文本tag： 网络管理

    【it168 报道】随着网络技术及其应用的普及，网络安全问题日益凸现，防火墙技术也日新月异。然而传统的防火墙设备如第一代的包过滤防火墙，第二代的应用代理防火墙到第三代的全状态检测防火墙只能检测ip层和tcp/udp层的协议和端口，设置安全策略，并不检测数据包的净荷，即实际传输的数据内容。内网的服务器要对外提供服务，必然要开放相应的服务端口供用户访问，然而如今的网络安全威胁已经由针对tcp/ip协议本身的漏洞的攻击转向针对操作系统和应用漏洞的攻击和入侵，安全威胁采用防火墙开放的合法端口进入内部网络，同时各种蠕虫病毒、木马等通过internet广泛传播，造成网络瘫痪，间谍软件进入内网用户的电脑窃取私密信息。而这些复合型的网络安全威胁正是隐藏在ip数据包的净荷，即数据包的内容当中，前三代传统的防火墙对它们无能为力。

    sonicwall公司从2003年11月推出全新的第四代utm设备，在单一的设备当中集成了防火墙、vpn、网关防病毒、入侵防御和反间谍软件功能。从tz系列百兆级流量的小型utm设备到pro5060  2.4g吞吐量的千兆设备，适合各种规模的网络环境。2005年下半年，sonicwall又推出一款具有10个10/100/1000mbps自适应以太网口的utm网络安全设备pro4100，其吞吐量介于sonicwall原有的pro4060和pro5060之间。它的全状态检测防火墙吞吐量为800mbps，开启网关防病毒或开启入侵防御功能最大吞吐量可达300mbps。此外全硬件实现的aes和3des吞吐量可达350mbps。由于此款设备具有10个10/100/1000mbps自适应端口，非常适合具有多个isp接入线路和需要隔离多个内部部门的应用环境。它的所有端口都可以做到七层扫描，除了对病毒，入侵和间谍软件进行检测和防护外，还可以控制msn，qq，bt，emule等及时消息和对等应用，适用于学校和中大型企业。本文以一所中学的网络环境为例，介绍pro4100在中学网络环境的应用。 大学网络环境，请参考sonicwall pro5060 设备。

    此学校是某市一所重点中学，学校的校园网络很具有代表性，目前网络已经从当初的一条外线发展到三条出口线路，一条线路接入市教育网，一条线路接入网通，还有一条线路接入电信线路，此电信线路仍然是ddn专线，v.35接口，因此在接入sonicwall pro4100之前有一个cisco路由器做端口的转换，因为目前没有任何一家的防火墙设备有v.35接口。学校有一组服务器提供网络服务和学校办公，其中邮件服务器不直接与互联网通信，所有邮件的收发都经过一台邮件网关，过滤掉垃圾邮件及其带来的安全威胁，而且邮件网关和邮件服务器被放置在防火墙不同的安区域，进一步确保邮件服务器的安全。学校内部网络除了有6个教育网的真实网段之外，还有四个私有地址网段。服务器群通过教育网线路对外提供服务，学校内部机器可以通过防火墙直接访问学校内部的服务器。所有的客户机都通过接入交换机接入cisco核心交换，继而接入sonicwall pro4100的x0 端口。校园网使用教育网公有ip地址的机器，访问教育网时不需要作nat，直接采用路由模式，即这些访问的数据包通过pro4100设备经教育网的专线访问教育网的服务器时，源ip地址不变。当这些机器通过电信/网通出口访问internet时，源ip地址翻译成电信/网通的ip地址或地址池。这些路由设置可以利用pro4100的灵活的策略路由配置来完成。 sonicwall pro4100 的策略路由允许用户根据数据包的源ip地址，目的ip地址，服务和端口号，从防火墙的哪个端口进入，哪个端口出去，来选择经过哪条出口线路访问位于外部网络的服务器。对于内部网络配置私有ip地址的机器，访问互联网时源ip地址要nat到电信/网通的公有ip地址或地址池，本案例只允许这些私有ip网段的机器通过电信和网通的出口访问外网，不直接走教育网专线访问教育网，这些配置通过策略路由很容易实现。此外，邮件网关访问邮件服务器时是把邮件服务器的ip地址在lan和dmz区作一对一的映射，在配置pro4100设备时，要在设备的dmz区到lan区设置合理的规则，确保邮件网关受到攻击时邮件服务器还受到另外一个层次的防护，最大限度确保邮件服务器的安全。

    当不开启网关防病毒和入侵防御功能时，pro4100 是全状态检测防火墙。当开启网关防病毒和ips时，所有过pro4100的数据都经过了七层的扫描，对病毒，入侵和间谍软件进行检测，把应用层的网络安全威胁阻挡在校园网络之外。不仅如此，本地lan 安区域的机器访问位于服务器区（dmz区）的服务器时同样可以实现七层扫描，最大限度保护服务器的安全，即pro4100 不仅可以做到防御来自外部网络的应用层的安全威胁，同样对源自内部网络的安全威胁进行过滤。 sonicwall采用独一无二的逐个包扫描深度包检测引擎无需对数据包重组及对文件进行缓存就可以实现对病毒、入侵和间谍软件的扫描和防护，彻底消除了传统的网关设备对同时下载的文件数目和文件的大小的限制，从utm技术上是一个突破。sonicwall utm设备能够并行扫描25000多种病毒，检测并阻断2000多种入侵威胁，阻挡1400多种间谍软件，最大限度确保内部网络的安全。同时sonicwall支持进100多种签名，检测并按需阻断msn， qq， bt，emule 等应用，对这些即使消息和对等应用的控制可以按照网段放开或阻断，还可以按时间段放开或阻断这些应用，如所有学生在在上课时间不能使用msn，qq，而在中午休息时间可以使用，教师可以在任意时间使用这些应用等等。

    sonicwall的病毒签名，入侵签名和反间谍软件签名每个小时会自动和sonicwall的后台签名数据库进行同步，确保能够防御最新出现的安全威胁。部署pro4100 之后，学校的网络安全策略较部署之前有了质的飞跃，从过去的三层防护进入了七层，即应用层的安全防护。

    sonicwall pro 4100集成防火墙，vpn，网关防病毒，入侵防御，反间谍软件等等功能，无疑是一款功能丰富，高度灵活的一体化网络安全解决方案。