[会员中心]  [发布文章][发布软件]  [中文繁體] 
 文章·资料  电脑软件  手机软件  网站源码
   本 站 搜 索
[选项]
   推 荐 文 章       More...
华硕易电脑(ASUS Eee PC 1025C)驱动程序(Windows XP)安装参考(图) 华硕易电脑(ASUS Eee PC 1025C..
先来段开场白:为了外出携带方便..
Acronis True Image 使用说明 Acronis True Image 使用说明
  一款可以在Windows下使用..
Norton Ghost 使用详解 Norton Ghost 使用详解
一、分区备份   使用Ghost..
   阅 读 排 行
“.com”域名新发现 “.com”域名新发现
  尽管这不是什么秘密,但也许..
Windows 10 的 LTSB 和 LTSC 版本区别 Windows 10 的 LTSB 和 LTSC 版..
在 Windows 10 系统众多版本中,..
fieldset 和 legend 标签的属性和使用方法 fieldset 和 legend 标签的属性..
fieldset除了可以用style设定他..
Cisco PIX防火墙配置 Cisco PIX防火墙配置
摘要:本文讲述了作者第一次亲手..
Windows 系统安装或备份时 ISO,GHO,WIM,ESD,PMF 都是什么文件类型 Windows 系统安装或备份时 ISO,GH..
【ISO 文件】 ISO 文件其实就..
Microsoft Office Excel 2007 打开 Excel 2003 创建的文件在筛选时出现卡顿的解决方法 Microsoft Office Excel 2007 打..
  Microsoft Office Excel 2007..
ASP如何获取客户端真实IP地址 ASP如何获取客户端真实IP地址
  在 ASP 中使用 Request.Serve..
Base64 编码在线加密 Base64 编码在线加密
> 2); out += bas..
文 章 信 息
大型ICP网站网络安全解决方案
评论()][留言][收藏
[文章分类:电脑·手机·网络 / 网络安全·设置][阅读选项

1. 前言

    对于一个ICP(Internet内容供应商)来说,拥有大量的访问量和用户是ICP的目标,但这样,又会带来系统安全、网络带宽与服务器处理能力的大量需求。因此,我们可以说,对于一个ICP来说,一台好的防火墙不但可以给他们带来网络的安全,而且可以不对网络造成任何影响,最好还可以提高服务器的响应速度。而一般的软件防火墙由于是基于通用操作系统的,不仅在安全性上大受操作系统本身的影响,而且网络效率大打折扣。

    天网防火墙ICP型,就是面对ICP开发的一代全新的防火墙产品,它的高安全性令服务器高枕无忧,可以媲美100M以太网交换机网络效率令数据畅通无阻,而且天网防火墙系统拥有构造双机热备份结构的功能,从而能提高系统的稳定性、容错性。由于防火墙系统是整个网络的网关,是连接内部网络、外部网络、DMZ区的交通枢纽,具备双机热备份本领的天网防火墙系统无疑是整体网络稳定性、容错性的保证。

2. 产品特性说明

软硬件一体化的结构

    防火墙对于用户来说,只是一个安全网关。整体系统采用黑盒设计,防火墙系统与硬件紧密结合,发挥硬件最高效能,减少由于操作系统问题而产生网络漏洞的可能,提高系统自身安全性。

    针对ICP的特性,提供高效畅通的网络通道:
    针对为ICP特点:需要保护的主机数量少,但并发连数量大设计的执行执照,天网防火墙ICP型并不象其他产品,只是笼统地按照并发数量作为价格依据,而是采用保护的主机数量作为防火墙的执行执照。

    作为一个ICP节点,网络系统将承受大量的并发用户访问,天网防火墙的网络核心可支持超大量的并发连接,远超任何基于通用操作系统的防火墙。

    作为一台防火墙,其最基本功能是保护网络不受非法入侵者所破坏的同时,还要保证网络的畅通无阻,天网防火墙的网络核心专门为TCP/IP及Firewall而设计,同时还针对CPU的计算核心进行了优化处理,能大大提升系统性能。网络底层的多个部分由汇编语言编写,比同类系统性能提高20%-60%。

    快速安装功能

    传统的防火墙在安装时极为麻烦,首先需要安装操作系统,调整网络参数,安装防火墙软件,然后进行网络参数设置,系统管理员如果没有经过专门的培训,在短时间内装好防火墙几乎是不可能的事情。天网防火墙具有快速安装特性,可以实现从上架安装、连接网线、上电、参数设置完毕整个过程不超过15分钟。


    基于浏览器的Web管理界面

    通常一个小型企业并没有一个防火墙专家来专门负责防火墙方面的工作,天网防火墙具有多语言支持简单易用的Web设置界面,令管理员熟练地掌握系统的时间大大减少,操作简单、管理方便,只要具有一定网络相关知识的人即可胜任。


