Sophos防火墙方案v10.docx
- 文档编号:10242564
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:19
- 大小:470.47KB
Sophos防火墙方案v10.docx
《Sophos防火墙方案v10.docx》由会员分享,可在线阅读,更多相关《Sophos防火墙方案v10.docx(19页珍藏版)》请在冰豆网上搜索。
Sophos防火墙方案v10
Sophos防火墙方案
WrittenbySuntengfei
目录
1现状分析3
2项目设计3
2.1项目设计概述3
2.1.1Sophos防火墙4
2.1.2上网行为管理设备6
2.1.3无线设备6
2.2项目实施计划6
2.3Sophos防火墙介绍7
2.3.1Sophos220防火墙参数8
2.3.2Sophos全面的安全防护8
2.4上网行为管理设备介绍10
2.4.1硬件参数10
2.4.2功能特性11
2.5Cisco无线设备介绍12
2.5.1特性介绍12
2.5.2CiscoAironet160014
2.5.3思科无线控制器16
3项目所需要采购的软硬件18
4附件成功案例介绍19
1现状分析
当前的网络SANGFORM5000作为网关,负责外网的接入,上网行为管理,以及SSLVPN接入。
使用Cisco3750作为核心交换机,负载数据转发。
SANGFORM5000上网行为管理设备只能满足1-100个用户的使用,但随着公司人员的增长到约200人,SANGFORM5000经常会出现CPU使用100%,导致死机。
客户需求如下:
●希望SANGFORM5000可以继续使用
●两家不同运行商的宽带是否可以做流量管控,带宽高的分给领导使用,带宽低的分给员工使用
●提供无线覆盖,可以满足两个SSID,一个用于访问内网,一个用户访问外网
考虑到当前的网络情况与客户需求,我们建议如下:
●Sophos防火墙来替代SANGFORM5000充当网关的角色,负责外网接入,实现两条线路的链路负载均衡,从而使得两条链路可以同时使用,并且做到相互切换,流量分担;同时可以通过QOS策略,使得领导使用带宽高的线路,员工使用带宽低的线路
●升级深信服上网行为管理设备硬件,使用更高型号来满足对内网用户行为的管控
●无线使用思科控制器加AP的方案,集中管理所有AP,实现SSID分离,同时满足无线漫游等功能需求。
2项目设计
2.1项目设计概述
考虑当前上网行为管理设备不能满足需求,那么整个项目设计,将由Sophos防火墙取代上网行为管理设备,同时升级上网行为设备硬件,最终拓扑图如下:
这样部署的方式Sophos防火墙将负载外网接入,可以提供IPS,病毒扫描,链路负载均衡等安全防护。
而上网行为管理设备则采用网桥模式部署,桥接在Sophos防火墙与cisco3750交换机之间,负责用户的行为进行审计并且管控。
无线控制器接入到cisco3750上,而其他AP则根据所在物理区域接入不同的交换机,AP供电由供电模块提供。
无线控制负责无线的统一管理以及配置分发。
2.1.1Sophos防火墙
由Sophos防火墙取代上网行为管理设备后,Sophos防火墙在整个网络中起到承载外网、分支等流量的处理的作用,它对广域网优化方面和网络安全方面有着的作用:
◆广域网优化
–两条外网链路将实现链路负载均衡,同时任意线路故障可以自动切换
◆网络安全改善
–设置IPS保护内网
–设置Sophos防火墙规则
–设置SSLVPN接入
–设置网关杀毒
根据对贵公司WAN网络情况,我们建议分为两个步骤,首先对WAN网络进行调整优化,然后对网络安全进行改善。
步骤一:
网络切换,使用SophosUTM220防火墙代替上网行为管理设备。
目标:
实现链路负载均衡,VPN,内网用户上网的安全防护
实施过程
1.配置Sophos内网接口
2.将上网行为管理设备上的策略配置到Sophos防火墙上
3.Sophos防火墙上架
4.网络由上网行为管理设备迁移到Sophos防火墙上
5.进行网络连通性测试,确认迁移后网络正常
6.上网行为管理设备下架
步骤二:
改善网络安全,设置防火墙功能,使其能够对网络进行安全防护。
设备功能
功能的作用
防火墙策略
配置防火墙策略保护内网的安全
入侵检测和防攻击
入侵检测和防攻击保护内网安全
WAF功能
