e地通

e地通

惠爾頓e地通產品是深圳惠爾頓信息技術有限公司為了解決管理軟體異地部署過程中可能遇到的問題而推出的,目前有軟體和硬體全系列產品,本文將主要介紹硬體產品的功能。本系列產品集成VPN、遠程集中接入、防火牆、QOS、頻寬疊加、VLAN等功能於一體。

Socks5 VPN功能

防火牆、入侵檢測防禦等安全系統通常能夠有效的在內外網之間建立一道安全螢幕障,以保障區域網路重要區域的安全。但是由於數據共享的需要,區域網路的重要數據不可避免的要在區域網路端到端之間以及內外網之間進行傳輸,如果重要數據在傳輸的過程中是明文形式,那么一旦被非法內外網用戶捕獲,後果就非常可怕;同時內部的病毒和黑客也會因為重要數據共享時傳播,怎么辦?據統計,在安全事故造成的損失中,有75%以上來自於內部,作為我們用戶體系,這個區域網路的概念很大,既可以說是黨政專網,也包括銀行稅務等橫向單位形成的網域、或者上下級單位之間所形成的網域,等等,所以這種傳輸過程中的安全一旦出了事故的話,所牽涉到的環境非常複雜,後果也會非常嚴重。

1 Socks5 VPN 的特點

Socks5 VPN功能是對傳統的IPSec VPN和SSL VPN的革新,是在總結了IPSec VPN和SSL VPN的優缺點以後,提出的一種全新的解決方案。

Socks5 VPN運行在會話層,並且提供了對套用數據和套用協定的可見性,使網路管理員能夠對用戶遠程訪問實施細粒度的安全策略檢查。基於會話層實現Socks5 VPN的核心是會話層代理,通過代理可以將用戶實際的網路請求轉發給套用伺服器,從而實現遠程訪問的能力。

在實現上,通過在用戶機器上安裝Socks5 VPN瘦客戶端,由瘦客戶端監控用戶的遠程訪問請求,並將這些請求轉化成代理協定可以識別的請求並傳送給Socks5 VPN伺服器進行處理,Socks5 VPN伺服器則根據傳送者的身份執行相應的身份認證和訪問控制策略。在這種方式上,Socks5 VPN客戶端和Socks5 VPN伺服器扮演了中間代理的角色,可以在用戶訪問遠程資源之前執行相應的身份認證和訪問控制,只有通過檢查的合法數據才允許流進套用伺服器,從而有力保護了組織的內部專用網路。

Socks5 VPN與傳統的L2TP、IPSec 等VPN相比:

有效地避免了黑客和病毒通過VPN隧道傳播的風險,而這些風險是防火牆和防病毒難以克服的,因為他們已經把VPN來訪作為安全的授信用戶。

基於會話層實現的VPN最佳化了訪問套用和資源提供細粒度的訪問控制

基於代理模式的會話層數據轉發減少了隧道傳輸過程中的數據冗餘,從而取得了傳統VPN無法媲美的傳輸效率

Socks5 VPN同時又保證了對套用的兼容性,避免SSL VPN的以下三大難題:

因為運行在會話層,非套用層,支持傳輸層以上的所有網路應用程式的訪問請求,支持所有TCP套用,無須如SSL VPN那樣通過複雜的協定轉換來支持各種不同套用所導致的效率損失和很多套用不兼容的兩大難題。

還克服了SSL VPN只能組建單向星狀網路的尷尬局面,滿足了雙向互訪、多向網狀、星狀訪問的複雜網路環境。

2 e 地通 Socks5 VPN 的優勢

1 )抗干擾性好,將VPN的副作用降到最低

由於IPSec VPN打通了網路底層,一旦被侵入,整個網路都將暴露,建立隧道後,遠程PC就像物理地運行在最終用戶重要資料庫伺服器所在的區域網路上一樣,相當於為遠程訪問者敞開了訪問所有資源的大門,並對全部網路可視,為最終用戶關鍵數據帶來了安全風險,所以非常容易成為黑客攻擊的目標。而且一旦異地客戶端被黑客利用,他們會通過VPN訪問組織內部系統。這種黑客行為越來越普遍,而且後果也越來越嚴重。

作為架構在會話層的Socks5 VPN,在VPN伺服器端,系統有效地禁止了的網路結構,也禁止了常見的網路攻擊手段,如PING、UDP、ICMP包等,系統根據授權與認證訪問授信網路;在VPN的客戶端,可以指定特定的應用程式才能發起連線,連線到VPN伺服器,完成套用的代理過程,根據這個控制,不僅可以實現精細的訪問控制功能,重要的是可以阻止病毒和程式不能通過VPN隧道傳輸到VPN伺服器端,有效保護了伺服器端數據資源受到安全防範措施弱的異地端的威脅。

