浅谈园区网安全出口解决方案

　　随着信息化建设的开展，各单位机构业务系统、科研、管理以及办公自动化等应用系统的建设已初具规模。国内有一定规模的骨干网纷纷升级为万兆网络，提前进入了万兆时代。在各种内外因素的推动下，电子所从2007年下旬正式启动了所级信息化建设工作。从制定总体规划阶段开始，电子所就把与科学院整体的信息化建设思路保持一致作为首要的指导思想。一方面，电子所紧密结合院“十一五”信息化建设总体规划，确定了总体规划、分步实施、重点突破、有序推进、高效务实的信息化建设基本原则。

　　园区网出口面临的挑战：

　  出口设备NAT性能瓶颈

　　出口设备要支持NAT（地址转换）是已经形成共识的。一方面，园区网使用私有地址的情况，访问Internet需要进行NAT；另一方面，即使园区网络通过电信或者网通的线路访问外部资源，仍然需要进行NAT（地址转换），因为电信所分配的地址更有限。NAT（地址转换）等于给出口设备增加了一项很重要的任务，但是，从实际情况来看，NAT却成为了上网速度慢的一个重要原因。究其根本，设备的NAT转发性能是一个很大的原因。

　　来自外部网络的攻击、病毒、扫描令人防不胜防

　　来自内部网络的电驴和BT大量蚕食出口带宽、ARP病毒搞的大家都上不了网。

　　语音、视频会议，门户网站等关键业务质量无法保证。

　　出口日志无从记录，无法满足公安机关的反查要求。

　　园区网出口需求分析：

　　通过对园区网出口面临的一些问题的深入分析，我们将园区网出口建设的需求归纳如下：

　　出口设备需要具备高处理性能、高吞吐量。

　　高安全性能，能够有效阻止来自外部网络的各种攻击、病毒、扫描。

　　能够识别各种应用层流量，限制非法流量，同时保证关键业务的服务质量。

　　如何针对不同的内部网络和外部网络实施不同的带宽策略

　　出口多链路能够负载均衡。

　　提供详细的出口访问日志记录。

　　出口设备尽量少，避免出口过于臃肿

　　园区网出口建议方案：

　　基于上述对园区网出口的现状与需求的深刻理解，神州数码网络推出了为园区网出口区域量身定制的出口安全解决方案。出口建议拓扑如下：

　　流量整形网关

　　随着新网络应用的不断出现，传统的网络设备已经不能满足对各种网络应用的管理，神州数码针对诸如此类的用户需求，适时推出了基于各处应用的流量整形网关 DCFS-2000/8000。

　　如上图所示，出口采用DCFS8500应用层流量整形网关，基于多核嵌入式处理器架构，支持4桥8个千兆端口，双向5Gbps吞吐量，800万并发连接数，控制各种应用的带宽，保证关键应用，该产品主要功能特点如下：

　　1.统计、监控和分析网络上各种应用所占的带宽比例，为网络的用途和下一步的规划提供科学依据。通过对网络上的流量数据进行监控和分析，量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多。

　　2.带宽管理：限制每个用户的上网带宽，自动采取平均分配带宽的优化算法，确保带宽资源分配的公平性和合理性；不同用户组分配不同带宽。

　　3.有效控制各种应用所占带宽，保证关键应用，抑制不希望的应用，如下图所示，为DCFS8500流量控制策略加载前后，迅雷流量所占用的带宽对比。

　　4.监控内网每个节点的实时出流量、实时入流量的大小，可用来判断内网节点是否存在攻击行为、中病毒等问题。如下图所示，通过双击认为“有问题”的某台主机的地址，可看该主机详细会话情况。

　　5.强大的带宽二级管理：这是DCFS的独有的管道复用技术，不仅可以针对每个用户实现带宽的管理，而且同时也可对不同种网络应用协议进行带宽管理。

　　6.网络应用的识别率高、针对中国本地特色应用能进行识别。国内本地化应用识别强，可识别600余种应用，对于新出现的应用，我们提供对新的网络应用识别的按需定制升级服务。

　　7.DCFS为业界将身份与流量整形完美结合产品，支持用户身份、带宽授权、灵活计费和用户审计功能，与神州数码TrustCenter产品配合，可以实现灵活计费。

　　.多核防火墙

　　随着信息技术的飞速发展，互联网已经成为我们生活中不可或缺的一部分，它给我们的工作学习生活带来了前所未有的方便，与此同时，也将潜在的威胁悄悄的植入其中，对于信息管理人员来说，整个局域网的安全是重中之重

