Skynet Firewall Edición Empresarial
Modelo de firewall: Departamento FW2010
Funciones del sistema:
1. El primer núcleo de firewall profesional con derechos de autor independientes en China.
2. Firewall de filtrado de paquetes basado en inspección de estado.
3. Puente virtual con función de filtrado de paquetes
4. Tiene función de detección de bandera TCP.
5. Tiene función de traducción de direcciones de red bidireccional.
6. Admite enlace de direcciones IP múltiples de puerto de red y admite aplicaciones de múltiples subredes y múltiples IP.
7. Admite enlace de dirección IP y dirección MAC de tarjeta de red.
8. Monitoreo del estado de la red y del sistema en tiempo real
9. El software del módulo de funciones es fácil de actualizar y ampliar.
10. Gestión basada en interfaz WEB, fácil de gestionar.
Solución de red típica:
Las pequeñas oficinas/organizaciones suelen tener una LAN independiente conectada a Internet a través de una línea dedicada (ADSL, DDN, etc.). ) y necesidad de proteger las redes internas de intrusiones externas. En esta aplicación típica, el firewall está construido detrás del dispositivo de acceso telefónico para proteger la seguridad de los usuarios de intranet de pequeñas empresas que acceden a Internet. En los gobiernos y las grandes empresas, existen redes de área local independientes a gran escala que deben conectarse a la red externa a través de varias conexiones de banda ancha para proporcionar diversos servicios de aplicaciones para la red externa. El firewall Skynet de nivel empresarial para redes de grandes empresas, además de funciones únicas de defensa contra ataques y una excelente detección de marcas TCP y otras funciones básicas, también tiene poderosas capacidades de procesamiento y módulos funcionales completos, que pueden proteger a las empresas de una manera casi transparente. Las estaciones de trabajo y las granjas de servidores importantes nunca se convertirán en un cuello de botella en la red. Al configurar los firewalls Skynet, la zona de la red interna y la zona neutral se separan dentro de la LAN y se proporciona protección distribuida para la seguridad de la red de los servidores externos y las LAN internas.
Modelos recomendados: Skynet Enterprise Firewall FW3010 tipo estándar, Skynet Enterprise Firewall FW3060 tipo extendido.
Las funciones básicas del sistema de firewall incluyen:
1. Excelente núcleo de firewall desarrollado independientemente.
2. Función de filtrado de paquetes basada en la detección de estado.
3. Función de puente virtual con función de filtrado de paquetes
4. Tiene función de detección de bandera TCP.
5. Tiene función de traducción de direcciones de red bidireccional.
6. Dispone de estadísticas de tráfico y funciones de restricción de tráfico.
7. Operación simple mediante actualización de interfaz
8. Tiene la primera tecnología de puerta de enlace de defensa DoS del mundo, que puede prevenir eficazmente varios ataques DoS.
9. Admite vincular múltiples direcciones IP a un puerto de red, lo que admite múltiples subredes y múltiples aplicaciones IP.
10. Admite el enlace de direcciones IP y MAC para administrar eficazmente los recursos de direcciones IP.
11. Tiene función de monitoreo del sistema en tiempo real y puede observar el estado de ejecución del sistema y el estado de la conexión de red.
12. Tiene función de alarma en tiempo real y puede avisar por teléfono y correo electrónico.
13. Existe un registro de operación del sistema, que puede registrar todas las operaciones del administrador del sistema.
Módulo de agujero negro de red
Se utiliza para impedir que los piratas informáticos detecten la estructura de la red y devuelve información de error a los piratas informáticos, lo que puede prevenir eficazmente ataques externos.
Módulo de registro de datos de red
Se utiliza para registrar el tráfico de datos de la red, la contabilidad del tráfico de usuarios y otras funciones. Este módulo requiere que se instale un software de cliente en la PC para la recopilación, el análisis y el procesamiento de datos, y los resultados del análisis también se pueden importar a la base de datos para su procesamiento automático.
Función de proxy transparente
Puede limitar el ancho de banda del tiempo de Internet de los usuarios.
Red privada virtual
Solución de red típica para filtrado de contenidos e interceptación de URL
Solución de seguridad de red de XXX Enterprise Group
Diseño de esta solución Siga las siguientes ideas:
El principio de equilibrio entre riesgo, costo y eficiencia
Consideración integral
Para garantizar la disponibilidad del sistema, el sistema de seguridad tiene buena transparencia, gestiona aplicaciones de forma centralizada para facilitar el mantenimiento.