Socks5 VPN適應於所有的TCP套用,用來實現安全的遠程接入,外網用戶不能通過VPN探測到內部網路結構,因此不會將不設防的內聯網伺服器暴露。這樣如果受到攻擊,也可以避免載有重要數據的伺服器遭受攻擊。

2 )身份認證鎖定到人、訪問控制 細到每個套用

衡量任何一個安全產品的安全指標時,身份認證和訪問控制是兩個最基本的參考因素。Socks5 VPN安全互聯繫統在安全指標方面提供了雙因素的用戶身份認證,以及基於IP、連線埠和套用協定的訪問控制能力。

雙因素身份認證

身份認證模組可以有效地鑑別來訪用戶的身份信息,以及確定其是否具有訪問受控網路資源的許可權。傳統的身份認證機制往往採用的是簡單的用戶名和密碼的形式,在進行身份信息確認的過程中,通常也是採用明文方式來傳送身份信息,比如不支持HTTPS的WEB郵件系統就是一個典型的例子。這種通過明文方式來進行身份信息認證的過程是非常危險的,攻擊者可以很輕鬆的利用一些常用的嗅探工具(如Sniffer Pro)就可以得到用戶的身份信息。

Socks5 VPN安全互聯繫統在身份認證上提供了簡單安全可靠的雙因素認證方式,既支持傳統的用戶名/密碼認證方式,也支持更為安全的硬體KEY認證方式,不同的認證方式適合安全需求不同的客戶。對於上述的用戶名/密碼及硬體KEY認證,它們認證的過程是統一的,唯一的區別在於硬體KEY是提供用戶身份信息的唯一途徑,只有擁有該硬體KEY的用戶才能合法登錄VPN系統並訪問受控的資源。

此外,在唯一表示用戶身份信息的同時,VPN伺服器還可以鑑別硬體設備的唯一性。換句話說,在進行授權的同時既授權用戶的身份信息,同時也授權了用戶所使用的機器硬體信息,這種授權方式特別適合防止辦公人員在認證了的辦公機器以外的終端上登錄並獲取用戶的安全保密信息,從而防止機密信息的外泄。

細粒度訪問控制

訪問控制可以保護受控網路資源,切斷非法用戶或受限用戶對其進行非法訪問。評價一個系統是否具有比較高的安全性能指標,一個重要因素就是看該系統提供的訪問控制粒度。作為一個好的安全系統,細粒度的訪問控制是至關重要的。

Socks5 VPN安全互聯繫統支持基於IP位址、連線埠和套用的訪問控制策略,從而方便網路管理員對套用資源進行更為安全的配置。在訪問控制的具體實現上,訪問控制模組維護了一個全局的訪問控制列表,列表中定義了每一個用戶的訪問許可權,包括被訪問資源的IP位址、連線埠號及可以被RDP執行的應用程式。可以用一棵資源樹型圖簡單的表示其結構:

圖1

每一項網路資源都擁有若干種訪問許可權屬性,上圖簡單列出了最基本的訪問許可權屬性,包括IP位址、連線埠、用戶身份、應用程式路徑等屬性信息。當遠程用戶發出套用資源訪問請求時,訪問控制模組可以根據該請求所包含的如下信息:IP位址、連線埠號、用戶身份、套用協定(協定分析模組分析而得)判定用戶的請求是否合法,從而決定是否允許用戶進行遠程訪問網路資源。

基於上面的用戶許可權樹,訪問控制模組對每一個用戶遠程訪問網路資源的請求作如下過程的解析:

圖2

3 )易用:免安裝的瘦客戶端、綠色VPN ,並對原有網路結構不作任何改動

Socks5 VPN整個系統架構在作業系統的會話層,所以系統的安裝十分簡單,使用相當方便,綠色的VPN,相比SSL VPN的ActiveX安裝,Socks5 VPN的使用也是十分簡單,並且對原有的作業系統沒有任何影響。

Socks5 VPN成為一種有客戶端但在客戶端免安裝、零配置的解決方案,可以節省安裝和維護成本,同時VPN SERVER端一旦升級,客戶端自動升級,無須人工干預。IPSec VPN需要在遠程終端上安裝特定設備的客戶端程式或客戶端設備,且需要重新規劃網路,這是一件十分困難的事,而且在某些情況下是不可能的。此外,使IPSec VPN客戶端保持最新狀態是IT人員的負擔。

