博达面向中小企业的防火墙应用方案

一.产品介绍

1.产品简介

博达博御防火墙BDCOM Secutor F1607，是上海博达数据通信有限公司为中小型企业及企业分支机构用户开发的一款百兆防火墙。产品采用网络处理 器NP架构，一体化技术开发。具有结构先进、低功耗、无噪音、性能优异、稳定可靠、安全性高、功能强大等特点。

博达博御防火墙BDCOM Secutor F1607提供7个10/100M以太网口，其中集成了4个交换口。灵活划分LAN、WAN、DMZ等区域。支持路由、网桥、混合等多种模式。产品功能强大，集状态检测包过滤、地址转换、入侵检测、蠕虫阻断、应用代理、内容过滤、虚拟专网、用户认证、宽带接入和带宽控制、日志审计等诸多功能于一身。

博达博御防火墙BDCOM Secutor F1607以其优异的性价可以满足中小型企业及企业分支机构用户的互联网接入、专网访问控制、VPN组网等各项安全需求，为用户构建起安全、广泛、稳固、高效、便捷的网络。

2.产品照片(略) 3.产品特点

NP架构，性能出众：产品采用新型NP架构，通信接口集成到NP处理器中，突破传统工控机PCI总线结构的性能瓶颈。优化软硬件设计，极大提升数据处理能力，真正实现高速转发。硬件芯片支持VPN加速处理，VPN包转发性能最大可达70M；

轻巧安静，低功耗，稳定可靠：产品采用嵌入式一体化硬件设计，结构轻巧，功耗极低，无需风扇，安静清洁，故障点少，可长时间稳定运行；

内置四口交换机：产品集成4个10/100M以太网交换口，芯片级快速交换。可直接汇聚下级集线器或工作组交换机，也可用于直接连接服务器；

功能强大，物超所值：产品针对中小企业应用特点，强化了Internet宽带接入和带宽控制、防蠕虫病毒和攻击、上网控制和内容过滤、VPN和日志审计等特性，将防火墙提升为综合安全平台。

4.产品经理推介

博达网络安全产品经理：王磊

正是由于博达博御防火墙BDCOM Secutor F1607具有了上述这些特点和优势，一经推出即受到了广大用户的青睐，是博达博御1000系列防火墙中的最热销的一款产品，被广泛应用于金融、政府、教育、军队、企业的互连网接入、专网访问控制和VPN组网等场合。

5.产品规格

转发能力1518byte大包线速，64byte小包15M最大并发连接数20万条硬件VPN性能70M策略数2000VPN隧道数1000

处理器Intel IXP NP处理器内存128MB闪存8MB网络接口7个10/100M自适应以太网口串口1个RJ45端口供电内置220V电源静态功耗≤10W工作温度0~50摄氏度工作湿度10~95%(非冷凝)外形尺寸440(宽)x165(深)x40(高)mm(19寸、1U)

6.商务信息

联系方式：请与博达总部及上海、北京、广州、武汉、成都、沈阳、西安、兰州、南京等九大平台和石家庄、天津、太原、呼和浩特、哈尔滨、长春、银川、西宁、乌鲁木齐、郑州、合肥、济南、杭州、福州、重庆、南宁、贵阳、南昌、长沙、昆明、海口等各地办事处联系。具体联系方式，请访问博达网站www.bdcom.com.cn或致电021-50800666。

媒体参考价格：58000元人民币

公司网址：www.bdcom.com.cn

二.典型应用方案

1.网络拓扑

中小企业典型应用网络拓扑示意图

2.方案说明

在中小企业内部局域网和外部互联网边缘部署博达博御防火墙BDCOM Secutor F1607。

宽带接入

F1607采用路由模式，WAN口连接互联网，支持多种宽带接入方式，包括有固定IP的专线方式和动态IP的PPPoE拨号方式等。

配置缺省路由，将所有向外的通信指向上一级网关。如果F1607同时作为专网接入或VPN接入，则可以采用静态路由或源策略路由将不同类型的通信指向不同的出口或下一跳。

如果采用多线路接入，则可配置负载均衡，将流量均衡到不同的线路上去。F1607支持设置均衡权值，例如，采用两个ISP的线路，其中一条带宽为1M，另外一条带宽为512K，在设置流量均衡时，可将1M线路和512K线路所承担的流量比设置为67%：33%。流量均衡是基于状态的，也就是说，同一连接的所有流量都会恒定从一条线路走，因此，即使对于复杂的通信，F1607也应对自如。在F1607的WAN接口上配置源地址转换，将内部私网IP地址转换为WAN接口的固定或动态公网IP地址，也可采用IP Pool方式， 使用ISP分配的一段地址。F1607支持DHCP Server和DNS功能，对于小规模的网络，可以自动为内部用户动态分配IP地址、网关、DNS等参数，简化了网络配置和管理。