开启WAF功能为后端的WEB应用服务器做好网络防护作用
VPN功能
开启SSLVPN功能,方便用户进行远程访问与维护
WEB过滤功能
开启WEB过滤功能,实现对WEB站点、应用的管控
防病毒功能
开启防病毒功能,防止来自于网页等的病毒侵入内网
终端防病毒功能
开启终端防病毒功能,统一监控管理终端病毒防护,保障终端安全
邮件告警功能
开启邮件告警功能,实现故障及时有效的发现与解决。
报表功能
开启报表功能,实现对网络性能利用率的了解与分析
通过防火墙,可以对于充分的利用当前多个IPS链路。
同时防火墙提供监控功能。
此外,防火墙本身自带的IPS、防毒等功能也可以保障内网的安全性。
2.1.2上网行为管理设备
上网行为管理设备由当前的M5000升级为AC1200,在防火墙完成切换后,将AC1200桥接在防火墙与cisco3750之间。
目标:
实现内网用户行为管控与审计
实施过程
1.将原上网行为管理设备上的策略配置到新的AC1200上
2.AC1200上架
3.将AC1200桥接到防火墙与cisco3750之间
4.进行网络连通性测试,确认网络正常
2.1.3无线设备
在满足目前的无线需求的同时,提供无线漫游等功能,同时可以和AD等进行结合,提供认证。
目标:
实现公司内部无线覆盖,以及无线SSID区域分离
实施过程
1.规划无线网络,一个用于访问内部网络使用,一个用于访问外部网络
2.无线控制器上架
3.无线控制器配置
4.AP点接入
5.无线调试优化
2.2项目实施计划
由于当前上网行为作为网关,所以使用Sophos防火墙替代时,需要根据上网行为管理设备的配置,调试Sophos防火墙,然而进行网络切割。
升级的上网行为管理设备则在同时桥接入网络。
由于无线网络的部署并不会影响当前的网络,所以放在最后调试。
此外,在设备接入网络之前,用户需要进行如下准备:
●当前上网行为的配置信息,如公网IP地址,策略,VPN,内网网关
●升级后上网行为管理设备的IP地址、子网掩码、网关、DNS
●提供网线8根
●提供设备上架空间、上架螺丝、工具
●提供设备电源接入点
上网行为部署实施工作内容如下表:
阶段
实施步骤
预计用时
备注
阶段一:
Sophos防火墙
上网行为设备配置调研
1天
Sophos防火墙设备上架
1小时
Sophos防火墙设备配置
4小时
网络切换
2小时
Sophos防火墙功能优化
2小时
阶段二:
上网行为设备
上网行为硬件设备通电检测
30分钟
上网行为接入方式配置
30分钟
上网行为设备上架、接入网络
1小时
上网行为设备策略配置
2小时
阶段三:
无线
无线网络规划
2小时
无线控制器上架
1小时
无线控制器配置
4小时
AP点接入
4小时
无线调试优化
4小时
2.3Sophos防火墙介绍
面对当前日益复杂的网络以及各种攻击与病毒,想要应对企业可能遇到的所有威胁,仅靠防病毒软件是远远不够的。
我们建议使用Sophos防火墙,为芜湖华衍水务有限公司提供全面安全和数据保护,并且确保您所有操作简单又快捷。
2.3.1Sophos220防火墙参数
主要项目
参数值
性能
防火墙吞吐量
3Gbps
VPN吞吐量
500Mbps
IPS吞吐量
640Mbps
防病毒吞吐量
235Mbps
最大并发连接数
1,000,000
邮件处理能力
52,000封/小时
接口
8x千兆电口
硬盘
2xHDD硬盘RAID1
最大功率
280瓦
安装方式
1U19寸标准机架安装
2.3.2Sophos全面的安全防护
恶意软件防护
阻止恶意软件的攻击,保持网络的畅通和保护数据的安全,仅靠防病毒软件是不够的。
通过主动防御技术打造坚固的防御系统减少您在网络威胁中的曝光,Sophos可以帮您:
∙保护端点、电子邮件和网页的安全
∙无需更新,主动侦测未知恶意软件
∙由一个代理程序实现防病毒、防火墙、应用程序和设备控制
∙保护您所有的系统平台,包括Windows、Mac、UNIX和Linux
∙数据保护
笔记本和U盘一旦丢失就难以挽回,但是您可以确保保存在其中的数据不被窃取,而且您可以控制您的用户对敏感数据的操作。
Sophos可以帮助您:
∙通过对整个磁盘、电子邮件和设备进行加密确保所有数据的安全
∙对敏感数据进行内容扫描从而有效防止数据丢失
∙有效过滤在电子邮件、网页邮件中以及向博客和论坛传送的数据
∙有效控制XX的设备和应用程序
∙确保只有被授权的用户有权访问您的网络
业务生产力
