WatchGuard Technologies, Inc.
Firebox X
规格
防火墙吞吐量(Mbps) VPN吞吐量(Mbps) 并发会话数 10/100接口 10/100/1000接口 支持局域网内IP数量 支持VLAN数量 分支机构VPN通道数 移动用户VPN通道数 SSL VPN通道数3 状态检测防火墙技术 主动预防御保护 防御DoS/DDoS攻击 支持深度应用检测 WAN口链路故障切换 多WAN口负载均衡 服务器负载均衡 支持策略路由 支持动态路由协议 支持流量管理(QoS) 双机热备份 网关防毒/入侵防御 Web分类过滤 垃圾邮件拦截 GUI管理方式 支持syslog服务器 支持WG日志服务器 提供免费日志报告 硬件保修 LiveSecurity®
Edge e系列 X10e X10e-W 100 35 6,000 6 - 15/20 - 5 1/11 1/11 3
9 9 9 9 选项3
X20e X20e-W 100 35 8,000 6 - 30 - 15 5/25
X55e X55e-W 100 35 10,000 6 - 无限 - 25 5/55
Core e系列 X550e
X750e
X1250e
Peak e系列 X5500e
X6500e
X8500e
X8500e-F
300+ 35 25,000 4 - 无限
750 50 75,000 8 -
1,500 100 200,000
- 8
2,000 400 500,000
- 8
2,300 600 750,000
- 8
2,300 600 1,000,000
- 8
2,300 600 1,000,000
- 4以太/4光纤
无限
无限
无限
无限
无限
无限
选项(25)2
45 5/75 1/75 3
999999
选项(25)2
100 50/100
选项(25)2
600 400 1/500 3
999999
4094 750 600
4094 750 600
4094 750 600
4094 750 600
1/25 3
9999
55
9
9999
1/300 3
999999
1,000999999
4,00099999999999
6,00099999999999
6,00099999999999
选项3
选项3 - 选项3 - 9
选项3 - 选项3 - 9
9 - 9 - 9
选项2选项2选项2选项2选项2
选项2选项2选项2选项2选项2选项1选项1选项1
选项2选项2选项2选项2选项2选项1选项1选项1
99999
- 选项1选项1选项1
- 选项1选项1选项1Web999
- 选项1选项1选项1Web999
选项1选项1选项1
选项1选项1选项1
选项1选项1选项1
选项1选项1选项1
选项1选项1选项1
Web 999
WSM2
999
WSM2
999
WSM2
999
WSM2
999
WSM2
999
WSM2
999
WSM2
999
1年 90天1
1年1年1年1年1年1年1年1年1年
90天190天190天190天190天190天190天190天190天1
“1”Firebox X 系列产品均提供一年GAV/IPS、WebBlocker、spamBlocer和LiveSecurity服务捆绑销售包,详情请致电WatchGuard®或当地经销商。 “2”Firebox X Core e系列产品预装Fireware 9.1或以上安全系统;Firebox X Peak e系列产品预装Fireware Pro 9.1或以上安全系统。
“3”Firebox X Edge e系列产品需安装Edge Pro10以支持SSL VPN、多WAN口;Firebox XCore e系列产品需安装Fireware Pro 10以支持SSL VPN。 本文不提供任何明确或暗示的保证。规格如有变动,恕不另行通知。任何将推出的产品、特性或功能将在适当的时候提供。
北京办事处 地址:
中国北京市东城区金宝街89号 金宝大厦8层 邮编:100005
电话:
(86) 010.8522.1238 传真:
(86) 010. 8522.1798
上海办事处 地址:
中国上海市淮海中路300号 香港新世界大厦4715室 邮编:200021
电话:
(86) 21.5116.2823 传真:
(86) 21.5116.2897
网址:
www.watchguard.com
I
WatchGuard Technologies, Inc.
目 录
1
了解WatchGuard® 公司 ..................................................................................................................................... 1 1.1 1.2
公司背景.................................................................................................................................................. 1 产品简介.................................................................................................................................................. 2
1.3 WatchGuard UTM产品优势.................................................................................................................... 3
2 WatchGuard在电信行业的案例.......................................................................................................................... 6
2.1 某市电信核心业务系统服务器群保护 ...................................................................................................... 6 2.2 某省网通BOSS服务器群保护 ................................................................................................................ 7 2.3 某省网通办公系统VPN网关应用 ........................................................................................................... 9 2.4 某省网通宽带应用业务系统安全防护 .................................................................................................... 10 2.5 某电信增值领域的增值应用................................................................................................................... 12 2.6 某省网通客服系统安全防护................................................................................................................... 13 2.7 某市联通办公及计费网络安全防护 ........................................................................................................ 14
3 WatchGuard在教育行业的案例........................................................................................................................ 16
3.1 某国际学校Internet安全网关应用 ........................................................................................................ 16 3.2 某市教育城域网接入 .............................................................................................................................. 18 3.3 某外国语学校安全接入 .......................................................................................................................... 19 3.4 某工程学院安全接入 .............................................................................................................................. 20 3.5 某高校图书馆安全接入 .......................................................................................................................... 22
4 WatchGuard在金融行业的案例........................................................................................................................ 24
4.1 高效的反垃圾邮件功能保护银行邮件服务器 ......................................................................................... 24 4.2 灵活的高级网络功能,满足金融业的要求 ............................................................................................. 25 4.3 保护银行业务网数据库系统................................................................................................................... 26 4.4 证券公司关键业务服务器防护 ............................................................................................................... 27 4.5 某证券公司广域网网关设备部署 ........................................................................................................... 28
5 WatchGuard在政府的案例 ............................................................................................................................... 30
5.1 某省税务事务所网上报税VPN系统 ...................................................................................................... 30 5.2 某省国税财税安全网关 .......................................................................................................................... 31 5.3 某省水文局VPN互联 ............................................................................................................................ 32
6 WatchGuard在能源行业的案例........................................................................................................................ 34
6.1 保护供电局服务器网络 .......................................................................................................................... 34
7 WatchGuard在零售行业的案例........................................................................................................................ 36
7.1 VPN应用为连锁行业提供快捷、廉价的通讯网络 ................................................................................. 36
8 WatchGuard在制造行业的应用案例 ................................................................................................................ 38
8.1 组建大型VPN网络 ............................................................................................................................... 38
II
WatchGuard Technologies, Inc.
9 WatchGuard其他应用案例 ............................................................................................................................... 40
9.1 9.2 9.3 9.4 9.5
保护特殊的服务器或网络 ...................................................................................................................... 40 关键业务前端的保护 .............................................................................................................................. 41 某集团VPN网络互联及安全防护 ......................................................................................................... 42 某商务楼安全宽带接入 .......................................................................................................................... 43 某酒店安全网络接入 .............................................................................................................................. 45
10 中国部分行业用户列表 ..................................................................................................................................... 47
III
WatchGuard Technologies, Inc.
