스카이넷의 부서 수준 방화벽은 소규모 사무실/기관의 내부 네트워크를 위해 특별히 설계되었으며, 포괄적인 기능을 갖추고 있으며 높은 보안성과 가용성을 통합하고 사용이 간편하고 유연합니다. 인터넷의 다양한 공격에 효과적으로 저항하고 내부 네트워크의 정상적인 서비스가 정상적으로 작동하도록 보장할 수 있습니다. 또한 변화하는 요구 사항을 충족하기 위해 실제 요구 사항에 따라 다양한 추가 기능 모듈을 선택할 수도 있습니다.
방화벽 모델: 부서 수준 FW2010
시스템 기능:
1. 국내 최초의 전문 방화벽 커널
2. 상태 감지 기반 방화벽 필터링
3. 패킷 필터링 기능이 있는 가상 브리지
4. TCP 플래그 감지 기능 포함
5. 변환 기능
6. 네트워크 포트에 대한 다중 IP 주소 바인딩 지원, 다중 서브넷 및 다중 IP 애플리케이션 지원
7. IP 주소 및 네트워크 카드 MAC 주소 바인딩 지원
p>8. 실시간 시스템 및 네트워크 상태 모니터링
9. 기능 모듈 소프트웨어 업그레이드가 간단하고 확장이 쉽습니다.
10. 관리
일반적인 네트워크 솔루션:
소규모 사무실/기관에는 일반적으로 전용선(ADSL, DDN 등)을 통해 인터넷에 연결되는 독립적인 LAN이 있으며, 내부를 보호해야 합니다. 네트워크는 외부 침입으로부터 보호됩니다. 이 일반적인 응용 프로그램에서는 인터넷에 액세스하는 소규모 기업 내부 네트워크 사용자의 보안을 보호하기 위해 전화 접속 액세스 장치 뒤에 방화벽이 구축됩니다. 정부 및 대기업에는 다양한 광대역 연결을 통해 외부 네트워크에 액세스해야 하는 동시에 외부 네트워크에 대한 다양한 애플리케이션 서비스를 제공해야 하는 독립적인 대규모 근거리 통신망이 있습니다. 대기업 네트워크를 위한 엔터프라이즈급 스카이넷 방화벽은 스카이넷 방화벽 고유의 공격 방어 기능, TCP 플래그 탐지 및 기타 우수한 기본 기능을 갖추고 있을 뿐만 아니라 강력한 처리 능력과 완벽한 기능 모듈을 갖추고 있어 거의 투명하게 기업을 보호합니다. 수천 개의 내부 워크스테이션과 중요한 서버 그룹은 결코 네트워크 병목 현상을 일으키지 않습니다. 스카이넷 방화벽을 설정함으로써 내부 네트워크 영역과 중립 영역을 LAN으로 분리하고 외부 서버와 내부 LAN의 네트워크 보안을 분산 보호합니다.
권장 모델: 스카이넷 방화벽 엔터프라이즈급 FW3010 표준형, 스카이넷 방화벽 엔터프라이즈급 FW3060 확장형
기본 방화벽 시스템 기능은 다음과 같습니다.
1. -service 우수한 방화벽 커널 개발
2. 상태 감지 기반의 패킷 필터링 기능
3. 패킷 필터링 기능을 갖춘 가상 브리지 기능
4. 기능
5. 양방향 네트워크 주소 변환 기능이 있습니다.
6. 트래픽 통계 및 트래픽 제한 기능이 있습니다.
7. 인터페이스를 통해 쉽게 업그레이드할 수 있습니다. /p>
8. 다양한 유형의 DoS 공격을 효과적으로 방지할 수 있는 세계 최초의 DoS 방어 게이트웨이 기술을 갖추고 있습니다.
9. 여러 IP 주소를 하나의 네트워크 포트에 바인딩하는 기능을 지원합니다. 그리고 여러 IP 애플리케이션.
10. IP 주소 자원을 효과적으로 관리하기 위해 IP 및 MAC 주소 바인딩을 지원합니다.
11. 실시간 시스템 모니터링 기능이 있으며 시스템 작동 상태 및 네트워크 연결을 관찰할 수 있습니다. 상태
p>
12. 실시간 알람 기능이 있으며 전화, 이메일로 알람을 보낼 수 있습니다.
