방화벽 모델: 부서 FW20 10
시스템 기능:
1, 국내 최초의 자주저작권을 보유한 전문 방화벽 커널.
상태 감지에 기반한 패킷 필터링 방화벽.
패킷 필터링 기능을 갖춘 가상 브리지
4. TCP 플래그 비트 감지 기능이 있습니다.
5. 양방향 네트워크 주소 번역 기능을 갖추고 있습니다.
6. 네트워크 포트 다중 IP 주소 바인딩을 지원하며 다중 서브넷 다중 IP 응용 프로그램을 지원합니다.
7, IP 주소 및 네트워크 카드 MAC 주소 바인딩을 지원합니다.
8. 실시간 시스템 및 네트워크 상태 모니터링
9. 기능 모듈 소프트웨어는 업그레이드 및 확장이 용이합니다.
10, 웹 인터페이스 기반 관리, 관리가 용이합니다.
일반적인 네트워크 시나리오:
소규모 사무실/조직에는 일반적으로 전용 회선 (ADSL, DDN 등) 을 통해 인터넷에 연결된 별도의 LAN 이 있습니다. ) 또한 외부 침입으로부터 내부 네트워크를 보호해야 합니다. 이러한 일반적인 응용 프로그램에서 방화벽은 전화 접속 액세스 장치에 구축된 후 중소기업 인트라넷 사용자의 인터넷 액세스를 보호할 수 있습니다. 정부와 대기업에는 독립적인 대형 LAN 이 있어 다양한 광대역 연결을 통해 엑스트라넷에 접속하여 엑스트라넷에 다양한 애플리케이션 서비스를 제공해야 합니다. 대기업 네트워크용 엔터프라이즈급 스카이넷 방화벽은 고유한 공격 방어 기능과 우수한 TCP 마크 탐지 등의 기본 기능 외에도 강력한 처리 능력과 완벽한 기능 모듈을 갖추고 있어 기업 내 수천 개의 워크스테이션과 중요한 서버 팜을 거의 투명하게 보호할 수 있어 네트워크 병목 현상이 발생하지 않습니다. 스카이넷 방화벽을 설정하여 LAN 내에서 인트라넷 영역과 중립 영역을 분리하여 외부 서버 및 내부 LAN 의 네트워크 보안을 분산합니다.
추천 모델: 스카이넷 방화벽 기업 FW30 10 표준형, 스카이넷 방화벽 기업 FW3060 확장형.
기본 방화벽 시스템 기능은 다음과 같습니다.
1, 자체 개발한 우수한 방화벽 커널.
상태 감지에 기반한 패킷 필터링 기능.
패킷 필터링 기능을 갖춘 가상 브리지 기능
4. TCP 플래그 비트 감지 기능이 있습니다.
5. 양방향 네트워크 주소 변환 기능을 갖추고 있습니다.
트래픽 통계 및 트래픽 제한 기능이 있습니다.
7, 인터페이스 업그레이드, 간단한 작업을 통해
8. 국제 최초의 DoS 방어 게이트웨이 기술을 갖추고 있어 각종 DoS 공격을 효과적으로 예방할 수 있다.
9. 하나의 네트워크 포트에 여러 IP 주소를 바인딩하여 여러 서브넷 및 여러 IP 애플리케이션을 지원합니다.
10, IP 및 MAC 주소 바인딩을 지원하여 IP 주소 자원을 효율적으로 관리합니다.
1 1, 시스템 상태 및 네트워크 연결을 관찰할 수 있는 실시간 시스템 모니터링 기능이 있습니다.
12, 실시간 경고 기능, 전화 및 메일을 통한 경고.
13, 시스템 운영 기록이 있어 시스템 관리자의 모든 작업을 기록할 수 있습니다.
네트워크 블랙홀 모듈
해커의 네트워크 구조 감지를 차단하고 해커에게 오류 메시지를 반환하면 외부 공격을 효과적으로 막을 수 있다.
