神州数码”终结者”多核防火墙助力国家林业系统
2009-08-24   

国家林业局是主管林业工作的国务院直属机构。内设植树造林司、森林资源管理司、野生动植物保护司、森林公安、科学技术司等。负责研究森林生态环境建设、森林资源保护，植树造林，防治水土流失和防沙、治沙工作等。对国家的经济建设具有重要的作用。林业系统的下属机关众多，随着信息化的发展，越来越多的系统应用，对系统的管理要求、安全防护控制也随之变得日趋复杂。神州数码作为国内优秀的网络产品、解决方案、安全服务供应商，在奥运期间针对国家林业系统进行了全面的网络安全风险评估。经过分析发现内部网络系统中存在着ARP病毒，针对系统存在的潜在问题提出相应的解决方案，部署了DCFW-1800E-2G”终结者”多核防火墙系统。ARP病毒可以说是现在局域网中的杀手，ARP全称为Address Resolution Protocol，地址解析协议。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP欺骗是利用ARP处理的无状态特性，通过伪造IP地址和MAC地址实现ARP欺骗，主动的向受害站点发送虚假ARP应答包，从而在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出ARP响应包就能更改受攻击站点ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等的都是ARP欺骗的表现。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。神州数码”终结者”多核防火墙采用了屡获殊荣的神州数码DCFOS安全内核，系统在底层通过修改并加固ARP协议，通过ARP Tool的客户端在驱动层实现了自动阻止客户端非法ARP发包请求并且实现双向ARP认证。全面、彻底地杜绝来自内网ARP及DDoS攻击。

 

图片1

同时，如果客户端未安装，网关还可以自动侦测未安装ARP Tool的客户端，上网请求会被重定向到网关进行强制安装。在实际使用中，由于网络传播及U盘携带的ARP病毒所带来的网络延迟增大，网络资源很难打开等问题迎刃而解。
    在实施了ARP的终端控制策略后，网络速度提高很多。但还是出现了一些高延迟的现象。技术工程师通过抓包分析，发现外部网中的P2P流量非常高。于是将P2P流量控制功能打开，针对关键的WEB服务、视频会议系统等进行带宽保障，如果外部对WEB服务，视频会议等系统的访问数据量增大，”终结者”多核防火墙智能的先对保障级最低的P2P下载进行限制，颗粒度最小可达1K。其次将保障级为中的内部访问外部的流量进行弹性控制，将其控制在一定范围内。通过”终结者”多核防火墙系统不仅使终端用户的灵活、平滑、无缝的体会到了安全管理控制的好处，并且保障了关键应用，做到安全管控的“润物细无声“。

图片2

图片3

同时，该产品还提供了边界服务增益、关键服务增益、全局服务增益、终端控制增益四大增益模块。支持IPSEC VPN+SSL VPN的全面的VPN解决方案。支持OSPF封装。提供了对关键业务和链路保障的多链路负载均衡、链路捆绑、服务器负载均衡功能，并且具有强大的访问控制功能及即时通讯软件控制。”终结者”多业务网关的DCFOS内核完全满足国家等级保护（三级）对边界网关防护的技术要求，保障国家林业系统的边界安全。”终结者”多业务网关作为神州数码NgN多维绿网的重要组成部分，将为更多行业的客户的安全保驾护航，神州数码网络-中国的民族品牌将为民族的信息安全崛起发挥更大作用。