您想让您的用户能够访问网络,并且能够使用移动设备和即时通讯工具。
但是您还要在不降低运行速度的前提下阻止恶意软件的攻击—同时有效保护公司的重要数据。
Sophos让这些变得容易:
∙防病毒功能不会影响用户的运行速度,还可进行数据控制
∙网络过滤功能有效拦截威胁并提升您的业务生产力
∙程序和设备控制有效降低安全和生产力风险
∙反垃圾邮件功能仅允许接收合法的邮件
∙可靠的加密功能保证数据存储和共享的安全
改善IT效率
您必须让一切都安全,减少成本并且还要确保IT最大限度的发挥作用。
复杂的安全意味着项目进度会受影响,从而使您与业务目标失之交臂。
Sophos为您节省时间与金钱:
∙一个供应商就可以解决您所有端点、电子邮件和网页安全的需求
∙一个主控台通过Windows、Mac、UNIX和Linux等系统平台为您提供安全防护管理
∙一个集成的代理程序即可为您拦截恶意软件、防止数据泄漏、控制应用程序和设备
∙一个授权许可就能覆盖每个端点和系统平台,并且有和您讲同种语言的技术专家为您提供7×24小时的技术支持
确保遵从性
不断变化的法规和您企业内部的需求意味着,如果您不能让用户很好地遵从法规,您就可能面临重罚的风险,还可能影响公司的信誉。
Sophos让您对法规遵从应对自如:
∙综合的数据管理为您的业务提供坚实的保障
∙通过全磁盘加密,对电子邮件和设备进行加密保护您的重要数据
∙通过预定义设置快速启用您的安全策略
∙通过定制报告管理您设备的遵从性
∙快速设置和部署立即可用的遵从性检查
2.4上网行为管理设备介绍
2.4.1硬件参数
设备类型
接口
4个千兆电口
吞吐量
90Mbps
用户数
400
硬盘容量
250GB
电源
单电源
设备接口
具备
至少具备一个串口
尺寸
标准1U
2.4.2功能特性
深信服上网行为管理产品凭借强大的功能和简便的操作,可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面进行有效监控和管理。
上网行为管理设备为您解决以下问题:
1、防止带宽资源滥用
通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障OA、ERP等办公应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
2、防止无关网络行为影响工作效率
基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
3、记录上网轨迹满足法规要求
上网行为管理设备可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
4、管控外发信息,降低泄密风险
上网行为管理设备充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
5、掌握组织动态、优化员工管理
上网行为管理设备通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工,并通过关键字报表和热贴报表来反映员工思想动态。
风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险,而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态,并以此为基础实施组织文化建设、制度改进等针对性措施,从而提高员工管理水平。
2.5Cisco无线设备介绍
2.5.1特性介绍
Cisco无线网络通过可靠的产品功能提供了实实在在的特性。
安全—无线局域网安全的一个最佳惯例在于,确保RF环境的安全和控制的能力。
思科公司在业内率先推出了企业级RF安全和WLAN安全策略监控。
思科无线安全特性包括:
∙通过802.11i、Wi-Fi受保护访问(ProtectedAccess-WPA)、WPA2和移动VPN等众多授权和加密策略对WLAN的受控访问
∙能检测和抵御假冒接入点、无关联客户机设备和临时网络,提供可定制RF攻击签名,从而实现对常见无线威胁的保护的WLANIPS
∙对基础设施和RF-层安全边界的安全管理
管理—思科公司通过实现对RF环境的清晰洞察和控制简化了WLAN管理。
这就提高了网络可扩展性,改进了故障排除能力,并增强了网络管理员的生产效率,从而降低了运营开支。
