados a través del firewall Skynet.
Los tipos existentes de aplicaciones y servicios que requieren revisión y filtrado incluyen: Con el rápido avance de la tecnología de red, la infraestructura de red de China se está expandiendo. En la actualidad, la columna vertebral de la red ha entrado en la era de la fibra óptica. Además de la columna vertebral de las telecomunicaciones, los gobiernos y las grandes empresas han comenzado a popularizar la fibra óptica, y los productos de firewall con rendimiento gigabit basados en fibra óptica se han convertido en clave.
Nuestra empresa comenzó a desarrollar Skynet Gigabit Firewall ya en 1999. Al absorber la excelente experiencia de sus homólogos extranjeros y agregar la sabiduría del personal técnico nacional de primer nivel, finalmente lanzamos con éxito el primer firewall Gigabit de China en abril de 2000. Su excelente desempeño fue inmediatamente reconocido por usuarios. En 2002, basado en el firewall Skynet de clase gigabit original, se desarrolló el firewall Skynet de clase gigabit FW8060. Utilizando un nuevo sistema de hardware y núcleo de software, el firewall Skynet ha alcanzado una nueva altura, con potentes funciones y rendimiento para satisfacer las necesidades. usuarios más exigentes. El firewall Skynet de nivel Gigabit combina un excelente rendimiento de la red y el rendimiento del sistema. Utiliza un kernel optimizado para lograr una combinación orgánica de capacidades de intercambio de datos de hardware extremadamente eficientes y capacidades de procesamiento paralelo del sistema, que admiten millones de conexiones simultáneas. Puede admitir solicitudes de red de decenas de miles de usuarios y puede satisfacer plenamente los requisitos de aplicaciones de datos de gran tráfico de varios servicios de aplicaciones de redes de banda ancha. Modelos recomendados: Firewall Skynet de clase gigabit FW8010 tipo backbone; Firewall Skynet de clase gigabit FW8060 tipo insignia
Excelente rendimiento basado en gigabit:
■Sistema Firewall de velocidad de línea de clase Gigabit
■Función de filtrado de paquetes basada en estado de nivel Gigabit
■Función de conexión NAT de nivel Gigabit
■Proporciona rendimiento de red privada virtual de nivel Gigabit, admite más de 20.000 Túneles de seguridad IPSEC
■Admite millones de conexiones de usuarios simultáneos
■Admite más de 40.000 configuraciones de control de acceso
Licencia
Tipo Descripción
Agujero negro de red SNFW-FT-BH
Registro de datos de red SNFW-FT-LOG
Copia de seguridad en caliente de doble máquina SNFW-FT-RH
Lista de rendimiento:
Sistema de firewall de velocidad de línea de nivel Gigabit y conexión NAT
Red privada virtual de nivel Gigabit basada en cifrado 3DES Rendimiento
Nivel Gigabit función de filtrado de paquetes basada en estado
Admite más de 500.000 conexiones de usuarios simultáneas
Admite más de 40.000 configuraciones de control de acceso
Los estándares admitidos incluyen ARP, TCP/IP, UDP, IPSEC, 3DES, etc.
Admite más de 20.000 túneles de seguridad IPSEC
Soluciones típicas
p>
Soluciones de seguridad de aplicaciones de comercio electrónico
Los sitios de comercio electrónico actuales deben admitir decenas de miles de conexiones simultáneas y el equipo de seguridad de red debe admitir una gran cantidad de conexiones de usuarios y responder a decenas de miles de solicitudes simultáneamente. Hoy en día, los cortafuegos de software basados en sistemas operativos comerciales tradicionales no pueden proporcionar servicios a esta escala. Muchos sitios dependen de equipos de red adicionales para lograr el equilibrio de carga entre múltiples firewalls. Administrar múltiples sistemas de firewall es difícil porque los administradores deben sincronizar cada firewall. El firewall Gigabit admite hasta 500.000 conexiones simultáneas, lo que puede cumplir con los requisitos de los sitios de comercio electrónico de alto tráfico. Dado que muchos hosts están ubicados simbólicamente en la misma ubicación, el firewall Gigabit admite el modo VPN, lo que permite que los datos y comandos entre hosts se transmitan en un túnel seguro (este túnel seguro está en realidad en la red pública, pero debido a que el firewall cifra los datos, parece como si se transmitiera a través de un túnel). El firewall Gigabit también admite copias de seguridad activas en dos máquinas, muy prácticas, y su software puede mantener conexiones simultáneas continuas. Esto garantiza que incluso si el sistema falla, la conexión aún se puede mantener y los consumidores no cambiarán a otros sitios debido a una pérdida.
Hoy en día, la mayoría de las empresas de comercio electrónico populares han distribuido sus servidores web para brindar una respuesta rápida a los clientes. Todos se centran en su negocio principal y requieren servicios de red, incluidos servicios de seguridad para equipos de alojamiento web. Gigabit Firewall proporciona servicios de seguridad VPN y firewall controlables. Su sistema de alojamiento virtual con arquitectura multiusuario proporciona una manera conveniente de administrar múltiples usuarios dentro de un sistema. Cada sistema de alojamiento web puede tener su propio conjunto de políticas basadas en sus usuarios individuales.
La comunicación de cada sistema host virtual se puede transmitir de forma segura al cliente configurando el indicador VLAN IEEE802.1q entre el firewall y el conmutador, proporcionando así una conexión privada y segura.
Soluciones de seguridad empresarial
La seguridad empresarial requiere la capacidad de manejar conexiones simultáneas a gran escala. Las empresas generalmente tienen múltiples servidores para acceso remoto a sitios o acceso de usuarios remotos. Estos servidores brindan servicios de correo electrónico, web, ftp, NFS u otros servicios de aplicaciones, todos los cuales deben admitir conexiones simultáneas a gran escala. Además, a medida que se proporcionan cada vez más aplicaciones empresariales a través de redes IP, las granjas de servidores conectadas mediante Gigabit Ethernet también requieren protección de firewall interna. El número de conexiones a Internet en una empresa también ha aumentado significativamente a medida que se proporcionan cada vez más servicios a través de Internet. No es sorprendente que un sitio tenga múltiples conexiones T3 u OC3 que deban protegerse. Por ejemplo, una empresa necesita utilizar su propia línea de Internet para conectarse a otras redes grandes para videoconferencias o consultas de bases de datos de servidor/host de gran tamaño, y también necesita admitir VPN de alta velocidad. También necesitaban admitir una gran cantidad de túneles VPN para conectar sus sucursales y oficinas remotas, reemplazando los costosos servicios Frame Relay. Luego están los empleados que trabajan desde casa y acceden a la red de la empresa a través de la última tecnología de banda ancha.