13. 모든 것을 기록할 수 있는 시스템 작동 기록이 있습니다. 시스템 관리자의 운영
네트워크 블랙홀 모듈
은 해커가 네트워크 구조를 탐지하는 것을 차단하고 잘못된 정보를 해커에게 반환하는 데 사용되며, 이를 통해 외부 공격을 효과적으로 방지할 수 있습니다.
네트워크 데이터 기록 모듈
네트워크 데이터 트래픽, 사용자 트래픽 계산 및 기타 기능을 기록하는 데 사용됩니다. 이 모듈은 데이터 수집 및 수집을 위해 PC에 클라이언트 소프트웨어를 설치해야 합니다. 분석 및 처리, 분석 결과를 데이터베이스로 가져와 자동 처리를 수행할 수도 있습니다.
투명한 프록시 기능
사용자의 인터넷 시간 및 대역폭 제한 가능
가상 사설망 VPN
콘텐츠 필터링, 일반적인 URL 차단 달성 네트워크 계획
XXX Enterprise Group 네트워크 보안 계획
이 계획의 설계는 다음 아이디어를 따릅니다.
위험, 비용 및 효율성의 균형을 이루는 원칙
p>
포괄적이고 전체적인 고려 사항
시스템 가용성 보장, 보안 시스템은 애플리케이션에 대한 투명성이 뛰어나고 중앙 집중식 관리가 가능하며 유지 관리가 용이합니다.
실용적인 보안 제품은 승인을 받아야 합니다. 공안부에서 합법적인 제품을 검사합니다. 그리고 국내에서 생산된 안전한 제품이어야 합니다.
애플리케이션 시스템과 통합하여 네트워크와 애플리케이션을 결합한 통합 보안 솔루션 제공
보안 정책
보안 정책 수립 목적:
보안 영역 분할
사용자 액세스 제어를 포함한 보안 정책을 개발하고, 액세스 수준을 정의하고, 서비스 유형을 결정합니다.
보안 정책:
목적:
보안 영역을 구분합니다.
사용자 액세스 제어, 액세스 수준 정의, 서비스 유형 결정 등 보안 정책을 개발합니다.
감사 및 필터링을 통해 보안 정책을 준수하는 접근 및 대응 프로세스만 통과할 수 있으며, 기타 접근 요청은 거부됩니다.
사용자 요구 분석을 기반으로 기업의 내부 네트워크는 다음과 같은 보안 영역으로 나눌 수 있습니다.
내부 네트워크 세그먼트
공용 네트워크 세그먼트
외부 네트워크 세그먼트
3개의 보안 영역에 속한 네트워크 세그먼트는 스카이넷 방화벽을 통해 상호 연결됩니다.
감사 및 필터링이 필요한 기존 유형의 애플리케이션 및 서비스는 다음과 같습니다. 네트워크 서비스 공급자의 경우 공격으로부터 네트워크 보안을 보호하는 것이 중요하므로 방화벽 선택에 신중해야 합니다. Skynet Firewall Carrier Grade는 ICP(Internet Content Provider) 웹사이트 및 IDC 데이터 센터를 위해 특별히 설계된 대용량, 고성능 방화벽으로, 대량 방문 및 동시 연결을 지원할 수 있으며 다양한 유형의 ICP에 적합합니다. 웹사이트 및 IDC 데이터 센터 복잡한 비즈니스 및 데이터 교환 요구 사항. 기본 방화벽 시스템의 다양한 우수한 기능에 강력한 기능 모듈을 더해 이중 머신 핫 백업 기능까지 확장할 수 있어 시스템이 비정상적인 방화벽 시스템으로 즉각 자동 전환되어 불법 침입으로부터 네트워크 서비스 제공업체를 종합적으로 보호할 수 있습니다. 공격.
