SonicWall_UTM一体化网络安全简化版改NSA 2 400

SonicWall UTM 一体化网络安全解决方案深圳市恒盛新锐科技有限公司2012年10月400-883-2580前言随着计算机技术的发展，互联网已经成为最大的公共数据网络，在全球范围内实现并促进了个人通信和商业通信。

互联网和企业网络上传输的数据流量每天都以指数级的速度迅速增长。

越来越多的通信都通过电子邮件进行；移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络。

但是这个庞大的网络及其相关的技术为不断增长的安全威胁提供了可乘之机，因而企业必须学会保护自己免受这些威胁的危害。

在捍卫网络安全的过程中，防火墙受到人们越来越多的青睐。

作为一种提供信息安全服务、实现网络和信息安全的基础设施，防火墙采用将内部网和公众网如Internet 分开的方法，可以作为不同网络或网络安全域之间信息的出入口，根据企业的安全策略控制出入网络的信息流。

再加上防火墙本身具有较强的抗攻击能力，能有效地监控内部网和Internet 之间的任何活动，从而为内部网络的安全提供了有力的保证。

1.1 XX 公司网络现状分析：随着技术的发展，各种入侵和攻击从针对TCP/IP 协议本身弱点的攻击转向针对特定系统和应用漏洞的攻击，如针对Windows 系统和Oracle/SQL Server 等数据库的攻击，这些攻击和入侵手段封装在TCP/IP 协议的净荷部分。

传统的UTM 设备如第一代的包过滤UTM ，第二代的应用代理UTM 到第三代的全状态检测UTM 对此类攻击无能为力，因为它们只查TCP/IP 协议包头部分而不检查数据包的内容。

此外基于网络传播的病毒及间谍软件也给互联网用户造成巨大的损失。

同时层出不穷的即时消息和对等应用如MSN ，QQ ，BT 等也带来很多安全威胁并降低员工的工作效率。

如今的安全威胁已经发展成一个混合型的安全威胁，传统的防火墙设备已经不能满足客户的安全需求。

1.2 XX 公司网络简述：XX 公司现有的网络属于紧缩核心层结构，通过核心交换机进行快速转发，与接入层交换机实现全网畅通，通过一台路由器与外网互连。

目前有台式机和服务器大约xxx 台左右。

服务器上有公司的xxx 和xxx 等系统。

400-883-25801.3 部署后所达到的效果XX 公司根据办公的需要， Internet 属于防火墙的WAN 区域，内网用户属于防火墙的LAN 区，服务器则属于防火墙的DMZ 区域。

三个区域拥有不同的安全策略，互相受到策略的制约。

内外网的用户受到防火墙的隔离防护，UTM 功能为流量进行应用层的过滤。

n隔离网络：通过对防火墙策略的实现，保证外网用户可以连接Internet ，不得访问内部任何资源。

而内网用户根据策略，不得连接Internet ，只能访问内网的数据库。

并且内外网之间也做到相互隔离。

n多种应用层防护：SonicW ALL UTM 产品功能丰富，包含防火墙，VPN ，网关防病毒，IPS ，反间谍软件，内容过滤等等。

此外，支持双W AN 链路负载均衡，策略路由，路由模式等等。

SonicW ALL 产品能为客户提供传统状态检测防护墙所不具备的应用层的安全防护，具有极高的性能价格比。

实时观察网络流量排名：在网络异常流量随时可能出现的今天，我们需要了解网络中哪台计算机对网络造成的影响最大，哪台又在进行不正当的网络行为。

因此我们需要对网络中敏感数据流进行监控，监控内容包括前10名的流量的IP ，前10名网络中使用的服务（如http 等），网页点击率排名。

n控制应用层流量：P2P ，IM 等应用已经严重的影响了公司的网络带宽，影响了公司正常服务效率。

然而某些部门却依赖着这些应用，因此我们需要对这些基于应用层的协议进行有效的管理。

如：上班时间不允许下载BT ，下班时间可以下载，某些部门可以使用QQ ，MSN ，有些部门则不能。

n查看网络异常连接：以上介绍过，对异常流量的发现和控制。

但有些病毒爆发和攻击，并不一定造成流量的异常，而仅仅是连接数瞬间突增，但却完全可以使我们的网络或网络中的设备进行阻塞，甚至是瘫痪。

利用UTM 设备，可以将网络中所有连接列出，然后再针对这些异常的连接进行有效的控制。

400-883-25802.1设备简介NSA 2400采用新一代统一威胁管理（UTM ）技术抵抗各种攻击，兼备入侵防御、防病毒及反间谍软件功能和SonicWALL 应 用防火墙的应用层控制功能。

