1.應用背景
隨著(zhù)網(wǎng)絡(luò )應用的日益廣泛,各種大型企業(yè)或單位也將通過(guò)網(wǎng)絡(luò )與用戶(hù)及其他相關(guān)行業(yè)系統之間進(jìn)行交流,提供各種網(wǎng)上的信息服務(wù),但這些網(wǎng)絡(luò )用戶(hù)中,不乏競爭對手和惡意破壞者,這些人可能會(huì )不斷地尋找系統內部網(wǎng)絡(luò )上的漏洞,企圖潛入內部網(wǎng)絡(luò )。一旦網(wǎng)絡(luò )被人攻破,機密的數據、資料可能會(huì )被盜取、網(wǎng)絡(luò )可能會(huì )被破壞,給系統帶來(lái)難以預測的損失。因此,防火墻便成為網(wǎng)絡(luò )安全必不可少的產(chǎn)品,深信服防火墻在系統網(wǎng)絡(luò )與外部網(wǎng)絡(luò )用戶(hù)之間建起了一道安全的屏障,從而有效地抵御外來(lái)攻擊,防止不法分子的入侵。
2. 產(chǎn)品特性說(shuō)明 ?
軟硬件一體化的結構 防火墻對于用戶(hù)來(lái)說(shuō),只是一個(gè)類(lèi)似路由器的硬件設備,整體系統采用黑盒設計,防火墻系統與硬件緊密結合,發(fā)揮硬件最高效能,減少由于操作系統問(wèn)題而產(chǎn)生網(wǎng)絡(luò )漏洞的可能,提高系統自身安全性。 ? 快速安裝功能 傳統的防火墻在安裝時(shí)極為麻煩,首先需要安裝操作系統,調整網(wǎng)絡(luò )參數,安裝防火墻軟件,然后進(jìn)行網(wǎng)絡(luò )參數設置,系統管理員如果沒(méi)有經(jīng)過(guò)專(zhuān)門(mén)的培訓,在短時(shí)間內裝好防火墻幾乎是不可能的事情。深信服防火墻I具有快速安裝特性,可以實(shí)現從上架安裝、連接網(wǎng)線(xiàn)、上電、參數設置完畢整個(gè)過(guò)程不超過(guò)15分鐘。 ?
基于瀏覽器的Web管理界面 通常一個(gè)小型企業(yè)并沒(méi)有一個(gè)防火墻專(zhuān)家來(lái)專(zhuān)門(mén)負責防火墻方面的工作,深信服防火墻具有多語(yǔ)言支持簡(jiǎn)單易用的Web設置界面,令管理員熟練地掌握系統的時(shí)間大大減少,操作簡(jiǎn)單、管理方便,只要具有一定網(wǎng)絡(luò )相關(guān)知識的人即可勝任。
?
完善的訪(fǎng)問(wèn)控制功能
深信服防火墻靈活完善的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制,不僅包括現有的所有網(wǎng)絡(luò )服務(wù),同時(shí)可以兼顧將來(lái)各種新的網(wǎng)絡(luò )服務(wù),在有效地保障企業(yè)網(wǎng)絡(luò )安全的前提下又能保證各種網(wǎng)絡(luò )服務(wù)的暢通無(wú)阻。 ?
MAC地址綁定 深信服防火墻所具有的MAC地址綁定功能可以很好地解決內部網(wǎng)絡(luò )在地址資源的分配問(wèn)題。當網(wǎng)絡(luò )用戶(hù)被分配或自行設定一個(gè)IP地址以后,防火墻系統就能接收到相應的地址廣播,在防火墻系統上列出相應的IP地址與MAC地址,并可以選擇是否把這個(gè)IP地址與相應的MAC地址綁定,這樣可限定IP地址只能在一臺指定的工作站上使用,既可以防止IP地址冒用,又大大方便了日常網(wǎng)絡(luò )的IP地址管理。 ?
支持第三區域網(wǎng)絡(luò ) 在只擁有一套傳統防火墻的情況下,通常無(wú)法實(shí)現對多個(gè)網(wǎng)絡(luò )的同時(shí)保護,深信服防火墻附加的第三個(gè)網(wǎng)絡(luò )接口的靈活的規則可輕松地處理好3個(gè)物理網(wǎng)絡(luò )間的關(guān)系,不但節省了企業(yè)的投資,還同時(shí)保護了多個(gè)網(wǎng)絡(luò )的安全,而且可以避免因為內部網(wǎng)絡(luò )的不當操作而影響服務(wù)器的正常運作。 ? NAT方式節省網(wǎng)絡(luò )地址資源 對于一個(gè)小型網(wǎng)絡(luò )來(lái)說(shuō),申請的IP地址不會(huì )太多,如果網(wǎng)絡(luò )中的每一臺設備都需要一個(gè)IP地址,會(huì )造成IP地址的嚴重不足。 深信服防火墻提供的網(wǎng)絡(luò )地址轉換(Network Address Translation)功能不僅可以隱藏內部網(wǎng)路地址信息,使外界無(wú)法直接訪(fǎng)問(wèn)內部網(wǎng)絡(luò )設備,同時(shí),它還幫助網(wǎng)絡(luò )可以超越地址的限制,合理地安排網(wǎng)絡(luò )中的公有Internet 地址和私有IP地址的使用。通過(guò)NAT功能,深信服防火墻系統可以幫助采用私有地址的內部網(wǎng)用戶(hù)順利的訪(fǎng)問(wèn)Internet的信息資源,不但不會(huì )造成任何網(wǎng)絡(luò )應用的阻礙,同時(shí)還大量節省了網(wǎng)絡(luò )地址資源。
3. 深信服網(wǎng)絡(luò )安全解決方案
3.1 用戶(hù)需求分析 按照服務(wù)性質(zhì)和管理區域劃分,用戶(hù)網(wǎng)絡(luò )主要分為三個(gè)部分:
1、內部網(wǎng)絡(luò )。提供內部用戶(hù)日常辦公操作環(huán)境。
2、DMZ網(wǎng)絡(luò )。提供各種信息服務(wù)。
3、外部網(wǎng)絡(luò )。提供到Internet連接。