某石油公司广域网网络安全方案

某石油公司广域网网络安全方案 

2006 年 08 月

WatchGuard Technologies, Inc. 

目录 

第一章石油公司网络需求分析 .................................................................................... 1 

1.1 石油公司广域网安全现状 ................................................................................. 1 

1.2 安全风险分析 ................................................................................................... 2 

1.2.1 网络层安全分析 .................................................................................... 2 

1.2.2 系统层安全分析 .................................................................................... 3 

1.2.3 应用层安全分析 .................................................................................... 4 

1.2.4 接入层安全分析 .................................................................................... 4 

1.2.5 病毒风险分析 ........................................................................................ 5 

1.2.6 安全策略及安全管理分析 ...................................................................... 6 

第二章安全解决方案 ................................................................................................... 7 

2.1 石油公司总部 ................................................................................................... 8 

2.1.1 冗余的安全网关 .................................................................................... 9 

2.1.2 建立独立的 DMZ 安全域 ....................................................................... 9 

2.1.3 对 DMZ 实施严格的访问控制 .............................................................. 10 

2.1.4 对应用服务器实施 IPS 防护 ................................................................ 10 

2.1.5 实施病毒防御措施 ............................................................................... 10 

2.1.6 实施垃圾邮件过滤 ................................................................................11 

2.1.7 对网页分级控制 ...................................................................................11 

2.1.8 对网络带宽的分配使用 .........................................................................11 

2.1.9 建立可靠的 VPN 网络 ......................................................................... 12 

2.2 区域网络中心 ................................................................................................. 12 

2.2.1 严格的访问控制 .................................................................................. 13 

2.2.2 建立到总部的 VPN 网络 ...................................................................... 13 

第三章 WatchGuard 产品技术特点 ............................................................................ 14 

3.1 WatchGuard 公司 .......................................................................................... 14 

3.2 “ 预防御 ” 保护 ............................................................................................. 15 

3.2.1 什么是 “ 预防御 ”............................................................................... 15 

3.2.2 Firebox ® X 架构中集成了真正的预防御保护 ....................................... 15 

3.2.3 漏洞空窗期 ......................................................................................... 16 

3.2.4 强大的保护层协同工作 ........................................................................ 16 

3.3 实时阻止恶意攻击 ......................................................................................... 17 

3.3.1 阻挡已知攻击源 .................................................................................. 17 

3.3.2 自动更新特征 ...................................................................................... 18 

3.3.3 阻止即时消息及点对点使用 ................................................................ 18 

3.4 WatchGuard ® Firebox ® 系列 UTM 产品 ........................................................ 18 

3.4.1 Firebox 产品技术特点 :...................................................................... 18 

3.4.2 Firebox ® X Peak 8500e 技术规格 ................................................... 21 

I


3.4.3 Firebox ® X Peak 5500e 技术规格 ................................................... 21 

II


第一章石油公司网络需求分析 

1.1 石油公司广域网安全现状 

目前石油公司广域网呈星形分布 , 以北京为中心 , 直接连接约 70 个地区分 

公司。各地区分公司与总部的连接是带宽为 2Mbps 或 N×2Mbps 的专用链路。 

专用电路租用自电信业务运营商 , 并且由其提供链路的服务质量保证。 

广域网 IP 地址采用保留地址 10.x.x.x。地址段由总部统一分配 , 各地区公 

司内部的地址由各自分配。 

石油公司广域网主要包括主干网和地区网两大部分 , 通过专线远程信道将石 

油总部局域网与各二级局域网 ( 或园区网 ) 连接起来 , 目前并没有统一的广域网 

安全系统。另外 , 石油公司广域网还有多处 Internet 接入口 , 任何一处的网络安 

全漏洞都有可能导致整个石油公司网络系统被攻破。因此必须建立一个总体规划 

的 , 规范实施的广域网安全系统。 

石油公司本次网络安全建设项目涉及十个区域网络中心 , 分别是大庆区、大 

连区、兰州区、新疆区、西南区、吉林区、辽河区、西安区、东南区、北京区。 

按照区域网络中心的分布 , 建立石油公司各区域中心 Internet 接入链路 , 整 

合企业 Internet 服务 , 统一安全防护策略 , 提高 Internet 接入利用率 , 降低石油 

公司 Internet 接入的总投入成本。 

每个区域网络中心的 Internet 接入主要职责 : 

