天網專為小型辦公室/機構的內部網絡而設計的天網防火墻墻部門級,功能全面,集高安全性及高可用性於壹身,使用簡單靈活。能夠有效抵禦來自互聯網的各種攻擊,保障內部網絡正常服務的正常運行。您還可以根據實際需要選擇不同的附加功能模塊,滿足您不斷進步的要求。
防火墻型號:部門級FW2010
系統功能:
1、 國內首個自主版權的專業防火墻內核
2、 基於狀態檢測的包過濾防火墻
3、 具有包過濾功能的虛擬網橋
4、 具有TCP標誌位檢測功能
5、 具有雙向的網絡地址轉換功能
6、 支持網絡端口多個IP地址綁定,支持多子網及多IP應用
7、 支持IP地址與網卡MAC地址綁定
8、 實時系統與網絡狀態監控
9、 功能模塊軟件升級簡便,便於擴展
10、 基於WEB界面的管理,易於管理
典型網絡方案:
壹個小型辦公室/機構通常有壹個獨立的局域網,通過***享壹個專線(ADSL,DDN等)連接接入Internet,需要保護內部網絡不受外部入侵。在這個典型應用中,把防火墻架構在撥號接入設備之後,即可保護小型企業內部網絡用戶訪問Internet的安全。 在政府及大型企業中,有獨立的大規模的局域網,需要實現局域網通過各種寬帶連接訪問外部網絡的,同時需要為外部網絡提供的各種應用服務。面向大型企業網絡的天網防火墻企業級,除具有天網防火墻獨有的攻擊防禦功能,TCP標誌檢測等優秀基本功能外,強大的處理能力配合完美的功能模塊,能以接近透明的方式保護企業內部成千上萬的工作站及重要的服務器群,絕對不會成為網絡瓶頸。通過設置天網防火墻,在局域網內分離出內部網區和中立區,分布保護對外的服務器和內部局域網的網絡安全。
推薦型號:天網防火墻企業級FW3010標準型,天網防火墻企業級FW3060擴展型
基本防火墻系統功能包括:
1、 自行開發的優良的防火墻內核
2、 基於狀態檢測的包過濾功能
3、 具有包過濾功能的虛擬網橋功能
4、 具有TCP標誌位檢測功能
5、 具有雙向的網絡地址轉換功能
6、 具有流量統計與流量限制功能
7、 通過界面升級,操作方便
8、 具有國際首創的DoS防禦網關技術,能有效的防止各種類型的DoS攻擊
9、 支持壹個網絡端口綁定多個IP地址,從而支持多個子網和多種IP應用。
10、 支持IP與MAC地址綁定,有效地管理IP地址資源
11、 具有實時系統監控功能,能觀察系統的運行狀態及網絡連接狀況
12、 具有實時報警功能,通過撥打電話和Email的方式報警
13、 具有系統操作記錄,可以記錄系統管理員的所有操作情況
網絡黑洞模塊
用於阻擋黑客的網絡結構探測,返回錯誤的信息給黑客,可以有效的防止外來攻擊。
網絡數據記錄模塊
用於記錄網絡數據流量、用戶流量計費等功能,該模塊需要在壹臺PC機上安裝壹個客戶端軟件進行數據收集、分析和處理,還可以把分析結果導入數據庫,實現自動處理。
透明代理功能
可對用戶上網時間帶寬作限制
虛擬專用網絡VPN
實現內容過濾,URL攔截典型網絡方案
XXX企業集團網絡安全方案
本方案的設計遵循以下思想是:
風險、成本、效率平衡原則
綜合性、整體性考慮
保證系統可用性,安全系統對於應用有很好的透明性 集中管理,易於維護
實用的安全產品必須是經過公安部門檢驗的合法產品。並且必須是國產安全產品。
與應用系統結合,提供網絡與應用結合的壹體化安全方案
安全策略
制定安全策略的目的:
劃分安全區域
制訂安全策略,包括用戶訪問控制,定義訪問級別,確定服務類型。
安全策略:
目的:
劃分安全區域。
制訂安全策略,包括用戶訪問控制,定義訪問級別,確定服務類型。
審核和過濾,僅符合安全策略的訪問和響應過程可以通過,拒絕其他訪問請求。
根據對用戶需求的分析,企業內部網絡可以劃分為以下幾個安全區域:
內部網段
公***網段
外部網段
分屬三個安全區域的網段通過天網防火墻進行互連。