1
1.1
了解WatchGuard® 公司
公司背景
WatchGuard® 成立于1996年,公司总部位于美国的西雅图,是世界领先的高效率和全系列Internet安全方案供应商,UTM(统一威胁管理)市场占有率全球第一位,防火墙/VPN市场占有率居全球前五位。在北美、南美、EMEA和亚洲等地设有办事处,全球员工总数约450多名;所销售的产品已超过50万套。
2004年,WatchGuard® 公司在中国先后建立了上海、北京办事处。从2004年至今,已经为6000多用户提供超过总计2万台WatchGuard® 的UTM产品,在金融保险、制造、交通、通信等行业以及众多的跨国公司和政府单位成功的实施应用。
WatchGuard® 中国大事记
10.1多国语言安全操作系 2008年4月,WatchGuard® 全球同步发行 Fireware
统;
10 安全操作系统; 2008年2月,WatchGuard® 全球同步发行 Fireware
2007年10月,WatchGuard® 在中国成立“沃奇卫士研发中心”;
9.1 安全操作系统; 2007年9月,WatchGuard® 全球同步发行 Fireware
8.6 安全操作系统; 2007年8月,WatchGuard® 全球同步发行 Edge 2007年8月,WatchGuard® CEO Joe Wang 访华;
9.0 安全操作系统; 2007年4月,WatchGuard® 全球同步发行 Fireware
2006年10月,美国著名基金公司Francisco Partners和Vector Capital以1.5
亿美元强势注资WatchGuard®;
2005年4月,WatchGuard® 公司与上海交通大学合作设立“信息安全奖学金
计划”;
2004年7月,WatchGuard® 公司与上海交通大学共同建立“WatchGuard——
交大信息安全试验室”;
2004年1月,WatchGuard® 公司在中国设立北京、上海办事处;
1
WatchGuard Technologies, Inc.
1.2 产品简介
WatchGuard® 公司全球首创专用安全系统,在1997年首家将应用层安全技术运用到防火墙系统,并成为全球第一家硬件防火墙的厂商。在2004年全球首创可全面升级的统一威胁管理(UTM)产品。2005年WatchGuard® 公司推出了基于全新技术的Fireware Pro操作系统的Firebox Peak高端安全设备,为市场提供了更安全、更全面、更强大的安全设备。
WatchGuard® 公司为不同规模的用户提供全面的UTM解决方案,从跨国大型企业和远程工作人员,一直到使用单个宽带连接的家庭办公室。WatchGuard® 公司的分层防御机制提供了健壮的、可信赖的网络安全方案,可调节安全防御的深度,以满足不同规模用户的特殊要求。
适用于大中型高级网络环境。工作环境中用户数量一般在500人以上。他们需要强大而丰富的网络功能;全面的网络安全防御系统;更高的处理性能;良好的操作界面;集中化的管理;可持续的安全服务与技术保障。
Firebox® X 5500e
Firebox® X 6500e
Firebox® X 8500e
Firebox® X 8500e-F
适用于中小型公司和分支机构。工作环境中用户数量一般在60~500人。他们需要全面的安全防御系统;良好的操作界面;灵活的VPN部署;稳定的性能;集中化的管理;可持续的安全服务和技术保障。
2
WatchGuard Technologies, Inc.
Firebox® X 550e Firebox® X 750e Firebox® X 1250e
适用于小型企业、远程办公室和远程SOHO工作人员。工作环境中用户数量一般在5~60人。他们需要简单的管理界面;强大的安全防御功能;快捷的部署;稳定的产品性能;考虑无线网络接入;不需要太多的专业知识即可以使用;可持续的安全服务和技术保障。
Firebox® X 10e Firebox® X 10e-W
Firebox® X 20e Firebox® X 20e-W
Firebox® X 55e Firebox® X 55e-W
1.3 WatchGuard UTM产品优势
安全和受信任的网络——这是当今每个企业从事业务活动时的需要。无论公司的规模、产业或地域如何,它们都需要由拥有卓越服务、支持和可靠的公司提供经过验证及可信任的安全解决方案。这就是为什么他们选择了WatchGuard®。
WatchGuard® 为全球150个国家提供了最为卓越的网络安全解决方案。我们的Firebox统一威胁管理(UTM)产品系列提供了具有强大安全性、直观易用性以及专家指导和支持的业内最佳组合。
Firebox在保护您网络的同时,还对您的安全投资进行了保护。当您的需求增长或发生变化时,通过单一的许可文件,您可以轻松地增加Firebox的容量或加入更多的安全功能。为获取更好的防火墙或VPN吞吐量,可将产品升级到同一产品线的更高端型号,而无需进行昂贵的重新购买部署。您也可以通过许可文件轻松地添加所需的扩展功能和特性,包括网关防病毒、入侵防护、Web内容过滤和垃圾邮件拦截等。
灵活的集中式日志数据存储支持多种行业标准格式,包括XML、Syslog和
3
WatchGuard Technologies, Inc.
WebTrends/WELF。日志通过一个加密的通道以安全可靠的形式传输,并且可被实时地查看、过滤和分类。基于HTML的历史报告可用于网络行为分析,而交互的、实时的监视工具使您能够及时地发现问题并为解决网络威胁而采取预防或纠正措施。
更高的安全性
通过WatchGuard® 专利的智能分层安全引擎技术,您获得了无需依赖签名即能
针对病毒、蠕虫、间谍软件、特洛伊木马和网络攻击的主动式保护以及最为强大的安全基础。
智能分层安全引擎技术将防火墙、VPN、网关防毒、入侵防御、网站分类过滤、
垃圾邮件拦截等多项技术有机地整合在一起。各模块协同工作,以保护用户网络的安全运行。
更易于使用
我们直观的图形化界面简化了IT专家的网络安全工作,并提高了他们的工作效
率,同时也为新手提供了不可缺少的易用性。通过简易的设置、智能化的默认值以及向导帮助,您的安全实施提升至以分钟而不是小时为单位运行。
统一直观的图形化管理界面,丰富的图形化日志报告和实时监控功能,使您能实
时地关注网络行为和所有设备状态。
高性价比的解决方案
WatchGuard® 的解决方案提供了完整的集成式安全服务和能力。我们的网络安
全产品价格极具竞争力,同时,简化的部署和管理降低了培训和使用成本。Firebox产品可按您对性能和安全需求增加而随时升级和扩展。
通过单一的许可文件,可在同一产品线中升级到高端型号或添加诸如Gateway
AV/IPS等应用层安全服务,保护了您的业务和安全设备的投资。
强大的安全团队支持
作为网络安全产业的先锋,WatchGuard® 早在1996年已开始部署安全设备。
当您成为WatchGuard® 的合作伙伴时,将有世界级的安全专家团队时刻伴随您的左右,并致力于使您免受当前和日后的威胁。
4
WatchGuard Technologies, Inc.
我们的目标是在现在和将来保证您业务的安全以及网络的受信任。专业的
LiveSecurity® 服务为企业客户的网络安全保驾护航。
5
WatchGuard Technologies, Inc.
2 WatchGuard在电信行业的案例
2.1 某市电信核心业务系统服务器群保护
背景介绍
某市电信业务网服务器系统是运行在全国电信业务网中的重要数据部分,该部分数据涉及到计费、综合业务与客服等多种业务类型,因此数据安全性非常重要。由于电信业务网的庞大,不可预见性的突发事件可能会导致业务服务器无法正常工作,给电信系统带来极大的损失。因此市电信信息部门综合安全性、可靠性、可用性、多面性等因素,设计采用综合安全网关作为业务服务器群前端安全设备。
解决方案
为了保护用户核心业务系统的安全,在业务系统的核心网络处部署了2台X8500e-F,设备前端为该市所有的电信营业厅客户端,后端为该市电信所有的业务系统服务器群。全市所有的电信营业厅业务均通过实时访问后台服务器进行,这些网络应用均在X8500e-F的访问控制下进行。
6
WatchGuard Technologies, Inc.