1. 石油公司总部 Internet 接入服务 ; 区域网络中心 Internet 接入服务 ; 

1


2. 石油公司各区域网络中心与 Internet 接入的安全管理 ; 防止病毒、不良 

网页等信息流进入企业内部网络 ; 

3. 对石油公司外部移动用户提供对石油公司内部网络的安全接入服务 ; 

1.2 安全风险分析 

从石油公司广域网的实际情况来看 , 我们认为应该从以下几个方面进行全面 

的分析 : 

• 网络层 

• 系统层 

• 应用层 

• 病毒风险 

• 策略和管理层 

下面将分别进行详细的阐述。 

1.2.1 网络层安全分析 

网络设备主要包括石油公司广域网各节点上的路由器、交换机等设备 , 如 : 

路由器、交换机。网络层不仅为石油公司广域网提供连接通路和网络数据交换的 

连接 , 而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行 

的 TCP/IP 协议并非专为安全通讯而设计 , 所以网络系统存在大量安全隐患和威 

胁。整个网络就会受到来自网络外部和内部的双重威胁。 

尤其在外网 Internet 中存在着大量的黑客攻击 , 他们常常针对 web 服务器 

和邮件服务器作为突破口 , 进行网络攻击和渗透。常见得一些手法如下 :IP 欺 

2


骗、重放或重演、拒绝服务攻击 (SYN FLOOD,PING FLOOD 等 )、分布式拒 

绝服务攻击、篡改、堆栈溢出等。黑客可以容易的在石油公司广域网出口进出 , 

对系统进行攻击或非法访问。 

而在石油公司广域网内部 , 基本上还没有严格的防范措施 , 其中的安全隐患 

不言而喻。如果加上安全管理上的不够完善等因素 , 或者在已有的服务器与单机 

中存在着后门程序 ( 木马程序 ) 话 , 攻击者就可以很容易地取得网络管理员权限 , 

从而进一步控制计算机系统 , 网络中大量的数据就会被窃取和破坏。 

网络中只要一个地方出现了安全问题 , 那么整个网络都是不安全的。因此 , 

在石油公司广域网出口处应配置具有统一安全威胁管理 (UTM) 功能的安全网 

关来加强访问控制 , 杜绝可能存在的安全隐患 , 来保证网络安全可靠的正常运行。 

1.2.2 系统层安全分析 

在任何的网络结构中都运行着不同的操作系统 , 如 :Windows 

NT/2000/2003 Server、 HP-UNIX、Solaris、IBM AIX、SCO-Unix、Linux 等等 , 

这些系统都或多或少地存在着各种各样的漏洞。据 IDC 统计 1000 个以上的商用 

操作系统存在安全漏洞 , 如果这些操作系统没有进行系统的加固和正确的安全配 

置 , 而只是按照原来系统的默认安装 , 这样的主机系统是极其不安全的。一名黑 

客可以通过 Unicode、缓存溢出、造成死机等方式进行破坏 , 甚至取得主机管理 

员的权限。此外 , 在网络中 , 一些黑客利用系统管理员的疏忽用缺省用户的权限 

和密码口令就可以轻松地进入系统修改权限 , 从而控制主机。 

石油公司广域网中存在一定量的服务器 , 如 : 数据库服务器、文件服务器等 

等 , 而这些服务器都担负着重要的服务功能 , 如果这些服务器 ( 尤其是有大量的 