권장 모델: Skynet 방화벽 캐리어급 FW5010 ICP 유형, FW5060 IDC 유형
소규모 웹사이트의 경우 FW5010 ICP 유형을 권장하고, 대규모 ICP 웹사이트 또는 IDC 데이터 센터의 경우, ISP 네트워크 사업자의 경우 ICP 유형에 비해 FW5060 IDC 유형을 사용하는 것이 좋습니다. 이는 ICP 유형에 비해 더 강력한 처리 기능을 제공하며 로드 밸런싱 및 듀얼 머신 핫 백업 기능을 제공합니다.
현재 DoS 및 DdoS 공격이 다양한 ICP 웹사이트의 보안을 심각하게 위협하고 있다는 점은 언급할 가치가 있으며, 스카이넷의 고유한 DoS 방어 게이트웨이는 이러한 공격을 효과적으로 차단할 수 있으며, 많은 성공적인 사례를 통해 통신사가 입증되었습니다. -grade Skynet 방화벽은 실제로 모든 유형의 웹사이트와 데이터 센터를 보호합니다.
기능
기본 시스템 기능은 다음과 같습니다.
1. 자체 개발한 우수한 방화벽 커널
2. 기능
3. 패킷 필터링 기능을 갖춘 가상 브리지 기능
4. TCP 플래그 감지 기능
5. >6. 트래픽 통계 및 트래픽 제한 기능이 있습니다
7. 인터페이스를 통해 업그레이드가 가능하며 조작이 쉽습니다
8. 이는 다양한 유형의 DoS 공격을 효과적으로 방지할 수 있습니다
9. 하나의 네트워크 포트를 지원하여 여러 IP 주소를 바인딩함으로써 여러 서브넷과 여러 IP 애플리케이션을 지원합니다.
10. IP 주소 자원을 효과적으로 관리하기 위해 IP 및 MAC 주소 바인딩을 지원합니다.
11. 실시간 시스템 모니터링 기능이 있으며 시스템 작동 상태 및 네트워크 연결을 관찰할 수 있습니다. 상태
p>
12. 실시간 알람 기능이 있으며 전화, 이메일로 알람을 보낼 수 있습니다.
13. 모든 것을 기록할 수 있는 시스템 작동 기록이 있습니다. 시스템 관리자의 운영 ■네트워크 블랙홀
불법 네트워크 탐지 차단에 사용
■네트워크 데이터 기록
네트워크 블랙홀을 통과하는 데이터 유형 및 트래픽을 기록하는 데 사용 방화벽 이 모듈을 사용하려면 PC에 클라이언트가 설치되어 있어야 합니다. 데이터 수집, 분석 및 처리에는 터미널 소프트웨어가 사용되며, 자동 처리를 위해 분석 결과를 데이터베이스로 가져올 수도 있습니다.
■이중 머신 핫 백업
비정상적으로 작동하는 방화벽 시스템을 즉시 자동 전환할 수 있습니다.
■로드 밸런싱
지능적으로 전환할 수 있습니다 사용자 요청을 여러 서버에 분산
일반적인 네트워크 솔루션:
대형 ICP 웹사이트는 외부 웹 서비스를 제공하기 위해 10개의 서버를 사용할 계획이며, 4개의 서버를 Smtp 서버로 사용하고 2개는 Smtp 서버로 사용합니다. P0P3 서버는 외부 서비스를 제공합니다. 들어오는 데이터 양은 2325M이고 나가는 데이터 양은 1214M입니다.
네트워크 구조
현재 네트워크 요구 사항에 따르면. 대규모 ICP 사이트의 경우 스카이넷의 캐리어급 FW5060 IDC 방화벽 기반의 보안 솔루션 사용을 권장합니다.
사이트의 안정성과 내결함성을 보장하기 위해 이 솔루션은 스카이넷의 두 ICP 방화벽을 사용하여 방화벽의 이중 머신 핫 백업 기능을 통해 중단 없는 정상적인 작동을 보장하고 전체 네트워크를 분할합니다. 물리적인 두 개의 독립적인 네트워크 세그먼트로:
공용 네트워크
사설 네트워크
그 중 공용 ** 네트워크 세그먼트는 인터넷 지향 WAN 연결을 제공하고 액세스를 지원합니다. 인터넷 사용자로부터, 개인 네트워크 부문에는 웹 서버 10대, Smtp 서버 4대, P0P3 서버 2대가 있어 웹 및 이메일 애플리케이션 서비스를 제공합니다.
