大型ICP網(wǎng)站網(wǎng)絡(luò)安全解決方案

1、大型ICP網(wǎng)站網(wǎng)絡(luò)安全解決方案 1. 前言 對于一個ICPP（Inteernet內(nèi)內(nèi)容供應(yīng)商）來來說，擁有大大量的訪問量量和用戶是IICP的目標(biāo)標(biāo)，但這樣，又又會帶來系統(tǒng)統(tǒng)安全、網(wǎng)絡(luò)絡(luò)帶寬與服務(wù)務(wù)器處理能力力的大量需求求。因此，我我們可以說，對對于一個ICCP來說，一一臺好的防火火墻不但可以以給他們帶來來網(wǎng)絡(luò)的安全全，而且可以以不對網(wǎng)絡(luò)造造成任何影響響，最好還可可以提高服務(wù)務(wù)器的響應(yīng)速速度。而一般般的軟件防火火墻由于是基基于通用操作作系統(tǒng)的，不不僅在安全性性上大受操作作系統(tǒng)本身的的影響，而且且網(wǎng)絡(luò)效率大大打折扣。天網(wǎng)防火墻ICCP型，就是是面對ICPP開發(fā)的一代代全新的防火火墻產(chǎn)品，它它的高安

2、全性性令服務(wù)器高高枕無憂，可可以媲美1000M以太網(wǎng)網(wǎng)交換機網(wǎng)絡(luò)絡(luò)效率令數(shù)據(jù)據(jù)暢通無阻，而而且天網(wǎng)防火火墻系統(tǒng)擁有有構(gòu)造雙機熱熱備份結(jié)構(gòu)的的功能，從而而能提高系統(tǒng)統(tǒng)的穩(wěn)定性、容容錯性。由于于防火墻系統(tǒng)統(tǒng)是整個網(wǎng)絡(luò)絡(luò)的網(wǎng)關(guān)，是是連接內(nèi)部網(wǎng)網(wǎng)絡(luò)、外部網(wǎng)網(wǎng)絡(luò)、DMZZ區(qū)的交通樞樞紐，具備雙雙機熱備份本本領(lǐng)的天網(wǎng)防防火墻系統(tǒng)無無疑是整體網(wǎng)網(wǎng)絡(luò)穩(wěn)定性、容容錯性的保證證。2. 產(chǎn)品特性性說明 軟硬件一體化的的結(jié)構(gòu) 防火墻對于用戶戶來說，只是是一個安全網(wǎng)網(wǎng)關(guān)。整體系系統(tǒng)采用黑盒盒設(shè)計，防火火墻系統(tǒng)與硬硬件緊密結(jié)合合，發(fā)揮硬件件最高效能，減減少由于操作作系統(tǒng)問題而而產(chǎn)生網(wǎng)絡(luò)漏漏洞的可能，提提高系統(tǒng)自身身安全性

3、。 針對ICP的特特性，提供高高效暢通的網(wǎng)網(wǎng)絡(luò)通道： 針對為ICP特特點：需要保保護的主機數(shù)數(shù)量少，但并并發(fā)連數(shù)量大大設(shè)計的執(zhí)行行執(zhí)照，天網(wǎng)網(wǎng)防火墻ICCP型并不象象其他產(chǎn)品，只只是籠統(tǒng)地按按照并發(fā)數(shù)量量作為價格依依據(jù)，而是采采用保護的主主機數(shù)量作為為防火墻的執(zhí)執(zhí)行執(zhí)照。 作為一個ICPP節(jié)點，網(wǎng)絡(luò)絡(luò)系統(tǒng)將承受受大量的并發(fā)發(fā)用戶訪問，天天網(wǎng)防火墻的的網(wǎng)絡(luò)核心可可支持超大量量的并發(fā)連接接，遠超任何何基于通用操操作系統(tǒng)的防防火墻。 作為一臺防火墻墻，其最基本本功能是保護護網(wǎng)絡(luò)不受非非法入侵者所所破壞的同時時，還要保證證網(wǎng)絡(luò)的暢通通無阻，天網(wǎng)網(wǎng)防火墻的網(wǎng)網(wǎng)絡(luò)核心專門門為TCP/IP及Fiirewal