数据处理的服务器 ), 一旦瘫痪或者因被人植入后门造成远程控制窃取数据 , 后 

果不堪设想。为了保证业务数据的正常流通和安全 , 需对这些重要的服务器进行 

3


全方位的防护。 

UTM 的 IPS 功能可以针对已知的系统漏洞进行有效地防护。 

1.2.3 应用层安全分析 

石油公司广域网与 Internet 相连 , 进行着包括 WEB、FTP、E-mail、DNS 

等各种 Internet 应用。应用系统的安全性主要考虑应用系统能与系统层和网络层 

的安全服务无缝连接。在应用层的安全问题 , 黑客往往抓住一些应用服务的缺陷 

和弱点来对其进行攻击的 , 比如针对错误的 Web 目录结构、CGI 脚本缺陷、Web 

服务器应用程序缺陷、为索引的 Web 页、有缺陷的浏览器甚至是利用 Oracle、 

SAP、 Peoplesoft 缺省帐户。 

应用层的安全威胁还包括对各种不良网络内容的访问 , 比如内网用户访问非 

法 ( 如发布反动言论、宣扬法轮功等 ) 或不良 ( 色情、迷信 ) 网站等。有的 Internet 

站点上还包含有害的 Java Applet 或 ActiveX 小程序 , 如果不慎访问将有可能带 

入病毒和木马程序 , 甚至有的网页可以通过一段简单的代码直接破坏访问者计算 

机的数据和系统 , 对网络安全和效率都将造成极大破坏。 

1.2.4 接入层安全分析 

石油公司的部分业务系统采用了 BS 架构方式 , 目的是提供方便的访问模式 , 

便于集中管理与数据收集。但是由于企业没有采取安全的防护措施 , 仅仅依靠用 

户名方式控制登录用户的访问。而公众网 (Internet) 一般没有网络安全措施 , 

采用明文方式传输数据 , 黑客可以监听这些通过明文传输的用户名与口令 ; 可以 

利用字典攻击进行暴力破解用户名与口令 ; 从而方便地进入到业务系统中进行破 

坏活动。因此对于这样的业务模式 , 必须有一套安全的接入机制来保护业务数据 

4


的安全性。 

具有 VPN 功能的 UTM 设备是解决此类问题的最佳解决方案。采用 VPN 技 

术的目的是为了在不安全的信道上实现安全信息传输 , 保证企业内部信息在 

Internet 上传输时的机密性和完整性 , 同时使用鉴别对通过 Internet 进行的数据 

传输进行确认。 

1.2.5 病毒风险分析 

计算机病毒一直是计算机安全的主要威胁。而随着网络的不断发展 , 网络速 

度越来越快 , 网络应用也越来越丰富多彩 , 使得病毒传播的风险也越来越大 , 造 

成的破坏也越来越强。据 ICSA( 国际计算机安全协会 ) 的统计 , 目前已经有超 

过 90% 的病毒是通过网络进行传播的。石油公司广域网内用户访问 Internet 时 , 

无论是浏览 WEB 页面 , 还是通过 FTP 下载文件 , 或者是收发 E-mail, 都可能 

将 Internet 上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒 ( 如红色代码、 

尼姆达、冲击波、振荡波等 ) 跟传统的通过光盘、软盘等介质进行传播的基于文 

