网络发展至今,安全问题已成为用户组建网络环境最为关心的因素。特别是对企业用户而言,随着企业网络应用的深入,业务范围的拓展,必定会对网络安全有更高的要求。除了传统的在服务器端安装防病毒软件、进行相关安全设置调整外,另一种行之有效的办法就是使用硬件防火墙。平日大家对于网络安全问题的讨论几乎都是围绕着企业用户展开的,其实,在其他领域的网络应用上,安全性也有着至关重要的作用。本文将关于酒店和医院等环境中的网络安全问题进行讨论,为大家推荐合适硬件防火墙设备。
酒店网络安全分析
酒店网络建设的一个显著的特点是具有极好的开放性,这也就要求网络背后要有强大的安全性能为基础。网络能够有效地控制系统资源,能够有完善的数据保护措施,并且要有效防止病毒的入侵,避免网络瘫痪,这些都离不开安全设备的部署。
一般酒店的宽带网分为三个部分:办公网(指定IP)、商务网(指定IP)、客房网(自动分配IP)。办公网和商务网都使用固定IP以便控制管理,而客房由于客人流动性的问题不可能使用制定IP,只能使用自动分配IP,在加一个控制管理软件,通过软件管理每个客人上网的情况,如增加网络验证功能,使酒店知道哪个客人正在上网,他上网时占用的网络带宽,可以主动的将有病毒的电脑禁止上网。此外,办公网用内部IP,在路由器上做个NAT可以很好的隔离办公网,而商务网可以分配真实IP地址,也是业务需要,收取一定费用。客房的也用个内部IP,做NAT转换,当然NAT要和办公的分离,同时,根据楼层划分VLAN, 将各客房隔离开,保护了各客户的隐私。下图是酒店宽带接入方案拓扑图。
用路由来控制NAT上网的客房不能访问酒店内部网络,很多路由器本身就可以实现DHCP功能,分的可是另外的VlanIP 。他们属于不同的Vlan,根本不能互相访问,所以不用担心病毒攻击。通过ACL技术隔离客房、商务部与酒店内部网的通信,使酒店内部管理网络(财务部,餐饮部,保安部等部门)与酒店对外网络(客房部,商务部等部门)不能互相访问,这样才能确保酒店内部业务及财务数据的安全。倒是要防范Internet网来的攻击,因此,必须在酒店宽带接入处,设置硬件防火墙设备,全面保障酒店内部网络安全。
医院网络安全分析
医院信息系统的安全性直接关系到医院工作的正常运行,同时又紧紧依附与网络系统的安全性,因此做好医院网络系统的安全工作非常重要。
随着医院信息化的不断深入,医院OA系统、MIS系统、HIS系统、PACS等系统相互融合,现在医院网络信息系统的安全甚至比银行的要求更高,因为现在医生离不开电脑,可以说,一旦网络故障或者信息系统瘫痪的话,整个医院的运作就会大受影响。一旦一个信息系统出问题,包括服务器、网络数据库、应用系统这几块都会中断,而这基本上是不允许的。举例来说,一般早上10点到11点半,是医院就诊的高峰期间,医生开处方全部是在电脑上面,药房配药也在这个信息系统上;而且地方的医保是实时结算,病人的数据、费用信息在医院和医保局之间实时交换,就像信用卡取款一样。如果网络中断三分钟,医院的业务就要停三分钟,如果停一个小时的话,整个医院就会人满为患。下图是医院网络宽带接入拓扑图。
对于医院网络的安全性,除了内部网络的合理部署外,最重要的还是要在医院外网广域网出口处部署硬件防火墙,才能够针对来自内部和外部的攻击提供快速、精准、可靠的防护,也能够确保网路资源的合理配置并保证关键业务正常运行。如此一来,医院网络与多个外部网络连接(例如Internet连接、卫生专网连接、社保系统连接等)就更加安全可靠。
下面,笔者为大家推介几款硬件防火墙,让有意部署网络安全系统的酒店或医院用户选购参考。
硬件防火墙导购
思科 PIX-535-UR-BUN 防火墙
(参考价:146976元)
Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分,PIX 535能够为当今的网络客户提供非常好的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全(IPSec)虚拟专网(VPN)功能与千兆位以太网吞吐量灵活地结合在一起。