Socks5 VPN可以在任何地點,利用任何設備,連線到相應的網路資源上,它具有穿越防火牆的能力。IPSec VPN通常不能支持複雜的網路,這是因為它們需要克服穿越防火牆、IP位址衝突、多重路由轉發等困難。鑒於IPSec客戶機存在的問題,IPSec VPN實際上只適用於易於管理的或者位置固定的設備。

4 )基於連線的中轉機制—效率更高

Socks5 VPN相對SSL VPN,二者都是每個連線一個不同的加密key,但是Socks5 VPN不關心套用層的協定,而SSL VPN需要處理協定套用中的內容,SSL VPN需要針對不同的協定進行不同的處理,因此效率相對Socks5 VPN更低。相對IPSec VPN,Socks5 VPN 在TCP協定簇的網路層以上,不處理會話層以下的無效數據,如接入Internet網路數據(IPSec VPN需要處理上網數據與VPN數據分流)、ICMP數據、廣播包、組播包等都不通過VPN隧道的處理;Socks5 VPN只處理伺服器端管理的套用數據。並且Socks5 VPN只處理連線、不會處理底層數據包,不增加IP包的大小(而IPSec VPN將增加數據包的大小30%左右),效率比IPSec VPN高25%左右。

5 )對套用及網路的支持廣泛全面

SSL VPN將用戶局限在Web瀏覽器所能訪問到的套用上,阻礙用戶調用非Web應用程式,並造成檔案共享、定期檔案備份和自動檔案傳輸等功能的複雜化。雖然SSL VPN可以通過升級、補丁程式、SSL網關和其他變通辦法來支持非Web應用程式,但是這些辦法的費用十分昂貴,並且實施起來十分複雜,同時SSL VPN不能實現VPN兩端的資源互訪,只能實現客戶端向伺服器端的請求,而Socks5 VPN使用戶可以非常方便地訪問組織網路的任何資源,不管這些資源是否基於Web,而且既可以允許只是單向訪問,也可以實現雙向或者網狀的多方互訪。

6 )隧道多線負載均衡及熱切換

Socks5 VPN伺服器和VPN客戶端之間的通信線路就是套用數據傳輸的隧道,當正在通信的隧道出現故障後如果能夠及時切換到備用線路上,就能夠實現隧道上的可靠通信,從而就可以保證用戶遠程訪問是可靠的。

多個鏈路之間的負載均衡. 通過系統的負載均衡功能可以在兩點間同時使用多條線路實現互聯。通過多條線路實現互聯頻寬疊加,大大增加大數據量業務的處理速度。

圖3

7 )基於連線的 伺服器 的負載均衡

客戶端存在大量會話連線時,一個伺服器不能處理更多的連線,會導致連線佇列丟失,系統可以採用多個伺服器實現負載均衡,多個伺服器同時處理客戶端發起的連線請求,應對系統大容量並發用戶並發數請求。

多個Socks5 VPN伺服器之間的負載均衡. 通過系統的負載均衡功能可以在客戶端同時與多個VPN伺服器實現通訊。一方面通過多伺服器實現出路速度的成倍增加,大大增加大數據量業務的處理速度,另一方面,當其中的一個伺服器中斷(崩潰)時,系統可以把負載自動切換到其他伺服器,使得整個系統不中斷,大大增強VPN系統的穩定性。