Los productos de seguridad prácticos deben ser productos legales que hayan sido probados por el departamento de seguridad pública. Y debe ser un producto seguro de producción nacional.
Combinado con sistemas de aplicaciones, proporciona una solución de seguridad integral que combina redes y aplicaciones.
Política de seguridad
El propósito de formular una política de seguridad:
Dividir áreas de seguridad
Formular una política de seguridad, incluido el control de acceso de los usuarios, definir nivel de acceso y determinar el tipo de servicio.
Política de seguridad:
Finalidad:
Dividir áreas de seguridad.
Desarrollar políticas de seguridad, incluyendo control de acceso de usuarios, definiendo niveles de acceso y determinando tipos de servicios.
Auditoría y filtrado, solo pueden pasar los procesos de acceso y respuesta que cumplan con la política de seguridad, y se niegan otras solicitudes de acceso.
En base al análisis de las necesidades de los usuarios, la red interna de la empresa se puede dividir en las siguientes zonas de seguridad:
Segmento de red interna
Segmento de red pública
Segmentos de red externos
Los segmentos de red que pertenecen a las tres zonas de seguridad están interconectados a través del firewall Skynet.
Los tipos de aplicaciones y servicios existentes que requieren auditoría y filtrado incluyen: Es importante que los proveedores de servicios de red protejan la seguridad de la red contra ataques, por lo que los firewalls deben elegirse con cuidado. Skynet Firewall Carrier Grade es un firewall de gran capacidad y alto rendimiento especialmente diseñado para sitios web ICP (Proveedor de contenido de Internet) y centros de datos IDC. Puede admitir una gran cantidad de visitas máximas y conexiones simultáneas para satisfacer las complejas necesidades comerciales y de intercambio de datos de varios sitios web de ICP y centros de datos de IDC. Contiene varias funciones excelentes del sistema de firewall básico, además de potentes módulos funcionales, y también se puede extender a la función de respaldo en caliente de doble máquina, lo que permite que el sistema cambie automáticamente a sistemas de firewall anormales en tiempo real, protegiendo completamente a los proveedores de servicios de red de ataques ilegales.
Modelos recomendados: Skynet firewall de nivel portador fw 5010 ICP tipo FW5060 IDC
Para sitios web pequeños, recomendamos utilizar FW5010 ICP, para sitios web ICP grandes o redes de ISP como datos IDC centros Para los operadores, recomendamos utilizar el IDC FW5060, que proporciona capacidades de procesamiento más potentes que ICP, tiene funciones de equilibrio de carga y funciones de respaldo en caliente de dos máquinas.
Vale la pena mencionar que actualmente los ataques DoS y DdoS amenazan seriamente la seguridad de los sitios web de ICP, y el exclusivo portal de defensa DoS de Skynet puede bloquear eficazmente dichos ataques. Numerosos casos de éxito demuestran que el nivel de telecomunicaciones del firewall Skynet es realmente el santo patrón de varios sitios web y centros de datos.
Funciones
Las funciones básicas del sistema incluyen:
1. Excelente núcleo de firewall desarrollado independientemente.
2. Función de filtrado de paquetes basada en la detección de estado.
3. Función de puente virtual con función de filtrado de paquetes
4. Tiene función de detección de bandera TCP.
5. Tiene función de traducción de direcciones de red bidireccional.
6. Dispone de estadísticas de tráfico y funciones de restricción de tráfico.
7. Se puede actualizar a través de la interfaz y el funcionamiento es sencillo.
8. Tiene la primera tecnología de puerta de enlace de defensa DoS del mundo, que puede prevenir eficazmente varios ataques DoS.
9. Admite vincular múltiples direcciones IP a un puerto de red, lo que admite múltiples subredes y múltiples aplicaciones IP.
10. Admite el enlace de direcciones IP y MAC para administrar eficazmente los recursos de direcciones IP.
11. Tiene función de monitoreo del sistema en tiempo real y puede observar el estado de ejecución del sistema y el estado de la conexión de red.
12. Tiene función de alarma en tiempo real y puede avisar por teléfono y correo electrónico.
13. Existe un registro de operaciones del sistema, que puede registrar todas las operaciones del administrador del sistema ■Agujero negro de la red.
Se utiliza para evitar la detección de redes ilegales.