PIX 535是一种能够提供空前保护能力的通用防火墙设备。它与PIX操作系统(OS)紧密集成在一起,该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法(ASA)的一种保护机制,它可以提供面向静态连接的防火墙功能,能够进行50万个同时连接,并同时防止常见的拒绝服务(DoS)攻鳌?/P>
另外,PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关,它支持使用56位数据加密标准(DES)或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡(VAC)选件的支持,能够提供100 Mbps的吞吐量和2000个IPSec隧道。
高可用性通过部署一个冗余的热备用单元来实现,该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下,也能够维护对话,并且保证切换过程对网络用户而言是透明地完成。另外,PIX 535还允许您向交流或直流型号添加可选的冗余、热插拔电源,使其成为一种真正的容错安全设备。
基本参数 | |
并发连接数 | 550000 |
VPN支持 | 支持 |
网络吞吐量(Mbps) | 1000 |
用户数限制 | 无用户数限制 |
入侵检测 | Dos、IDS |
主要功能 | 故障切换软件许可 包含故障切换软件许可的PIX 535工作在热备用模式;作为维护当前对话的完整的冗余系统,它能够以很低的价格提供非常高的可用性。 |
安全标准 | UL 1950, CSA C22.2 No. 950, EN 60950, IEC 60950, AS/NZS3260, TS001, IEC60825, EN 60825, 21CFR1040 |
控制端口 | RS-232 |
管理 | CSPM、PDM |
电源电压(V) | 220V,135W |
锐捷网络 RG-WALL 1000防火墙
(参考价:276000元)
RG-WALL 1000采用锐捷网络独创的分类算法(Classification Algorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(Stateful Inspection)技术,具备高性能的网络传输功能,最大并发连接数达到1000000,吞吐量高达1.8Gbps;同时在启用动态端口应用程序(如VoIP, H323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
RG-WALL 1000接口类臀袒?个10/100BaseT+2个10/100/1000BaseT接口,可选配最多4个千兆电口/千兆SX/LX光口。主要功能包括:扩展的状态检测功能、防范入侵及其它(如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等)附加功能。
基本参数 | |
并发连接数 | 2000000 |
VPN支持 | 支持 |
网络吞吐量(Mbps) | 1800 |
用户数限制 | 无用户数限制 |
入侵检测 | Dos |
主要功能 | URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告 |
安全标准 | CE, FCC |
控制端口 | Console |
电源电压(V) | AC 100-240V/50-60Hz 200W |
天融信 NGFW4000-UF 防火墙
(参考价:358000元)
天融信公司的网络卫士(NetGuard)防火墙系列产品历经十年发展,荣获了多个奖项,是实时网络防护系统的非常好的选择。NGFW4000-UF 系列是网络卫士系列防火墙的高端产品,是集成防火墙、VPN、SSL-VPN、带宽管理、反病毒、反垃圾邮件等多功能的综合性网关产品,具有高性能、高可靠性、高安全性的特点,普遍适用于银行、电信、教育等大型网络系统,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。
