WG案例集锦v3.doc

WatchGuard Technologies, Inc.45Firebox X规格Edge e系列Core e系列Peak e系列X10eX10e-WX20eX20e-WX55eX55e-WX550eX750eX1250eX5500eX6500eX8500eX8500e-F防火墙吞吐量(Mbps)100100100300+7501,5002,0002,3002,3002,300VPN吞吐量(Mbps)3535353550100400600600600并发会话数6,0008,00010,00025,00075,000200,000500,000750,0001,000,0001,000,00010/100接口66648-10/100/1000接口-88884以太/4光纤支持局域网内IP数量15/2030无限无限无限无限无限无限无限无限支持VLAN数量-选项（25）2选项（25）2选项（25）275757575分支机构VPN通道数5152535/45100600750750750750移动用户VPN通道数1/115/255/555/7550/100400600600600600SSL VPN通道数31/111/25551/751/3001/5001,0004,0006,0006,000状态检测防火墙技术主动预防御保护防御DoS/DDoS攻击支持深度应用检测WAN口链路故障切换选项选项多WAN口负载均衡-服务器负载均衡-选项2选项2选项2支持策略路由-选项2选项2选项2支持动态路由协议-选项2选项2选项2支持流量管理(QoS)选项2选项2选项2双机热备份-选项2选项2选项2网关防毒/入侵防御选项1选项1选项1选项1选项1选项1选项1选项1选项1选项1Web分类过滤选项1选项1选项1选项1选项1选项1选项1选项1选项1选项1垃圾邮件拦截选项1选项1选项1选项1选项1选项1选项1选项1选项1选项1GUI管理方式WebWebWebWSM2WSM2WSM2WSM2WSM2WSM2WSM2支持syslog服务器支持WG日志服务器提供免费日志报告硬件保修1年1年1年1年1年1年1年1年1年1年LiveSecurity90天190天190天190天190天190天190天190天190天190天1“1”Firebox X 系列产品均提供一年GAV/IPS、WebBlocker、spamBlocer和LiveSecurity服务捆绑销售包，详情请致电WatchGuard或当地经销商。“2”Firebox X Core e系列产品预装Fireware 9.1或以上安全系统；Firebox X Peak e系列产品预装Fireware Pro 9.1或以上安全系统。“3”Firebox X Edge e系列产品需安装Edge Pro10以支持SSL VPN；Firebox XCore e系列产品需安装Fireware Pro 10以支持SSL VPN。本文不提供任何明确或暗示的保证。规格如有变动，恕不另行通知。任何将推出的产品、特性或功能将在适当的时候提供。北京办事处上海办事处地址：电话：地址：电话：网址：中国北京市东城区金宝街89号(86) 010.8522.1238中国上海市淮海中路300号(86) 21.5116.2823金宝大厦8层传真：香港新世界大厦4715室传真：邮编：100005(86) 010. 8522.1798邮编：200021(86) 21.5116.2897目 录1了解WatchGuard 公司11.1公司背景11.2产品简介21.3WatchGuard UTM产品优势32WatchGuard在电信行业的案例62.1某市电信核心业务系统服务器群保护62.2某省网通办公系统VPN网关应用72.3某省网通宽带应用业务系统安全防护92.4某电信增值领域的增值应用102.5某省网通客服系统安全防护112.6某市联通办公及计费网络安全防护123WatchGuard在教育行业的案例143.1某国际学校Internet安全网关应用143.2某市教育城域网接入163.3某外国语学校安全接入173.4某工程学院安全接入184WatchGuard在金融行业的案例204.1高效的反垃圾邮件功能保护银行邮件服务器204.2证券公司关键业务服务器防护214.3灵活的高级网络功能，满足金融业的要求214.4保护银行业务网数据库系统225WatchGuard在政府的案例245.1某省税务事务所网上报税VPN系统245.2某省国税财税安全网关255.3某省水文局VPN互联266WatchGuard在零售行业的案例286.1VPN应用为连锁行业提供快捷、廉价的通讯网络287WatchGuard在制造行业的应用案例307.1组建大型VPN网络308WatchGuard其他应用案例328.1保护特殊的服务器或网络328.2关键业务前端的保护338.3某集团VPN网络互联及安全防护348.4某商务楼安全宽带接入359中国部分用户列表381 了解WatchGuard 公司1.1 公司背景WatchGuard 成立于1996年，公司总部位于美国的西雅图，是世界领先的高效率和全系列Internet安全方案供应商，UTM（统一威胁管理）市场占有率全球第一位，防火墙/VPN市场占有率居全球前五位。