内置四口交换机

F1607的4个LAN为交换口，它们之间可以实现芯片级的快速转发。对于一般中小企业用户，局域网的几台服务器可直接通过这4个LAN口接入F1607。连接局域网用户的集线器或交换机也可以直接在F1607上汇聚。省去了一台分布层交换机，为用户节省了投资，同时简化了网络拓扑，减少了中间节点和故障点，也有助于提高网络的整体性能。

状态检测包过滤

F1607缺省包过滤规则为全禁止，因此需要在防火墙上配置包过滤规则。对于中小企业的互联网接入应用，一般配置内到外单通即可，也就是说，对于内部局域网到外部互联网的所有通信基本不做限制，而从外部互联网返回的通信基于状态检测。所谓状态检测就是防火墙基于动态维护的状态表的内容转发或拒绝数据包。状态表记录了从受保护网络发出的数据包的状态信息，防火墙根据该表的内容对返回数据包进行分析判断，只有与状态表中记录相关的合法返回数据包才被允许进入受保护网络。这种机制的转发效率更高；比路由器上静态的ACL规则更安全；配置使用也更简便。

F1607支持基于源和目的IP地址、源和目的TCP/UDP端口的包过滤规则，可以有效控制特定的应用，如控制MSN、OICQ等。

F1607支持基于时间的包过滤规则，为中小企业控制上网提供了便捷。如周一至周五的9：00－18：00禁止MSN、OICQ。

考虑到视频、语音的应用日益广泛，F1607在包过滤方面对H.323等协议也有周到细致的设计，可以很好支持视频、语音等数据的穿透。

内容过滤

为进一步增强对上网的控制，F1607支持URL、DNS过滤，可以对访问URL和DNS域名进行有效过滤，并可结合时间策略，如上班时间禁止访问某些与工作无关的音乐、影视网站。

F1607还内置了网站内容分级过滤库，可以对常见的色情、暴力、政治、游戏、证券类的网页进行阻挡。

带宽控制

F1607支持基于TCP/UDP/IP/ICMP/时间的带宽控制，可限制通信的带宽和保证最低带宽，从而保证邮件、OA、ERP、业务等重要系统和语音、视频等实时性要求高的通信的带宽和优先。

抗蠕虫病毒和入侵

在F1607启动内置IDS，可以对33类常见入侵进行检测，同时启动防火墙内部联动，可对发现的入侵进行日志、报警和IP封禁，减小对网络和设备的冲击。如网络上采用了第三方的IDS设备，F1607也可和其进行联动。

F1607还具有特有的蠕虫阻断功能，该功能是IDS功能的有效补充。防火墙根据单位时间某类报文的统计信息来分析判断是否属于蠕虫发作行为，如被判定为蠕虫攻击，则F1607会果断进行报文丢弃处理。

VPN接入

F1607可同时提供VPN接入，可用于VPN连接上级网络或为移动用户提供拨入。常用的VPN协议有Ipsec和PPTP。

由于F1607采用NP处理器，支持硬件DES/3DES/AES等加密处理，因此，VPN不会影响Internet接入性能，同时也可保证自身性能。

F1607支持IPSec的NAT穿透，支持PPPoE方式下的动态IP接入，支持VPN的包过滤，支持PKI、IKE等多种密钥方式。可以满足当前各种复杂的VPN应用环境。

日志审计

F1607提供丰富的日志审计信息，配置相关日志审计功能，提供流量日志、管理日志、网络监控日志、蠕虫日志等多种日志功能，并提供日志存储、日志统计查询和日志告警等功能。通过流量日志可以记录和审计网吧用户上网的流量信息；通过管理日志可以记录和审计有关人员对防火墙的各项管理操作；通过网络监控日志可以记录和审计IDS状况；通过蠕虫日志可以记录和审计网络蠕虫状况。当发生违安全策略或出现非法攻击和蠕虫活动时，日志会告警。管理员可通过日志记录信息，及时定位局域网上的问题主机，对其进行彻底清查，从而及时和彻底消除蠕虫病毒和攻击对网络的影响。

相关文章