4、ll而設(shè)計，同同時還針對CCPU的計算算核心進行了了優(yōu)化處理，能能大大提升系系統(tǒng)性能。網(wǎng)網(wǎng)絡(luò)底層的多多個部分由匯匯編語言編寫寫，比同類系系統(tǒng)性能提高高20%-660%?？焖侔惭b功能 傳統(tǒng)的防火墻在在安裝時極為為麻煩，首先先需要安裝操操作系統(tǒng)，調(diào)調(diào)整網(wǎng)絡(luò)參數(shù)數(shù)，安裝防火火墻軟件，然然后進行網(wǎng)絡(luò)絡(luò)參數(shù)設(shè)置，系系統(tǒng)管理員如如果沒有經(jīng)過過專門的培訓(xùn)訓(xùn)，在短時間間內(nèi)裝好防火火墻幾乎是不不可能的事情情。天網(wǎng)防火火墻具有快速速安裝特性，可可以實現(xiàn)從上上架安裝、連連接網(wǎng)線、上上電、參數(shù)設(shè)設(shè)置完畢整個個過程不超過過15分鐘。 基于瀏覽器的WWeb管理界界面 通常一個小型企企業(yè)并沒有一一個防火墻專專家來專門負負責(zé)

5、防火墻方方面的工作，天天網(wǎng)防火墻具具有多語言支支持簡單易用用的Web設(shè)設(shè)置界面，令令管理員熟練練地掌握系統(tǒng)統(tǒng)的時間大大大減少，操作作簡單、管理理方便，只要要具有一定網(wǎng)網(wǎng)絡(luò)相關(guān)知識識的人即可勝勝任。 完善的訪問控制制功能 天網(wǎng)防火墻靈活活完善的網(wǎng)絡(luò)絡(luò)訪問控制，不不僅包括現(xiàn)有有的所有網(wǎng)絡(luò)絡(luò)服務(wù)，同時時可以兼顧將將來各種新的的網(wǎng)絡(luò)服務(wù)，在在有效地保障障企業(yè)網(wǎng)絡(luò)安安全的前提下下又能保證各各種網(wǎng)絡(luò)服務(wù)務(wù)的暢通無阻阻。MAC地址綁定定 天網(wǎng)防火墻所具具有的MACC地址綁定功功能可以很好好地解決內(nèi)部部網(wǎng)絡(luò)在地址址資源的分配配問題。當(dāng)內(nèi)內(nèi)部主機設(shè)定定一個IP地地址以后，防防火墻系統(tǒng)就就能接收到相相應(yīng)的地址廣廣

6、播，在防火火墻系統(tǒng)上列列出相應(yīng)的IIP地址與MMAC地址，并并可以選擇是是否把這個IIP地址與相相應(yīng)的MACC地址綁定，這這樣可限定IIP地址只能能在一臺指定定的主機上使使用，既可以以防止IP地地址冒用，而而且大大方便便了日常網(wǎng)絡(luò)絡(luò)的IP地址址管理。雙機熱備份（選選件） 采取雙機熱備份份結(jié)構(gòu)的天網(wǎng)網(wǎng)防火墻系統(tǒng)統(tǒng)在常規(guī)運作作的時候分為為主服務(wù)器和和備份服務(wù)器器，備份服務(wù)務(wù)器通過專用用通信端口作作主服務(wù)器設(shè)設(shè)置、紀(jì)錄數(shù)數(shù)據(jù)的鏡像。備備份服務(wù)器的的網(wǎng)絡(luò)設(shè)備并并不運作，防防火墻工作由由主服務(wù)器完完成。如果因因網(wǎng)絡(luò)或某些些因素使主防防火墻服務(wù)器器不能正常運運作時，備份份服務(wù)器會在在十秒鐘內(nèi)自自動啟動，負