3 、各種 VPN 技術比較


電信運營商VPN(主要是L2TP VPN) IPSec VPN SSL VPN Socks5 VPN
訪問許可權粒度 VPN設備之間的網路接入控制 ·網路邊緣到客戶端 ·僅對從客戶到VPN網關之間通道加密 細到用戶對套用的基於組、URL、主機、連線埠的接入控制 細到用戶對套用的基於組、主機、連線埠的接入控制
身份認證 對VPN設備的身份認證 對VPN設備或PC進行認證 鎖定到人的用戶名密碼認證、硬體特徵碼認證、硬體KEY雙因素認證 鎖定到人的用戶名密碼認證、硬體特徵碼認證、硬體KEY雙因素認證
抗干擾性 不能禁止黑客和病毒通過VPN隧道來傳播 不能禁止黑客和病毒通過VPN隧道來傳播 能夠有效杜絕黑客和病毒通過VPN隧道來傳播 能夠有效杜絕黑客和病毒通過VPN隧道來傳播
傳輸效率 ·取決於頻寬 ·通常只有明文傳輸效率的70%-95% ·是VPN技術中傳輸效率最低的 ·需要通過加速晶片來提速 ·基於代理模式的套用層數據轉發減少了隧道傳輸過程中數據冗餘 ·是傳輸效率最高的VPN技術
網路環境的適應性 ·通常只能在某一個區域的某一個運營商才能實現互聯互通 ·依賴於地方運營商 ·適應所有網路 ·適應所有網路 ·適應所有網路
安裝 ·需要客戶端硬體設施的安裝調試,由運營商來承擔,最終用戶只需按月上繳費用即可 ·需要客戶端硬體設施或軟體的安裝調試 ·需要把所有接入網的區域網路網段規劃成相互不同 ·需調整路由 ·即插即用安裝 ·無需任何附加的客戶端軟、硬體安裝 ·無須更改任何網路結構 ·即插即用安裝 ·客戶端硬體、軟體或無客戶端可任意選擇 ·無須更改任何網路結構
用戶的易使用性 ·容易 ·對沒有相應技術的用戶比較困難 ·需要培訓 · 需要升級成標準Web瀏覽器 ·無需終端用戶的培訓 ·所有套用使用方式均保持與原來不變 ·無需終端用戶的培訓
對套用的支持 ·通過各種網路協定,包括ATM、SONET和幀中繼 ·所有基於TCP協定的服務 ·主要基於Web套用 ·檔案共享 ·E-mail ·所有基於TCP協定的服務
組網方式 不支持移動方式接入 雙向互訪、多向網狀、星狀訪問的複雜網路環境 單向、星狀網路 雙向互訪、多向網狀、星狀訪問的複雜網路環境

遠程集中接入功能

1 、遠程集中接入功能概述

隨著各種管理軟體的普及,越來越多大型的管理軟體開始通過網路覆蓋到分支機構和移動辦公用戶,網路所承載的數據量越來越大,網路頻寬資源卻越來越緊張,現有網路資源已經很難滿足大型管理軟體數據傳輸對速度的需求,同時異地套用的增加也給管理軟體的異地部署和維護造成了很大的困難,雖然管理軟體廠商都在加大在產品B/S化方面的投入,但是由於技術和成本等各方面的原因,C/S結構的套用仍然是目前的主流,如何將C/S結構的軟體客戶端部署到異地也成為了業界不得不面對的一個問題。

遠程集中接入功能改變了以往的軟體套用模式,C/S結構軟體通過遠程集中接入技術無須在異地部署軟體客戶端,只需要將遠程集中接入伺服器上的客戶端發布出去即可,異地操作時遠程集中接入客戶端將操作人員對滑鼠鍵盤的操作信息傳輸到遠程集中接入伺服器,通過遠程集中接入伺服器上的軟體客戶端程式完成對管理軟體伺服器的操作,然後將操作的結果以圖像的形式傳輸到遠程集中接入客戶端。由於遠程集中接入客戶端和遠程集中接入伺服器間沒有管理軟體的數據傳輸,所以能夠極大的提升管理軟體異地使用時的速度,同時在部署管理軟體的時候也無須再在異地部署管理軟體客戶端。

2 e 地通遠程集中接入的優勢


E 地通 其他遠程集中接入產品
共同點 技術原理 基於伺服器的運算模式
主要功能 把C/S結構的軟體變為B/S套用,由胖客戶機模式變為瘦客戶機模式。所有的運算邏輯在伺服器端執行,顯示邏輯在客戶端在執行,網上僅傳輸客戶機的螢屏變化信息,不傳輸真實數據,支持負載均衡。

解決問題 C/S結構軟體的快速部署問題; C/S結構軟體遠程套用速度問題; C/S結構軟體的升級維護問題; Windows無縫接入;

伺服器端作業系統 2000/2003 server

訪問模式 B/S模式

主要訪問對象 套用

應用程式發布

系統用戶管理

套用負載均衡 支持

訪問控制 內置

印表機選擇 統一列印驅動

不同點 身份認證 Window用戶認證、Socks5 VPN認證、eKey認證、機器碼認證 Window用戶認證、eKey
訪問控制 VPN和遠程集中接入雙重控制 遠程集中接入控制
安全策略 Windows組策略、VPN安全策略 Windows組策略
多套用支持 支持套用安裝在不同的伺服器上 套用客戶端只能安裝在同一台伺服器上
控制伺服器上網 伺服器可以與internet隔離 伺服器必須接入internet
控制客戶端上網 客戶端可以與internet隔離 客戶端必須接入internet

防火牆功能

防火牆是指設定在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網路和信息安全的基礎設施。在邏輯上,防火牆是一個分離器,一個限制器,也是一個分析器,有效地監控了內部網和Internet之間的任何活動,保證了內部網路的安全。