　　在网络的出口安全防护方面，布置神州数码的终结者多核超万兆防火墙，神州数码DCFW-1800E-10G防火墙专为万兆位流量的网络服务运营商，大型园区网，数据中心等骨干网络而设计，设备采用64位多核处理器和高速交换总线技术，实现了芯片级的VPN、QoS流量管理等功能的硬件加速性能。

　　神州数码终结者系列防火墙采用多核处理器架构，在实际工作中，每个可以在相对节能的方式下运行，牺牲单个的运算速度，但多颗协同处理任务，以达到性能倍增的目的。在这样的架构下，终结者可以达到的指标如下：

　　设备基于多核架构，提供强劲的防火墙处理性能，高达20G的数据吞吐量

　　VPN数据（3DS+SHA-1）吞吐量高达10G

　　每秒处理新建TCP连接超过25万，UDP新建连接50万

　　支持1000万并发连接数（缺省500万，可升级至1000万）

　　超强的抗DoS攻击能力，以每秒创建5000TCP会话作为背景流量，可以检测并防御80万个包/秒以上的SYN-FLOOD攻击

　　IPSec VPN隧道数可支持3万条（出厂缺省支持，无需单独购买）

　　SSL VPN支持1万在线用户

　　神州数码DCFW-1800E-10G防火墙专为万兆位流量的网络服务运营商，大型数据中心等骨干网络而设计，2U专用万兆线速安全平台，完全模块化可扩展结构，双电源设计为您提供的不间断运行时间。设备采用64位多核处理器和高速交换总线技术，实现了芯片级的VPN，QoS流量管理等功能的硬件加速性能，避免了传统ASCI和NP安全系统新建连接能力和流量控制能力弱的弊病。神州数码DCFW-1800E-10G防火墙内置12个SFP光纤插槽，1个10/100/1000M自适应以太网电口和2个万兆插槽，接口模块类型支持单模、多模光纤，充分满足您的定制需求。

　　.上网行为日志管理

　　DCBI-NETLOG上网行为日志系统分为四个型号，分别是DCBI-NETLOG（200）、DCBI-NETLOG（500）、DCBI-NETLOG（2000）、DCBI-NETLOG（5000），适合不同规模的网络。

　 与神州数码DCSM联动，上网行为记录可直接映射到上网者的用户帐号，而不只是简单的记录到上网者源IP，从而可以根据用户上网帐号更加准确地定位到上网行为的责任人，而不再是根据用户的源IP来确定上网行为的责任人。主要特性包括：

　　1.高性能，为解决本身的性能问题，并且为了在使用时不影响网络的性能，采用下面的方式：采用旁路的组网方式不与计费的网关采用同一设备，而是采用单独的设备。

　　2.上网行为记录功能，可实现记录上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据，从而提供了上网行为的安全审记数据源，满足国家安全部门对上网行为进行记录的要求。

 

　　3.与DCSM联合组网，上网行为记录可直接映射到上网者的用户帐号，而不只是简单的记录到上网者源IP。

    4.各种上网行为的统计功能，以图例的方式显示哪些网站是近访问次数的Top-10、哪些用户近发包次数的Top-10等。根据这些访问情况的统计结果，很容易发现网络上哪些节点或用户有异常行为。

　　5.即使用用户通过代理上网（即：用户访问的目的IP是代理的IP），也能解析出用户访问的终网站的URL。

　　6.可解析出e-mail流量的源mail地址、目的mail地址。

　　7.可解析出Ftp的用户名、口令、所使用的ftp命令等。

　　8.可解析出telnet的各种操作信息。

　　9.采用海量存储部件，在数据存储超过阀值时有报警功能，并且可将历史数据导出由用户自行存储。

　　10.组网方便：自带两个千兆电口，一个口用于接业务网络，另一个口用于接管理网络。

　　11.支持容量收敛功能：可根据指定的属性，将在一定时间内连续的上网日中属性值相同的记录合并成一条记录，从而大大降低对存储容量的需求。

　　12.支持iSCSI网络存储协议，并且可与iSCSI等存储设备对接，使存储容量达到无限扩展。

　　神州数码控股有限公司是中国的整合IT服务提供商。集团由原联想集团分拆而来，并于二零零一年六月一日在香港联合交易所有限公司主板独立上市。神州数码致力于为中国用户提供先进、适用的信息技术应用，以科技驱动工作与生活的创新，推进数字化中国进程。