WatchGuard安全VPN解决方案

WatchGuard平安VPN网络技术方案2012年XX月书目第一章项目概述 -1-其次章需求分析 -1-2.1防病毒需求分析 -1-2.2攻击防护需求分析 -1-2.3IPSECVPN需求分析 -2-2.4VPN应用概述 -3-第三章整体项目解决方案 -4-3.2病毒与灰色软件过滤 -5-3.3入侵检测与阻断 -7-3.4异样——DoS攻击 -9-3.5IPSECVPN的网关对网关模式 -10-3.6IPSECVPN的移动客户端对网关模式 -11-第四章举荐设备型号清单 -14-第五章WatchGuardUTMVPN的主要优势 -15-第六章WatchGuard主要功能简介 -17-6.1.基于ILS核心的预防卫爱护 -17-6.2.集成防火墙/VPN功能 -17-6.3.全面的网络平安管理 -18-6.3.1.生成网络活动报告 -18-6.3.2.网络活动实时监控 -19-6.3.3.多种告警方式 -19-第七章WatchGuard公司简介 -20-项目概述X公司现目前总部也许500台PC，将来会扩到800左右，分支有30个左右，现须要建立平安ipsecvpn进行分支与总部的平安连接，由于一些缘由须要进行分步实施先做10个分支，每个分支有30到50人需求分析2.1防病毒需求分析随着互联网的普及和飞速发展，不行避开的带来诸如病毒、蠕虫等对网络平安的危害。据统计，目前在全球有70%以上的电子邮件是垃圾邮件，而每70封电子邮件中，就有1封含有病毒。假如加上通过HTTP和FTP协议传播的病毒，高大99％以上的病毒是通过网络进行传播。对X公司来说，具有如下特点：◆办公自动化程度都很高，企业网络里，重要的商业信息在大量传送。假如被外来的病毒侵入网络，造成的损失不行估量。◆网络都拥有固定的Internet连接，并且拥有自己的电子邮件服务器和WWW服务器。◆公司内部计算机数量众多，并且都希望通过Internet连接访问外部资源◆内网与Internet连接处都会已经部署了防火墙设备来做为平安防护的基本屏障。但是防火墙在应付内容平安的威逼，比如病毒和垃圾邮件时，是手足无措的。所以，对X公司来说，部署一特性能卓越，并可以同时供应HTTP/FTP/SMTP/POP3等多中协议进行内容平安检查的设备具有很强的现实意义。2.2攻击防护需求分析随着网络应用的不断深化，利用网络进行攻击的速度也越来越快，手段也越来越高超，组织、企业和服务供应商面临着越来越高的风险，同时给您的业务带来日益严峻的威逼。利用混合技术攻击网络基础架构的新型混合攻击在不断增加和演化，这意味着企业无论规模大小都必需坚持不懈地爱护自己，以抵挡这些不断改变的威逼。单凭传统的、被动的平安技术已经不能确保网络的可用性、完整性和数据保密性。由于传统技术本身的实力所限，无法供应前瞻性的威逼检测和防护，对于手段高超且极具针对性的拒绝服务（DoS）攻击，以及间谍软件、恶意软件和IP语音（VoIP）等威逼，企业的防线仍旧特别脆弱。企业须要部署先进的前瞻性防护，以抵挡基于网络威逼和攻击，从而爱护其重要的网络基础架构。而且，各类企业都面临强大的管理和审核压力，它们要确保机密数据的平安并降低业务风险。为了实现全面的、前瞻性的网络攻击防护以抵挡当前众多的威逼和攻击，企业和组织须要部署新一代的网络平安网关防护。创新一代的Watchguard系列平安网关供应了全面、精确和极具扩展性的威逼防护。Watchguard系列平安网关能够帮助企业、服务供应商和中小型企业（SMB）通过前瞻性的、全面的威逼防护，来确保其重要的网络基础架构的可用性和平安性。2.3IPSECVPN需求分析X公司现目前总部也许500台PC，将来会扩到800左右，分支有30个左右，现须要建立平安ipsecvpn进行分支与总部的平安连接，由于一些缘由须要进行分步实施先做10个分支，每个分支有30到50人同时x公司网络中心须要通过网络能管理到各分支的PC,而分支须要实时访问总部的服务器数据。现须要实现互联网与政府网互连互通同时兼顾保证网络的平安,为此想通过ipsecvpn来实现两网的互连并为VPN隧道进行各种组合(DESMD5/3DESSHA1)来进行加密保证传输数据的平安性2.4VPN应用概述VPN的应用：●适用于政府、企事业单位总部与分支机构内部联网(Intranet-VPN)