思科管理特性包括:
∙简化的WLAN管理和运营支持,降低了RF复杂性,也降低了管理RF环境的复杂性
∙实时RF扫描、监控和控制直接集成到WLAN基础设施之中,实现了自我配置、自我优化和自我修复的无线网络
∙利用思科公司已申请专利的RF指纹技术,直接从WLAN基础设施中同时跟踪上千个设备
∙高级WLAN规划、部署和管理工具
∙针对前瞻性性能和故障监控的增强故障排除和诊断工具,包括用于轻松分析的图形化热图
∙集中化策略引擎能实现系统级安全性并轻松配置和执行QoS策略
性能—WLAN覆盖范围必须是可靠的,RF带宽必须是优化的,这样才能确保最高WLAN性能。
思科公司通过以下功能来实现这一点:
∙用于语音和延迟敏感型应用的QoS,包括无线带宽合同
∙配有负载均衡功能的实时容量管理
∙能在办公室地点或严酷环境中实现高容量和通用型部署,能支持范围很广的工作温度
∙能实现高可用性的自我修复WLAN,包括覆盖范围漏洞检测和修正
移动性—当在多个(子网之内和之间的)接入点之间漫游时,最终用户需要的是不间断网络访问。
思科公司的WLAN解决方案提供以下特性:
∙安全第二层和第三层漫游
∙能使客户在漫游时维护VPN隧道的“跟我来VPN”
∙802.11i环境中的快速安全的可扩展漫游
∙安全性和QoS策略的上下文传输,能使用户的身份跟随漫游用户
∙室内和室外的无边界无线网络,包括动态无线网格网络
可扩展性—无线网络必须扩展规模,以满足当前和未来的商业需求。
思科公司提供了:
∙对园区、分支机构、远程站点和室外地点中所部署的WLAN的支持
∙对部署几百个,乃至上千个位于中央或远程的接入点的支持
∙WLAN永续性、冗余性和容错性
集成—端到端有线和无线网络集成能最大限度降低总拥有成本。
为了最大限度降低WLAN的总拥有成本,思科公司支持:
∙一体化无线和有线基础设施,实现针对所有WLAN业务的单点控制
∙将丰富的智能化思科基础设施设备特性延伸到QoS和管理策略等无线业务
∙支持多种类型的身份验证、授权和记帐(AAA)服务器
∙客户机与思科兼容扩展(CiscoCompatibleExtensions)计划的集成
∙能轻松升级CiscoAironet自主接入点,使之能运行LWAPP
服务/应用—企业级WLAN必须支持多种采用独特移动性属性的高级服务和应用。
思科公司支持:
∙通过软件应用或手机设备提供的语音服务
∙针对用户和资产的高分辨率定位跟踪
∙为客户、咨询专家、承包商、供应商和厂家服务的来宾访问
∙具体应用设备(ASD),如零售或制造环境中使用的设备
2.5.2CiscoAironet1600
1600系列通过频谱智能*提供高效的无线覆盖,并为具有混合客户端基础的入门级网络提供客户端加速。
1600无线接入点还至少提供六倍于现有802.11a/g网络的吞吐量。
1600系列利用双空间流的3x3多输入输出(MIMO)技术提供802.11n企业级性能的性能优势。
具体特点如下:
工业设计
●封闭的金属外壳和耐高温,是工厂、仓库和其他室内工业环境的理想选择
●利用可选的外置天线可满足各种射频覆盖需求
●UL2043天花板阻燃等级,可选择吊顶上方安装或吊顶悬挂安装
易于安装且节省能源
●使用现有PoE交换机实现802.11n性能
●精巧设计,可无缝融入各种室内环境
易于安装,多用途安装支架
●专为现有无线接入点的轻松更换而设计
●防盗锁保护
部署选项
●基于控制器或独立部署选项
安全连接
●支持检测欺诈无线接入点和拒绝服务攻击
●管理帧保护功能可检测恶意用户并提醒网络管理员
思科ClientLink2.0智能波束成形技术
●更快的移动客户端连接
●支持所有客户端类型,没有任何客户端需求或依存条件
●更高效地使用移动设备电池并节省电量
思科VideoStream技术
●高效的组播到单播传输转换
●视频呼叫准入控制,可防止超额认购
●队列优先级,可帮助确保企业宣传片的最佳的用户体验
网络标准:
IEEE802.11n、IEEE802.11g、IEEE802.11a纠错
数据传输率:
300Mbps纠错
频率范围:
双频(2.4GHz,5GHz)纠错
天线:
集成天线,增益4dBi;外置天线增益最大为6dBi(单独购买)
网络接口:
10/100/1000BASE-T口,
管理控制台端口(RJ-45)纠错
状态指示灯:
状态LED,指示引导加载程序状态、关联状态、工作状态、引导加载程序警告、引导加载程序错误