    完善的访问控制功能

    天网防火墙灵活完善的网络访问控制,不仅包括现有的所有网络服务,同时可以兼顾将来各种新的网络服务,在有效地保障企业网络安全的前提下又能保证各种网络服务的畅通无阻。


    MAC地址绑定

    天网防火墙所具有的MAC地址绑定功能可以很好地解决内部网络在地址资源的分配问题。当内部主机设定一个IP地址以后,防火墙系统就能接收到相应的地址广播,在防火墙系统上列出相应的IP地址与MAC地址,并可以选择是否把这个IP地址与相应的MAC地址绑定,这样可限定IP地址只能在一台指定的主机上使用,既可以防止IP地址冒用,而且大大方便了日常网络的IP地址管理。


    双机热备份(选件)

    采取双机热备份结构的天网防火墙系统在常规运作的时候分为主服务器和备份服务器,备份服务器通过专用通信端口作主服务器设置、纪录数据的镜像。备份服务器的网络设备并不运作,防火墙工作由主服务器完成。如果因网络或某些因素使主防火墙服务器不能正常运作时,备份服务器会在十秒钟内自动启动,负责保护网络安全,并发出警告通知网络管理员。

智能的负载分担模块(选件)降低了ICP网站建设的成本

    随着出色的Internet应用服务的使用人数不断增加,服务器变得不胜负荷,如果无法及时处理大量的用户服务请求,将出现服务中断的情况。以往在解决这些问题的时候,只能采用更强计算能力的服务器来替换原来的服务器,旧的服务器只能淘汰掉。并且,单台服务器的负载能力也是有限的,不可能无限扩展,同时,高档服务器的价格是随着服务器的性能呈现指数型上升,因此,采用多台廉价服务器组成负载分担的系统模型日渐成为主流。

    负载分担系统主要是将集中在一台服务器上的用户服务请求分发到多台服务器上。

    在负载分担方式出现的初期,有不少网络的设计采用域名轮转的方式,即是一个域名对应多台服务器,作为一种廉价的方案,域名轮转的方式可以在解决一些服务器的负载问题,但是,由于这种负载分担的方式有很大的局限性:无法根据各台服务器的负载情况,将用户服务请求发送到不同的服务器上;在其中一台服务器出现问题无法工作的时候,系统仍然会将用户访问请求发送到出现故障的服务器上,造成一部分服务的中断;由于域名解释一般在各地的服务器上都会有Cache存在,因此会造成一个地区的用户访问请求将集中在同一台服务器上。因而实际上,采用域名轮转的方式来做系统负载分担,其效果并不明显,而且存在着一定的弊端。

    使用天网防火墙的分布式方案,可以建造具有快速响应时间和高容错的大容量服务器集群系统。天网防火墙的负载分布模块,可以智能地将用户的服务请求分布到多台服务器上面,同时,提供容错功能,可以自动隔离出问题的服务器。系统具体功能如下:

1) 动态负载均衡

    天网防火墙的负载分布模块可以根据服务器的负载情况,包括CPU 占用量,系统Load等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。

2) 容错处理

    天网防火墙的负载分布模块可以自动检测服务器的可用性,当某一台服务器出现故障的时候,分布式系统会自动绕开发生故障的机器,不会将用户的服务请求发送到改机器上,保证了系统的正常运作。 在实际应用中,由于服务器端常常存在着CGI程序,这些程序会将用户的信息保存在服务器的内存中,如果负载分担系统不能识别用户来源,就会将同一个用户的请求分布到不同的服务器上,就会导致无法正常运行程序。而天网防火墙的负载负担模块采用独有的IIDR(智能身份识别)算法,能够保证同一个用户的CGI请求可以保留在同一台服务器上,保证服务的正常运作。

    采用分布式结构建造大规模的Internet应用,可以容纳大量的用户,然而在用户量增大到一定的情况下,负载分担服务器处于整个网络中心的位置,有可能反而成为服务系统的瓶颈。天网防火墙负载分担模块在设计时采用的高性能的专用散列算法,保证系统即使在处理巨大的用户量(每秒同时连接数大于30000用户)下,网络效率仍然可以达到80%以上。

3. 网络安全解决方案
3.1 用户需求分析

网站准备使用十台服务器对外提供Web服务,使用四台服务器作为Smtp服务器,两台服务器作为POP3服务器,对外进行服务,估计将有23-25M的流入数据量和12-14M的外流数据量 : 1、 公共网络。提供网站的Web界面访问,收发电子邮件服务。2、 外部网络。提供到Internet连接。

主要应用类型包括:1、 Web应用 2、POP3及Smtp电子邮件应用 3、DNS服务 4、FTP服务

安全策略为先关闭全部服务和端口,在开放部分服务和端口。

3.2 网络结构

根据网站当前的网络需求,我们建议使用基于天网防火墙ICP型的安全解决方案。下图为本建议方案的网络拓扑示意图。

    为了保证站点的稳定性、容错性,本方案使用天网防火墙ICP型,通过防火墙划分为物理上相互独立的两个网段:1、 公共网段(Public Network) 2、私有网段(Private Network)。 其中,公共网段提供面向Internet的广域网连接和接受互联网用户访问的支持;私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器,提供Web和电子邮件应用服务。