NSA 系列利用先进的路由、全状态同步高可用性以及高速VPN 技术让企业网络倍添安全性、可靠性、功能性，同时还将成本及复杂程度降到最低.NSA 24002.1.1主要特点与优势 ：Ø SonicWALL 公司新一代安全产品结合了更高层次的UTM 技术，集成了入侵防御、网关防病毒及反间谍软件以及应用防火墙可配置工具套件，以防止数据泄漏以及提供细粒度应用控制。

Ø 可扩展多核硬件及免重组深度包检测安全供应商开发的下一代安全产品已经在基础硬件设计上采取了多种方法。

SonicWALL ®选择了多核处理器架构，其他供应商选择了通用处理器加单独的安全协处理器结构。

甚至有一些供应商选择设计并构建ASIC （专用集成电路）平台，多核处理器对于支持UTM 产品有很多优于ASIC 处理器和通用处理器的地方。

这些优势包括低功耗、联网安全协处理器和增加存储器带宽从而提高网络吞吐量。

SonicWALL®的多核平台将硬件加速和自动化集成在更大范围的数据包处理和特殊应用功能中。

借助上述硬件优点，SonicWall ®的SonicOC 固件实现了软件无法匹敌的性能。

应用于SonicWALL ®新一代安全产品的多核处理器为每一个核提供了额外的安全400-883-2580协处理器，可以使每个单独的核在芯片上具有额外的安全性硬件加速能力。

通过安全协处理器与多核平台的集成，SonicWALL ®已经开发了一种高性能解决方案，可以明显降低安全协处理中的延迟问题。

而且，由于所有安全加速硬件都是片上（on-chip ）的，SonicWALL ®多核架构不受总线频率的限制。

考虑到未来的重复利用性，SonicWALL®多核平台的设计可方便地扩展到使每块芯片拥有更多内核、每块主板拥有更多芯片、每个机箱拥有更多主板的应用中。

多核处理器的设计和实现也展示了其高效性。

例如，在SonicWALL ®多核产品中，高效兼具最优化的设计使得芯片具有低能耗和小芯片面积的特性。

因此，这些处理器集成了大量专用的硬件加速，允许在单个处理器上集成多达16个核，从而可提供最佳的性能，现实生活中的大量应用就是其最好的证明。

多核处理器技术让SonicWALL ®能够开发出高性能的网络安全设备，这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约30%的功耗，而网速相差无几。

SonicWALL ®多核处理器设备最多可采用16个内核（还为未来的重复利用设计了更多的内核空间），提供高性能并行数据包处理，集成了正常操作过程中具有较低功耗和低时频运行的安全协作处理器。

免重组深度包检测（RFDPI ）是由SonicWALL 公司提出并实现的，可以实时扫描处理无限大的文件和无限多的网络连接。

RFDPI 技术是为多核硬件而量身打造的，它可以实现超高速智能检测，与其它DPI 方法相比它在可扩展性和性能方面更具优势。

与所有其他DPI 方法不同，RFDPI 不需要停机和在内存中储存信息流量。

通常，系统管理员习惯性在高负荷状态下要么对超负荷流量不检测而放行，要么形成流量拥堵，这也发生在正常的商业通讯中。

此外，与其它DPI 方法不同，RFDPI 不限制文件的大小，任何一个用户都能下载，也不限制同时保护文件的用户数量。

这使RFDPI 架构成为业内可扩展性最强的架构，并成为实现实时的统一威胁管理（UTM ）功能最强大的解决方案Ø 先进的尖端科技和性能及更低的总拥有成本通过同时使用多核处理能力而实现，极大地增加了吞吐量和并行检测能力，同时降低了功耗。

先进的路由服务及网络功能结合了先进的网络安全技术，包括802.1q VLAN 、WAN/WAN 容错功能、基于域和对400-883-2580象的管理、负载均衡、先进的NAT 模式及更多技术，为您提供灵活的细粒度配置及全面的安全防护能力。