네트워크 데이터 로깅 모듈
네트워크 데이터 트래픽, 사용자 트래픽 청구 등의 기능을 기록하는 데 사용됩니다. 이 모듈은 데이터 수집, 분석 및 처리를 위해 PC 에 클라이언트 소프트웨어를 설치하거나 분석 결과를 데이터베이스로 가져와 자동으로 처리해야 합니다.
투명 프록시 기능
사용자의 인터넷 접속 시간 대역폭을 제한할 수 있습니다.
가상 사설망
콘텐츠 필터링 및 URL 차단을위한 일반적인 네트워크 체계
XXX 엔터프라이즈 그룹 네트워크 보안 프로그램
이 프로그램의 설계는 다음과 같은 아이디어를 따릅니다.
위험, 비용 및 효율성의 균형 원칙
전면적으로 종합적으로 고려하다
시스템 가용성을 보장하기 위해 보안 시스템은 투명성이 뛰어나고 애플리케이션을 중앙 집중식으로 관리하며 유지 관리가 용이합니다.
실용적인 안전제품은 반드시 공안부서에서 검사한 합법적인 제품이어야 한다. 그리고 국산 안전제품이어야 한다.
응용 프로그램 시스템과 결합하여 네트워크와 응용 프로그램을 결합한 포괄적인 보안 체계를 제공합니다.
보안 정책
보안 정책 개발의 목적:
안전 구역을 나누다
사용자 액세스 제어, 액세스 수준 정의 및 서비스 유형 결정을 포함한 보안 정책 개발
보안 정책:
목적:
안전 구역을 나누다.
사용자 액세스 제어, 액세스 수준 정의 및 서비스 유형 결정을 포함한 보안 정책 개발
감사 및 필터링, 보안 정책을 충족하는 액세스 및 응답 프로세스만 통과할 수 있으며 다른 액세스 요청은 거부됩니다.
사용자 요구 사항 분석에 따라 기업 내부 네트워크는 다음과 같은 보안 영역으로 나눌 수 있습니다.
내부 네트워크 세그먼트
공용 네트워크 세그먼트
외부 네트워크 세그먼트
세 개의 보안 영역에 속하는 네트워크 세그먼트는 스카이넷 방화벽을 통해 상호 연결됩니다.
감사 및 필터링이 필요한 기존 애플리케이션 및 서비스 유형은 다음과 같습니다. 네트워크 서비스 공급자가 공격으로부터 네트워크 보안을 보호하는 것이 중요하므로 방화벽 선택은 신중해야 합니다. Skynet 방화벽 통신 수준은 ICP (인터넷 콘텐츠 공급자) 웹 사이트 및 IDC 데이터 센터를 위해 특별히 설계된 대용량 고성능 방화벽입니다. 광범위한 피크 액세스 및 동시 연결을 지원하여 다양한 ICP 웹 사이트 및 IDC 데이터 센터의 복잡한 비즈니스 및 데이터 교환 요구 사항을 충족합니다. 여기에는 기본 방화벽 시스템의 다양한 우수한 기능, 강력한 기능 모듈, 듀얼 핫 백업 기능으로 확장할 수 있는 기능이 포함되어 있어 비정상적인 방화벽 시스템을 즉시 자동으로 전환하여 네트워크 서비스 공급업체를 불법 공격으로부터 완벽하게 보호할 수 있습니다.
추천 모델: 스카이넷 방화벽 통신급 FW5010 ICP FW5060 IDC 형
소규모 웹 사이트의 경우 FW50 10 ICP 를 사용하는 것이 좋습니다. 대규모 ICP 웹 사이트 또는 IDC 데이터 센터와 같은 ISP 네트워크 운영자의 경우 ICP 보다 더 강력한 처리 능력, 로드 밸런싱 기능 및 이중 시스템 핫 백업 기능을 제공하는 FW5060 IDC 를 사용하는 것이 좋습니다.