●适用于商业合作伙伴之间的网络互联(Extranet-VPN)●适用于商务在外者随时取得和传输最刚好精确资料商务平台●适用于教化系统教、学、研的信息资源共享●适用于远程监控的数据传输、存储、备份系统平台VPN的功能：技术性：通过隧道(Tunnel)或虚电路(VirtualCircuit)实现网络互联平安性：用户全平安管理能够进行网络监控、故障诊断、实时报警通用性：即可用于软件也可用于VoIP、视频会议、网络远程监控上兼容性：采纳专业防火墙,结合第三方设备方式降低客户投资成本易用性：LANTOLAN网络日常工作支配管理程序，采纳管理一个中心而降低远程的责任风险的理念，削减企、事业在人员上的投入VPN的优势：●建网快速便利

用户只需将各网络节点采纳专线方式本地接入公用网络，并对网络进行相关配置即可，也可以运用xDSL、Cable、FTTx线路完成

●降低建网投资

VPN方案是利用公用网络为基础而建立的虚拟专网，因而可以避开建设传统专用网络所需的高额软硬件投资

●节约运用成本

用户采纳VPN组网，可以大大节约链路租用费及网络维护费用，从而削减企业的运营成本

●网络平安牢靠

实现VPN主要采纳国际标准的网络平安技术，通过在公用网络上建立逻辑隧道及网络层的加密，避开网络资料被修改和盗用，保证了用户资料的平安性及完整性,VPN防火墙的VPN方案通过Internet来创建专用加密信道的连接，运用3DES及IPsec加密。它有全功能的、平安的防火墙、双线路备份。整体项目解决方案3.1拓扑3.1设备选型总部：我们建议选WatchguardXTM5Series-2为其供应爱护,WG5Series-2为一款电信级平安设备网络接口数:6个千兆电口，1个百兆接口,防火墙性能高达850Gbps吞吐,10万并发连接，UTM吞吐量600Mbps,WG5Series-2引用业界领先的AVG防病毒库,防病毒代码超过40万并供应在线实时升级,有效爱护内网服务器受到病毒的侵扰,其强大的IPS库能有效防止目前网络上的各种7层的攻击分部：建议部署VPN设备的分支采纳WatchguardXTM22做为分支的平安网关并可以开启防病毒功能对内网进行爱护，并与总部建立永久IPSECVPN并启用DES、3DES、AES、SHA等多种加密组合保证隧道的平安性，部份分支已购买深信服VPN设备的点可启用深信服第三方VPN与总部WatchguardXTM520进行连接3.2病毒与灰色软件过滤Watchguard是一款经过ICSA认证的高速反病毒网关，它能够实时检测和清除病毒和蠕虫，扫描进出的E-MAIL附件(SMTP,POP3,IMAP)、WEB和Ftp数据流中的病毒。Watchguard是采纳专用的ASIC芯片实现的病毒，比其他杀毒厂商推出的工控机加杀毒软件的模式比较，杀毒的效率高和速度快。在病毒处理上，Watchguard供应了三个工具，一个是病毒本身，二是灰色软件，三是文件隔离。病毒扫描无疑是对病毒处理的，Watchguard支持对病毒体的隔离，和向用户报警。如图HTTP病毒告警，病毒文件被隔离，然后页面显示有病毒，假如是邮件病毒的话，则邮件附件被隔离，邮件中附带通知有病毒的信息。病毒通知信息是可以用户自己定义的。如图:所示检查到病毒设备所执行的动作灰色软件的处理方式与病毒一样，假如启动对灰色软件的扫描，那么防火墙就会将灰色软件视做病毒，也就是说在爱护内容表中没有灰色软件的单独选项。灰色软件是一个概括性词汇，它是指安装在计算机上跟踪或向某目标汇报特定信息的一类软件。这些软件通常是在没有得到允许的状况下安装和执行的。灰色软件来源于以下地点和行为：下载共享软件，免费软件或其他形式共享文件打开感染的邮件点击弹出广告访问不负责任或欺瞒网站安装木马程序灰色软件不肯定是恶意的，比如说网站的开发人员采纳新技术来改进页面和获得更好效果。许多灰色软件的最终目标是跟踪网站访问者来获得搜寻结果，以达到更好的销售。除了以上两种以外，Watchguard还供应了依据文件名隔离文件的功能，用户可以依据文件的后缀，文件名或运用通配符来实现文件的隔离3.3入侵检测与阻断Watchguard防火墙内置基于ASIC的入侵侦测/阻断功能。网络入侵侦测/阻断系统(IDS/IPS)是一种实时网络入侵检测传感器，它能对外界各种可疑的网络活动进行识别及实行行动。