孕妇梦见吃人肉:黑龙江电视台全台计算机网络安全方案的设计与选型（下）-依马狮广电网

黑龙江电视台全台计算机网络安全方案的设计与选型（下）

出处：依马狮网 作者：黑龙江电视台 贾占林 责任编辑： 日期：2005-10-16 15:10:01 所属期刊：200509

---

    （接上期）
    TOPSEC网络安全体系，以天融信网络卫士（NGFW）系列防火墙产品为核心，以天融信自主设计的TOPSEC（Talent Open Protocol for Security）协议为基础框架，以PKI/CA体系为安全支撑和保障，与IDS安全技术和优秀IDS网络安全产品在技术上有机集成，实现安全产品之间的互通与联动，形成一个统一的、可扩展的安全体系平台，而且通过先进的检测、联动方式使网络的整体吞吐率几乎不受到影响（如图所示）。
    目前国内的绝大部分IDS厂商和国外的一些IDS厂商均支持TOPSEC（Talent Open Protocol for Security）协议，和天融信网络卫士（NGFW）系列防火墙产品形成有机联动。如：启明星辰、北方计算中心、安士等。

    （4）防火墙与防病毒的联动
    防病毒是网络安全的另一个重要方面，计算机病毒的爆发对企业的安全构成了极大的威胁；不少病毒还被网络黑客利用，里应外合对企业的资产造成了无法估量的危害。病毒的可怕不止在于其本身具有的破坏力，更在于其强大的传播能力，而且传播能力越强，生存的机率就越大。越是网络应用水平高，共享资源访问频繁的环境中，计算机病毒的蔓延速度就会越快。企业的Internet、Intranet应用环境就是病毒传播、生存最快、最好的温床。因此一个好的防病毒系统将是网络管理员的有力助手。
    支持TOPSEC（Talent Open Protocol for Security）协议，和天融信网络卫士（NGFW）系列防火墙产品形成有机联动的国内外厂商有：趋势、北信源、熊猫等。
    3.天融信网络卫士防火墙技术
    网络卫士防火墙是天融信公司积9年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上，基于对网络安全的深刻理解，融合网络科技的最新成果，独创了系列安全构架和实现技术，经过多年的研究和近两年的开发所完成的最新一代防火墙产品。
    防火墙通过使用大量独创性专利技术，构造了一个安全、高效、可靠、应用极大方便灵活的防火墙系统；为客户提供最优秀的性能及功能保证。同时最完善的、最成熟地实现和支持了天融信的TOPSEC协议和体系。
    防火墙特别适用于网络结构复杂、应用丰富、高带宽、高流量的大中型中心骨干级网络环境。
    天融信防火墙系统特点如下：
    a.采用独创的最新最先进的技术
    核检测技术，即基于OS内核的会话检测技术，在OS内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲，不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。
    b.采用独创的先进的设计思想
    面向资源的进行设计，对不同对象的具体的组成资源，如文件、防火区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等，直接进行控制，极大的提高了安全性，并保证了配置的方便性。
    c.先进独特的防火墙策略体系
    面向资源的防火墙策略体系。建立独立的防火区域，通过中央管理接口、管理端口协议、不同节点对象（网络邻居、自定义网路、防火墙所在子网等）、协议类型、应用行为等不同资源配置策略，使防火墙的策略配置更加简单，且便于维护。
    d.分层式管理结构
    防火墙的管理采用集中的层次管理结构，实现“防火墙—防火区—对象—资源”的安全策略定义结构。配置简单、配置安全性高；管理简单、维护方便；更好的保证了性能。
    e.支持业界公认的TOPSEC协议
    良好的体系构架设计充分保障了TOPSEC协议的高效实现，可以支持与IDS、防病毒、加密产品等的联动，改变网络安全产品孤立工作的状态，大大提高系统安全性。是TOPSEC解决方案的端－端解决方案的核心组成部分。
    TOPSEC（Talent Open Protocol of SECurity）协议是天融信公司在安全解决方案中引入的一种网络安全的新技术，它通过标准的、安全的、可扩展的框架体系，可集成多种网络安全技术和产品，从而构造一个以防火墙为核心、多种安全技术和产品协同工作的完整的网络安全体系。在相关安全产品能够相互通信并协同工作的基础上，实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动，以实现最大程度和最快效果的安全保证。
    f.适用更广泛的网络及应用环境
    支持众多网络通信协议和应用协议，如DHCP、VLAN、ADSL、IPX、RIP、ISL、802.1Q、Spanning tree、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、H.323、BOOTP等，使4000防火墙适用网络的范围更加广泛，保证用户的网络应用。方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用。
    g.支持多种工作模式
    可以支持透明、路由和混合工作模式。其中，独创的混合模式源于天融信网络接口物理实现技术和天融信专用安全协议实现，并在NGFW4000-UF-VPN中进行了重新设计和实现，进一步得到了优化，方便适用于复杂网络结构和应用的接入。
    h.支持远程集中管理
    可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。实现统一的安全政策布署，保证整个系统的安全策略的一致性，提高整个系统的安全强度。
NGFW4000-UF-VPN的主要配置和管理都是基于Web方式的，管理主机不需要安装专门的管理软件，只需通常的浏览器软件，就可以在不同操作系统平台、不同地域对防火墙进行配置和管理。
    i.支持负载均衡和双机备份
    支持多台防火墙之间的热机备份和负载均衡；支持多台服务器之间的负载均衡。不但更好的试用不同的网络环境，且更好的提供高性能和保证可靠性。
    支持服务器的负载均衡。
    NGFW4000-UF-VPN防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡，同时可以识别出故障的服务器。
    以上网络安全方案已经在我台正式运行6个多月，运行稳定，效果良好，为我台计算机系统的稳定运行提供了基本保障。