作为重要的内网骨干节点,对设备的性能和可靠性都有非常高的要求,为了满足系统要求,X8500e-F采用了网状冗余拓扑接入系统,同时启用了OSPF动态路由,确保拓扑中出现任一链路、端口、设备故障的情况时,后台服务器群和前端营业厅终端之间仍可正常通信!
实施效果
♦ Firebox设备作为OSPF网络的一个节点,具有路由学习速度快,包转发效率高等
特点;
♦ 严格实施的访问控制,可以确保业务服务器不需要对外开放的端口得到很好的屏
蔽;
♦ 限定源IP地址对内部Web服务器资源的有限访问,即根据源IP地址定义,实施
URL访问控制,使得特定源IP地址只可以访问Web服务器的上的特定URL,提高了安全性;
♦ 启用日志及报告系统,管理员可以了解到每天服务器访问量及特定时间段的通讯
量;
♦ 启用IPS功能保护内部业务服务器的应用层安全;
2.2 某省网通BOSS服务器群保护
背景介绍
综合业务和运营支撑系统(以下简称BOSS系统)是以客户服务、业务运营和管理为核心,以关键性事务操作(客户服务和计费为重点)作为系统的主要功能,为网络运营商提供一个综合的业务运营和管理平台和全面的解决方案。
XX省网通的BOSS系统作为核心业务系统,负责完成全省的计费、结算、帐务、业务及客服等业务功能,系统内部署有计费系统、结算系统、营业帐务系统、客户服务系统等大量、复杂的业务系统。服务器区作为整个BOSS系统的核心区域,负责处理、存储大量业务数据,同时肩负着实时、安全的对外提供应用服务的工作。
7
WatchGuard Technologies, Inc.
解决方案
安全是部署所有系统应用和实施优质服务的前提和保障,对于XX省网通BOSS系统这样一个密切关系到企业生存基础的系统,其安全的重要性是可想而知。
为了保护BOSS系统服务器区的安全,该网通信息化部设计了如下防火墙部署方案。
实施效果
♦ Firebox配置为Drop-in(透明模式),部署在两大服务器区出口处,不影响现有网
络拓扑和IP地址规划;
♦ 严格实施的访问控制,确保业务服务器只对特定访问来源开放特定服务端口,隐藏
内部应用信息;
♦ Firebox采用Proxy防火墙技术,在提供网络层安全访问控制的同时,高效实现应
用层协议的过滤分析,有效保护内部应用服务安全,大幅度提高了安全防护等级; ♦ 内置图形化活动连接及流量分析工具,实时监控、排查网络应用情况,方便系统管
理人员有效管理系统运行;
8
WatchGuard Technologies, Inc.
2.3 某省网通办公系统VPN网关应用
背景介绍
某省网通在省公司部署了大量重要的办公业务系统,通过Internet为全省员工提供多种办公应用、数据查询等服务。为了满足远程办公的安全需要,省网通计划部署基于IPSec的VPN接入系统,在省公司部署集成VPN功能的UTM设备,在各地市部署专用的IPSec VPN客户端软件,各地市办公用户通过VPN拨号,建立VPN隧道,安全访问总部办公业务系统资源。
经过严格的测试对比,WatchGuard X5500e凭借集中式的图形化VPN配置、管理,全面的VPN访问控制能力,实时的网络访问监控界面,被省网通选为全省移动办公的VPN接入网关。
解决方案
X5500e集成IPSec VPN的同时,提供了强大的VPN安全访问控制策略,可以针对不同身份的VPN访问用户,设置不同的访问策略,控制用户的访问网络资源。并可根据实际需要扩展GAV、IPS、垃圾邮件过滤、Web访问控制等多种应用层安全防护功能。
X5500e提供了非常便捷的VPN客户端配置功能,管理员在中心点即可轻松完成客户端配置文件的生成、更新。另外,Firebox X5500e随机附带的WSM管理软件提供了丰富的图形化监控界面,可以实时有效的监控VPN系统工作情况,VPN用户的连接和应用使用情况,大大简化了VPN系统的部署和安全管理工作。
9
WatchGuard Technologies, Inc.
实施效果
♦ 为全省移动用户提供了良好的IPSec VPN接入能力;
♦ 简单的移动用户VPN管理配置方式,大大减少了对远端VPN客户端软件的维护量; ♦ 可以严格控制对内部资源的访问;
♦ 启用日志系统,可以清晰记录每位VPN用户的登录时间及访问内容;
2.4 某省网通宽带应用业务系统安全防护
背景介绍
网通“宽视界”视频监控系统是基于宽带网络,为用户提供视频、图像、声音和各种报警信号远程采集、传输、查看、储存、处理的一种全新电信增值业务,通过一个功能完善的远程网络监控中心服务平台,以集中式分区化运营方式,为用户提供便捷、经济、有效的远程监控整体解决方案。
为了确保系统中大量后台应用服务器系统的安全,网通要求所选用的安全网关设备具有完整、高效的应用层检测能力,既可以实现传统防火墙基于IP、端口的访问控制,又具有检测、分析应用层数据的能力,如:控制FTP命令,控制HTTP协议传输的数据类型和
10
WatchGuard Technologies, Inc.
所用命令、格式等。
通过选型对比,省网通最终选用了具有完整应用层检测能力,基于Proxy防火墙核心的WatchGuard UTM产品实施本次安全项目。传统防火墙只能提供基于IP和端口的访问控制,而WatchGuard独有的Proxy技术,则将访问控制和安全检测的范围扩展到了应用层。
解决方案
在WatchGuard UTM集成的协议异常检测、模式匹配、行为分析等技术保护下,系统中大量基于B/S架构的应用和数据安全得到了有效保护。系统部署示意拓扑图如下:
实施效果
♦ Proxy技术很好地控制了应用协议的通讯;有效地保护了内部Web、FTP等服务
器的应用层安全;
♦ 高效地处理能力,合理的UTM技术设计,使得开启了应用层安全检测后也没有影
响业务通讯质量;
11
WatchGuard Technologies, Inc.
2.5 某电信增值领域的增值应用
安全增值接入是电信正在推广的一项新增值业务,主要面向中小企业。这些中小型企业用户往往在IT管理上比较薄弱,希望依靠可靠的、有实力的服务提供商来保证其网络运行的稳定。因此,电信向中小企业用户销售其宽带业务的同时,捆绑销售内容安全服务。作为运行服务商,不单单提供Internet的接入服务,还为用户提供内容安全服务。比如提供如下服务套餐供用户选择:
基本服务 A 基本服务 B 基本服务 C 基本服务 D 套餐 A+B 套餐 A+C 套餐 A+D 套餐 A+B+C 套餐 A+B+D 套餐 A+B+C+D
用户只需要购买宽带接入服务和相关的内容安全套餐服务就可以,而无须再次购买网关设备,比如防火墙或UTM。对于这些安全网关设备的管理都全部由电信运营商负责。
防火墙 实时杀毒 垃圾邮件过滤 互联网内容过滤 防火墙 + 实时杀毒 防火墙 + 垃圾邮件过滤 防火墙 + 互联网内容过滤
防火墙 + 实时杀毒 + 垃圾邮件过滤 防火墙 + 实时杀毒 + 互联网内容过滤
防火墙 + 实时杀毒 + 垃圾邮件过滤 + 互联网内容过滤
12
WatchGuard Technologies, Inc.