并在北美、南美、EMEA和亚洲等地设有办事处，全球员工总数约300多名。2004年，WatchGuard 公司在中国先后建立了上海、北京办事处。从2004年至今，已经为3000多用户提供超过总计1万台WatchGuard 的UTM产品，在金融保险、制造、交通、通信等行业以及众多的跨国公司和政府单位成功的实施应用。WatchGuard 中国大事记n 2007年10月，WatchGuard 在中国建立产品研发中心。n 2007年9月，WatchGuard 全球同步发行 Fireware 9.1 安全操作系统。n 2007年8月，WatchGuard全球同步发行 Edge 8.6 安全操作系统。n 2007年8月，WatchGuard CEO Joe Wang 访华。n 2007年4月，WatchGuard 全球同步发行 Fireware 9.0 安全操作系统。n 2006年10月，美国著名基金公司Francisco Partners和Vector Capital以1.5亿美元强势注资WatchGuard。n 2005年4月，WatchGuard 公司与上海交通大学合作设立“信息安全奖学金计划”。n 2004年7月，WatchGuard 公司与上海交通大学共同建立“WatchGuard交大信息安全试验室”。n 2004年1月，WatchGuard 公司在中国设立北京、上海办事处。1.2 产品简介WatchGuard 公司全球首创专用安全系统，在1997年首家将应用层安全技术运用到防火墙系统，并在2004年全球首创可全面升级的统一威胁管理（UTM）产品。2005年WatchGuard 公司推出了基于全新技术的Fireware Pro操作系统的Firebox Peak高端安全设备，为市场提供了更安全、更全面、更强大的安全设备。WatchGuard 公司为不同规模的用户提供全面的UTM解决方案，从跨国大型企业和远程工作人员，一直到使用单个宽带连接的家庭办公室。WatchGuard 公司的分层防御机制提供了健壮的、可信赖的网络安全方案，可调节安全防御的深度，以满足不同规模用户的特殊要求。适用于大中型高级网络环境。工作环境中用户数量一般在500人以上。他们需要强大而丰富的网络功能；全面的网络安全防御系统；更高的处理性能；良好的操作界面；集中化的管理；可持续的安全服务与技术保障。Firebox X 5500eFirebox X 6500eFirebox X 8500eFirebox X 8500e-F适用于中小型公司和分支机构。工作环境中用户数量一般在60500人。他们需要全面的安全防御系统；良好的操作界面；灵活的VPN部署；稳定的性能；集中化的管理；可持续的安全服务和技术保障。Firebox X 550eFirebox X 750eFirebox X 1250e适用于小型企业、远程办公室和远程SOHO工作人员。工作环境中用户数量一般在560人。他们需要简单的管理界面；强大的安全防御功能；快捷的部署；稳定的产品性能；考虑无线网络接入；不需要太多的专业知识即可以使用；可持续的安全服务和技术保障。Firebox X 10eFirebox X 20eFirebox X 55eFirebox X 10e-WFirebox X 20e-WFirebox X 55e-W1.3 WatchGuard UTM产品优势安全和受信任的网络这是当今每个企业从事业务活动时的需要。无论公司的规模、产业或地域如何，它们都需要由拥有卓越服务、支持和可靠的公司提供经过验证及可信任的安全解决方案。这就是为什么他们选择了WatchGuard。WatchGuard 为全球150个国家提供了最为卓越的网络安全解决方案。我们的Firebox统一威胁管理（UTM）产品系列提供了具有强大安全性、直观易用性以及专家指导和支持的业内最佳组合。Firebox在保护您网络的同时，还对您的安全投资进行了保护。当您的需求增长或发生变化时，通过单一的许可文件，您可以轻松地增加Firebox的容量或加入更多的安全功能。为获取更好的防火墙或VPN吞吐量，可将产品升级到同一产品线的更高端型号，而无需进行昂贵的重新购买部署。