1 e 地通防火牆優勢

1 )安全的系統平台

核心採用自主開發的嵌入式Linux作業系統,全模組化設計,使用中間層理念,減小系統對硬體的依賴性。具有安全性、開放性、擴展性、模組化、標準化、可移植性等特徵;採用最優硬體平台,提供全線速轉發的能力,擁有更高的安全性和可控性。基於Hash表的快速轉發功能,極大提高了防火牆的吞吐率。

2 )採用多種安全技術

包過濾技術

TCP/IP的數據包是由包頭和數據構成的,包頭包括協定(TCP/UDP/ICMP)、源地址、目的地址、源連線埠(服務)、目的連線埠等信息,包過濾是防火牆基於網路層的安全方式,它通過對所有流經防火牆的信息包內的包頭信息檢查,以實現對網路的安全控制。

防火牆針對TCP/IP數據包做處理,因此稱為網路級,根據上面所列參數進行過濾(比如地址1的任意連線埠到地址2的80連線埠的TCP包被禁止,表示禁止地址1的計算機連線地址2的計算機的www服務),因此稱為包過濾。

包過濾技術是惠爾頓e地通為系統提供安全保障的主要技術,它通過設備對進出網路的數據流進行有選擇的控制與操作。包過濾操作通常在選擇路由的同時對從網際網路到內部網路的包進行過濾。用戶可以設定一系列的規則,指定允許哪些類型的數據包可以流入或流出內部網路;哪些類型的數據包的傳輸應該被攔截。包過濾規則以IP包信息為基礎, 對IP包的源地址、 IP包的目的地址、封裝協定(TCP/UDP/ICMP/IP Tunnel)、連線埠號等進行篩選。包過濾這個操作可以在路由器上進行,也可以在網橋,甚至在一個單獨的主機上進行。

網路地址轉換(NAT技術)

提供IP 地址轉換和IP 及TCP/UDP 連線埠映射,實現IP 復用和隱藏網路結構:

NAT 在IP 層上通過地址轉換提供IP 復用功能,解決IP 地址不足的問題,同時隱藏了內部網的結構,強化了內部網的安全。惠爾頓防火牆提供了NAT 功能,並可根據用戶需要靈活配置。當內部網用戶需要對外訪問時,防火牆系統將訪問主體轉化為自己,並將結果透明地返回用戶,相當於一個IP 層代理。防火牆的地址轉換是基於安全控制策略的轉換,可以針對具體的通信事件進行地址轉換。

NAT的工作過程如圖所示:

圖4

在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄。系統將外出的源地址和源連線埠映射為一個偽裝的地址和連線埠,讓這個偽裝的地址和連線埠通過非安全網卡與外部網路連線,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連線情況,而只是通過一個開放的IP位址和連線埠來請求訪問。

惠爾頓e地通根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連線請求映射到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將禁止外部的連線請求。網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設定,用戶只要進行常規操作即可。

3 )DMZ

除了內部網路接口和外部網路接口,惠爾頓三連線埠防火牆還有一個中立區網路接口,稱為DMZ(Demilitarized Zone),可以在其中放置公共套用伺服器。

DMZ是防火牆為了實現在保護內部網路的安全同時,又可以保證需要放置在Internet上的伺服器的安全的一種方法,有了DMZ策略,可以像保護內部網路一樣更好地保護DMZ的主機。

惠爾頓e地通的DMZ口還可以作為第二個外部接口靈活使用。

4 )遠程集中管理

惠爾頓e地通產品支持Web、Https、命令行等面向基於對象的管理配置方式,可通過安全的認證及管理信息的加密傳輸實現全局防火牆設備的本地、遠程集中管理與監控。

惠爾頓e地通產品主要採用全中文Web(Graphic User Interface)界面的配置方式,用戶可以在不同作業系統平台、不同地域對防火牆進行配置和管理。

5 )透明套用代理

套用代理是用來對TCP/IP套用進行代理的伺服器軟體(以下簡稱Proxy),Proxy可以接收客戶的請求,分析客戶數據,然後以自己的面目向內容伺服器提出請求,然後接受內容伺服器的回響,再傳給客戶。

這用於幾種場合:共享一個Internet接入連線時,可以讓區域網路的所有計算機都訪問Internet上的內容;給出一個共同的連線口,便於控制和管理。而網路層的NAT和包過濾都無法處理基於套用層的內容過濾,比如URL Blocking、病毒過濾、郵件等的關鍵字過濾等等,因為網路層只處理包頭。套用層防火牆就是把數據包先整合成套用層數據,根據數據內容(比如要過濾的關鍵字或URL地址)進行過濾,然後再重新生成TCP/IP包。