WatchGuard UTM经过严格的入围选型评测,成为中国电信安全增值接入业务入围品牌,XXX省电信安全增值业务指定品牌!我们和XXX省电信已经签订了正式的采购协议,在全省各地市推广此增值业务和WatchGuard UTM产品。
2.6 某省网通客服系统安全防护
省网通为满足快速发展的业务需求,对现有的客服系统进行了升级。为了保护新客服系统业务服务器群的安全,选用了1台WatchGuard X2500 UTM,配置为NAT模式,部署在客服服务器群前端,大量坐席通过X1250e完成对应用服务器群的实时访问。
系统中的应用服务器数量和种类较多,包括Web、Oracle数据库、多媒体等多种应用类型。为了保护应用服务器安全,X1250e启用了应用层检测,利用内置的攻击检测及防范功能,实时检测、过滤系统用户对服务器群的访问。
部署拓扑示意如下:
13
WatchGuard Technologies, Inc.
利用X1250e提供实时流量、实时连接等直观、实用的监控工具,结合身份认证技术和WatchGuard免费提供的日志及自动网络活动报表功能,记录及统计业务系统访问情况。系统管理人员可以随时了解到各业务系统的网络访问情况,发现可疑连接可以实时切断,大大增强了服务器系统的安全管理等级。
2.7 某市联通办公及计费网络安全防护
某市联通为了实现内部办公网络和计费网络之间的安全隔离和访问控制,加强计费网和办公网网络故障及安全问题的分析、响应能力,选择了1台WatchGuard X6500e UTM实施了如下图所示的项目。
14
WatchGuard Technologies, Inc.
通过WatchGuard X6500e UTM提供的独特的Proxy技术,实现了应用层的安全隔离和访问控制,更加有效的保护了计费网的系统安全。
另外WatchGuard UTM集成图形化的实时连接及实时日志监控工具,直观、有效的定位的网络异常和网络安全问题,为联通网络管理人员提供了实用、高效的安全管理手段。
15
WatchGuard Technologies, Inc.
3 WatchGuard在教育行业的案例
3.1 某国际学校Internet安全网关应用
背景介绍
德而威治学校于1619年建校至今已有近400年历史,由英国著名艺术家和企业家爱德华·艾伦创建,地处伦敦南部,离泰晤河6英里。为促进中英文化交流,德而威治学校于2002年在上海开办了第一所位于中国的国际学校。目前已经招收学生900余人。于2005年,在北京开办了第二所国际学校,目前招收学生400余人。
德而威治国际学校的校园局域网络分为三部分。第一部分为对外提供交流的web、mail服务器;第二部分为教师使用的办公网络;第三部分为供学生使用的学生网络。德而威治国际学校在英国总部使用的是WatchGuard设备,因此其IT主管Sam Roche先生对WatchGuard设备的稳定性,安全性,易管理性给予了很高的评价,并要求中国校区依然采购WatchGuard的产品。
解决方案
在中国,德而威治国际学校已经建立了北京2个校区,上海1个校区共3个独立局域网络。这3个局域网络通过WathcGuard设备组建VPN网络互联。在网络中实施了Microsoft Windows Active Directory认证管理,要求所有网络用户必须通过AD进行认证后,才可以使用网络资源,包括共享文件、网络打印设备、Internet资源等。主AD位于北京的1个校区,其余校区设立从AD,通过VPN进行AD间的数据交换。
16
WatchGuard Technologies, Inc.
作为一所面对2-16岁儿童的国际性现代化学校,网络安全和网络管理问题极其重视,因此学校IT部门对Internet访问方面进行了严格的控制。
实施效果
♦ 防止来自Internet的病毒滋扰
启用网关防毒功能,对来自网页和邮件中的病毒进行检测与清除。以防止学生在浏览网站时无意中受到病毒的侵入。 ♦ 防止IM和P2P软件使用
启用IPS功能,主要是使用WatchGuard IPS中对即时通讯软件与P2P下载应用程序的控制。禁止使用聊天软件与P2P软件,确保网络有限带宽的使用和防止不良内容通过聊天软件进入内部网络。 ♦ 禁止浏览非授权网站
启用WebBlocker功能,对54余类网站进行筛选控制,杜绝学生浏览所有不利于学生身心健康的网站内容。同时,必要的教学用网站和一般性的网站是不会受到访问控制的影响。 ♦ 集中的设备管理
17
WatchGuard Technologies, Inc.
3.2
某市教育城域网接入
背景介绍
某市教育城域网于2002年基本建成并开通,城域网通过千兆光纤接入Internet,接入带宽为1Gbps,为全市约500所学校及有关教育单位提供宽带接入服务。
解决方案
近年来,随着网络应用的增加,城域网出口的实际网络吞吐率不断增加,峰值达近400Mbps,最高并发连接约40万。为了满足不断增长的网络吞吐率需要,XX市教育经过长期、苛刻的实际环境测试,选购了1台WatchGuard X8500e-F千兆高端UTM,配置为NAT模式,部署在城域网Internet接入处,用于城域网接入的逻辑隔离和访问控制。
部署拓扑示意如下:
实施效果
X8500e-F具备2Gbps防火墙处理能力,管理软件WSM提供了丰富的实时监控及安全管理特性。城域网管理人员足不出户,即可了解Internet出口处的实时网络应用情况,结合X8500e-F提供的QoS、流量管理、动态路由等高级网络特性,为XX市教育城域网的安全、可靠运行提供了有力保障。
18
WatchGuard Technologies, Inc.
3.3
某外国语学校安全接入
背景介绍
XX外国语学校是XX教育集团投资兴建的一所从小学至高中十二年一贯制的寄宿制外国语学校。为了满足学校现代化办公和教学的需要,学校依托良好的基础网络架构,部署了大量重要的网络应用系统,主要包括对校内外开放的网站系统、FTP应用、OA系统、教学资源系统以及财务应用系统,学校的Internet出口为2条10M的Internet接入,校内联网PC约2000台。
为了实现整个校园网的Internet接入安全,提高整个网络系统的安全性、可靠性,学校信息中心老师对采用的产品和技术提出了明确的要求:
♦ 部署基于硬件的高性能安全网关产品,并充分考虑投资及管理使用成本,倾向于选
用成熟的高性能UTM产品;
♦ 实现对校内网络应用的有效控制和管理,可灵活限制大流量下载应用,可灵活限制
占用带宽较多的视频、语音等实时应用;
♦ 隐藏内部Web、FTP等对外应用系统的应用层信息,同时保护OA、财务等应用系
统的安全,确保重要应用及数据的实时安全;
♦ 提供直观、实用的实时交互式监控功能,提供汇总网络运行情况的日志及图形报表
功能,加强网络的整体安全管理和监控; 解决方案
经过长期考察选型,XX外国语学校信息中心最终选用了WatchGuard X5500e设备实施本次安全项目。通过WatchGuard产品独有的ILS引擎和Proxy技术,实现了完整的应用层安全防护和过滤。如,控制内部用户的网络下载,禁止下载特定类型的文件,禁止访问在线视频、音乐,禁止访问特定的域名,过滤网络访问中的关键字,控制外发邮件的大小、主题、附件类型,控制MSN、QQ等IM应用等。设备部署拓扑示意如下:
19
WatchGuard Technologies, Inc.