3.3 安全策略

    目的:1、 划分安全区域。2、 制订安全策略, 包括用户访问控制, 定义访问级别,确定服务类型。 3、审核和过滤,仅符合安全策略的访问和响应过程可以通过,拒绝其他访问请求。

    根据对用户需求的分析, 163.net北京站点的网络可以划分为以下几个安全区域: 1、内部网段 2、 外部网段。

    分属两个安全区域的网段通过天网防火墙进行互连。

    No.   安全区域    安全级别    访问级别
    --------------------------------------------------------------------
    1     外部网段    低级        无,提供网络连接。
    2     内部网段    高级        可自由访问外部网络资源;对外不可见

    现有需要进行审核和过滤的应用和服务类型包括:

    服务类型    端口范围/协议类型    说明
    --------------------------------------------------------------------
    WWW         80,tcp               WWW服务
    FTP         21,tcp               文件传输服务
    DNS         53,tcp/udp           域名解析服务
    SMTP/POP3   25/110,tcp           电子邮件

4. 防火墙配置方案

    根据网络安全解决方案中的用户需求、网络拓扑以及制定的安全策略,防火墙采取以下配置方案:

4.1 网络设置

    类别         项目                IP地址/掩码         说明        备注
    --------------------------------------------------------------------------------
    networks          Ixternal_Network    192.168.0.0/24      内部网络  
                      External_Network    172.16.0.1/24       外部网络  
    Interfaces        fxp2                172.16.0.1/24       连接到公共网络  
                      fxp0                192.168.0.1/24      连接到内部网络  
    internal_hosts    console             192.168.0.X/24      网管工作站  
                      服务器              192.168.0.X/24      Web服务器  
                      服务器              192.168.0.X/24      电子邮件服务  

4.2 系统配置

    路由设置 目的网络地址/掩码   网关地址
    -------------------------------------------------
             0.0.0.0/0.0.0.0     172.16.0.2

 

    DNS设置  Internal_DNS1
             Internal_DNS2

 

    系统纪录输出地址 CONSOLE

4.3 安全规则设定
 
    来源                目的                        协议    行动    附加行动            说明
    ------------------------------------------------------------------------------------------------------------------------
    any                 internal_network            any     deny    bind:fxp2,continue  internal_network is a protect
    internal_network    any                         any     deny    bind:fxp2,continue  ping is permit
    any                 any                         icmp    permit                      permit console to manager
    Console             any:8887,8888               tcp     permit                      remember to bind IP to MA
                                                                                        pemit any inbound traffic to public
    any                 Web:80@internal_network     tcp     permit  bind:fxp2  
    any                 DNS:53@internal_network     tcp/udp permit  bind:fxp2  
    any                 Mail:25@internal_network    tcp     permit  bind:fxp2  
    any                 Mail:110@internal_network   tcp     permit  bind:fxp2  
    any                 FTP.21@internal_network     tcp     permit  bind:fxp2  

4.4 网络地址转换规则设定

    类型    绑定设备  原来地址         转换后地址     选项             说明 
    ----------------------------------------------------------------------------------------------
    映射    fxp2      192.168.0.0/24   172.16.0.1/32  内核代理21       FTP代理
                                                      FTP/TCP  
    映射    fxp2      192.168.0.0/24   172.16.0.1/32  端口映射TCP/UDP  网络地址转换(PAT)
                                                      10000:65000  
    重定向  fxp2      172.16.0.1:80    Web:80         TCP              HTTP
    重定向  fxp2      172.16.0.1:110   Mail:110       TCP              POP3
    重定向  fxp2      172.16.0.1:25    Mail:25        TCP              SMTP
    重定向  fxp2      172.16.0.1:53    DNS:53         TCP/UDP          DNS
    重定向  fxp2      172.16.0.1:21    FTP:21         TCP              FTP

5. 技术服务

    网络安全特性检测

    网络安全检测(包括对网络设备、防火墙、服务器、主机、操作系统等的安全检测)是指使用网络安全检测工具,用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补求措施和安全策略,达到增强网络安全性的目的。

原则上,在一些关键业务网络系统,应该具备功能较强的网络安全检测或分析软件,通过定期对整个网络系统的扫描分析,即时对网络安全状况进行评估,并根据分析结果,来合理制定或调整网络安全策略。


    培训

    包括面向用户的现场培训、定期举办的培训班和不同专题的网络安全研讨会。


    售后技术支持

    提供8 x 7的热线电话支持和24小时(本地)或48小时(外地)的现场服务。

文章作者:未知  更新日期:2006-01-15
[文章浏览:][打印文章][发送文章
阅读说明
·本站大部分文章转载于网络,如有侵权请留言告知,本站即做删除处理。
·本站法律法规类文章转载自[中国政府网(www.org.cn)],相关法律法规如有修订,请浏览[中国政府网]网站。
·本站转载的文章,不为其有效性,实效性,安全性,可用性等做保证。
·如果有什么问题,或者意见建议,请联系[网站管理员]
  原“浪人文章”和“浪人下载”网站已合并为“老若尔文章软件站”,域名:https://lre.cn
  本站使用【啊估文章软件站】网站系统    网站管理员留言簿〗〖捐助     闽ICP备08009617号