您也可以通过许可文件轻松地添加所需的扩展功能和特性，包括网关防病毒、入侵防护、Web内容过滤和垃圾邮件拦截等。灵活的集中式日志数据存储支持多种行业标准格式，包括XML、Syslog和 WebTrends/WELF。日志通过一个加密的通道以安全可靠的形式传输，并且可被实时地查看、过滤和分类。基于HTML的历史报告可用于网络行为分析，而交互的、实时的监视工具使您能够及时地发现问题并为解决网络威胁而采取预防或纠正措施。更高的安全性n 通过WatchGuard 专利的智能分层安全引擎技术，您获得了无需依赖签名即能针对病毒、蠕虫、间谍软件、特洛伊木马和网络攻击的主动式保护以及最为强大的安全基础。n 智能分层安全引擎技术将防火墙、VPN、网关防毒、入侵防御、网站分类过滤、垃圾邮件拦截等多项技术有机地整合在一起。各模块协同工作，以保护用户网络的安全运行。更易于使用n 我们直观的图形化界面简化了IT专家的网络安全工作，并提高了他们的工作效率，同时也为新手提供了不可缺少的易用性。通过简易的设置、智能化的默认值以及向导帮助，您的安全实施提升至以分钟而不是小时为单位运行。n 统一直观的图形化管理界面，丰富的图形化日志报告和实时监控功能，使您能实时地关注网络行为和所有设备状态。高性价比的解决方案n WatchGuard 的解决方案提供了完整的集成式安全服务和能力。我们的网络安全产品价格极具竞争力，同时，简化的部署和管理降低了培训和使用成本。Firebox产品可按您对性能和安全需求增加而随时升级和扩展。n 通过单一的许可文件，可在同一产品线中升级到高端型号或添加诸如Gateway AV/IPS等应用层安全服务，保护了您的业务和安全设备的投资。强大的安全团队支持n 作为网络安全产业的先锋，WatchGuard 早在1996年已开始部署安全设备。当您成为WatchGuard 的合作伙伴时，将有世界级的安全专家团队时刻伴随您的左右，并致力于使您免受当前和日后的威胁。n 我们的目标是在现在和将来保证您业务的安全以及网络的受信任。专业的LiveSecurity 服务为企业客户的网络安全保驾护航。2 WatchGuard在电信行业的案例2.1 某市电信核心业务系统服务器群保护背景介绍某市电信业务网服务器系统是运行在全国电信业务网中的重要数据部分，该部分数据涉及到计费、综合业务与客服等多种业务类型，因此数据安全性非常重要。由于电信业务网的庞大，不可预见性的突发事件可能会导致业务服务器无法正常工作，给电信系统带来极大的损失。因此市电信信息部门综合安全性、可靠性、可用性、多面性等因素，设计采用综合安全网关作为业务服务器群前端安全设备。解决方案为了保护用户核心业务系统的安全，在业务系统的核心网络处部署了2台X8500e-F，设备前端为该市所有的电信营业厅客户端，后端为该市电信所有的业务系统服务器群。全市所有的电信营业厅业务均通过实时访问后台服务器进行，这些网络应用均在X8500e-F的访问控制下进行。作为重要的内网骨干节点，对设备的性能和可靠性都有非常高的要求，为了满足系统要求，X8500e-F采用了网状冗余拓扑接入系统，同时启用了OSPF动态路由，确保拓扑中出现任一链路、端口、设备故障的情况时，后台服务器群和前端营业厅终端之间仍可正常通信！实施效果 Firebox设备作为OSPF网络的一个节点，具有路由学习速度快，包转发效率高等特点； 严格实施的访问控制，可以确保业务服务器不需要对外开放的端口得到很好的屏蔽； 限定源IP地址对内部Web服务器资源的有限访问，即根据源IP地址定义，实施URL访问控制，使得特定源IP地址只可以访问Web服务器的上的特定URL，提高了安全性； 启用日志及报告系统，管理员可以了解到每天服务器访问量及特定时间段的通讯量； 启用IPS功能保护内部业务服务器的应用层安全；2.2 某省网通BOSS服务器群保护背景介绍综合业务和运营支撑系统(以下简称BOSS系统）是以客户服务、业务运营和管理为核心，以关键性事务操作（客户服务和计费为重点）作为系统的主要功能，为网络运营商提供一个综合的业务运营和管理平台和全面的解决方案。 XX省网通的BOSS系统作为核心业务系统，负责完成全省的计费、结算、帐务、业务及客服等业务功能，系统内部署有计费系统、结算系统、营业帐务系统、客户服务系统等大量、复杂的业务系统。服务器区作为整个BOSS系统的核心区域，负责处理、存储大量业务数据，同时肩负着实时、安全的对外提供应用服务的工作。解决方案安全是部署所有系统应用和实施优质服务的前提和保障，对于XX省网通BOSS系统这样一个密切关系到企业生存基础的系统，其安全的重要性是可想而知。为了保护BOSS系统服务器区的安全，该网通信息化部设计了如下防火墙部署方案。