件的病毒有很大的不同 , 它们本身是一个病毒与黑客工具的结合体 , 当网络当中 

一台计算机感染蠕虫病毒后 , 它会自动的以极快的速度 ( 每秒几百个线程 ) 扫描 

网络当中其他计算机的安全漏洞 , 并主动的将病毒传播到那些存在安全漏洞的计 

算机上 , 只要相关的安全漏洞没有通过安装补丁的方式加以弥补 , 蠕虫病毒就会 

这样以几何级数的增长速度在网络当中传播 , 即使计算机上安装了带有实时监控 

功能的防病毒软件 ( 包括单机版和网络版 ) 对此也无能为力。蠕虫病毒的传播还 

会大量占用网络带宽 , 造成网络拥堵 , 形成拒绝服务式攻击 (DoS)。 

计算机病毒同样会在石油公司广域网内网之间进行传播 , 造成总部与各区域 

网络之间的堵塞 , 影响业务的正常进行。 

因此 , 对于新型的网络蠕虫病毒 , 必须在网关处进行过滤 , 防止病毒进入内 

5


网。网关防病毒已经成为未来防病毒体系中的重中之重 , 需要引起石油公司的特 

别重视。 

1.2.6 安全策略及安全管理分析 

在网络安全中安全策略和管理扮演着极其重要的角色 , 如果没有制定非常有 

效的安全策略 , 没有进行严格的安全管理制度 , 来控制整个网络的运行 , 那么这 

个网络就很可能处在一种混乱的状态。因为没有非常好的安全策略 , 安全产品就 

无法发挥其应有的作用。如果没有有效的安全管理 , 就不会做到高效的安全控制 

和紧急事件的响应 ( 更加详细和周密的安全策略要结合安全服务进行 )。 

管理是网络安全中最最重要的部分。责权不明、安全管理制度不健全及缺乏 

可操作性等都可能引起管理安全的风险。这样就会导致 : 当网络出现攻击行为或 

网络受到其它一些安全威胁时 ( 如内部人员的违规操作等 ), 无法进行实时的检 

测、监控、报告与预警。同时 , 没有优秀的日志信息记录分析系统 , 当事故发生 

后 , 也无法提供黑客攻击行为的追踪线索及破案依据 , 即缺乏对网络的可控性与 

可审查性。因此 , 必须对站点的访问活动进行多层次的记录 , 及时发现非法入侵 

行为。 

建立全新网络安全机制 , 必须深刻理解网络并能提供直接的解决方案 , 因此 , 

最可行的做法是制定健全的网络安全及信息安全管理制度 , 并加以严格管理相结 

合。 

6


第二章安全解决方案 

上面分析了石油公司广域网的网络状况与安全风险 , 石油公司广域网面临着 

黑客、蠕虫病毒、网络入侵、不良内容、垃圾邮件等的攻击 , 需要使用专门的安 

全产品 , 从网络隔离、病毒防护、入侵检测、内容过滤等各方面进行全方位的保 

护。如果在石油公司广域网出口分别部署防火墙、防病毒网关、入侵检测系统、 

内容过滤、VPN 等一系列安全产品 , 采购产品成本及将来的维护成本过高。我 

们推荐使用 WatchGuard 公司的新一代硬件综合安全网关 Firebox 防火墙 , 在石 

油公司广域网网关处形成综合安全防护体系 , 提供当前最高的性价比。 

石油公司广域网总体安全部署如下图所示 : 

7


2.1 石油公司总部 

我们在石油公司总部的与 Internet 相连的路由器后方部署 2 台 Firebox 

X8500e, 配置成 A-P( 热备式 )HA 结构。如下图所示 : 