Watchguard运用攻击特征库来识别超过1300种的攻击。为通知系统管理员有攻击行为发生，IDS将此攻击及一切可疑流量记录到攻击日志中，并依据设置发送报警邮件。watchguardIDS/IDP可以检测并阻断多种类型攻击，例如DoS/DDoS（拒绝服务/分布式拒绝服务）攻击（包括Smurfflood，TCPSYNflood,UDPflood和ICMPflood，PingofDeath，Teardrop等）。通过配置大多媒体网络中Watchguard的IDS/IPS模块，可以防止各类网络攻击和入侵行为的发生。Watchguard内置的IPS模块更可以干脆对1300种以上的网络入侵行为之间进行阻断，不给黑客以任何可乘之机。Watchguard同样可以通过LiveSecurity网络进行手动、自动、推送式更新攻击特征库，扩充攻击特征数量，防范最新攻击。如图所示：对攻击行执行的动作Watchguard的入侵检测与阻断分为两种：依据特征值的。该方法是对网络传输的数据包的内容进行分析，发觉其内容与预先定义好的特征值相匹配，则采纳相应的手段。Watchguard有1300多种特征值，而且这个数量因为升级而不断地增加。依据异样。该方法是发觉某类数据包在一段时间内数量或者包长度等超过了正常值，然后采纳相应的手段予以处理。3.4异样——DoS攻击在Watchguard中DDos是入侵检测和阻断的一种，它是依据阈值方式发觉问题，并且予以阻断。比如说，假如网络中ICMP的数据包超过肯定数量的话，则予以阻断。该功能对于解决网络病毒发出的大量的无用的数据包来说，是一个特别好的工具。如图所示：异样攻击行为限制上图给出了统计异样的列表，我们下面列举其中几类攻击以供参考：ICMP沉没攻击依据每台计算机的发出ping包总数来推断是否阻断该的ping包。有些病毒感染后会发出大量的ping数据包，假如我们简洁设置防火墙策略阻断ping数据包，那么我们就不能利用ping功能来推断是否网络通畅。而有该功能即能限制无用数据包的数量，又能够保障该工具的运用。UDP沉没攻击依据每台计算机发出的UDP会话总数来推断该机器感染病毒，是否予以阻断。感染了病毒的计算机的UDP会话往往大量地增加，该功能能有效地防止网络的堵塞。3.5IPSECVPN的网关对网关模式Watchguard支持网关对网关模式的IPSEC的VPN。网关双方可以都是静态的IP，也可以是静态IP对动态IP，或者双方都是动态IP。假如双方都是动态IP的话，那么有一台具有公网IP的watchguardmanagementserver对具有动态IP的watchguard进行拖拽式设定图:Managementserver配置模式3.6IPSECVPN的移动客户端对网关模式WatchguardMobileVPN最大的优点是配置简洁平安，用户无须对PC上的Client进行困难的配置，只须要在设备里把配置生成，把生成好的配置文件导入到Client里即可连通VPN隧道如图：生成后的文件为WGX的文件平安方面，可以为单独的用数安排固定的IP进行策略限制VPN隧道流量限制如下图所示:我们可以对隧道设定一个保证带宽，跟最大带宽，保证带宽意思只要有流量触发隧道那么此条隧道就会占用640kbps，并且最大可支持到1M的带宽3.7SSLVPN解决方案针对X公司实际网络环境我们举荐可开启WG520上面的SSLVPN功能，做为移动用户远程接入,WG520最大支持300个SSLVPN隧道可最大化的利用起来，为用节约成本，并且WGSSLVPN操作简洁易于配置，基本上只须要用户做几个小小的修改即可运用如图所示：只须要激活即可运用举荐设备型号清单举荐型号列表：序号品牌产品型号部署位置1WatchGuardWG5Series-2中心2WatchGuardXTM22各分支主要性能参数：FireboxWG5Series-2FireboxXTM22适用范围大型网络及数据中心小型分支防火墙性能1.9Gbps150MbpsVPN性能550Mbps55MbpsUTM吞吐600Mbps30Mbps最大并发连接数100,00020,000端口数1个百兆电口6个千兆电口3个百兆电口3个千兆电口BOVPN遂道数20020移动VPN隧道数50/30025SSLVPN隧道数30025型号可升级可升级