3.4 某工程学院安全接入
背景介绍
某工程学院学生区网络常有安全事件时有发生,内部网络病毒猖獗,学生在主流网络媒体上乱发敏感的词,比如:在BBS上发布“罢课”等词,给学校的形象造成了严重的影响,为了实现学生上网的安全接入,控制学生的上网行为,提高学生上网质量,此工程学院信息中心决定在各学生上网出口部署安全网关。
解决方案:
多家安全厂商参与了测试,此信息中心经过长期对比和选型,最终选用了两台WatchGuard X8500e-f设备实施本次安全项目。通过WatchGuard产品独有的ILS引擎和Proxy技术实现了关键词的过滤,通过部署GAV/IPS模块杜绝了网络病毒的泛滥,部署Webblocker给学生上网一个健康的上网环境,满足了信息中心的所有需求,并且提供了详细的日志和报表功能,为日后的公安部备案查询提供证据。设备部署拓扑示意如下:
20
WatchGuard Technologies, Inc.
实施效果:
♦ 防止来自Internet的病毒滋扰
启用网关防毒功能,对来自网页和邮件中的病毒进行检测与清除。以防止学生在浏览网站时无意中受到病毒的侵入。 ♦ 禁止浏览非授权网站
启用WebBlocker功能,对54余类网站进行筛选控制,杜绝学生浏览所有不利于学生身心健康的网站内容。同时,必要的教学用网站和一般性的网站是不会受到访问控制的影响。 ♦ 关键字的过滤
制止学生在BBS论坛上发布“罢课”等反动言论 ♦ 日志管理
学生日志按照公安部要求的天数保存
21
WatchGuard Technologies, Inc.
3.5 某高校图书馆安全接入
背景介绍
某综合高校图书馆和计算机学院大楼局域网分别有1000个和1500个节点,各自已经单独组建了局域网络,但是相互独立没有互连。因此给图书馆资料的信息共享使用带来了诸多不便,图书信息查询仍需到图书馆进行。
为了充分发挥网络系统的价值,为广大师生更好的提供图书借阅服务,计划完成图书馆和计算机学院之间的互联互通,并实现图书信息网络化。为了确保互联互通后图书信息资料及相关应用服务系统的安全,必须考虑局域网之间的网络逻辑隔离和访问控制,按照学院信息中心的设计,需要选择一台高性能的安全网关设备,部署在网络出口处。
解决方案:
经过对比和选型,信息中心老师选定WatchGuard X6500e来实施本次安全项目。 WatchGuard产品独有ILS引擎和Proxy技术,实现了高性能的应用层安全检测和防护。通过部署WatchGuard X6500e,用户只需要使用单一的集中管理软件即可操作设备,完成对混合型网络攻击的防御。
设备部署拓扑示意如下:
22
WatchGuard Technologies, Inc.
实施效果:
♦ 病毒检测:启用网关防毒功能,对来自网页、邮件等应用进行深层次病毒查杀,有
效隔离病毒的传播和入侵。
♦ 入侵防御:IPS功能有效地保护了对外提供服务的Web及Mail主机的安全,提高
了对外服务质量
♦ 日志记录及报表分析:日志服务器实时收集设备的详细流量及事件日志,并通过报
表系统,自动生成统计报告,便于更好的管理图书馆网络系统的应用。
23
WatchGuard Technologies, Inc.
4 WatchGuard在金融行业的案例
4.1 高效的反垃圾邮件功能保护银行邮件服务器
作为国内某知名银行,长期受到垃圾邮件的滋扰,严重影响了银行邮件服务器的正常工作。用户迫切需要一台具有反垃圾邮件功能的网络安全产品,对服务器进行有效地保护。在经过对多台专业反垃圾邮件产品及UTM设备的测试比较后,银行信息部最终选择了WatchGuard的Firebox设备作为反垃圾邮件产品使用。
Internet
实施效果
♦ 透明模式部署,无须修改网络拓扑结构;
♦ 无须修改DNS信息,如MX记录等,避免的DNS变更带来的通讯中断; ♦ Firebox设备支持高效的RPD反垃圾技术,识别率达到了97%; ♦ 高效的算法,减少了邮件传递的延时;
♦ 支持隔离服务区设置,可以将隔离的邮件有效地保存起来; ♦ 可以控制针对主体的关键字过滤; ♦ 可以控制针对附件名的关键字过滤;
♦ 通过丰富的日志报告,可以检索到内部邮箱外发邮件的记录;
24
WatchGuard Technologies, Inc.
4.2 灵活的高级网络功能,满足金融业的要求
背景介绍
某国内知名的银行机构,每天要面对大量的、各银行间的数据交换,因此高性能、高稳定性、支持多外线接入成为该银行机构选择防火墙产品的首要条件。WatchGuard Firebox设备依靠其自身的高稳定性、高吞吐量、高并发连接数、强大的网络互联能力及灵活的防火墙控制能力,赢得了该银行机构认可。
解决方案
♦ 采用两台Firebox设备作双机热备份,提高网关的冗灾能力;
♦ 利用多WAN功能分别连接3条Internet线路,为不同银行机构提供服务;
♦ 启用对服务器群的DoS/DDoS防御和IPS保护; ♦ 启用VPN,用于建立安全的远程管理通道; ♦ 启用远程监控、日志系统和报告系统; 实施效果
♦ 多WAN口连接,WAN口等价路由设计,可以保证数据包进出设备时使用唯一的
接口,做到数据包原路进原路出;
♦ 多WAN口可以实现链路负载均衡,实现了内部服务器对有限带宽的有效利用; ♦ DoS/DDoS防御,保护了服务器免受非法数据包的侵害,同时,Firebox设备在判
断出入侵后自动屏蔽了攻击源地址;
♦ IPS保护,检测与服务器应用协议的通讯中是否存在应用层攻击,IPS签名库每4
小时得到一次自动更新;
♦ 日志系统帮助管理员分析出网络通讯的问题,通过报告系统,管理员可以了解到每
25
WatchGuard Technologies, Inc.
天具体哪些时间段是服务器的访问高峰,有多少并发连接数量;管理员根据这些数据相应的调整服务器部署;
♦ 用户对服务器的后台管理,利用了Firebox的VPN隧道加密传输,极大地保护了
服务器后台管理数据通讯的安全;
4.3 保护银行业务网数据库系统
背景介绍
某市银行机构网银系统服务器群,每天要负责处理大量的银行内部、外部数据查询工作。由于同事提供对内对外的通讯,因此网络安全至关重要。银行机构要求采用异构安全网关设计,即设计两道防火墙,而且不用品脾及产地,以加强网络通讯的安全,并要求防火墙具有良好的稳定性、可管理性,并提供IPS防御能力。
解决方案
♦ 在Intenret出口设计另一品牌的防火墙系统,并双机工作; ♦ 内部采用两台Firebox设备作双机热备份,提高网关的冗灾能力; ♦ 利用多接口的特点建立多个安全区域,连接不同服务器及网络;
26
WatchGuard Technologies, Inc.
实施效果
♦ 采用防火墙异构设计,可以避免一台防火墙被攻破后,整个系统失守;
♦ Web服务器与内部数据库服务器的通讯,必须通过Firebox的访问控制,这样就加
强了数据库服务器的安全;一旦对外提供服务器的Web服务器遭到黑客攻击并入侵成功,那么黑客需要再次攻破Firebox的防线才可以直接访问到最关键的数据库; ♦ 内部业务系统在与数据库服务器交换数据时,也受到了Firebox的严格访问控制; ♦ IPS系统保护数据库服务器,无论来自内部业务系统还是外部Web服务器的通讯,
均对相应协议作出检测;
♦ 启用了SNMP协议,Firebox可以加入到银行的SNMP网管平台中,得到统一的
系统检控;
4.4 证券公司关键业务服务器防护
在某证券公司与银行系统的接口网络中,部署两台Firebox设备,负责完成对银行网络的隔离和控制。
27
WatchGuard Technologies, Inc.