但這樣比包過濾增加了許多工作量,因此效率必然比包過濾低。另外,由於套用代理是套用層的,因此針對不同的套用層協定必須有單獨的套用代理,因此套用代理不能支持所有網路套用,也不能自動地支持新的網路套用。而網路層的系統是針對TCP/IP協定的,因此可以自動支持大部分套用和新套用(只要是基於TCP/IP的即可)。

惠爾頓e地通提供對高層套用服務(HTTP)的透明代理。用戶不需要在自己的主機上作任何的有關代理伺服器的設定,只需管理員在防火牆上配置相關的規則,用戶通過防火牆進行的上述套用訪問就會由防火牆進行代理,這些配置對用戶來說完全是透明的,極大的方便了用戶使用代理。

6 )支持MAC與IP位址綁定

傳統上認為計算機網路的安全主要應防備外部的入侵,但現在的實際情況是內部的破壞及信息竊取同外部的入侵一樣是網路安全應防備的大的環節。惠爾頓防火牆允許綁定MAC地址(網卡的硬體地址)和IP位址,可以使內部網路防止內部IP欺騙,保證基於IP的安全策略、計費策略等的正確實施。當發現某IP和綁定的MAC地址不相符時,將拒絕為該IP服務。MAC綁定技術主要用於綁定一些重要的管理員IP和特權IP。

7 內容過濾技術

惠爾頓e地通支持URL、關鍵字檢測機制,能有效控制內部網路對某些站點的訪問,禁止不良的、非法的網站,防止區域網路用戶瀏覽邪教、色情等不良網站及網頁。

8 )抗攻擊能力

惠爾頓e地通可有效抵抗DOS/DDOS、嗅探、同步等多種攻擊,阻止TCP、UDP 等連線埠掃描,防止源路由攻擊、IP碎片包攻擊、DNS/RIP/ICMP攻擊、SYN 攻擊。

抗DOS/DDOS 攻擊:拒絕服務攻擊(DOS )就是攻擊者過多的占用共享資源,導致伺服器超載或系統崩潰,而使正常用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警機制,阻止DOS 黑客攻擊。

防TCP 、UDP 等連線埠掃描:可以阻止對網路或內部主機的所有TCP/UDP掃描。

可防禦源路由攻擊、IP 碎片包攻擊、DNS/RIP/ICMP 攻擊、SYN 等多種攻擊:惠爾頓防火牆系統可以檢測對網路或內部主機的多種拒絕服務攻擊。

阻止ActiveX 、Java 、Javascript 等侵入:屬於HTTP 內容過濾,防火牆能夠從HTTP頁面剝離ActiveX 、JavaApplet 等小程式及從Script 、PHP 和ASP 等代碼檢測出危險的代碼,同時,能夠過濾用戶上載的CGI 、ASP 等程式。

提供實時監控和告警功能:惠爾頓防火牆提供對網路的實時監控,當發現攻擊和危險行為時,防火牆提供告警等功能。

9 )適用更廣泛的網路及套用環境

支持眾多網路通信協定和套用協定,如DHCP 、ADSL 、RIP 、ISL 、802.1Q 、Spanning tree 、NETBEUI、IPSEC、PPTP、H.323 、BOOTP、PPPoE協定等,使惠爾頓防火牆適用網路的範圍更加廣泛,保證用戶的網路套用並擴展IP 寬頻接入及IP電話、視頻會議、VOD 點播等多媒體套用。

10 )用戶認證

通過使用用戶身份認證, 確保用戶身份, 及用戶可以訪問的許可權, 保護網路的安全和用戶身份被盜用的情況。用戶認證可以通過兩種方式實現:內部用戶資料庫和Radius伺服器。

11 )智慧型路由管理

支持多線路捆綁技術,可實現帶網路頻寬的疊加;

採用智慧型路由分離技術,分流上網數據、擴充互聯線路;

支持DHCP、PPPOE、NTP、NAPT/PAT、NAT穿越、DNS增強版快取;

提供管理伺服器群的負載平衡能力;

可自由設定靜態路由,支持集團用戶的多級複雜網路。

QoS功能

1 QoS 知識概述

在傳統的IP網路中,所有的報文都被無區別的等同對待,路由器對所有的報文均採用先入先出(FIFO)的策略進行處理,依次將報文送到目的地,但對報文傳送的可靠性、傳送延遲等性能不提供任何保證。

隨著IP網路上新套用的不斷出現,對IP網路的服務質量也提出了新的要求,如VoIP(Voice over IP,IP語音)等實時業務就對報文的傳輸延遲提出了較高要求,如果報文傳送延時太長,將是用戶所不能接受的。相對而言,傳統的網路套用如E-Mail和FTP業務對時間延遲並不敏感。