Firebox X8500e 提供 8 个 10/100/1000 以太网接口。Firebox 代表着业界最 

先进的技术方向 , 在安全、稳定、高效方面都有着极其优异的表现。Firebox 

X8500e 支持线性加速 , 高达 2,000Mbps 的防火墙吞吐量和 1,000,000 的并发连 

接数 , 完全可以满足石油公司对网络性能要求。 

在 Internet 的出口处部署 UTM 设备 , 是根据前面我们对用户的网络层、系 

统层、接入层及应用层的安全分析后得来的。用户网络连接到 Internet 面临着多 

8


种混合型的网络威胁 , 如病毒、网络入侵、不良网站、垃圾邮件等。如果采用专 

一功能的网络安全设备 , 用户将采购多种厂家的网络安全产品 , 将面临着在管理、 

维护上的诸多不便 , 使得后期的管理成本上升。同时 , 前期的设备硬件投入也随 

着设备数量的增加而增加。采用 UTM 设备 , 所有的安全防御功能于一身 , 统一 

的硬件平台 , 用户只需要使用单一的集中管理软件即可操作设备 , 完成对混合型 

网络攻击的防御。保护的前期设备投资 , 方便了日后的维护使用。 

2.1.1 冗余的安全网关 

Firebox X 8500e 支持完善的 HA( 高可用性 ) 模式 , 当 1 台设备出现故障 

无法继续工作时 , 另 1 台设备仍然能够保证网络的不间断运行 , 对于网络的高可 

用性提供了良好的保障。 

2.1.2 建立独立的 DMZ 安全域 

提供应用服务的服务器群 , 放在独立的 DMZ 安全域中。对应用服务器群的 

访问必须通过 Firebox 的控制。 

Firebox 的配套管理服务器也放置在独立的 DMZ 安全域中。 

由于 Firebox 的多端口特点 , 因此可以组建多个独立的 DMZ 安全域。可以 

将不同业务类型的服务器放置在不同的 DMZ 安全域中 , 通过 Firebox 隔离开 , 

可以更好地提高网络安全性。 

9


2.1.3 对 DMZ 实施严格的访问控制 

建立严格的访问控制策略是保护内部服务器网络的关键。通过 Firebox X 

8500e 的访问控制功能 , 严格限制可以访问服务器群的通讯端口 , 屏蔽掉不必要 

的通讯端口。如仅对外开放端口 21、25、53、80、110、443 等常用端口 ; 针 

对源 IP 地址进行范围限定 , 为其有选择地开放 22、23、3389 等管理性端口。 

严格的访问控制 , 使得多数网络攻击行为无从下手。 

2.1.4 对应用服务器实施 IPS 防护 

启用 IPS 功能 , 可以在 HTTP、SMTP、DNS 等协议上进行有效的入侵行 

为检测及防御。Firebox 的 ILS 引擎可以高效地阻断攻击行为 , 在判断某 IP 地址 

具有入侵攻击行为的同时 , 自动建立阻断黑名单 , 将发起攻击的 IP 地址放入阻 

断黑名单中 , 直接阻断而不再分析其数据包中的数据信息。从而节省设备的系统 

资源。 

通过限定对服务器并发连接数的限制及会话时长控制 , 可以很好地保护服务 

器资源不被黑客非法侵占 , 从而降低分布式攻击对服务器的影响。 

2.1.5 实施病毒防御措施 

企业内部网用户上网时 , 需要使用到 HTTP、SMTP 协议 , 而 Internet 上流 

行的网络病毒就是通过这 2 个协议进行传播的 , 因此必须在这 2 个协议上行为 

严格的防病毒控制。 

• SMTP 代理可以阻断利用 SMTP 协议传输病毒邮件的行为。 

• HTTP 代理可以阻断利用 Web 传输时夹带病毒的行为。 

10


2.1.6 实施垃圾邮件过滤 

对邮件服务器的保护的另一种安全措施就是对垃圾邮件的处理。Firebox 可 

以在垃圾邮件进入到邮件服务器前对其进行拦截。有效地保护了邮件服务器资源 

不被浪费 , 也保护了邮件用户不受到垃圾邮件的骚扰。 

2.1.7 对网页分级控制 

建立一套由 WatchGuard 公司提供的 WebBlocker 服务器。当校园网用户通 

过 HTTP 协议访问网站时 ,Firebox 设备先到 WebBlocker 服务器上查询由管理 

员设定的网页分级访问权限。如果访问的网页属于禁止访问的类型 , 则用户是无 

法访问到该网页的。此功能可以防止用户浏览限制级别的网站 , 如色情、暴力等 ; 

防止用户在不知情的情况下 ,PC 被间谍软件利用自动外连 , 造成数据信息的泄 

密。 

2.1.8 对网络带宽的分配使用 

Firebox 具有 QoS 功能 , 可以基于访问策略有效地分配用户的可用带宽。对 

带宽的分配可以基于 IP 地址和应用服务。对关键业务数据要保证足够的带宽 , 

如 Web、Mail、OA 应用 ; 而对非关键性应用 —— 校园网用户上网冲浪 , 在保证 

其基本通讯 , 如 HTTP、SMTP、DNS 等必需协议的带宽使用外 , 对其余协议都 

控制其使用带宽 , 这样既可以保证这些用户的上网通讯是通畅 , 又可以有效地防 

止 P2P 类应用无限地抢占出口带宽而影响正常业务应用的问题。 

11


2.1.9 建立可靠的 VPN 网络 

石油公司总部的 Firebox X8500e 作为 VPN 网络的中心节点 , 冗余设计 , 

提高了 VPN 网络稳定性 ; 业务数据通过 VPN 传输 , 得到了很好的安全保护 ; 