보안 정책
목적:
보안 영역 분할
사용자 액세스 제어를 포함한 보안 정책을 개발하고 액세스 수준을 정의하며 서비스 유형.
감사 및 필터링을 통해 보안 정책을 준수하는 접근 및 대응 프로세스만 통과할 수 있으며, 기타 접근 요청은 거부됩니다.
사용자 요구 분석을 기반으로 베이징 사이트의 네트워크는 다음과 같은 보안 영역으로 나눌 수 있습니다.
내부 네트워크 세그먼트
외부 네트워크 세그먼트
두 보안 영역에 속한 네트워크 세그먼트는 스카이넷 방화벽을 통해 상호 연결됩니다.
검토 및 필터링이 필요한 기존 유형의 애플리케이션 및 서비스는 다음과 같습니다. 네트워크 기술의 급속한 발전으로 중국의 네트워크 인프라가 확장되고 있습니다. 현재 네트워크 백본은 광섬유 시대에 접어들었고, 통신 백본과 더불어 정부와 대기업에서는 광섬유를 대중화하기 시작했으며, 광섬유를 기반으로 한 기가급 성능의 방화벽 제품이 핵심이 되었습니다.
저희 회사는 이르면 1999년부터 스카이넷 기가비트 방화벽 개발에 착수했습니다. 해외 업체들의 뛰어난 경험을 흡수하고 국내 최고 기술 인력의 지혜를 더해 마침내 2000년 4월 중국 최초의 기가비트 방화벽을 성공적으로 출시했습니다. 사용자. 2002년 기가비트급 스카이넷 방화벽을 기반으로 플래그십 기가비트급 스카이넷 방화벽 FW8060이 개발되었으며, 새로운 하드웨어 시스템과 소프트웨어 코어를 사용하여 스카이넷 방화벽은 강력한 기능과 성능으로 새로운 차원에 도달했습니다. 가장 까다로운 사용자. 기가비트 수준의 스카이넷 방화벽은 뛰어난 네트워크 성능과 시스템 성능을 결합하여 최적화된 커널을 사용하여 매우 효율적인 하드웨어 데이터 교환 기능과 시스템 병렬 처리 기능을 유기적으로 결합하여 수백만 개의 동시 연결을 지원합니다. 수만 명의 사용자의 네트워크 요청을 지원할 수 있으며 다양한 광대역 네트워크 애플리케이션 서비스의 대규모 트래픽 데이터 애플리케이션 요구 사항을 완벽하게 충족할 수 있습니다. 추천모델 : 스카이넷 방화벽 기가비트급 FW8010 백본형, 스카이넷 방화벽 기가비트급 FW8060 플래그십형
기가비트 기반의 뛰어난 성능 :
■기가비트급 회선속도 방화벽 시스템
p>■기가비트급 상태기반 패킷 필터링 기능
■기가비트급 NAT 연결 기능
■기가비트급 가상사설망 성능 제공, 20,000개 이상 지원 IPSEC 보안 터널
■수백만 명의 동시 사용자 연결 지원
■40,000개 이상의 액세스 제어 설정 지원
라이센스
유형 설명
SNFW-FT-BH 네트워크 블랙홀
SNFW-FT-LOG 네트워크 데이터 기록
SNFW-FT-RH 이중 머신 핫 백업
성능 목록:
기가비트급 회선 속도 방화벽 시스템 및 NAT 연결
3DES 암호화 기반의 기가비트급 가상 사설망 성능
기가비트- 레벨 상태 기반 패킷 필터링 기능
500,000개 이상의 동시 사용자 연결 지원
40,000개 이상의 액세스 제어 설정 지원
지원되는 표준에는 ARP, TCP/IP가 포함됩니다. , UDP, IPSEC, 3DES 등
20,000개 이상의 IPSEC 보안 터널 지원
일반적인 솔루션
p>
전자상거래 애플리케이션 보안 솔루션