為了支持具有不同服務需求的語音、視頻以及數據等業務,要求網路能夠區分出不同的通信,進而為之提供相應的服務,這是傳統的IP網路所無法實現的。

在傳統IP網路中,因為無法識別和區分出網路中的各種通信類別,所以也就無法為不同的通信提供不同的服務。QoS (Quality of Service : 服務質量)技術的出現便致力於解決這個問題。

2 e 地通 QoS 功能介紹

惠爾頓e地通設備通過三級流量管理實現不同服務的Qos保證,為不同的服務定義頻寬分配規則。

一般傳統的高端防火牆僅在防火牆中有QOS功能區分不同業務的服務質量,但目前在VPN還很少實現QOS功能;這樣就造成同一個VPN隧道內無法按服務的重要性提供頻寬。往往在網路高峰時,不重要的業務占據了多數頻寬,導致象VOIP等核心業務系統套用得不到快速回響,嚴重影響VPN使用效果。

通過智慧型QOS技術,用戶可以在e地通智慧型網關產品上自由定義不同服務的QOS級別,並分配給不同級別的服務在VPN隧道內的頻寬比例,重要的服務得到更大的頻寬。 在額定頻寬的QOS策略中,各個QOS級別的服務只能使用額定頻寬,即使網路流量沒有占滿,低級別的服務也不能使用預留給高級別服務的頻寬。e地通智慧型網關的智慧型QOS策略修正了這個缺陷,當沒有高級別數據的時候,低級別的服務能夠有效利用所有空閒頻寬。

惠爾頓e地通設備在進行大包傳輸測試時優於一般設備,60K的數據在ADSL線路上的丟包率小於百分之一。

頻寬疊加功能

1 、概述

各種網路套用已經在企業中慢慢普及起來,越來越多的企業開始使用廉價的網際網路通信來代替原來昂貴的數據線路通信。不同的寬頻運營商運營商提供了各種寬頻接入方式,各種的價格也有很大的差別。寬頻線路根據不同的頻寬和是否擁有靜態IP位址,其價格差異可以相差一個數量級。如電信的ADSL專線,因為擁有靜態IP,價格是2000元/月,而撥號ADSL,其價格可以低至200元/月。而電信的光纖寬頻因為擁有更穩定的通信質量,上下行一致的頻寬,其價格高達4、5千。而10M以上的光纖接入,每月費用過萬。作為使用最廣泛的撥號ADSL接入,其上下行頻寬不一致,上行頻寬只有512K,下行頻寬可以達到2M。

目前,規模較小的(只有幾個網路節點)套用中,主要使用撥號ADSL作為寬頻的接入方式。因為節點較少,通信量不大,ADSL的512K上行頻寬仍然能夠支撐主節點的訪問壓力。但是, 隨著企業套用的發展,一些企業級網路也達到了很大的規模,網路節點可以達到幾十,甚至上百。這時,中心節點必然要求更高的頻寬以滿足眾多分支節點的通信訪問。如果一個ADSL上行的512K的頻寬可以滿足5個分支節點的訪問通信頻寬要求。那么如果一個100個分支節點的中心網路就需要10M的頻寬去支撐100個接入的通信壓力。這樣企業就必須付出每月一兩萬的10M光纖接入費用。這其實只是一個保守的估計,隨著網路套用對頻寬的要求越來越高,視頻音頻套用的大量出現,512K的頻寬還可能不能滿足一個節點的通信要求。

而且,很多企業都把原有的DDN數據線路撤掉,使用VPN替代原有的通信方式。寬頻線路雖然擁有良好的頻寬和價格比,但是,DDN線路仍然昂貴是因為DDN線路擁有寬頻線路所不能達到的穩定性。因此這些使用VPN替代DDN線路的企業必然要面對線路中斷的風險。對於一些把關鍵業務轉移到VPN網路上的用戶,這個風險是不能忽視的。如何既能夠降低費用,又要降低風險,對於這些用戶就是一個魚和熊掌兼得的問題。

綜上所述,企業套用中面臨著頻寬和穩定性的雙重問題。E地通的頻寬疊加功能針對這些問題,設計的多線路頻寬疊加方案正好可以滿足用戶所面對的頻寬和通信穩定性問題。

2 、e地通頻寬疊加功能的特點

1 )多寬頻線路接入

E地通的不同版本都具有多個網口,除了預設定製的內部網口,其餘所有的網路接口都可以設定為內部網路接口或者外部網路接口。E地通支持現時大多數的寬頻接入方式ADSL、CABEL、LAN、LAN等接入方式。同樣或者不同的寬頻接入方式可以捆綁在一起使用。捆綁後,對於內部網路,就擁有了原來多條線路的疊加頻寬。