■Registro de datos de red
Se utiliza para registrar tipos de datos y tráfico a través del firewall. Este módulo requiere que se instale un software de cliente en la PC para la recopilación, el análisis y el procesamiento de datos, y los resultados del análisis también se pueden importar a la base de datos para su procesamiento automático.
■Copia de seguridad en caliente de doble máquina
Puede cambiar instantánea y automáticamente el sistema de firewall que funciona de manera anormal
■Equilibrio de carga
Usuario las solicitudes se pueden procesar de forma inteligente Distribuir a múltiples servidores.
Solución de red típica:
Un sitio web ICP grande planea utilizar diez servidores para proporcionar servicios web externos, cuatro servidores como servidores Smtp y dos servidores como servidores P0P3 para proporcionar servicios externos. Se estima que los datos entrantes son 2325 M y los datos salientes son 1214 M
Estructura de red
De acuerdo con los requisitos de red actuales de este gran sitio ICP, recomendamos utilizar el operador; Solución de seguridad IDC de grado FW5060 basada en el plan de firewall Skynet.
Para garantizar la estabilidad y la tolerancia a fallas del sitio, esta solución utiliza dos firewalls Skynet de tipo ICP para garantizar un funcionamiento normal ininterrumpido a través de la función de respaldo en caliente de los dos firewalls. Toda la red está dividida en. dos segmentos de red físicos independientes:
Red pública (red pública)
Red privada (red privada)
Entre ellos, el segmento de red pública * * * proporciona acceso a la conexión WAN de Internet y soporte para aceptar el acceso de usuarios de Internet; el segmento de red dedicado contiene 10 servidores web, 4 servidores Smtp y 2 servidores P0P3 para proporcionar servicios de aplicaciones web y de correo electrónico.
Política de seguridad
Propósito:
Dividir áreas de seguridad
Desarrollar políticas de seguridad, incluido el control de acceso de usuarios, definiendo niveles de acceso y determinando servicios tipo.
Auditoría y filtrado, solo pueden pasar los procesos de acceso y respuesta que cumplan con la política de seguridad, y se niegan otras solicitudes de acceso.
A partir del análisis de las necesidades de los usuarios, la red de estaciones de Pekín se puede dividir en las siguientes áreas de seguridad:
Segmento de red interna
Segmento de red externa
Los segmentos de red que pertenecen a las dos zonas de seguridad están interconectados a través del firewall Skynet.
Los tipos de aplicaciones y servicios existentes que requieren auditoría y filtrado incluyen: Con el rápido desarrollo de la tecnología de red, la infraestructura de red de China se ha expandido. En la actualidad,
la red troncal ha entrado en la era de la fibra óptica. Además de las redes troncales de telecomunicaciones, los gobiernos y las grandes empresas también han comenzado a popularizar la fibra óptica, y los productos de firewall Gigabit basados en fibra se han vuelto clave. Nuestra empresa inició el desarrollo de Skynet Gigabit Firewall ya en 1999. Al absorber la excelente experiencia de nuestros homólogos extranjeros y la sabiduría del personal técnico nacional de primer nivel, finalmente lanzamos con éxito el primer cortafuegos Gigabit nacional en abril de 2000. Su excelente rendimiento fue inmediatamente reconocido por los usuarios. En 2002, basado en el firewall Gigabit Skynet original, se desarrolló el buque insignia Gigabit FW8060. Con un sistema de hardware y un núcleo de software completamente nuevos, el firewall Skynet ha alcanzado un nuevo nivel y sus potentes funciones y rendimiento pueden satisfacer los requisitos de los usuarios más exigentes. El firewall Skynet, que combina un excelente rendimiento de la red y el rendimiento del sistema, es de nivel gigabit. A través de un núcleo optimizado, logra una combinación orgánica de capacidades de intercambio de datos de hardware extremadamente eficientes y capacidades de procesamiento paralelo del sistema, que admiten millones de conexiones simultáneas. Puede admitir solicitudes de red de decenas de miles de usuarios y satisfacer plenamente los requisitos de aplicaciones de datos de gran tráfico de varios servicios de aplicaciones de redes de banda ancha. Modelos recomendados: Firewall Skynet Gigabit FW8010 tipo backbone; Firewall Skynet Gigabit FW8060 insignia
Excelente rendimiento basado en gigabit:
■Sistema de firewall de velocidad de cable Gigabit
p >
■Función de filtrado de paquetes basada en estado Gigabit
■Conexión NAT Gigabit
■Proporciona rendimiento de red privada virtual Gigabit y admite más de 20 000 túneles seguros IPSEC.