現有需要進行審核和過濾的應用和服務類型包括: 對網絡服務供應商來說,保護網絡安全免受攻擊是至關重要的,因此對於防火墻的選擇必須慎重。天網防火墻電信級是專為ICP(互聯網內容供應商)網站以及IDC數據中心設計的大容量高性能防火墻,它能支持大量的峰值訪問與並發連接數,適應各類型ICP網站和IDC數據中心的復雜的業務與數據交換的需求。它包括了基本的防火墻系統的各種優秀功能,外加強大的功能模塊,還可擴展成雙機熱備份功能,使系統瞬間自動切換不正常的防火墻系統,全面保護網絡服務供應商免受非法攻擊。
推薦型號:天網防火墻電信級FW5010 ICP型; FW5060 IDC型
對於小型的網站我們建議使用FW5010 ICP型,對於大型的ICP網站或者IDC數據中心等ISP網絡運營商我們建議使用FW5060 IDC型,相對於ICP型,提供更強大的處理能力,並帶有負載均衡功能和雙機熱備份功能。
值得壹提的是,目前DoS及DdoS攻擊嚴重威脅著各ICP網站的安全,而天網獨特的DoS防禦網關能高效地把這類攻擊拒之門外,諸多成功案例已經證明天網防火墻電信級的確是各類網站和數據中心的保護神。
功能
基本系統功能,包括:
1、 自行開發的優良的防火墻內核
2、 基於狀態檢測的包過濾功能
3、 具有包過濾功能的虛擬網橋功能
4、 具有TCP標誌位檢測功能
5、 具有雙向的網絡地址轉換功能
6、 具有流量統計與流量限制功能
7、 可通過界面升級,操作方便
8、 具有國際首創的DoS防禦網關技術,能有效的防止各種類型的DoS攻擊
9、 支持壹個網絡端口綁定多個IP地址,從而支持多個子網和多種IP應用。
10、 支持IP與MAC地址綁定,有效地管理IP地址資源
11、 具有實時系統監控功能,能觀察系統的運行狀態及網絡連接狀況
12、 具有實時報警功能,通過撥打電話和Email的方式報警
13、 具有系統操作記錄,可以記錄系統管理員的所有操作情況 ■網絡黑洞
用於阻擋非法的網絡探測
■網絡數據記錄
用於記錄通過防火墻的數據類型和流量,該模塊需要在壹臺PC機上安裝壹個客戶端軟件進行數據收集、分析和處理,還可以把分析結果導入數據庫,實現自動處理。
■雙機熱備份
可在瞬間自動切換不正常工作的防火墻系統
■負載均衡
可以智能地將用戶請求分布到多臺服務器
典型網絡方案:
某大型ICP網站準備使用十臺服務器對外提供Web服務,使用四臺服務器作為Smtp服務器,兩臺服務器作為P0P3服務器,對外進行服務,估計將有2325M的流入數據量和1214M的外流數據量:
網絡結構
根據該大型ICP站點當前的網絡需求,我們建議使用基於 天網防火墻電信級FW5060 IDC型的安全解決方案。
為了保證站點的穩定性、容錯性,本方案使用天網防火墻ICP型兩臺,通過防火墻的雙機熱備份功能保證不間斷正常運作,並把整個網絡劃分為物理上相互獨立的兩個網段:
公***網段(Public Network)
私有網段(Private Network)
其中,公***網段提供面向Internet的廣域網連接和接受互聯網用戶訪問的支持;私有網段安放十臺Web服務器、四臺Smtp服務器和兩臺P0P3服務器,提供Web和電子郵件應用服務。
安全策略
目的:
劃分安全區域
制訂安全策略,包括用戶訪問控制,定義訪問級別,確定服務類型。
審核和過濾,僅符合安全策略的訪問和響應過程可以通過,拒絕其他訪問請求。
根據對用戶需求的分析,北京站點的網絡可以劃分為以下幾個安全區域:
內部網段
外部網段
分屬兩個安全區域的網段通過天網防火墻進行互連。
現有需要進行審核和過濾的應用和服務類型包括: 隨著網絡技術突飛猛進,中國的網絡基礎建設的擴大。目前,