7、負責(zé)保護網(wǎng)絡(luò)絡(luò)安全，并發(fā)發(fā)出警告通知知網(wǎng)絡(luò)管理員員。智能的負載分擔(dān)擔(dān)模塊（選件件）降低了IICP網(wǎng)站建建設(shè)的成本 隨著出色的Innterneet應(yīng)用服務(wù)務(wù)的使用人數(shù)數(shù)不斷增加，服服務(wù)器變得不不勝負荷，如如果無法及時時處理大量的的用戶服務(wù)請請求，將出現(xiàn)現(xiàn)服務(wù)中斷的的情況。以往往在解決這些些問題的時候候，只能采用用更強計算能能力的服務(wù)器器來替換原來來的服務(wù)器，舊舊的服務(wù)器只只能淘汰掉。并并且，單臺服服務(wù)器的負載載能力也是有有限的，不可可能無限擴展展，同時，高高檔服務(wù)器的的價格是隨著著服務(wù)器的性性能呈現(xiàn)指數(shù)數(shù)型上升，因因此，采用多多臺廉價服務(wù)務(wù)器組成負載載分擔(dān)的系統(tǒng)統(tǒng)模型日漸成成為主流。 負載分擔(dān)系

8、統(tǒng)主主要是將集中中在一臺服務(wù)務(wù)器上的用戶戶服務(wù)請求分分發(fā)到多臺服服務(wù)器上。 在負載分擔(dān)方式式出現(xiàn)的初期期，有不少網(wǎng)網(wǎng)絡(luò)的設(shè)計采采用域名輪轉(zhuǎn)轉(zhuǎn)的方式，即即是一個域名名對應(yīng)多臺服服務(wù)器，作為為一種廉價的的方案，域名名輪轉(zhuǎn)的方式式可以在解決決一些服務(wù)器器的負載問題題，但是，由由于這種負載載分擔(dān)的方式式有很大的局局限性：無法法根據(jù)各臺服服務(wù)器的負載載情況，將用用戶服務(wù)請求求發(fā)送到不同同的服務(wù)器上上；在其中一一臺服務(wù)器出出現(xiàn)問題無法法工作的時候候，系統(tǒng)仍然然會將用戶訪訪問請求發(fā)送送到出現(xiàn)故障障的服務(wù)器上上，造成一部部分服務(wù)的中中斷；由于域域名解釋一般般在各地的服服務(wù)器上都會會有Cachhe存在，因因此會

9、造成一一個地區(qū)的用用戶訪問請求求將集中在同同一臺服務(wù)器器上。因而實實際上，采用用域名輪轉(zhuǎn)的的方式來做系系統(tǒng)負載分擔(dān)擔(dān)，其效果并并不明顯，而而且存在著一一定的弊端。 使用天網(wǎng)防火墻墻的分布式方方案，可以建建造具有快速速響應(yīng)時間和和高容錯的大大容量服務(wù)器器集群系統(tǒng)。天天網(wǎng)防火墻的的負載分布模模塊，可以智智能地將用戶戶的服務(wù)請求求分布到多臺臺服務(wù)器上面面，同時，提提供容錯功能能，可以自動動隔離出問題題的服務(wù)器。系系統(tǒng)具體功能能如下： 1） 動態(tài)負載載均衡 天網(wǎng)防火墻的負負載分布模塊塊可以根據(jù)服服務(wù)器的負載載情況，包括括CPU 占占用量，系統(tǒng)統(tǒng)Load等等情況，自動動選擇負載最最小的服務(wù)器器，將用戶的

10、的服務(wù)請求發(fā)發(fā)送到該機器器上。2） 容錯處理理 天網(wǎng)防火墻的負負載分布模塊塊可以自動檢檢測服務(wù)器的的可用性，當(dāng)當(dāng)某一臺服務(wù)務(wù)器出現(xiàn)故障障的時候，分分布式系統(tǒng)會會自動繞開發(fā)發(fā)生故障的機機器，不會將將用戶的服務(wù)務(wù)請求發(fā)送到到改機器上，保保證了系統(tǒng)的的正常運作。 在實際應(yīng)用用中，由于服服務(wù)器端常常常存在著CGGI程序，這這些程序會將將用戶的信息息保存在服務(wù)務(wù)器的內(nèi)存中中，如果負載載分擔(dān)系統(tǒng)不不能識別用戶戶來源，就會會將同一個用用戶的請求分分布到不同的的服務(wù)器上，就就會導(dǎo)致無法法正常運行程程序。而天網(wǎng)網(wǎng)防火墻的負負載負擔(dān)模塊塊采用獨有的的IIDR（智智能身份識別別）算法，能能夠保證同一一個用戶的CCG