案例特点
♦ 双机热备份模式,确保网络的可靠运行;
♦ Firebox有效地限制了银行网络对证券公司网络资源的使用;
♦ 将一切不安全通讯,屏蔽在Firebox之外,确保正确的数据查询工作顺利进行; ♦ 详细的日志报告,让管理员实时了解银行网络与证券网络数据交换过程;
4.5 某证券公司广域网网关设备部署
某证券公司全国广域网络通过专线部署,将各个营业部之间的网络互联在一起,专线采用双ISP互备的方式组网。在每个营业部部署一台Firebox设备,用于营业部的OA网络访问Internet,同时,Firebox与数据中心的核心Firebox设备建立IPSec VPN,作为专线链路的备份,一旦所有专线故障无法通讯,那么业务数据流将通过VPN链路传输,确保业务数据传输的万无一失。
同时,营业部内部网络按照业务模式分为两个独立域,业务网络用于传输证券业务数据;OA网络用于员工的内部办公与Internet访问。Firebox作为隔离两个域的网络安全设备,将OA网络与业务网络隔离开。同时,在Firebox上也划分出两个安全域,Internet域,用于员工访问Internet,并加以严格控制;OA域用于证券公司所有员工之间的内部协同办公,所有数据进入VPN中传输。
28
WatchGuard Technologies, Inc.
案例特点
♦ 数据中心的核心Firebox采用双机热备份模式,确保网络的可靠运行;
♦ 各个营业部的Firebox有效地控制内部员工通过OA网络访问Internet资源,如控
制聊天软件、P2P软件的使用,确保带宽的有效利用;
♦ Firebox组建起一套覆盖全国的VPN网络,整个证券公司内部的OA业务数据,如
内部邮件、内部办公系统、财务系统等都在VPN通道中传输,内部数据得到了有效地加密保护;
♦ Firebox组建的VPN网络,同时也作为证券网络的有效的备份数据通道;
29
WatchGuard Technologies, Inc.
5 WatchGuard在政府的案例
5.1 某省税务事务所网上报税VPN系统
背景介绍
省国税现有网上报税系统面向全省企业,提供快速便捷的网上申报等服务。为了帮助纳税企业完成税务申报工作,省国税下属的各地市国税下设有众多的税务事务所网点,各税务事务所作为专业的税务服务机构,为各地市报税企业提供众多的税务服务。
由于目前各事务所网络接入方式并不规范,开放的Internet及现有系统的网络部署方式及应用特点,给税务数据的安全带来了很多风险。分散的接入方式也给省、市级税务局后台服务器系统的安全带来了不可控性。税务机关的网络安全管理人员无法实时了解系统的整体网络安全状态,无法针对报税系统安全需要定制统一的安全接入控制策略,只能被动的防范、控制来自Internet的网络访问。
另外,对于网上报税业务来讲,数据在传输过程中的保密性、安全性,显得至关重要。如何保证数据传输过程中的安全,是必要慎重考虑的问题。
解决方案
为了解决以上问题,省、地市国税采用了基于WatchGuard产品的VPN互联方案。通过构建IPSec VPN网络,利用IPSec VPN提供的认证、传输加密、访问控制等安全功能,在各事务所及其下属网点和地、市税务机关之间,建立了一个安全可靠并且可控的专用加密传输网络,确保整个系统的可控性,以及数据传输的安全性。
30
WatchGuard Technologies, Inc.
案例特点
♦ 各税务事务所网络得到了优秀的WatchGuard UTM设备防护; ♦ 机密数据通过过安全的IPSec VPN技术加密后传输;
♦ WatchGuard® 集中化管理系统,可以使管理员在信息中心通过图形化界面管理分
布在各地的Firebox设备;
♦ 实时的图形化设备监控和预警机制,可以保证在第一时间掌握设备运行状态; ♦ 安全系统内核分发功能,实现了在信息中心统一升级Edge系统内核的任务,而无
须人工干预;
5.2 某省国税财税安全网关
背景介绍
省国税网上报税系统为全省报税企业提供便利的网上税务申报等应用,系统采用C/S架构,现有系统用户约20万。
现有报税系统中,报税用PC由企业用户自己管理、维护,各用户的安全防范及管理水平参差不齐,报税用PC和企业内部网络之间没有实现有效的逻辑隔离和访问控制,来自Internet或内部局域网的系统漏洞、病毒等直接威胁报税PC安全,甚至进一步威胁网上报税系统服务器安全。
31
WatchGuard Technologies, Inc.
解决方案
通过在各报税企业财务用PC前端部署WatchGuard X10e,可以有效解决以上安全问题。X10e支持应用层安全检测和访问控制规则,有效隔离安全风险,保护财务数据和报税应用的安全。通过安全网关的部署,构建了网上报税系统的整体安全体系,系统接入控制和主动安全防御能力大大提高。
系统的部署示意图如下:
5.3 某省水文局VPN互联
背景介绍
省水文局随着信息化建设程度的提高,各单位间信息实时交互的需求越来越多。为了满足办公及水文业务应用的需要,决定建设基于IPSec技术的VPN网络。由于各联网单位缺乏专业IT人员,而且部分单位地理位置比较偏远,不利于现场维护管理。所选用的产品的可靠性、易用性、可维护性是本次项目重点考虑的一个内容。
经过严格实际环境测试,选用了基于WatchGuard UTM产品的解决方案。通过WatchGuard UTM提供的拖放式VPN技术,在中心点即可轻松完成VPN网络的组建和集中管理。
32
WatchGuard Technologies, Inc.
解决方案
建成后的VPN网络以省局为中心,分别连接下属7个VPN分支,并通过VPN中心点路由,实现了动态IP的VPN分支之间的安全互访。省水文局、管理处可以实时、安全的完成下属7个VPN节点设备运行情况的监控和远程管理。
VPN基础网络建成后,既满足了办公应用需要,也为实时采集基础数据的水文业务提供了可靠、安全的传输保证。系统部署拓扑示意如下(未包含所有分支):
33
WatchGuard Technologies, Inc.
6 WatchGuard在能源行业的案例
6.1 保护供电局服务器网络
背景介绍
某市供电局内部网络中有两台WEB服务器和一台数据库服务器,两台WEB服务器主要用于向公网和电力系统专网提供WEB服务,同时提供与数据库服务器交互式链接,数据库服务器一方面负责采集该局下的电力设备的实时数据,另一方面为电力系统专网提供实时可查询的数据报表服务。
供电局面临的问题:两台WEB服务器和一台数据采集服务器经常处于繁忙状态,上级信息化管理中心要访问该服务器的时候经常出现打不开页面,查询不到需要的实时数据表格,但经核查实实在在访问服务器的人并不多,服务器遭受着来自外部各式各样的攻击,其中以拒绝式服务(DDOS)攻击最为明显。
实施效果
♦ 领导以及上级信息化管理中心访问这三台服务器速度不再出现访问不了的情况,并
且访问速度非常快。
♦ Firebox提供的应用层控制能力限制非标准的协议通过,并且对WEB服务机器的
访问,实现了命令级的控制
♦ 实时能查看到攻击这三台服务器的主机IP地址,Firebox自动将其添加到block列
表中,管理员通过IP地址的查询即可对攻击进行定位,然后永久的封锁该IP地址。 ♦ Firebox 实时流量的查看,实时主机连接查看,以及实时数据包分析,为供电局了
34
WatchGuard Technologies, Inc.