오늘날의 전자상거래 사이트는 수만 개의 동시 연결을 지원해야 하며, 네트워크 보안 장비는 많은 수의 사용자 연결을 지원하고 수만 개의 요청을 동시에 처리해야 합니다. 오늘날 전통적인 상용 운영 체제를 기반으로 하는 소프트웨어 방화벽은 이 정도 규모의 서비스를 제공할 수 없습니다. 많은 사이트에서는 여러 방화벽에 걸쳐 로드 밸런싱을 달성하기 위해 추가 네트워크 장비에 의존합니다. 관리자가 각 방화벽을 동기화해야 하기 때문에 여러 방화벽 시스템을 관리하는 것은 어렵습니다. 기가비트 방화벽은 최대 500,000개의 동시 연결을 지원하므로 트래픽이 많은 전자 상거래 사이트의 요구 사항을 충족할 수 있습니다. 많은 호스트가 기호적으로 동일한 위치에 위치하므로 기가비트 방화벽은 VPN 모드를 지원하여 호스트 간 데이터 및 명령을 보안 터널에서 전송할 수 있습니다(이 보안 터널은 실제로 공용 네트워크에 있지만 방화벽이 데이터를 암호화하기 때문에, 마치 터널을 통해 전송되는 것처럼 보입니다.) 기가비트 방화벽은 또한 매우 실용적인 이중 시스템 핫 백업을 지원하며 해당 소프트웨어는 지속적인 동시 연결을 유지할 수 있습니다. 이를 통해 시스템에 장애가 발생하더라도 연결이 계속 유지될 수 있으며 소비자는 손실로 인해 다른 사이트로 전환하지 않습니다.
오늘날 대부분의 유명 전자상거래 회사는 고객에게 빠른 응답을 제공하기 위해 웹 호스트를 분산시켰습니다. 이들은 모두 핵심 사업에 중점을 두고 있으며 웹 호스팅 장비에 대한 보안 서비스를 포함한 네트워크 서비스가 필요합니다. Gigabit Firewall은 제어 가능한 방화벽 및 VPN 보안 서비스를 제공합니다. 다중 사용자 아키텍처 가상 호스팅 시스템은 시스템 내에서 여러 사용자를 관리하는 편리한 방법을 제공합니다. 각 웹 호스팅 시스템은 개별 사용자를 기반으로 하는 자체 정책 세트를 가질 수 있습니다.
방화벽과 스위치 사이에 IEEE802.1q VLAN 플래그를 구성하여 각 가상 호스트 시스템의 통신을 클라이언트에 안전하게 전송할 수 있어 프라이빗하고 안전한 연결을 제공합니다.
엔터프라이즈 보안 솔루션
엔터프라이즈 보안에는 대규모 동시 연결을 처리할 수 있는 능력이 필요합니다. 기업에는 일반적으로 원격 사이트 액세스 또는 원격 사용자 액세스를 위한 여러 대의 서버가 있습니다. 이러한 서버는 모두 대규모 동시 연결을 지원해야 하는 이메일, 웹, FTP, NFS 또는 기타 애플리케이션 서비스를 제공합니다. 또한, 점점 더 많은 비즈니스 애플리케이션이 IP 네트워크를 통해 제공됨에 따라 기가비트 이더넷으로 연결된 서버 팜에도 내부 방화벽 보호가 필요합니다. 인터넷을 통해 제공되는 서비스가 점점 더 많아짐에 따라 기업의 인터넷 연결 수도 크게 증가했습니다. 사이트에 보호해야 할 T3 또는 OC3 연결이 여러 개 있다는 것은 놀라운 일이 아닙니다. 예를 들어, 기업은 화상 회의 또는 대규모 서버/호스트 데이터베이스 쿼리를 위해 자체 인터넷 회선을 사용하여 다른 대규모 네트워크에 연결해야 하며 고속 VPN도 지원해야 합니다. 또한 지점과 원격 사무실을 연결하기 위해 많은 수의 VPN 터널을 지원해야 했으며 값비싼 프레임 릴레이 서비스를 대체해야 했습니다. 그리고 최신 광대역 기술을 통해 회사 네트워크에 액세스하는 재택근무 직원도 있습니다.