到WG5Series-3可升级到XTM23WatchGuardUTMVPN的主要优势高牢靠性WatchGuard作为全球知名的网络平安设备供应商，其Firebox系列产品在全球有着大规模的部署应用，是经过市场长期考验的成熟产品，Firebox设备0.12%的硬件故障率为VPN网络的平安牢靠运行供应了有力的保障；Firebox产品支持VPN隧道冗余备份，当主链路隧道故障时，可以自动切换到备份链路，大大提高了VPN网络的牢靠性，假如结合中心节点双机热备部署，VPN全网的可用性将大大增加；高平安性Firebox产品集成的VPN功能基于IPSec，IPSec作为工业标准的网络平安协议，供应了高强度的加密和身份认证，结合Firebox本身供应的访问限制、身份认证、攻击防卫等平安功能，可以有效爱护VPN网络中心节点及各分支节点网络的平安；高可扩展性Firebox产品在供应平安、高效的防火墙、VPN功能的同时，还支持UTM特性，可以更具实际应用需求，在无需更换硬件的状况下，扩展网关防病毒、IPS、防垃圾邮件、Web访问限制功能。对各分支节点设备，还支持设备型号的升级，无需变更硬件，即可升级到更高的型号，供应更好的性能和功能。这些独有的平安特性，为用户VPN网络的平安运行和扩展供应了有力的保障；高可控性Firebox产品集成VPN及高性能防火墙功能，支持完善的身份认证机制，可以敏捷而有效的限制各分支节点对省中心的访问，省中心管理人员可以依据须要实时调整各分支节点和省中心之间的网络访问权限，确保省中心及各网络节点的自身平安；高可维护性大规模VPN网络最大的问题是实施部署及维护，FireboxIPSecVPN解决方案为全硬件解决方案，供应集中管理平台，供应专利的鼠标拖放式VPN部署、维护，管理人员在总部即可轻松完成VPN全网的管理维护和实时监控。这些独有的技术优势，为VPN网络的平安牢靠运行供应了必要而充分的保障；WatchGuard主要功能简介6.1.基于ILS核心的预防卫爱护WatchGuardFireboxX系列产品采纳智能分层平安（IntelligentLayeredSecurity）技术，ILS核心构架通过协议异样检测、模式匹配、行为分析技术，供应了“预防卫”（ZeroDay）爱护，无需依靠攻击特征签名，既可有效阻挡新的和未知的攻击。另外，ILS构架通过协调各功能模块的工作，有效安排系统处理流程及系统资源，减轻实现平安功能所需的计算和处理，如：IPS模块发觉攻击时，可立即通知防火墙模块进行处理，确保平安性的同时，大大优化了平安处理性能。6.2.集成防火墙/VPN功能集成高效率、高平安性的状态包过滤防火墙，隐藏内部网络信息，爱护用户内部网络应用的平安，防范来自Internet的非法访问和探测、攻击，同时限制内部用户的网络访问；状态检测型防火墙技术，同时供应FTP、HTTP、DNS、SMTP、TCP应用代理；支持路由模式、透亮模式、混合模式三种运行模式，满意各种网络环境的须要；支持多种地址转换：动态NAT、静态NAT（端口映射）和1-to-1的NAT；支持多种用户认证方式；基于策略的QoS、服务优先级流量管理；支持多外网口接入，支持多外网口的负载均衡、链路备份，支持双机热备份；内置IPS模块，有效抵挡DoS和DdoS等常见攻击和扫描，并可动态阻断不良IP地址；集成高平安性的IPSecVPN功能，便利公司管理者或出差员工远程平安访问公司内部网络资源；6.3.全面的网络平安管理WatchGuardFireboxX系列产品通过专用软件WatchGuardSystemManager（WSM）进行管理，WSM采纳直观的图形用户界面，供应综合日志、创建拖放VPN以及实时监控功能。另外，FireboxX系列产品集成了丰富、好用的网络应用管理功能，确保网络接入带宽被充分利用，并能限制内部员工的网络应用和访问行为，为网络管理者供应有效的网络应用管理和监督工具，提高网络的利用效率和员工的工作效率。6.3.1.生成网络活动报告依据用户实际须要，自动生成图文并茂的网络活动报告，报告内容可以依据用户须要定制，直观反映用户的互联网运用状况。网络活动报告内容可以依据用户须要定制，并自动定时生成。报告内容包括：网络带宽的安排和运用状况；内部详细用户、详细主机的网络带宽占用状况及网络连接及应用状况；详细网络应