其中内网防火墙建议采用工作在透明网桥模式下的、高性能的千兆防火墙,而外网防火墙则采用支持千兆接口的百兆防火墙。 2 多链路负载均衡的防火墙方案
对于大中型的网络中,为了保证应用服务的连续性、提高应用服务的网络带宽,可以选择多条ISP接入链路,实现链路的冗余与负载均衡(如下图)。
3 虚拟专网(VPN)实现分支机构与总部之间的安全连接
虚拟专网(VPN)采用隧道技术,在公共网络上构建安全的私有链路,实现敏感信息在公共网络上的安全传输。
VPN技术通常用于以下环境: ★ 拥有多个分支机构的单位 ★ 拥有很多远程或移动用户的单位 ★需要进行远程维护系统的单位
VPN采用的部署方式有两种:site-to-site、client-to-site。
site-to-site部署方式用于分支机构与总部之间的连接,在此种方式下,两端的局域网内的客户机可以透明地使用VPN链路,而不需要任何额外的配置。
client-to-site部署方式用于移动办公用户到总部之间的连接,此种模式下,客户机需要安装相应的VPN客户端软件,并进行相应的配置。
较为典型的VPN应用环境是企业网络和政府网络中。各分支机构通过VPN隧道安全地接入上级局域网中,并通过防火墙实现其访问控制和安全防范。 下图所示为较为典型的site-to-site部署方式的拓扑图:
曙光天罗TLFW防火墙的VPN选件具有下述特性:
密钥管理系统,使用IKE协议进行会话密钥的自动协商,所有的VPN连接隔一段时间会自动的更换密钥。IKE协议使用共享密钥进行认证,将管理的复杂程度降低到最小。 支持的加密算法为DES、AES、RC4、RC5等加密算法。
支持的认证算法为MD5或SHA,可为AH或ESP协议所使用,确认了对话双方的身份,有效防止了使用身份伪装的主动攻击。
使用WEB中文管理界面,更易于管理。 可以使用证书或预共享密钥进行认证。
支持星型连接,支持网关<->网关、网关<->客户端连接。 只需要在网关上进行配置,终端用户无需知道连接的细节。