清华紫光防火墙应用分析(1)
清华紫光防火墙自1999年面世以来,在国内各行各业获得广泛应用。紫光防火墙系列产品的主要特点是配置管理简单明了,管理员易于掌握;同时在一台防火墙设备上集成了安全防范、访问控制、代理服务器、流量管理、计费、日志、缓存服务器、DNS服务器、VPN等多种功能,适于多种不同网络环境,具有非常好的性价比。依托清华紫光强大的研发、生产和市场销售服务能力,今年,清华紫光还将推出入侵检测软件和单芯片千兆级防火墙。 两年多来,清华紫光通过服务国内客户取得了一些经验。下面对两个典型的案例进行分析。 应用之一:证券公司营业部 企业接入Internet等公共网络,是防火墙应用最广泛的场合。在这种应用中,防火墙主要起到以下三个作用:首先是安全防范,防范来自外部网络的网络攻击;其次是地址转换,以有效地节约合法IP地址,同时也能隐蔽内部网络拓扑结构,防止部分网络攻击;还有就是边界控制,通过防火墙对内、外两个网络间的访问进行有序的控制。 某证券公司营业部的局域网需要利用防火墙进行安全防范。整个营业部局域网通过路由器连接DDN专线接入Internet,Web服务器直接与路由器局域网口连在一个交换机上,使用合法IP地址。一台业务前置机也连在这个交换机上。业务前置机与内部网中的一台业务通信机通过串行线连接。内部网所有用户要访问Internet必须通过代理服务器,代理服务器软件为WinGate和Sygate。代理服务器上装两片网卡,一片连接在外部的交换机上,另一片连在内部网的交换机上,同时代理服务器也兼作业务前置机。 为了增强整个营业部网络系统的安全系数,需要在整个网络系统中添加一台清华紫光的UF3500防火墙,防火墙以NAT(网络地址翻译)三端口模式运行,并对网络中相关设备,如路由器、服务器等进行必要的设置。将大户网吧和内部网(包括代理服务器)连接到防火墙的内部区;将Web服务器和前置业务机连接到防火墙的中立区;而防火墙的外部接口与路由器的局域网口相连。这样可以有效地保护内部网、大户网吧、Web服务区和前置业务机,同时保证所有业务的正常运行。系统架构如图1。
图1 整个系统改造前后只用了2个小时的时间,用户不需要对应用进行修改,而且对证券营业部的业务运行未造成任何影响。 应用之二:上海某宽带小区网络 在当前的宽带社区网络建设中,有几个问题非常突出:首先是网络管理问题,包括对网络设备的管理和对网络用户的管理;其次是网络安全,包括防御来自小区网络内部、外部的攻击以及防止病毒的传播;此外还有流量管理和网络计费等问题。 传统的宽带社区网络安全解决方案需要代理服务器、防火墙、带宽分配服务器和计费服务器等多种设备,这一系列设备都需要串接在小区网络和城域网的出口之间。对于这样一个宽带接入网络而言,代理服务器、防火墙和计费服务器都需要有很高的包通过率,否则就会成为整个宽带网络的瓶颈,但高性能的服务器群又会增加投资。 针对以上问题,清华紫光推出了基于清华紫光防火墙的“小区管家”综合解决方案。