可以满足各区域网络中心及移动用户的 VPN 接入需要。 

2.2 区域网络中心 

在各个区域网络中心 , 部署 Firebox X5500e 设备各一台。 

Firebox X5500e 提供 8 个 10/100/1000 以太网接口。Firebox 代表着业界最 

先进的技术方向 , 在安全、稳定、高效方面都有着极其优异的表现。Firebox 

X5500e 支持线性加速 , 高达 900Mbps 的防火墙吞吐量和 500,000 的并发连接 

数 , 完全可以满足石油公司对网络性能要求。 

12


2.2.1 严格的访问控制 

Firebox X5500e 的主要作用是对本区域内的所有上网用户进行严格的 

Internet 访问控制。 

• 防止网络病毒从 HTTP、SMTP 协议进入区域网络 ; 

• 防止区域网络用户访问不良的网站 ; 

• 防止间谍软件外连造成信息泄露 ; 

• 防止 P2P 应用软件侵占大量 Internet 连接资源 ; 

2.2.2 建立到总部的 VPN 网络 

区域网络中心的 Firebox X5500e 另一个主要作用是作为 VPN 网络的分支 

节点 , 完成 VPN 网络的连接。各区域网络主要通过 DDN 专网与总部连接 , 完 

成业务通讯。VPN 网络作为专网的一种有效地备份手段 , 可以在 DDN 专线故障 

的情况下 , 自动连接到总部网络中 , 使得区域网络的数据通过 VPN 传输 , 得到 

了很好的安全保护。同时 , 可以满足各区域网络中心下属的移动用户的 VPN 接 

入需要。 

13


第三章 WatchGuard 产品技术特点 

3.1 WatchGuard 公司 

美国 WatchGuard 公司是世界领先的高效率和全系列 Internet 安全方案供应 

商 , 是全球排名前五位的专门生产防火墙的公司之一。WatchGuard 公司 1996 

年成立于美国的华盛顿西雅图 , 并在北美、南美和亚洲等地设有办事处 , 全球员 

工总数约 300 多名。1999 年 7 月 30 日在纳斯达克上市 ( 纳斯达克股票代号 : 

WGRD)。WatchGuard 是全球领先的高效率、全方位 Internet 方案供应商 , 宗 

旨是保护那些通过 Internet 开展电子商务的企业 , 并确保其通信安全。公司以生 

产即插即用 Internet 安全设备 “Firebox” 和相应的服务器安全软件而闻名于世。 

通过公司具有创新意义的 LiveSecurity Service, 单位与用户能保持其安全系统 

总是处于最新状态。 

WatchGuard 公司全球首创了专用安全系统 , 在 1997 年首家将应用层安全 

运用到系统 , 并在 2004 年全球首创可全面升级的整合安全网关。2005 年 

WatchGuard 公司推出了基于全新技术的 Fireware Pro 安全系统和 Firebox 

Peak 高端安全设备 , 为市场提供了更安全、更全面、更强大的安全设备。 

WatchGuard 公司是生产即插即用 Internet 安全设备的先锋 , 为不同规模的 

用户提供解决方案 , 从跨国大型企业和远程工作人员 , 一直到使用单个宽带连接 

的家庭办公室。WatchGuard 公司的智能分层安全防御机制提供了健壮的、可信 

赖的网络安全方案 , 可调节安全防御的深度 , 以满足不同规模用户的特殊要求。 

WatchGuard 公司在 2004 年先后建立了上海、北京办事处。由 2002 年至 

今已经为 3000+ 用户提供超过总计 1 万台 WatchGuard 产品 , 并且在金融保险、 

14


制造、交通、通信等行业以及众多的跨国公司和政府单位成功的实施应用。 

3.2 “ 预防御 ” 保护 

WatchGuard ® 

通过其 Firebox ® 

X 统一威胁管理 (Unified Threat 

Management) 平台的智能分层安全 (Intelligent Layered Security) 技术提供了 

“ 预防御 ”(Zero Day) 保护 , 能够有效地阻止新的和未知的攻击 , 同时不需要 

攻击特征的支持。 

3.2.1 什么是 “ 预防御 ” 