11、I請求可可以保留在同同一臺服務(wù)器器上，保證服服務(wù)的正常運運作。 采用分布式結(jié)構(gòu)構(gòu)建造大規(guī)模模的Inteernet應(yīng)應(yīng)用，可以容容納大量的用用戶，然而在在用戶量增大大到一定的情情況下，負載載分擔(dān)服務(wù)器器處于整個網(wǎng)網(wǎng)絡(luò)中心的位位置，有可能能反而成為服服務(wù)系統(tǒng)的瓶瓶頸。天網(wǎng)防防火墻負載分分擔(dān)模塊在設(shè)設(shè)計時采用的的高性能的專專用散列算法法，保證系統(tǒng)統(tǒng)即使在處理理巨大的用戶戶量（每秒同同時連接數(shù)大大于300000用戶）下下，網(wǎng)絡(luò)效率率仍然可以達達到80%以以上。 3. 網(wǎng)絡(luò)安全全解決方案 3.1 用戶需需求分析網(wǎng)站準(zhǔn)備使用十十臺服務(wù)器對對外提供Weeb服務(wù)，使使用四臺服務(wù)務(wù)器作為Smmtp服務(wù)器器，兩臺

12、服務(wù)務(wù)器作為POOP3服務(wù)器器，對外進行行服務(wù)，估計計將有23-25M的流流入數(shù)據(jù)量和和12-144M的外流數(shù)數(shù)據(jù)量 ： 1、 公共共網(wǎng)絡(luò)。提供供網(wǎng)站的Weeb界面訪問問，收發(fā)電子子郵件服務(wù)。22、 外部網(wǎng)網(wǎng)絡(luò)。提供到到Interrnet連接接。主要應(yīng)用類型包包括：1、 Web應(yīng)用用 2、POOP3及Smmtp電子郵郵件應(yīng)用 33、DNS服服務(wù) 4、FFTP服務(wù) 安全策略為先關(guān)關(guān)閉全部服務(wù)務(wù)和端口，在在開放部分服服務(wù)和端口。3.2 網(wǎng)絡(luò)結(jié)結(jié)構(gòu) 根據(jù)網(wǎng)站當(dāng)前的的網(wǎng)絡(luò)需求，我我們建議使用用基于天網(wǎng)防防火墻ICPP型的安全解解決方案。下下圖為本建議議方案的網(wǎng)絡(luò)絡(luò)拓撲示意圖圖。 為了保證站點的的穩(wěn)定性

13、、容容錯性，本方方案使用天網(wǎng)網(wǎng)防火墻ICCP型，通過過防火墻劃分分為物理上相相互獨立的兩兩個網(wǎng)段：11、 公共網(wǎng)網(wǎng)段（Pubblic NNetworrk） 2、私私有網(wǎng)段（PPrivatte Nettwork）。 其中，公共共網(wǎng)段提供面面向Inteernet的的廣域網(wǎng)連接接和接受互聯(lián)聯(lián)網(wǎng)用戶訪問問的支持；私私有網(wǎng)段安放放十臺Webb服務(wù)器、四四臺Smtpp服務(wù)器和兩兩臺POP33服務(wù)器，提提供Web和和電子郵件應(yīng)應(yīng)用服務(wù)。 3.3 安全策策略 目的：1、 劃劃分安全區(qū)域域。2、 制制訂安全策略略， 包括用用戶訪問控制制， 定義訪訪問級別，確確定服務(wù)類型型。 3、審審核和過濾，僅僅符合安全策策略