实施效果 Firebox配置为Drop-in（透明模式），部署在两大服务器区出口处，不影响现有网络拓扑和IP地址规划； 严格实施的访问控制，确保业务服务器只对特定访问来源开放特定服务端口，隐藏内部应用信息； Firebox采用Proxy防火墙技术，在提供网络层安全访问控制的同时，高效实现应用层协议的过滤分析，有效保护内部应用服务安全，大幅度提高了安全防护等级； 内置图形化活动连接及流量分析工具，实时监控、排查网络应用情况，方便系统管理人员有效管理系统运行；2.3 某省网通办公系统VPN网关应用背景介绍某省网通在省公司部署了大量重要的办公业务系统，通过Internet为全省员工提供多种办公应用、数据查询等服务。为了满足远程办公的安全需要，省网通计划部署基于IPSec的VPN接入系统，在省公司部署集成VPN功能的UTM设备，在各地市部署专用的IPSec VPN客户端软件，各地市办公用户通过VPN拨号，建立VPN隧道，安全访问总部办公业务系统资源。经过严格的测试对比，WatchGuard X5500e凭借集中式的图形化VPN配置、管理，全面的VPN访问控制能力，实时的网络访问监控界面，被省网通选为全省移动办公的VPN接入网关。解决方案X5500e集成IPSec VPN的同时，提供了强大的VPN安全访问控制策略，可以针对不同身份的VPN访问用户，设置不同的访问策略，控制用户的访问网络资源。并可根据实际需要扩展GAV、IPS、垃圾邮件过滤、Web访问控制等多种应用层安全防护功能。X5500e提供了非常便捷的VPN客户端配置功能，管理员在中心点即可轻松完成客户端配置文件的生成、更新。另外，Firebox X5500e随机附带的WSM管理软件提供了丰富的图形化监控界面，可以实时有效的监控VPN系统工作情况，VPN用户的连接和应用使用情况，大大简化了VPN系统的部署和安全管理工作。实施效果 为全省移动用户提供了良好的IPSec VPN接入能力； 简单的移动用户VPN管理配置方式，大大减少了对远端VPN客户端软件的维护量； 可以严格控制对内部资源的访问； 启用日志系统，可以清晰记录每位VPN用户的登录时间及访问内容；2.4 某省网通宽带应用业务系统安全防护背景介绍网通“宽视界”视频监控系统是基于宽带网络，为用户提供视频、图像、声音和各种报警信号远程采集、传输、查看、储存、处理的一种全新电信增值业务，通过一个功能完善的远程网络监控中心服务平台，以集中式分区化运营方式，为用户提供便捷、经济、有效的远程监控整体解决方案。为了确保系统中大量后台应用服务器系统的安全，网通要求所选用的安全网关设备具有完整、高效的应用层检测能力，既可以实现传统防火墙基于IP、端口的访问控制，又具有检测、分析应用层数据的能力，如：控制FTP命令，控制HTTP协议传输的数据类型和所用命令、格式等。通过选型对比，省网通最终选用了具有完整应用层检测能力，基于Proxy防火墙核心的WatchGuard UTM产品实施本次安全项目。传统防火墙只能提供基于IP和端口的访问控制，而WatchGuard独有的Proxy技术，则将访问控制和安全检测的范围扩展到了应用层。解决方案在WatchGuard UTM集成的协议异常检测、模式匹配、行为分析等技术保护下，系统中大量基于B/S架构的应用和数据安全得到了有效保护。系统部署示意拓扑图如下：实施效果 Proxy技术很好地控制了应用协议的通讯；有效地保护了内部Web、FTP等服务器的应用层安全； 高效地处理能力，合理的UTM技术设计，使得开启了应用层安全检测后也没有影响业务通讯质量；2.5 某电信增值领域的增值应用安全增值接入是电信正在推广的一项新增值业务，主要面向中小企业。这些中小型企业用户往往在IT管理上比较薄弱，希望依靠可靠的、有实力的服务提供商来保证其网络运行的稳定。因此，电信向中小企业用户销售其宽带业务的同时，捆绑销售内容安全服务。作为运行服务商，不单单提供Internet的接入服务，还为用户提供内容安全服务。比如提供如下服务套餐供用户选择：基本服务 A防火墙基本服务 B实时杀毒基本服务 C垃圾邮件过滤基本服务 D互联网内容过滤套餐 A+B防火墙 + 实时杀毒套餐 A+C防火墙 + 垃圾邮件过滤套餐 A+D防火墙 + 互联网内容过滤套餐 A+B+C防火墙 + 实时杀毒 + 垃圾邮件过滤套餐 A+B+D防火墙 + 实时杀毒 + 互联网内容过滤套餐 A+B+C+D防火墙 + 实时杀毒 + 垃圾邮件过滤 + 互联网内容过滤用户只需要购买宽带接入服务和相关的内容安全套餐服务就可以，而无须再次购买网关设备，比如防火墙或UTM。对于这些安全网关设备的管理都全部由电信运营商负责。WatchGuard UTM经过严格的入围选型评测，成为中国电信安全增值接入业务入围品牌，XXX省电信安全增值业务指定品牌！