현재 doS 와 DdoS 공격은 ICP 웹 사이트의 보안을 심각하게 위협하고 있으며, 스카이넷만의 DoS 방어 게이트웨이는 이러한 공격을 효과적으로 차단할 수 있다는 점은 주목할 만하다. 수많은 성공 사례는 스카이넷 방화벽의 통신 수준이 다양한 사이트와 데이터 센터의 수호신이라는 것을 증명한다.
기능
다음을 포함한 기본 시스템 기능:
1, 자체 개발한 우수한 방화벽 커널.
상태 감지에 기반한 패킷 필터링 기능.
패킷 필터링 기능을 갖춘 가상 브리지 기능
4. TCP 플래그 비트 감지 기능이 있습니다.
5. 양방향 네트워크 주소 변환 기능을 갖추고 있습니다.
트래픽 통계 및 트래픽 제한 기능이 있습니다.
7, 인터페이스를 통해 업그레이드 할 수 있습니다, 작업은 간단합니다.
8. 국제 최초의 DoS 방어 게이트웨이 기술을 갖추고 있어 각종 DoS 공격을 효과적으로 예방할 수 있다.
9. 하나의 네트워크 포트에 여러 IP 주소를 바인딩하여 여러 서브넷 및 여러 IP 애플리케이션을 지원합니다.
10, IP 및 MAC 주소 바인딩을 지원하여 IP 주소 자원을 효율적으로 관리합니다.
1 1, 시스템 상태 및 네트워크 연결을 관찰할 수 있는 실시간 시스템 모니터링 기능이 있습니다.
12, 실시간 경고 기능, 전화 및 메일을 통한 경고.
13, 시스템 관리자의 모든 작업 ■ 네트워크 블랙홀을 기록할 수 있는 시스템 운영 기록이 있습니다.
불법 네트워크 감지를 방지하는 데 사용됩니다.
■ 네트워크 데이터 로깅
방화벽을 통한 데이터 유형 및 트래픽을 기록하는 데 사용됩니다. 이 모듈은 데이터 수집, 분석 및 처리를 위해 PC 에 클라이언트 소프트웨어를 설치하거나 분석 결과를 데이터베이스로 가져와 자동으로 처리해야 합니다.
■ 이중 시스템 핫 백업
비정상적인 작업을 즉시 자동으로 전환할 수 있는 방화벽 시스템
■ 로드 밸런싱
사용자 요청은 여러 서버에 지능적으로 배포할 수 있습니다.
일반적인 네트워크 시나리오:
한 대형 ICP 사이트는 10 대의 서버로 외부에 웹 서비스를 제공하고, 4 대의 서버를 Smtp 서버로, 2 대의 서버를 P0P3 서버로 외부에 서비스를 제공할 예정이다. 예상 유입 데이터 2325M, 유출 데이터1214M
네트워크 구조
현재 이 대형 ICP 사이트의 네트워크 요구 사항에 따라 스카이넷 방화벽 기반 통신급 FW5060 IDC 보안 솔루션을 사용하는 것이 좋습니다.
사이트의 안정성과 내결함성을 보장하기 위해 이 시나리오에서는 두 개의 ICP 형 스카이넷 방화벽을 사용하여 두 방화벽의 핫 스페어 기능을 통해 무중단 운영을 보장하고 전체 네트워크를 물리적으로 분리된 두 개의 네트워크 세그먼트로 나눕니다.
공용 네트워크 (공용 네트워크)
전용 네트워크 (전용 네트워크)
이 중 공용 * * * 네트워크 세그먼트는 인터넷 지향 광역 네트워크 연결 및 인터넷 사용자 액세스 지원을 제공합니다. 전용 네트워크 세그먼트에는 웹 및 e-메일 애플리케이션 서비스를 제공하기 위한/kloc-웹 서버 0/0 대, Smtp 서버 4 대, P0P3 서버 2 대가 포함되어 있습니다.