網絡骨幹已經進入光纖時代,除了電信的骨幹,政府以及大型企業已經開始普及光纖,而基於光纖的千兆性能的防火墻產品成為關鍵。本公司早在1999年處就著手天網千兆防火墻的開發,通過吸取國外同行的優秀經驗,加上國內頂尖技術人員的智慧,終於在2000年4月成功推出中國第壹臺千兆級別防火墻,其卓越性能馬上得到用戶的認同。2002年,在原先天網防火墻千兆級的基礎上,發展出天網防火墻千兆級FW8060旗艦級,使用全新的硬件系統和軟件核心,使天網防火墻達到了壹個全新的高度,強大的功能與性能能夠滿足最苛刻的用戶的要求。 集合了優異的網絡性能與系統性能的天網防火墻千兆級,利用優化的內核實現了極高效的硬件數據交換能力和系統並行處理能力的有機結合,支持百萬級別的並發連接。能夠支持上萬用戶的網絡請求,完全能滿足各種寬帶網絡應用服務的大流量數據應用要求。 推薦型號:天網防火墻千兆級FW8010骨幹型;天網防火墻千兆級FW8060旗艦級
基於千兆的優異性能:
■千兆級別線路速度的防火墻系統
■千兆級別基於狀態的包過濾功能
■千兆級別的NAT連接功能
■提供千兆級別的虛擬專網性能,支持超過2萬條IPSEC安全隧道
■支持百萬級別並發用戶連接
■支持超過4萬條的訪問控制設置
License
Type Description
SNFW-FT-BH 網絡黑洞
SNFW-FT-LOG 網絡數據記錄
SNFW-FT-RH 雙機熱備份
性能列表:
千兆級別線路速度的防火墻系統和NAT連接
千兆級別的基於3DES加密的虛擬專網性能
千兆級別的基於狀態的包過濾功能
支持超過50萬條的並發用戶連接
支持超過4萬條的訪問控制設置
所支持的標準包括ARP、TCP/IP、UDP、IPSEC、3DES等
支持超過2萬條IPSEC安全隧道
典型方案
電子商務應用安全解決方案
現在的電子商務站點需要支持數以萬計的並發連接,網絡安全設備需要支持大量的用戶連接並對上萬個請求同時進行回應。今天,基於傳統商業操作系統的軟件防火墻並不能提供這種規模的服務。許多站點依靠額外的網絡設備來在多個防火墻之間達到負載平衡。多防火墻系統的管理是困難的,因為管理員要在各臺防火墻之間做到同步。千兆防火墻支持多達500000個並發連接,可以滿足高通信量的電子商務站點的要求。由於許多主機都是象征性的處於同壹地點,千兆防火墻支持VPN模式,使主機之間的數據和命令在壹個安全隧道之中傳輸(這個安全隧道其實是在公***網絡之中,但因為防火墻將數據加了密,使其看起來就好像在壹條隧道中傳送壹樣)。千兆防火墻還支持高實用性的雙機熱備份,其軟件可以保持正在進行的並發連接。這就保證了即使系統出現故障,連接仍然可以保持,消費者不會因受到損失而轉向別的站點。
今天,熱門的電子商務公司大多把他們的web主機分散放置,以向顧客提供快速的反應。他們都把精神集中到核心業務上,對於web主機設備要求提供包括安全服務在內的網絡服務。千兆防火墻提供可控制的防火墻和VPN安全服務。其多用戶體系結構的虛擬主機系統提供了便利的方法來管理壹個系統內的多個用戶。每壹個虛擬主機系統可以有基於各自獨立用戶的壹套政策。每壹個虛擬主機系統的通信可以通過在防火墻和交換機之間配置IEEE802.1qVLAN標誌,安全的傳送到客戶端,從而提供壹個秘密、安全的連接。
企業的安全解決方案
企業的安全需要處理大規模的並發連接的能力。企業壹般設有多臺服務器以供遠程站點訪問或遠程用戶訪問,這些服務器提供e-mail、web、ftp、NFS或其他應用程序服務,這都需要支持大規模的並發連接。另外,隨著越來越多的商業應用通過IP網絡提供,用千兆以太網連接起來的服務器群,也需要內部防火墻保護。企業本身的Internet連接數也隨著越來越多的服務通過Internet提供而大量增加,壹個站點有多個T3或OC3連接需要保護是毫不奇怪的。例如企業需要用自己的Internet線路連接到其他大型網絡來進行視頻會議或大型的服務器/主機數據庫查詢,還需要支持高速度的VPN。還需要支持大量的VPN隧道以連接他們的分公司和遠程辦公室,代替昂貴的幀中繼服務。還有就是那些在家工作的雇員,這些雇員通過最新的寬帶技術訪問公司的網絡。