在网络安全的领域 , 人们对 “ 预防御 ” 攻击保护有多种不同的说法。但是 , 

厂商们真正提供的防护服务却截然不同。零天威胁 (Zero Day threats) 是指新 

的或未知的攻击 , 它们出现的时候 , 还没有写好相应的补丁程序或者攻击特征。 

预防御保护 (Zero Day protection) 是指在发现漏洞 , 以及在建立和发起真正的 

攻击之前 , 就阻止新的或未知的威胁。 

3.2.2 Firebox ® X 架构中集成了真正的预防御保护 

Firebox X 的智能分层安全 (Intelligent Layered Security) 技术构架合并了 

关键的安全功能来防范攻击大类 , 以及防范即使是当时未知的变种。其中一些功 

能包括 : 

协议异常检测 —— 阻止与协议标准不符的恶意通信。 

模式匹配 —— 通过全面检查整个数据包 , 在系统中标记并移除高风险文件 , 

比如 .exe 和脚本文件、病毒、间谍软件和木马。 

15


行为分析 —— 识别并阻止来自主机的可疑通信 , 其中包括 DoS 和 DDoS 攻 

击、端口扫描和地址扫描。 

3.2.3 漏洞空窗期 

基于攻击特征的方案只能阻止已经识别出来的威胁。在分析出攻击特征 , 开 

发好补丁程序 , 并实际部署之前 , 您的网络对于新的溢出漏洞仍然没有任何免疫 

力。考虑一下当今的各式网络攻击的频率和破坏力 , 即使失去一分钟保护 , 都可 

能带来灾难性的后果。事实上 , 在分析出攻击特征或开发出补丁 , 并进行实际部 

署之前 , 用户需要的是几小时、几天甚至几周的等待时间。这个网络漏洞的空窗 

期是每一个 IT 管理者的噩梦。 

3.2.4 强大的保护层协同工作 

和市面上的许多 UTM 产品不同 , 通过 Firebox X 中的 ILS 构架 , 安全层能 

够协同工作来加强总体安全性。软件功能相互协调 , 各个组件均对整体安全结构 

提供支持。如 : 当入侵预防服务发现攻击时 , 可通知防火墙如何进行处理。层 

16


与层之间的合作通信减轻并协调了安全功能要求执行的计算和处理。结果是您获 

得了保证安全所需的保护 , 同时优化了性能。 

3.3 实时阻止恶意攻击 

网关防病毒 / 入侵防御服务 (Gateway AntiVirus/Intrusion Prevention 

Service) 是 Firebox® X Core 和 Peak 统一威胁管理设备的基于特征的集成安 

全服务。它与 Firebox X“ 预防御 ” 联手打造强大的实时防护 , 能够防止间谍软 

件、病毒、木马、缓存溢出、资料隐码、即时消息和点对点 (P2P) 通讯。 

\ 

不同于其它网关防病毒解决方案 , 网关防病毒 / 入侵防御服务只扫描成功通 

过智能分层安全检测的访问流 , 不会因重复步骤占用网络而降低运行性能。网关 

防病毒 / 入侵防御服务通过 WatchGuard System Manager(WSM) 进行管理 , 

运用同样丰富直观的用户界面对所有 Firebox X Core 和 Peak UTM 功能进行配 

置和管理。WSM 记录、监控和报告所有活动。对防病毒及防入侵活动的实时监 

控能够使您随时了解有关情况及进行控制。 

3.3.1 阻挡已知攻击源 

一旦某一 IP 地址已被确定为攻击源 , 则以后来自该 IP 地址的攻击将被实时 

阻止 , 防止恶意访问流再次侵扰您的网络。同时 , 本系统也将提供可配置白名单 , 

该列表使用户能够定义不应该被阻止的系统 , 从而为需要持续接通的可信应用以 

及可信目标地址提供更大的灵活性 , 确保用户业务的正常运作。 

17


3.3.2 自动更新特征 

更新时 , 系统并不中断 , 因此您的网络将始终获得最新防护。我们的特征数 