NGFW4000-UF采用天融信自主知识产权的安全操作系统TOS(Topsec Operating System),并采用模块化结构设计,既提高了产品性能,又提高了产品的灵活性、高效性和安全性。采用了多级过滤措施,以基贠S内核的核检测技术为核心,提供从链路层到应用层的全面安全控制。面向资源的设计、全新的物理实现和专用的通信协议,支持高达100000条以上的并发连接,吞吐能力达到1000Mbps以上。
支持可扩展方案邮件病毒及网络文件病毒过滤解决TOPSEC AV。该方案采用基于透明代理和深度数据包检测(DPI) 的技术,在企业局域网边界处对常用的应用层协议(SMTP、POP3、HTTP、FTP)数据流进行过滤处理。用户不需要更改网络结构和客户端计算机的参数设置,只需要在网关防火墙处插入TOPSEC AV,即可对通过的数据进行在线过滤。它对流经防火墙的网络数据内容进行安全检查。为用户提供简便有效的病毒过滤功能,防止电脑病毒以及恶性程序的入侵。
基本参数 | |
并发连接数 | 1000000 |
VPN支持 | 支持 |
网络吞吐量(Mbps) | 1000 |
用户数限制 | 无用户数限制 |
入侵检测 | Dos、DDoS |
主要功能 | 防火墙, 支持多种身份认证, 加密支持, 地址转换, 实时监控, 管理功能 |
安全标准 | UL 1950, EN 41003, AS/NZS 3260, AS/NZS 3548, Class A, CSA Class A, FCC Class A, EN 60555-2, VCCI (ClassII) |
控制端口 | Console |
管理 | SNMP |
电源电压(V) | AC 110/220V 50/60HZ ,3.0A;电源功率260W |
清华得实 NetST3000 防火墙
(参考价:448000元)
清华得实NetST紫荆盾系列防火墙是清华同方安全开发的具有自主知识产权的网络安全防护产品。经过多年努力,NetST系列防火墙产品在技术上取得了重大突破,采用先进的软硬件体系结构,利用先进的内核检测技术、防火墙技术、VPN技术、高可用性技术、入侵检测技术和内容过滤技术等,将高速的网络性能、高度的安全性能与简单易用的特点有机地结合在一起,是一套全面、高安全性、高性能、高可用性的网络安全防护系统。该产品经国内专家鉴定,其多项指标已经达到国际先进水平。
清华得实 NetST3000适用中大型网络环境,具有优异的网络性能和良好的扩展性。产品采用独创的内核检测技术,即基于操作系统内核的会话检测技术,在操作系统内核实现对应用层的访问控制。Syn代理技术防止Dos、D-Dos攻击,对常见病毒有强大得防护能力,可根据需要有效地防止木马软件以及QQ,BT等软件。
支持802.1Q VLAN、SNMP网管协议、DHCP协议,GRE、IPSEC、PPTP……支持Tcp/Ip协议簇的各种协议。拥有超级的内容过滤功能,提供对可能的危险信息或容易挤占网络带宽的数据的过滤。支持对VPN通信的安全控制,支持带宽流量管理,可以有效的对用户进行带宽流量控制。
高保密VPN功能,具有完善的VPN功能,提供对IPSEC、L2TP,PPTP的支持,并支持NAT的穿越和桥模式下的VPN。同时拥有简单、安全的管理功能,提供了本地管理和远程管理两种方式。强大的安全性和扩展功能,可以满足酒店,医院等大型网络部署的需求。
基本参数 | |
并发连接数 | 1200000 |
VPN支持 | 支持 |
网络吞吐量(Mbps) | 600 |
用户数限制 | 无用户数限制 |
入侵检测 | Dos、DDoS |
主要功能 | 全面的访问控制功能,包括地址、协议、端口、时间、用户等灵活的访问控制方法,支持动态、静态,一对一、多对一等各种NAT,支持实现防火墙保护的服务器之间的负载均衡 |
安全标准 | GB/T180199-1999 |
控制端口 | RS-232 |
管理 | SNMP |
电源电压(V) | 220 |
结束语
本文所推介的四款高性能硬件防火墙是针对大型网络部署的网络安全设备,非常适用于酒店和医院这样重要复杂的网络环境,是酒店和医院用户网络安全部署可靠的选择。此外,在做好硬件防火墙的部署之外,网络内部也必须安装软件防火墙,确保准确高效的防护性能,硬件防火墙与软件防火墙的冗余调度才是理想的解决方案。