我们和XXX省电信已经签订了正式的采购协议，在全省各地市推广此增值业务和WatchGuard UTM产品。2.6 某省网通客服系统安全防护省网通为满足快速发展的业务需求，对现有的客服系统进行了升级。为了保护新客服系统业务服务器群的安全，选用了1台WatchGuard X2500 UTM，配置为NAT模式，部署在客服服务器群前端，大量坐席通过X1250e完成对应用服务器群的实时访问。系统中的应用服务器数量和种类较多，包括Web、Oracle数据库、多媒体等多种应用类型。为了保护应用服务器安全，X1250e启用了应用层检测，利用内置的攻击检测及防范功能，实时检测、过滤系统用户对服务器群的访问。部署拓扑示意如下：利用X1250e提供实时流量、实时连接等直观、实用的监控工具，结合身份认证技术和WatchGuard免费提供的日志及自动网络活动报表功能，记录及统计业务系统访问情况。系统管理人员可以随时了解到各业务系统的网络访问情况，发现可疑连接可以实时切断，大大增强了服务器系统的安全管理等级。2.7 某市联通办公及计费网络安全防护某市联通为了实现内部办公网络和计费网络之间的安全隔离和访问控制，加强计费网和办公网网络故障及安全问题的分析、响应能力，选择了1台WatchGuard X6500e UTM实施了如下图所示的项目。通过WatchGuard X6500e UTM提供的独特的Proxy技术，实现了应用层的安全隔离和访问控制，更加有效的保护了计费网的系统安全。另外WatchGuard UTM集成图形化的实时连接及实时日志监控工具，直观、有效的定位的网络异常和网络安全问题，为联通网络管理人员提供了实用、高效的安全管理手段。3 WatchGuard在教育行业的案例3.1 某国际学校Internet安全网关应用背景介绍德而威治学校于1619年建校至今已有近400年历史，由英国著名艺术家和企业家爱德华艾伦创建，地处伦敦南部，离泰晤河6英里。为促进中英文化交流，德而威治学校于2002年在上海开办了第一所位于中国的国际学校。目前已经招收学生900余人。于2005年，在北京开办了第二所国际学校，目前招收学生400余人。德而威治国际学校的校园局域网络分为三部分。第一部分为对外提供交流的web、mail服务器；第二部分为教师使用的办公网络；第三部分为供学生使用的学生网络。德而威治国际学校在英国总部使用的是WatchGuard设备，因此其IT主管Sam Roche先生对WatchGuard设备的稳定性，安全性，易管理性给予了很高的评价，并要求中国校区依然采购WatchGuard的产品。解决方案在中国，德而威治国际学校已经建立了北京2个校区，上海1个校区共3个独立局域网络。这3个局域网络通过WathcGuard设备组建VPN网络互联。在网络中实施了Microsoft Windows Active Directory认证管理，要求所有网络用户必须通过AD进行认证后，才可以使用网络资源，包括共享文件、网络打印设备、Internet资源等。主AD位于北京的1个校区，其余校区设立从AD，通过VPN进行AD间的数据交换。作为一所面对2-16岁儿童的国际性现代化学校，网络安全和网络管理问题极其重视，因此学校IT部门对Internet访问方面进行了严格的控制。实施效果 防止来自Internet的病毒滋扰启用网关防毒功能，对来自网页和邮件中的病毒进行检测与清除。以防止学生在浏览网站时无意中受到病毒的侵入。 防止IM和P2P软件使用 启用IPS功能，主要是使用WatchGuard IPS中对即时通讯软件与P2P下载应用程序的控制。禁止使用聊天软件与P2P软件，确保网络有限带宽的使用和防止不良内容通过聊天软件进入内部网络。 禁止浏览非授权网站启用WebBlocker功能，对54余类网站进行筛选控制，杜绝学生浏览所有不利于学生身心健康的网站内容。同时，必要的教学用网站和一般性的网站是不会受到访问控制的影响。 集中的设备管理3.2 某市教育城域网接入背景介绍某市教育城域网于2002年基本建成并开通，城域网通过千兆光纤接入Internet，接入带宽为1Gbps，为全市约500所学校及有关教育单位提供宽带接入服务。解决方案近年来，随着网络应用的增加，城域网出口的实际网络吞吐率不断增加，峰值达近400Mbps，最高并发连接约40万。为了满足不断增长的网络吞吐率需要，XX市教育经过长期、苛刻的实际环境测试，选购了1台WatchGuard X8500e-F千兆高端UTM，配置为NAT模式，部署在城域网Internet接入处，用于城域网接入的逻辑隔离和访问控制。部署拓扑示意如下：实施效果 X8500e-F具备2Gbps防火墙处理能力，管理软件WSM提供了丰富的实时监控及安全管理特性。