技术规范:NSA 2400防火墙SonicOS 版本SonicOS 5.0增强版（或更高）全状态 吞吐量* 775 MbpsGAV 性能* 160 Mbps IPS 性能 275 Mbps UTM 性 能吞吐量* 150 Mbps 最大并 发连接 225,000 每秒新 建连接 4,000拒绝服务攻击 保护22类DoS 、 DDoS 和扫描攻击支持的 Sonic 点 （最多) 32VPN3DES/AES 吞吐量* 300 Mbps 点对点 VPN 隧道 75 捆绑式 全局VPN 远程访 问的客户 端许可 证（最多) 10（250)加密/认证 DES 、3DES 、AES （128位、192位、256位）、MD5、SHA-1 密钥交换 IKE 、IKEv2、手动键、PKI （X.509)L2TP/IPSec 是400-883-2580证书支持 Verisign 、Thawte 、Baltimore 、RSA Keon 、Entrust 和Microsoft CA 失效对 端检测 （DPD) 是DHCP over VPN 是 IPSec NAT 穿越 是 冗余VPN 网关 是全局VPN 客户 端支 持的平台 MicrosoftWindows 2000、Windows XP 、MicrosoftVista 32位深度包检测 安全服务深度包检测 签名服务全面的签名数据库。

基于分布式强制架构的P2P 和及时消息控制及签名更新 内容过滤服务（CFS ） Premium 版HTTP URL 、HTTPS IP 、关键字和内容扫描ActiveX 、Java Applet 及Cookie 封堵网关强制的 客户端防病 毒及反间 谍软件HTTP/S 、SMTP 、POP3、IMAP 及FTP ，强制的McAfeeTM 客户端电子邮件附件封堵 应用防火墙 提供应用层强制及带宽控制、网页流量管理、电子邮件、电子邮件附件 及文件转发，通过关键字和短语进行文件文档扫描和限制网络IP 地址分配 静态、（DHCP 、PPPoE 、L2TP 及PPTP 客户端）、内部DHCP 服务器、DHCP 中继 NAT 模式1:1﹑1:多﹑多:1﹑多:多、灵活的NAT （重复的IP ）、PAT 、透明模式VLAN 接口 (802.1q) 128路由OSPF 、RIPv1/v2、静态路由、基于策略的路由、组播QoS 带宽优先级、最大带宽、保证带宽、DSCP 标记、802.1p IPv6 适用于IPv6认证 XAUTH/RADIUS 、活动目录、SSO 、LDAP 、内部用户数据库用户数 据库 250名用户VoIP全H.323v1-5、SIP 、Gatekeeper 支持、出站带宽管理、VoIP over WLAN 、 深度安全检测、大多数VoIP 网关及通信设备之间的全面互通性400-883-2580系统 区域安全 是 时间表 是 基于对象 /基于组的 管理 是动态域名 是管理及 监控 Web GUI （HTTP 、HTTPS ）、命令行（SSH 、控制台）、SNMPv2：SonicWALL GMS 的全球管理系统日志及 报告 ViewPoint 、本地日志、Syslog 高可用性 可选主动/被动状态同步负载均衡 是，（出方向的流量基于百分比、轮循及带宽溢出)（进入方向的轮循、随机分布、静态IP 、网段重新影射以及对称重新影射)标准 TCP/IP 、UDP 、ICMP 、HTTP 、HTTPS 、IPSec 、ISAKMP/IKE 、SNMP 、DHCP 、PPPoE 、L2TP 、PPTP 、RADIUS无线标准 802.11 a/b/g 、WEP 、WPA 、TKIP 、802.1x 、EAP-PEAP 、EAP-TTLS硬件 （6个）10/100/1000铜缆千兆端口，1个控制台接口，2个USB （备用)内存（RAM ） 512 MB闪存32 MB Compact Flash 512 MB Compact Flash电源36W 外部 单个250W ATX 电源风扇无 2个风扇 输入功率 10-240V, 50-60Hz 100-240Vac, 60-50Hz最大功耗 42W 总散热量144BTU外观及尺寸 1U 机架式/17×10.25×1.75英寸/43.18×26×4.44厘米重量2.55镑/1.16千克8.05镑/3.65千克主要要求 FCC A 级、CES A 级、CE 、C-Tick 、VCCI 、Compliance MIC 、UL 、cUL 、 TUV/GS 、CB 、NOM 、RoHS 、WEEE运行环境 40-105°F ，5-40℃MTBF 16.0年 湿度0-95% ，非冷凝10-90%，非冷凝400-883-25802.1.2主要功能介绍:Ø 网关防病毒功能SonicW ALL 采用独一无二的逐个包扫描深度包检测引擎专利技术（美国专利），无需对数据包重组及对文件进行缓存就可以实现对病毒和入侵的扫描和防护，所以SonicW ALL 对同时下载的文件数目和文件的大小没有任何限制。