工作电压:
DC44-57V纠错
安全性能:
WPAWPA2(802.11i)思科TKIP思科信息完整性检查(MIC)64位和128位IEEE802.11WEP密钥纠错
认证:
UL60950-1、CAN/CSA-C22.2No.60950-1、UL2043、IEC60950-1、EN60950-1、NISTFIPS140-2L2纠错
产品尺寸:
221×221×47mm纠错
其它技术参数:
系统内存:
256MBRAM,32MB闪存纠错
功耗
12.95W
2.5.3思科无线控制器
基于思科服务就绪引擎(SRE)的思科®无线控制器应用能为中小型企业和分支机构提供系统级的无线功能。
SRE思科无线控制器是一款以提供802.11n性能和可扩展性为目标的入门级控制器产品,通过与现有网络无缝集成实现了较低的总体拥有成本和出色的投资保护。
思科SRE模块是思科第二代集成多业务路由器(ISRG2)的路由器模块,它允许您在任意时间远程配置模块上的思科无线控制器应用,从而使贵公司能够按需求快速部署无线网络,同时降低运营成本并整合分支机构基础设施。
作为思科统一无线网络的组成部分,该控制器支持CiscoAironet®无线接入点、思科无线控制系统(WCS)以及思科移动服务引擎(MSE)之间的实时通信,提供了集中式安全策略、无线入侵防御系统(wIPS)功能、荣获大奖的无线射频管理、环境感知地点跟踪功能以及语音和视频服务质量(QoS)。
思科系统公司提供了几种无线局域网控制器,适用于不同的企业部署情况。
这其中包括Cisco2000系列、4100系列和4400系列。
表1.思科无线控制器:
特性与优势
特性
优势
高性能
可提供媲美有线网络的速度和非阻塞802.11n网络性能
无线射频理
通过系统级CiscoCleanAir技术集成,跨各控制器提供有关影响网络性能的无线射频干扰的历史和实时信息
安全性
无线入侵防御系统(wIPS)
企业无线网状网
支持接入点动态建立无线连接,无需通过物理连接接入有线网络
企业无线网状网络仅在特定的CiscoAironet接入点上提供,适用于仓
库、制造厂房、购物中心和其他难以扩展有线连接的地点或是担心有线连接会影响美观的地点
高性能视频
将CiscoVideoStream技术集成到思科medianet框架中,优化了无线局
域网上的视频应用交付
端到端语音服务
支持统一通信,支持用户通过消息传送、在网状态信息和会议功能加强协作
支持所有的CiscoUnifiedWirelessIP电话,提供经济有效的实时语音服务
PCI集成
属于支付卡行业(PCI)认证架构的一部分,非常适合采用了扫描仪和
信息亭等交易数据应用的零售客户使用
节能环保
企业可以在非高峰业务时段关闭无线接入点无线电模块以降低能耗
CISCOAIR-CT2504-50-K9详细参数
主要性能
∙网络标准:
IEEE802.11a,IEEE802.11b,IEEE802.11g,IEEE802.11d,IEEE802.11e,IEEE802.11h纠错
∙数据传输率:
500Mbps纠错
∙状态指示灯:
LinkActivity,Power,Status,Alarm纠错
∙工作电压:
AC100-240V,50/60Hz纠错
∙产品尺寸:
43.9*203.2*271.5mm纠错
∙其它技术参数:
支持50个接入点纠错
∙其它特点:
工作温度:
0-40℃
存储温度:
-25-70℃
工作湿度:
10%-90%(非冷凝)
3项目所需要采购的软硬件
硬件/软件名称
描述
数量
SophosUTM220
8个千兆电口
1
Sophos软件License
包括网页防护;QOS;链路负载均衡;IPS,SSLVPN等功能
1
深信服AC1200
4个千兆网口
1
深信服软件库
应用库的更新
1
深信服RMA
深信服AC1200设备1年硬件维保
1
CISCOAIR-CAP1602I-C-K9
双频(2.4GHz,5GHz),集成天线或外置天线增益最大为6dBi;数据传输率:
300Mbps
5
AIR-CTC2504-K9
数据传输率:
500Mbps,支持50个接入点;
1
4附件成功案例介绍
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Sophos 防火墙 方案 v10