城域网管理人员足不出户，即可了解Internet出口处的实时网络应用情况，结合X8500e-F提供的QoS、流量管理、动态路由等高级网络特性，为XX市教育城域网的安全、可靠运行提供了有力保障。3.3 某外国语学校安全接入背景介绍XX外国语学校是XX教育集团投资兴建的一所从小学至高中十二年一贯制的寄宿制外国语学校。为了满足学校现代化办公和教学的需要，学校依托良好的基础网络架构，部署了大量重要的网络应用系统，主要包括对校内外开放的网站系统、FTP应用、OA系统、教学资源系统以及财务应用系统，学校的Internet出口为2条10M的Internet接入，校内联网PC约2000台。为了实现整个校园网的Internet接入安全，提高整个网络系统的安全性、可靠性，学校信息中心老师对采用的产品和技术提出了明确的要求： 部署基于硬件的高性能安全网关产品，并充分考虑投资及管理使用成本，倾向于选用成熟的高性能UTM产品； 实现对校内网络应用的有效控制和管理，可灵活限制大流量下载应用，可灵活限制占用带宽较多的视频、语音等实时应用； 隐藏内部Web、FTP等对外应用系统的应用层信息，同时保护OA、财务等应用系统的安全，确保重要应用及数据的实时安全； 提供直观、实用的实时交互式监控功能，提供汇总网络运行情况的日志及图形报表功能，加强网络的整体安全管理和监控；解决方案经过长期考察选型，XX外国语学校信息中心最终选用了WatchGuard X5500e设备实施本次安全项目。通过WatchGuard产品独有的ILS引擎和Proxy技术，实现了完整的应用层安全防护和过滤。如，控制内部用户的网络下载，禁止下载特定类型的文件，禁止访问在线视频、音乐，禁止访问特定的域名，过滤网络访问中的关键字，控制外发邮件的大小、主题、附件类型，控制MSN、QQ等IM应用等。设备部署拓扑示意如下：3.4 某工程学院安全接入背景介绍某工程学院学生区网络常有安全事件时有发生，内部网络病毒猖獗，学生在主流网络媒体上乱发敏感的词，比如：在BBS上发布“罢课”等词，给学校的形象造成了严重的影响，为了实现学生上网的安全接入，控制学生的上网行为，提高学生上网质量，此工程学院信息中心决定在各学生上网出口部署安全网关。解决方案：多家安全厂商参与了测试，此信息中心经过长期对比和选型，最终选用了两台WatchGuard X8500e-f设备实施本次安全项目。通过WatchGuard产品独有的ILS引擎和Proxy技术实现了关键词的过滤，通过部署GAV/IPS模块杜绝了网络病毒的泛滥，部署Webblocker给学生上网一个健康的上网环境，满足了信息中心的所有需求，并且提供了详细的日志和报表功能，为日后的公安部备案查询提供证据。设备部署拓扑示意如下：实施效果： 防止来自Internet的病毒滋扰启用网关防毒功能，对来自网页和邮件中的病毒进行检测与清除。以防止学生在浏览网站时无意中受到病毒的侵入。 禁止浏览非授权网站启用WebBlocker功能，对54余类网站进行筛选控制，杜绝学生浏览所有不利于学生身心健康的网站内容。同时，必要的教学用网站和一般性的网站是不会受到访问控制的影响。 关键字的过滤制止学生在BBS论坛上发布“罢课”等反动言论 日志管理学生日志按照公安部要求的天数保存3.5 某大学图书馆安全接入背景介绍某工程大学图书馆和和计算机学院大楼局域网分别有1000个和1500个节点，各自已经单独组建了局域网络，但是相互独立没有互连。因此给，图书馆资料的信息化使用带来了诸多不便，图书信息查询仍需到图书馆进行。为了充分发挥网络系统的价值，为广大师生更好的提供图书借阅服务，计划完成图书馆和计算机学院之间的互联互通，并实现图书信息网络化。为了确保互联互通后图书信息资料及相关应用服务系统的安全，必须考虑局域网之间的网络逻辑隔离和访问控制，按照学院信息中心的设计，需要选择一台高性能的安全网关设备，部署在网络出口处。解决方案：经过对比和选型，信息中心老师选定WatchGuard X6500e来实施本次安全项目。WatchGuard产品独有ILS引擎和Proxy技术，实现了高性能的应用层安全检测和防护。通过部署WatchGuard X6500e，用户只需要使用单一的集中管理软件即可操作设备，完成对混合型网络攻击的防御。设备部署拓扑示意如下：实施效果： 病毒检测启用网关防毒功能，对来自网页、邮件等应用进行深层次病毒查杀，有效隔离病毒的传播和入侵。 入侵防御IPS功能有效地保护了对外提供服务的Web及Mail主机的安全，提高了对外服务质量 日志记录及报表分析日志服务器实时收集设备的详细流量及事件日志，并通过报表系统，自动生成统计报告，便于更好的管理图书馆网络系统的应用。