■Admite millones de conexiones de usuarios simultáneos.
■Admite más de 40.000 configuraciones de control de acceso.
Licencia
Tipo Descripción
SNFW-FT-BH Network Black Hole
Grabación de datos en red
SNFW -FT-RH hot standby de doble máquina
Lista de rendimiento:
Sistema de firewall de velocidad de cable Gigabit y conexión NAT
Red privada virtual Gigabit basada en cifrado 3DES Rendimiento
Filtrado de paquetes basado en estado Gigabit
Admite más de 500.000 conexiones de usuarios simultáneas.
Admite más de 40.000 configuraciones de control de acceso.
Los estándares soportados incluyen ARP, TCP/IP, UDP, IPSEC, 3DES, etc.
Admite más de 20.000 túneles seguros IPSEC.
Soluciones típicas
Soluciones de seguridad para aplicaciones de comercio electrónico
Los sitios web de comercio electrónico actuales deben admitir decenas de miles de conexiones simultáneas y necesidades de equipos de seguridad de red. para admitir una gran cantidad de usuarios conectados, respondiendo a decenas de miles de solicitudes simultáneamente. Hoy en día, los cortafuegos de software basados en sistemas operativos comerciales tradicionales no pueden proporcionar servicios a esta escala. Muchos sitios dependen de equipos de red adicionales para lograr el equilibrio de carga entre múltiples firewalls. La gestión de múltiples sistemas de firewall es difícil porque los administradores necesitan sincronizar entre firewalls. El firewall Gigabit admite hasta 500.000 conexiones simultáneas, lo que puede satisfacer los requisitos de los sitios web de comercio electrónico de alto tráfico. Debido a que muchos hosts están simbólicamente en el mismo lugar, el firewall Gigabit admite el modo VPN, de modo que los datos y comandos entre hosts se pueden transmitir en un túnel seguro (este túnel seguro está en realidad en la red pública, pero debido a que el firewall cifra los datos de manera que parece que se transmite a través de un túnel). El firewall Gigabit también admite copias de seguridad activas en dos máquinas, muy prácticas, y su software puede mantener conexiones simultáneas continuas. Esto garantiza que incluso si el sistema falla, la conexión se mantendrá y los consumidores no se trasladarán a otros sitios debido a la pérdida.
Hoy en día, la mayoría de las empresas de comercio electrónico populares descentralizan su alojamiento web para brindar una respuesta rápida a los clientes. Todos se centran en sus negocios principales y requieren servicios de red, incluidos servicios de seguridad para dispositivos de alojamiento web. Gigabit Firewall proporciona servicios de seguridad VPN y firewall controlables. Los sistemas de alojamiento virtual y su arquitectura multiusuario proporcionan una manera conveniente de administrar múltiples usuarios en el sistema. Cada sistema de alojamiento virtual puede tener un conjunto de políticas basadas en sus usuarios individuales. Al configurar el indicador VLAN IEEE802.1q entre el firewall y el conmutador, el tráfico de cada sistema host virtual se puede transmitir de forma segura al cliente, proporcionando una conexión privada y segura.
Soluciones de seguridad empresarial
La seguridad empresarial requiere la capacidad de manejar conexiones simultáneas a gran escala. Las empresas suelen tener varios servidores para el acceso remoto a sitios o usuarios remotos. Estos servidores proporcionan correo electrónico, web, ftp, NFS u otros servicios de aplicaciones y necesitan admitir conexiones simultáneas a gran escala. Además, a medida que más y más aplicaciones empresariales se entregan a través de redes IP, los grupos de servidores conectados a través de Gigabit Ethernet también requieren protección de firewall interna. A medida que se ofrecen cada vez más servicios a través de Internet, el número de conexiones a Internet para las propias empresas ha aumentado significativamente. No sorprende que un sitio tenga múltiples conexiones T3 u OC3 que deban protegerse. Por ejemplo, las empresas necesitan utilizar sus propias líneas de Internet para conectarse a otras redes grandes para videoconferencias o consultas de bases de datos de servidor/host de gran tamaño, y también necesitan admitir VPN de alta velocidad. También necesitaban admitir una gran cantidad de túneles VPN para conectar sus sucursales y oficinas remotas, en lugar de costosos servicios Frame Relay. También hay empleados que trabajan desde casa. Estos empleados acceden a la red de la empresa a través de la última tecnología de banda ancha.