2 )線路之間的備份機制

E地通的多條線路之間並不是單純的捆綁共享功能,不同的線路之間可以互相備份,如果線路實現了共享,當一條線路故障中斷之後,系統會自動把網路流量轉移到別的線路上,可以保證網路通信的暢通。而當故障線路恢復後,系統會將網路的流量再分配到恢復的線路上,保證每條線路的充分使用。

3 )VPN通道的路徑選擇

E地通的多線路頻寬疊加功能在建立VPN通道時,可以實現路徑的智慧型選擇,當疊加的多條線路不屬於同一家運營商時,e地通可以根據客戶端的線路情況,自動選擇數據傳輸的路徑,有效的解決了不同運營商之間的網路出口問題。

4 )真正意義上的頻寬疊加VPN系統

E地通特有的VPN捆綁技術,真正實現了數據包級別的頻寬的疊加,而不僅僅是連線層次上的頻寬疊加。E地通的VPN系統也是根據多線路設計的。系統可以在每一條寬頻線路上均建立VPN連線。因為VPN連線是數據包級別的低層轉發,所有VPN通信的數據包可以均衡地分布到多條線上。同一個套用的連線使用的頻寬就不僅僅是單一線路的頻寬,而是多條線路的疊加頻寬。如一條ADSL上行速度是512K,則使用多條ADSL捆綁後的VPN通信的頻寬可以達到n*512K,這樣就可以用多條廉價的線路實現原來昂貴的大頻寬線路的效果。你的VPN通信將不再受制於ADSL線路上行512K的瓶頸,真正實現高速VPN通信。

VLAN功能

VLAN,是英文Virtual Local Area Network的縮寫,中文名為"虛擬區域網路", VLAN是一種將區域網路(LAN)設備從邏輯上劃分(注意,不是從物理上劃分)成一個個網段(或者說是更小的區域網路LAN),從而實現虛擬工作組(單元)的數據交換技術。

VLAN的好處主要有三個:連線埠的分隔、網路的安全、靈活的管理。

VLAN技術的出現,使得管理員根據實際套用需求,把同一物理區域網路內的不同用戶邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。由於它是從邏輯上劃分,而不是從物理上劃分,所以同一個VLAN內的各個工作站沒有限制在同一個物理範圍中,即這些工作站可以在不同物理LAN網段。由VLAN的特點可知,一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。 VLAN除了能將網路劃分為多個廣播域,從而有效地控制廣播風暴的發生,以及使網路的拓撲結構變得非常靈活的優點外,還可以用於控制網路中不同部門、不同站點之間的互相訪問。

二、e地通產品網路和系統結構

2.1、e地通作為網關使用

1 、網路結構圖

2 、說明

用e地通設備替換原有網關設備,通過e地通代理區域網路機器上網,本方案在進行VPN設定的時候,無須進行連線埠映射設定,區域網路機器上網時無須改變區域網路機器的上網設定,只需要將e地通的區域網路地址設定為原網關的低址即可。

2.2、e地通在區域網路使用

1 、網路結構圖

2 、說明

本模式部署時,e地通只能作為VPN使用,其他功能不生效。適合於網路中已經有專業的防火牆等設備,無法替換現有網路設備,部署時需要在網關上進行連線埠映射,將VPN的工作連線埠映射到e地通伺服器。

2.3、區域網路隔離的部署方式

1 、網路結構圖

2 、說明

本模式能夠有效的保護伺服器的安全,部署時需要在網關上進行連線埠映射,將VPN的工作連線埠映射到e地通伺服器,部署完成以後,區域網路對伺服器的訪問也必須經過e地通的授權和監控。

適用於區域網路規模比較大,對伺服器的安全要求比較高的情況。

2.4、e地通作為備份線路部署模式 1 、網路結構圖

2 、說明

本模式適用於為現有線路增加備份或補充線路的情況,可以在不改變原線路和網路結構的情況下增加一條線路作為另外一條線路的備份或者補充線路,部署完成以後,異地通過VPN連線時,可以通過任意線路接入。兩條線路可以並存。常見於VPDN與e地通並存的情況。

2.4、多線路頻寬疊加的部署模式

1 、網路結構圖

2、說明

本模式適用於多線路頻寬疊加的情況,常見於不同運營商之間互連的情況,在總部申請兩個或多個運營商的線路,做VPN連線時,客戶端可以智慧型選擇連線哪個運營商的線路,同時一條線路也可以作為其他線路的備份線路使用。

相關詞條

相關搜尋

熱門詞條

聯絡我們