보안 정책
목적:
안전 구역을 나누다
사용자 액세스 제어, 액세스 수준 정의 및 서비스 유형 결정을 포함한 보안 정책 개발
감사 및 필터링, 보안 정책을 충족하는 액세스 및 응답 프로세스만 통과할 수 있으며 다른 액세스 요청은 거부됩니다.
사용자 요구 사항 분석에 따르면 베이징 스테이션 네트워크는 다음과 같은 보안 영역으로 나눌 수 있습니다.
내부 네트워크 세그먼트
외부 네트워크 세그먼트
두 개의 보안 영역에 속하는 네트워크 세그먼트는 스카이넷 방화벽을 통해 상호 연결됩니다.
감사 및 필터링이 필요한 기존 애플리케이션 및 서비스 유형은 다음과 같습니다. 네트워크 기술의 급속한 발전에 따라 중국 네트워크 인프라의 확장이 포함됩니다. 현재,
네트워크 백본은 이미 광섬유 시대에 들어섰다. 통신 백본 외에도 정부와 대기업도 광섬유를 보급하기 시작했고, 광섬유 기반 기가비트 방화벽 제품이 관건이 되었다. 우리 회사는 일찍이 1999 에서 스카이넷 기가비트 방화벽 개발을 시작했다. 해외 동행의 우수한 경험과 국내 최고의 기술자의 지혜를 흡수함으로써, 우리는 마침내 2000 년 4 월 국내 최초의 기가비트 방화벽을 성공적으로 출시했으며, 그 뛰어난 성능은 즉시 사용자들의 인정을 받았다. 2002 년에는 기존 기가비트 스카이넷 방화벽을 기반으로 기가비트 FW8060 기함급이 개발되었습니다. 새로운 하드웨어 시스템과 소프트웨어 커널을 통해 스카이넷 방화벽은 가장 까다로운 사용자의 요구 사항을 충족하는 강력한 기능과 성능을 갖춘 새로운 높이에 도달했습니다. 탁월한 네트워크 성능과 시스템 성능을 결합한 스카이넷 방화벽, 기가비트, 최적화된 커널을 통해 매우 효율적인 하드웨어 데이터 교환 기능과 시스템 병렬 처리 기능을 유기적으로 결합하여 백만 개의 동시 연결을 지원합니다. 수만 명의 사용자의 네트워크 요청을 지원할 수 있어 다양한 광대역 네트워크 어플리케이션 서비스의 대용량 트래픽 데이터 어플리케이션 요구를 완벽하게 충족할 수 있습니다. 추천 모델: 스카이넷 방화벽 기가비트 FW80 10 백본 스카이넷 방화벽 기가비트 FW8060 기함
기가비트 기반 성능:
■ 기가비트 회선 속도 방화벽 시스템
■ 기가비트 상태에 기반한 패킷 필터링 기능
■ 기가비트 NAT 접속
■ 20,000 개 이상의 IPSEC 보안 터널을 지원하는 기가비트 가상 사설망 성능을 제공합니다.
■ 수백만 명의 동시 사용자 연결을 지원합니다.
■ 40,000 가지 이상의 액세스 제어 설정을 지원합니다.
허가증
유형 설명
SNFW-FT-BH 네트워크 블랙홀
네트워크 데이터 로깅
SNFW-FT-RH 이중 시스템 핫 스페어
성능 목록:
기가비트 회선 속도 방화벽 시스템 및 NAT 연결
3DES 암호화를 기반으로 한 기가비트 가상 사설망 성능
기가비트 상태에 기반한 패킷 필터링 기능
500,000 개 이상의 동시 사용자 연결을 지원합니다.
40,000 개 이상의 액세스 제어 설정을 지원합니다.
지원되는 표준은 ARP, TCP/IP, UDP, IPSEC, 3DES 등입니다.
20,000 개 이상의 IPSEC 보안 터널을 지원합니다.