14、的訪問和和響應(yīng)過程可可以通過，拒拒絕其他訪問問請求。根據(jù)對用戶需求求的分析， 163.nnet北京站站點的網(wǎng)絡(luò)可可以劃分為以以下幾個安全全區(qū)域： 11、內(nèi)部網(wǎng)段段 2、 外外部網(wǎng)段。分屬兩個安全區(qū)區(qū)域的網(wǎng)段通通過天網(wǎng)防火火墻進行互連連。No.安全區(qū)域安全級別訪問級別1外部網(wǎng)段低級無。提供網(wǎng)絡(luò)連連接。2內(nèi)部網(wǎng)段高級可自由訪問外部部網(wǎng)絡(luò)資源；對外不可見見。現(xiàn)有需要進行審審核和過濾的的應(yīng)用和服務(wù)務(wù)類型包括：服務(wù)類型端口范圍/協(xié)議議類型說明WWW80,tcpWWW服務(wù)FTP21,tcp文件傳輸服務(wù)DNS53,tcp/udp域名解析服務(wù)SMTP/POOP325/110,tcp電子郵件4. 防火墻配配置方

15、案 根據(jù)網(wǎng)絡(luò)安全解解決方案中的的用戶需求、網(wǎng)網(wǎng)絡(luò)拓撲以及及制定的安全全策略，防火火墻采取以下下配置方案：4.1網(wǎng)絡(luò)設(shè)置置類別項目IP地址/掩碼碼說明備注networkksIxternaal_Nettwork192.1688.0.0/24內(nèi)部網(wǎng)絡(luò)Externaal_Nettwork/224外部網(wǎng)絡(luò)Interfaacesfxp2/224連接到公共網(wǎng)絡(luò)絡(luò)fxp0192.1688.0.1/24連接到內(nèi)部網(wǎng)絡(luò)絡(luò)internaal_hosstsconsolee192.1688.0.X/24網(wǎng)管工作站服務(wù)器192.1688.0.X/24Web服務(wù)器服務(wù)器192.168

16、8.0.X/24電子郵件服務(wù)4.2系統(tǒng)配置置路由設(shè)置目的網(wǎng)絡(luò)地址/掩碼網(wǎng)關(guān)地址0/DNS設(shè)置Internaal_DNSS1Internaal_DNSS2系統(tǒng)紀(jì)錄輸出地地址CONSOLEE4.3安全規(guī)則則設(shè)定來源目的協(xié)議行動附加行動說明anyinternaal_nettworkanydenybind:fxxp2,coontinuueinternaal_nettwork is a proteectinternaal_nettworkanyanydenybind:fxxp2,coontinuueping iss permmitany anyicmppermitper

17、mit consoole too manaagerConsoleeany:88887,88888tcppermitremembeer to bind IP too MApemit aany innboundd trafffic tto pubblicanyWeb:80interrnal_nnetworrktcppermitbind:fxxp2any DNS:53interrnal_nnetworrktcp/udpppermitbind:fxxp2anyMail:255inteernal_netwoorktcppermitbind:fxxp2anyMail:1110intternall_netw

18、worktcppermitbind:fxxp2anyFTP.21interrnal_nnetworrktcppermitbind:fxxp24.4網(wǎng)絡(luò)地址址轉(zhuǎn)換規(guī)則設(shè)設(shè)定類型綁定設(shè)備原來地址轉(zhuǎn)換后地址選項說明映射fxp2192.1688.0.0/24/332內(nèi)核代理21FTP代理FTP/TCPP映射fxp2192.1688.0.0/24/332端口映射TCPP/UDP網(wǎng)絡(luò)地址轉(zhuǎn)換（PPAT）10000：665000重定向fxp2:880Web:80TCPHTTP重定向fxp2:1110Mail:1110TCPPOP3重定向fxp2:225Mail:255TCPSMTP重定向fxp2:553DNS:53TCP/UDPPDNS重定向fxp2:221FTP:21TCPFTP5. 技術(shù)服務(wù)務(wù) 網(wǎng)絡(luò)安全特性檢檢測 網(wǎng)絡(luò)安全檢測（包包括對網(wǎng)絡(luò)設(shè)設(shè)備、防火墻墻、服務(wù)器、主主機、操作系系統(tǒng)等的安