4 WatchGuard在金融行业的案例4.1 高效的反垃圾邮件功能保护银行邮件服务器作为国内某知名银行，长期受到垃圾邮件的滋扰，严重影响了银行邮件服务器的正常工作。用户迫切需要一台具有反垃圾邮件功能的网络安全产品，对服务器进行有效地保护。在经过对多台专业反垃圾邮件产品及UTM设备的测试比较后，银行信息部最终选择了WatchGuard的Firebox设备作为反垃圾邮件产品使用。实施效果 透明模式部署，无须修改网络拓扑结构； 无须修改DNS信息，如MX记录等，避免的DNS变更带来的通讯中断； Firebox设备支持高效的RPD反垃圾技术，识别率达到了97%； 高效的算法，减少了邮件传递的延时； 支持隔离服务区设置，可以将隔离的邮件有效地保存起来； 可以控制针对主体的关键字过滤； 可以控制针对附件名的关键字过滤； 通过丰富的日志报告，可以检索到内部邮箱外发邮件的记录；4.2 证券公司关键业务服务器防护在某证券公司与银行系统的接口网络中，部署两台Firebox设备，负责完成对银行网络的隔离和控制。案例特点 双机热备份模式，确保网络的可靠运行； Firebox有效地限制了银行网络对证券公司网络资源的使用； 将一切不安全通讯，屏蔽在Firebox之外，确保正确的数据查询工作顺利进行； 详细的日志报告，让管理员实时了解银行网络与证券网络数据交换过程；4.3 灵活的高级网络功能，满足金融业的要求背景介绍某国内知名的银行机构，每天要面对大量的、各银行间的数据交换，因此高性能、高稳定性、支持多外线接入成为该银行机构选择防火墙产品的首要条件。WatchGuard Firebox设备依靠其自身的高稳定性、高吞吐量、高并发连接数、强大的网络互联能力及灵活的防火墙控制能力，赢得了该银行机构认可。解决方案 采用两台Firebox设备作双机热备份，提高网关的冗灾能力； 利用多WAN功能分别连接3条Internet线路，为不同银行机构提供服务； 启用对服务器群的DoS/DDoS防御和IPS保护； 启用VPN，用于建立安全的远程管理通道； 启用远程监控、日志系统和报告系统；实施效果 多WAN口连接，WAN口等价路由设计，可以保证数据包进出设备时使用唯一的接口，做到数据包原路进原路出； 多WAN口可以实现链路负载均衡，实现了内部服务器对有限带宽的有效利用； DoS/DDoS防御，保护了服务器免受非法数据包的侵害，同时，Firebox设备在判断出入侵后自动屏蔽了攻击源地址； IPS保护，检测与服务器应用协议的通讯中是否存在应用层攻击，IPS签名库每4小时得到一次自动更新； 日志系统帮助管理员分析出网络通讯的问题，通过报告系统，管理员可以了解到每天具体哪些时间段是服务器的访问高峰，有多少并发连接数量；管理员根据这些数据相应的调整服务器部署； 用户对服务器的后台管理，利用了Firebox的VPN隧道加密传输，极大地保护了服务器后台管理数据通讯的安全；4.4 保护银行业务网数据库系统背景介绍某市银行机构网银系统服务器群，每天要负责处理大量的银行内部、外部数据查询工作。由于同事提供对内对外的通讯，因此网络安全至关重要。银行机构要求采用异构安全网关设计，即设计两道防火墙，而且不用品脾及产地，以加强网络通讯的安全，并要求防火墙具有良好的稳定性、可管理性，并提供IPS防御能力。解决方案 在Intenret出口设计另一品牌的防火墙系统，并双机工作； 内部采用两台Firebox设备作双机热备份，提高网关的冗灾能力； 利用多接口的特点建立多个安全区域，连接不同服务器及网络；实施效果 采用防火墙异构设计，可以避免一台防火墙被攻破后，整个系统失守； Web服务器与内部数据库服务器的通讯，必须通过Firebox的访问控制，这样就加强了数据库服务器的安全；一旦对外提供服务器的Web服务器遭到黑客攻击并入侵成功，那么黑客需要再次攻破Firebox的防线才可以直接访问到最关键的数据库； 内部业务系统在与数据库服务器交换数据时，也受到了Firebox的严格访问控制； IPS系统保护数据库服务器，无论来自内部业务系统还是外部Web服务器的通讯，均对相应协议作出检测； 启用了SNMP协议，Firebox可以加入到银行的SNMP网管平台中，得到统一的系统检控；5 WatchGuard在政府的案例5.1 某省税务事务所网上报税VPN系统背景介绍省国税现有网上报税系统面向全省企业，提供快速便捷的网上申报等服务。为了帮助纳税企业完成税务申报工作，省国税下属的各地市国税下设有众多的税务事务所网点，各税务事务所作为专业的税务服务机构，为各地市报税企业提供众多的税务服务。由于目前各事务所网络接入方式并不规范，开放的Internet及现有系统的网络部署方式及应用特点，给税务数据的安全带来了很多风险。分散的接入方式也给省、市级税务局后台服务器系统的安全带来了不可控性。