据库由成千上万个病毒特征组成 ( 包括流行病毒 “WildList” 及 “Zoo” 病毒 ), 

覆盖范围极广。我们的数据库收集了最活跃的病毒威胁 , 对威胁的判断极为准确 , 

降低错误判断概率。 

3.3.3 阻止即时消息及点对点使用 

本系统容许您启用及禁用两种最常见的病毒软件分发工具 - 即时消息及点 

对点应用。 

3.4 WatchGuard ® Firebox ® 

系列 UTM 产品 

3.4.1 Firebox 产品技术特点 : 

状态包防火墙 

深度应用检测防火墙 

应用层代理 – HTTP、SMTP、FTP、DNS、 

安全特性 

TCP 

拒绝服务及分布式拒绝服务攻击防护 

Progressive 分布式拒绝服务攻击防护 * 

异常协议检测 

行为分析 

18


模式匹配 

碎片封包重新组装防护 

恶意封包防护 

静态黑名单 

动态黑名单 * 

基于时间的规则 

加密 (DES、3DES、AES-128、AES-192、 

AES-256bit) 

网络协议安全 

SHA-1, MD5 

VPN 

IKE - 预共享密钥、Firebox 证书 

PPTP 服务器 

PPTP 通道连接 

对方失效检测 (RFC 3706) 

硬件加密 

XAUTH 

RADIUS® 

用户验证 

LDAP 

Windows ® Active Directory 

RSA SecurID ® 

基于网络 • 本地验证 

静态 

PPPoE 客户端 

IP 地址分配 

DHCP 服务器 

DHCP 客户端 

DHCP 中继 

动态 DNS 客户端 

冗余功能 

高可用性 

HA 主 / 从模式 * 

19


配置同步 

会话同步 

VPN 通道同步 

多广域网故障转移 

广域网故障转移端口 – 4 个端口 

广域网故障转移模式 ( 主 / 从 ) 

负载共享轮流平均负载共享 —— 4 个端口 * 

最大带宽 

流量管理与优先级 

设定 

最大连接数 / 秒 

流量优先级设定 /QoS* —— 2 个优先级 

队列 

静态路由 

路由 

RIPv1,v2 

BGP4* 

OSPF* 

透明 / 插入模式 

运行模式 

路由模式 

混合模式 

静态网络地址转换 ( 端口转换 ) 

动态网络地址转换 

地址转换 

一对一网络地址转换 

网络协议安全 NAT 穿越 

基于策略的网络地址转换 

多设备日志集合 

WebTrends ® 兼容报告 (WELF) 

日志 / 报告 

HTML 报告 

XML 日志格式 

加密日志信道 

Syslog 

20


简单网络管理协议 

简单网络管理协议 

电子邮件 

告警 / 通知 

管理系统预警 

自定义程序预警 

通过图形用户界面进行脱机配置 

3.4.2 Firebox ® X Peak 8500e 技术规格 

技术参数 

防火墙吞吐量 :2,000Mbps 

VPN 吞吐量 :600Mbps 

最大并发会话数 :1,000,000 

网络接口 : 

• 8 x 10/100/1000Base-T 

分支机构 VPN 隧道 :400 

移动用户 VPN 隧道 :10,000 

3.4.3 Firebox ® X Peak 5500e 技术规格 

技术参数 

防火墙吞吐量 :900Mbps 

VPN 吞吐量 :400Mbps 

最大并发会话数 :500,000 

网络接口 :8 x 10/100/1000Base-T 

分支机构 VPN 隧道 :400 

21


移动用户 VPN 隧道 :4,000 

22

某石油公司广域网网络安全方案

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?