解服务器健康状况提供了可视化接口,供电局管理员非常满意。 ♦ 日志和报表服务器给供电局访问服务器行为进行了记录,以便备案查询。
35
WatchGuard Technologies, Inc.
7 WatchGuard在零售行业的案例
7.1 VPN应用为连锁行业提供快捷、廉价的通讯网络
背景介绍
ITAT 集团为香港大型国际品牌百货连锁机构,由中联集团海外投资有限公司、欧洲银证远东有限公司、中国亚洲连锁百货有限公司、美华投资(香港)集团有限公司、美国摩根士丹利、美国蓝山(中国)资本、美国CITADEL 基金七大股东联合投资。由其下属全资子公司深圳市摩根国际品牌服装会员店有限公司,在中国大陆开设ITAT 百货会员俱乐部连锁商业网络和ITAT 国际品牌服装会员店连锁商业网络,经营国际品牌服装及百货商品。
目前,ITAT 集团连锁商业网络运作方面已经取得重要进展,至2007 年底,ITAT 集团将在中国大陆开设60 家平均面积为15000 平方米的ITAT 百货会员俱乐部和1000 家平均面积为500 平方米的ITAT 国际品牌服装会员店。
解决方案
在ITAT集团连锁商业模式建设的同时,一张覆盖全国,传输企业ERP信息的VPN网络也在同步建设中。每开设一家会员店,就需要建立一条连接总部的VPN链路。ITAT信息部主管评价到“WatchGuard设备快捷、便利的VPN配置方式,为我们节省了开店时间,这也意味着在竞争对手面前,我们可以提前一步盈利”。
36
WatchGuard Technologies, Inc.
案例特点
♦ 各门店按需部署Edge X10e、X20e或者MUVPN客户端;
♦ 便捷的VPN客户端配置功能,管理员在中心点即可轻松完成客户端配置文件的生
成、更新
♦ 详细的日志报告,让管理员全面掌握网络的运行状况;
♦ WatchGuard® 集中化管理系统,可以使管理员在总部通过图形化界面管理分布在
各地的Firebox设备;
♦ 集中化的管理,实现了对远端Edge设备的统一升级,只需要在中心设定好升级时
间,管理系统在后台自动升级远端的Edge设备,无须人工干预;
37
WatchGuard Technologies, Inc.
8 WatchGuard在制造行业的应用案例
8.1 组建大型VPN网络
很多公司有着遍布全国乃至全球的办事机构,这些公司和办事机构必须通过有效而安全的手段连接在一起,共享内部数据资源。VPN是最好的实现方式。
尚德公司于2004年被Photon International评为全球前十位太阳电池制造商,2005年位居世界同行第八。作为全球知名企业,尚德公司在企业内部网络通讯方面投入了巨资,采购多台WatchGuard设备组建公司的VPN网络。
案例特点
♦ WatchGuard® 集中化管理系统,可以使管理员在总部通过图形化界面管理分布在
各地的Firebox设备;
38
WatchGuard Technologies, Inc.
♦ 方便、灵活、快捷地管理VPN隧道,管理员无需繁琐地配置VPN参数,只需要使
用鼠标拖拽Firebox的图标,即可完成VPN隧道的建立;
♦ Firebox设备的多广域网链路接入功能,保证了Internet的24小时连接; ♦ Firebox的VPN网关故障切换,确保了VPN网络24小时的连通性;
♦ 网关防病毒、入侵防御系统,将不安全隐患隔离在网关之外,有效地保护了企业内
部及各分支机构的内网安全;
♦ 中心集中化的日志服务器,可以让管理员全面掌握各分支机构网络的使用情况; ♦ VoIP应用系统在VPN网络中得到充分的利用;
39
WatchGuard Technologies, Inc.
9 WatchGuard其他应用案例
9.1 保护特殊的服务器或网络
背景介绍
在一些中小型企业包括一些校园网中,他们拥有一些特殊的服务器系统,比如企业内部的ERP系统、财务系统服务器、OA服务器及邮件服务器。这些服务器往往没有部署在企业/校园网网关防火墙的DMZ区域。可能有如下的一些原因:
♦ 因为企业/校园网网关防火墙比较陈旧,不具备设立DMZ能力;
♦ 因为网络拓扑的限制而无法迁移服务器到企业/校园网网关防火墙的DMZ区域;
♦ 服务器或局域网是企业或校园网的一部分,但又分属不同的行政单位而需要进行单独管理;
比如: y y y
学校中招生用服务器; 重要课题组或科室的办公网络;
审计事务所驻派到上市公司进行财务审计的人员组建临时局域网;
解决方案
在这些情况下,用户希望采用独立的安全网关设备对这些服务器进行有效地防御。同时,也不希望花费很多的费用用于保护这些数量不多的服务器或PC。那么选择使用Firebox X Edge系列产品就可以很好地满足用户需求。Edge以其百兆的处理能力和具有竞争力的价格,为用户提供良好的性价比
40
WatchGuard Technologies, Inc.
实施效果
Watchguard Firebox 10e/20e/55e置入服务器和特殊网络前,提供应用层防火墙功能,提供GAV/IPS,VPN,反垃圾邮件,WEB内容过滤等功能,实时有效的保护了服务器及其特殊网络。
9.2 关键业务前端的保护
企业内部关键应用业务服务器群,在X8500e的保护下稳定运行。
案例特点
♦ 企业内部用户对Internet的访问,由X8500e进行严格的策略控制; ♦ 限制了内部用户的对聊天软件和下载工具的滥用;
♦ 利用流量管理功能,有效地控制企业用户对Internet带宽的使用;
41
WatchGuard Technologies, Inc.
♦ 对受保护的关键业务服务器群制定了严格的访问控制策略,限定可访问的端口、防止病毒、
入侵攻击等行为对服务器群进行破坏;
♦ 启用IPS功能,保护关键业务服务器群的安全; ♦ X8500e双机热备份工作,保证了网络畅通;
♦ VPN接入,为移动用户提供了安全的访问内部资源的途径;
9.3 某集团VPN网络互联及安全防护
背景介绍
某发展(集团)有限公司是一个大型的国有独资有限责任公司,注册资本39.9亿元。截至2004年底,公司总资产253.72亿元,净资产141.26亿元。集团经营业务涉及土地开发和经营管理、城市基础设施项目投融资建设和经营管理、房地产开发和经营管理、建筑施工、金融、高科技环保和进出口贸易业务,集团下属公司二十余家。
解决方案
为了确保整个集团网络更加安全、可靠的运行,加强各下属公司网络安全的管理工作,同时组建高度可靠、安全的集团内VPN互联网络,XX发展集团对现有网络进行了升级改造。在改造项目中,选用了大量WatchGuard UTM产品实施网络安全系统和VPN系统的建设,系统部署示意如下:
42
WatchGuard Technologies, Inc.