税务机关的网络安全管理人员无法实时了解系统的整体网络安全状态，无法针对报税系统安全需要定制统一的安全接入控制策略，只能被动的防范、控制来自Internet的网络访问。另外，对于网上报税业务来讲，数据在传输过程中的保密性、安全性，显得至关重要。如何保证数据传输过程中的安全，是必要慎重考虑的问题。解决方案为了解决以上问题，省、地市国税采用了基于WatchGuard产品的VPN互联方案。通过构建IPSec VPN网络，利用IPSec VPN提供的认证、传输加密、访问控制等安全功能，在各事务所及其下属网点和地、市税务机关之间，建立了一个安全可靠并且可控的专用加密传输网络，确保整个系统的可控性，以及数据传输的安全性。案例特点 各税务事务所网络得到了优秀的WatchGuard UTM设备防护； 机密数据通过过安全的IPSec VPN技术加密后传输； WatchGuard 集中化管理系统，可以使管理员在信息中心通过图形化界面管理分布在各地的Firebox设备； 实时的图形化设备监控和预警机制，可以保证在第一时间掌握设备运行状态； 安全系统内核分发功能，实现了在信息中心统一升级Edge系统内核的任务，而无须人工干预；5.2 某省国税财税安全网关背景介绍省国税网上报税系统为全省报税企业提供便利的网上税务申报等应用，系统采用C/S架构，现有系统用户约20万。现有报税系统中，报税用PC由企业用户自己管理、维护，各用户的安全防范及管理水平参差不齐，报税用PC和企业内部网络之间没有实现有效的逻辑隔离和访问控制，来自Internet或内部局域网的系统漏洞、病毒等直接威胁报税PC安全，甚至进一步威胁网上报税系统服务器安全。解决方案通过在各报税企业财务用PC前端部署WatchGuard X10e，可以有效解决以上安全问题。X10e支持应用层安全检测和访问控制规则，有效隔离安全风险，保护财务数据和报税应用的安全。通过安全网关的部署，构建了网上报税系统的整体安全体系，系统接入控制和主动安全防御能力大大提高。系统的部署示意图如下：5.3 某省水文局VPN互联背景介绍省水文局随着信息化建设程度的提高，各单位间信息实时交互的需求越来越多。为了满足办公及水文业务应用的需要，决定建设基于IPSec技术的VPN网络。由于各联网单位缺乏专业IT人员，而且部分单位地理位置比较偏远，不利于现场维护管理。所选用的产品的可靠性、易用性、可维护性是本次项目重点考虑的一个内容。经过严格实际环境测试，选用了基于WatchGuard UTM产品的解决方案。通过WatchGuard UTM提供的拖放式VPN技术，在中心点即可轻松完成VPN网络的组建和集中管理。解决方案建成后的VPN网络以省局为中心，分别连接下属7个VPN分支，并通过VPN中心点路由，实现了动态IP的VPN分支之间的安全互访。省水文局、管理处可以实时、安全的完成下属7个VPN节点设备运行情况的监控和远程管理。VPN基础网络建成后，既满足了办公应用需要，也为实时采集基础数据的水文业务提供了可靠、安全的传输保证。系统部署拓扑示意如下（未包含所有分支）：5.4 某省公路局网络安全接入背景介绍某省交通厅公路局隶属于省交通厅，负责全省公路的行业管理。全局现有计算机网络系统以省局为中心，形成了省、市、县三级架构。省局为下级单位提供统一的Internet接入，同时对内、对外提供Web、OA、视频会议、DNS等多种网络服务。为了更好的保护的保护内部应用系统的安全，特别是对外的Web、DNS等服务器系统的安全，公路局计划逐步更换现有的网络防火墙，分期实现整个网络的应用安全防护。解决方案：经过长时间的选型对比测试，公路局最终选用了WatchGuard X1250e UTM部署在Internet接入处。利用X1250e独有的应用层Proxy安全防护功能，隐藏内部应用信息，过滤非法及恶意的应用层数据，最大限度的保护内部应用服务器的安全。部署示意如下：实际效果 Proxy应用层过滤，实现了重要服务器的命令级访问控制，避免了软件系统漏洞引起的安全隐患 启用网关防毒功能，实时查杀来自外部网络的流行病毒 内置攻击检测功能，实时防范常见攻击和扫描探测，自动Block恶意源地址，大大减少网络被探测和入侵的概率 图形化实时流量、连接查看，为管理人员提供了实用、便捷的管理工具 自动网络活动报告，便于管理人员了解、跟踪网络运行情况6 WatchGuard在零售行业的案例6.1 VPN应用为连锁行业提供快捷、廉价的通讯网络背景介绍ITAT 集团为香港大型国际品牌百货连锁机构，由中联集团海外投资有限公司、欧洲银证远东有限公司、中国亚洲连锁百货有限公司、美华投资（香港）集团有限公司、美国摩根士丹利、美国蓝山（中国）资本、美国CITADEL 基金七大股东联合投资。由