전형적인 방안
전자 상거래 응용 프로그램을위한 보안 솔루션
오늘날 e-business 웹 사이트는 수만 개의 동시 연결을 지원해야 하고, 네트워크 보안 장치는 수많은 사용자 연결을 지원해야 하며, 수만 건의 요청에 동시에 응답해야 합니다. 오늘날 기존 상용 운영 체제 기반 소프트웨어 방화벽은 이러한 규모의 서비스를 제공할 수 없습니다. 많은 사이트는 추가 네트워크 장치에 의존하여 여러 방화벽 간에 로드 밸런싱을 수행합니다. 관리자가 방화벽 간에 동기화해야 하기 때문에 다중 방화벽 시스템을 관리하기가 어렵습니다. 기가비트 방화벽은 최대 50 만 개의 동시 연결을 지원하여 트래픽이 많은 전자 상거래 웹 사이트의 요구 사항을 충족합니다. 많은 호스트가 상징적으로 같은 장소에 있기 때문에 기가비트 방화벽은 VPN 모드를 지원하므로 호스트 간의 데이터와 명령을 안전한 터널에서 전송할 수 있습니다 (이 보안 터널은 실제로 공용 네트워크에 있지만 방화벽이 데이터를 암호화하기 때문에 터널에서 전송되는 것처럼 보입니다). 기가비트 방화벽은 또한 소프트웨어가 진행 중인 동시 연결을 유지할 수 있는 매우 실용적인 이중 시스템 핫 백업을 지원합니다. 이렇게 하면 시스템이 고장 나더라도 연결이 유지되고 소비자가 손실 때문에 다른 사이트로 전향하지 않도록 할 수 있습니다.
오늘날 가장 인기 있는 e-business 회사들이 웹 호스트를 분산시켜 고객에게 신속한 대응을 제공하고 있습니다. 이들은 모두 핵심 업무에 집중하고 있으며 웹 호스트 장치에 대한 보안 서비스를 포함한 네트워크 서비스가 필요합니다. 기가비트 방화벽은 제어 가능한 방화벽 및 VPN 보안 서비스를 제공합니다. 가상 호스트 시스템과 해당 다중 사용자 아키텍처는 시스템의 여러 사용자를 쉽게 관리할 수 있는 방법을 제공합니다. 각 가상 호스트 시스템에는 독립적인 사용자를 기반으로 하는 정책 집합이 있을 수 있습니다. 방화벽과 스위치 사이에 IEEE802. 1qVLAN 플래그를 구성하여 각 가상 호스트 시스템의 통신을 클라이언트로 안전하게 전송함으로써 비밀스럽고 안전한 연결을 제공할 수 있습니다.
엔터프라이즈 보안 솔루션
엔터프라이즈 보안에는 대규모 동시 연결을 처리할 수 있는 기능이 필요합니다. 기업에서는 일반적으로 원격 사이트 액세스 또는 원격 사용자 액세스를 위해 여러 대의 서버를 사용합니다. 이들 서버는 e-메일, 웹, FTP, NFS 또는 기타 애플리케이션 서비스를 제공하며 대규모 동시 접속을 지원해야 합니다. 또한 점점 더 많은 상용 애플리케이션이 IP 네트워크를 통해 제공됨에 따라 기가비트 이더넷을 통해 연결된 서버 그룹도 내부 방화벽 보호가 필요합니다. 점점 더 많은 서비스가 인터넷을 통해 제공됨에 따라 기업 자체의 인터넷 연결 수도 크게 늘어났다. 한 사이트에 보호해야 할 T3 또는 OC3 연결이 여러 개 있다는 것은 놀라운 일이 아닙니다. 예를 들어 기업은 화상 회의나 대형 서버/호스트 데이터베이스 조회를 위해 자체 인터넷 회선을 사용하여 다른 대형 네트워크에 연결하고 고속 VPN 을 지원해야 합니다. 또한 값비싼 프레임 릴레이 서비스가 아닌 지사와 원격 사무실을 연결하기 위해 대량의 VPN 터널을 지원해야 합니다. 집에서 일하는 직원도 있다. 이 직원들은 최신 광대역 기술을 통해 회사의 네트워크에 액세스합니다.