实施效果
♦ 同时接入4条Internet链路,配合策略路由、多链路负载均衡及流量管理特性,有效利用了
Internet接入资源,确保了主要应用的带宽占用;
♦ 全面的应用层安全控制,独有的Proxy防火墙技术,有效的控制了内部员工的网络应用和访
问;
♦ 稳定、易用的IPSec VPN功能,独有的拖放式VPN技术,结合图形化VPN实时监控界面,
大大简化了VPN网络的管理和维护工作;
♦ 集成丰富的图形化实时监控功能,提供易用、实用的网络活动报告,为管理人员实时、全面
的了解网络运行情况提供了直观的工具;
9.4 某商务楼安全宽带接入
背景介绍
某商务楼是某通信公司一Internet接入的楼盘,该公司为所有在商务楼办公的用户提供Internet的接入服务,由于商务楼用户数量逐渐的增多,应用越来越复杂,特别是在共享带宽的用户中,大量用户通过BT,电驴等下载工具大量下载网络资源,造成网络资源的滥用,从而使得其他共享用户的经常掉线,或者根本没有办法接入网络,用户经常抱怨,打投诉电话,给带宽接入业务造成了负面的影响,与此同时,网络管理和维护人员缺乏网络监视工具, 排查网络故障难度大。
解决方案
为了确保所有用户都能正常的办公(如流畅的浏览网页,流畅的收发电子邮件,流畅进行各种电子商务等),网络更容易管理和维护,带宽接入业务的进一步开展,该公司选用了Watchguard Firebox 安全网关,对网络宽带的接入进行优化,限制P2P软件的下载,封堵不必要的网络端口,保护内部网络不受攻击,让网络资源得到合理的利用,使得带宽真正用于商务办公使用,为用户提供优质的带宽接入服务。
43
WatchGuard Technologies, Inc.
实施效果
♦ 节约了带宽费用的开销
该公司上了Firebox安全网关后,空闲出来一半多的带宽,原来一条线路10M跑得满满的,现在一条线路正常情况下只有3.5M左右,峰值也只在5M,剩下的带宽用来为新的商务楼用户提供带宽的接入服务。 ♦ 赢得各商务楼业主的支持
Firebox安全网关屏蔽了不良的应用,并且对关键的应用给于了协议带宽的保护,为各商务楼业主净化了网络流量,使得商务楼网络办公环境得到了极大的改善,员工也主要将网络用来商务办公。
♦ 便于该公司向商务楼业主提供增值服务
该公司在提供带宽接入业务的同时也向商务楼业主提供Firebox 设备,并根据业主的具体需求提供网关防病毒,IPS,反垃圾邮件,URL地址过滤等业务,为商务楼业主提供了更加优质的网络服务。
♦ 极大的降低了网络管理成本
由于网络带宽得到优化和安全事件的减少,商务楼业主的抱怨和投诉大大减少,网络管理人员利用Firebox自带的Traffic Monitor 和Host Watch功能监视整个网络的运行情况,精确的定位和排除网络故障,节省了人力财力和物力。
44
WatchGuard Technologies, Inc.
♦ 带宽的接入业务得到了更好的开展
该公司在不增加网络带宽接入的情况下,为更多的商务楼用户提供优质安全的带宽接入服务。
9.5 某酒店安全网络接入
背景介绍
2006年7月3日美国的《时代周刊》亚洲版在一篇为《中国酒店业尚不是海外的对手,外资想从中国酒店大赚一笔》的报道中指出,许多外国公司似乎准备大赚一笔,关键原因在于中国人在这个行业装备相对落后,在为顾客提供优质服务上,无法对海外对手构成竞争。
由此可见,“装备”是酒店业在中国市场的核心竞争力,而以互联网为核心的信息技术应用,是酒店业装备的重中之重。酒店业信息化不只是提供房间和IT支持的问题,而是一个战略性的业务变革。为了实现这一目标,我们首先需要建立一个基础和框架。也就是说,
第一步,需要建一个信息网络,可以提供安全、灵活、可扩展的网络。
第二步,基于业务需求,将语音、视频、数据集成到一个可管理、可监控、可控制的基础网络上。通信、安全、楼宇系统的整合,根据业务需求而定制。整合的层次越高,效率就越高。统一通信系统整合语音、视频和数据;安全应用与楼宇信息网络的整合,使得IP网络拥有视频监控、出入控制和访客管理、防火安全等功能。
第三步,系统的整合在一个新型的楼宇信息网络,酒店的业主和用户极大地增强IT和房产的价值,支持组织和流程的变革。
当前中国的酒店业都完成了“第一步”中的网络基础建设。那么经过前期粗放式的基础建设之后,当前网络系统已经步入一个必须具备高效、可靠的网络应用时代。这个时候,网络的安全问题日益显露,为了保证应用的高效、可靠的运行及信息的安全,我们需要有一个完整的、高效的、规范的、易用的、可靠的、经济的、可扩缩的、全方位的安全系统。只有建立了这样的一套安全系统,才算真正
45
WatchGuard Technologies, Inc.
意义的完成了“第一步”的建设,并具备了向“第二步”、“第三步”前进的基础。
解决方案
按照服务内容的不同,我们利用酒店的核心交换,将内部网络划分为多个业务域,不同的业务数据属于不同的业务域,各个业务域之间的通讯是完全隔离的。针对多个业务域,在酒店出口的Firebox上也同样设计多个安全域,每个安全域用于控制每个业务域的数据流。
案例特点
♦ 客房网络域的所有数据流可以访问到Internet,并使用指定的Internet链路;对该区域的通
讯,建立了完备的日志系统,用于保存所有的访问记录;
♦ 无线网络域的所有数据流可以访问到Internet,并使用指定的Internet链路;对该区域的通
讯,建立了完备的日志系统,用于保存所有的访问记录;
♦ 酒店办公网络域的所有数据流在访问Internet的同时,将受到严格的访问控制; ♦ 酒店的对外服务期向Internet开发,Firebox上启用IPS确保服务器安全;
46
WatchGuard Technologies, Inc.
10 中国部分行业用户列表
通讯行业用户
江苏电信
江西网通
金融行业用户
东亚银行
恒丰银行
教育行业用户
上海虹口教委
无锡教育城域网能源行业用户
上海石化
宁波电力
制造行业用户
西门子中国 雪莲羊绒
三菱集团
医药行业用户
北京同仁堂
零售行业用户
ITAT集团
重庆电信 中兴通讯
中国银联 中信证券
上海闵行教委 南京信息工程大学江苏石化 无锡石油
宝马汽车 明基电脑 雅马哈
南京同仁医院
好美家集团
广西电信 中企通讯
中信银行 华安保险
上海理工大学德威国际学校壳牌南京 泰州石油
尚德太阳能 瑞萨集成电路柏中工业
罗盖特制药
盐城电信
北京农商行
上海交通大学新东方
北京电力 津安热电
三一重工 利盟国际 江苏光王电子三共制药
北京网通
浦发银行
华南理工大学
上海电力
耀特玻璃 中盛光电
南通联亚药业
江苏网通
武汉工业大学
湖南电力
德国罗曼胶带 哈森鞋业
47
WatchGuard Technologies, Inc.
政府机构用户
国家地震局 江苏省公路局 北京园林局
国家质检总局 江苏省水文局 北京工商局
佛山劳动局 江苏省国税局 天津房管局
深圳质检局 盐城海关 西安碑林博物馆
湖南档案馆 常州隔湖管委会
山东省政府 北京环保局
其他企业用户
浦发集团 美国胜利通讯 四川六建公司
大连机场 北海船运 河北国宾酒店
石河子公交公司蔡斯光学 凯宾斯基酒店
杭州票务中心 法国旅游局
重庆龙湖地产 比利时钢铁协会
深圳美联物业 江苏亨通海晨物流
48
因篇幅问题不能全部显示,请点此查看更多更全内容