防火墙解决方案模版.doc

资源描述

内容简述用途密级说明上次修改 SecPath 防火墙技术建议书模板用于撰写和 SecPath 防火墙相关的技术建议书内部公开严禁外传 2005 7 12 防火墙解决方案模版杭州华三通信技术有限公司安全产品行销部 2005 年 07 月 08 日目录一防火墙部署需求分析 3 二防火墙部署解决方案 4 2 1 数据中心防火墙部署 4 2 2 INTERNET 边界安全防护 6 2 3 大型网络内部隔离 9 三防火墙部署方案特点 12 一防火墙部署需求分析随着网络技术不断的发展以及网络建设的复杂化需要加强对的有效管理和控制这些管理和控制的需求主要体现在以下几个方面网络隔离的需求主要是指能够对网络区域进行分割对不同区域之间的流量进行控制控制的参数应该包括数据包的源地址目的地址源端口目的端口网络协议等通过这些参数可以实现对网络流量的惊喜控制把可能的安全风险控制在相对独立的区域内避免安全风险的大规模扩散攻击防范的能力由于 TCP IP 协议的开放特性尤其是 IP V4 缺少足够的安全特性的考虑带来了非常大的安全风险常见的 IP 地址窃取 IP 地址假冒网络端口扫描以及危害非常大的拒绝服务攻击 DOS DDOS 等必须能够提供对这些攻击行为有效的检测和防范能力的措施流量管理的需求对于用户应用网络必须提供灵活的流量管理能力保证关键用户和关键应用的网络带宽同时应该提供完善的 QOS 机制保证数据传输的质量另外应该能够对一些常见的高层协议提供细粒度的控制和过滤能力比如可以支持 WEB 和 MAIL 的过滤可以支持 BT 识别并限流等能力用户管理的需求内部网络用户接入局域网接入广域网或者接入 Internet 都需要对这些用户的网络应用行为进行管理包括对用户进行身份认证对用户的访问资源进行限制对用户的网络访问行为进行控制等二防火墙部署解决方案防火墙是网络系统的核心基础防护措施它可以对整个网络进行网络区域分割提供基于 IP 地址和 TCP IP 服务端口等的访问控制对常见的网络攻击方式如拒绝服务攻击 ping of death land syn flooding ping flooding tear drop 端口扫描 port scanning IP 欺骗 ip spoofing IP 盗用等进行有效防护并提供 NAT 地址转换流量限制用户认证 IP 与 MAC 绑定等安全增强措施根据不同的网络结构不同的网络规模以及网络中的不同位置的安全防护需求防火墙一般存在以下几种部署模式 2 1 数据中心防火墙部署防火墙可以部署在网络内部数据中心的前面实现对所有访问数据中心服务器的网络流量进行控制提供对数据中心服务器的保护其基本部署模式如下图所示除了完善的隔离控制能力和安全防范能力数据中心防火墙的部署还需要考虑两个关键特性高性能数据中心部署大量的服务器是整个网络的数据流量的汇集点因此要求防火墙必须具备非常高的性能保证部署防火墙后不会影响这些大流量的数据传输不能成为性能的瓶颈高可靠大部分的应用系统服务器都部署在数据中心这些服务器是整个企业或者单位运行的关键支撑必须要严格的保证这些服务器可靠性与可用性因此部署防火墙以后不能对网络传输的可靠性造成影响不能形成单点故障基于上述两个的关键特性我们建议进行以下设备部署模式和配置策略的建议设备部署模式如上图所示我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接为了保证系统的可靠性我们建议配置两台防火墙为双机热备方式在实现安全控制的同时保证线路的可靠性同时可以与动态路由策略组合实现流量负载分担安全控制策略防火墙设置为默认拒绝工作方式保证所有的数据包如果没有明确的规则允许通过全部拒绝以保证安全建议在两台防火墙上设定严格的访问控制规则配置只有规则允许的 IP 地址或者用户能够访问数据中心中的指定的资源严格限制网络用户对数据中心服务器的资源以避免网络用户可能会对数据中心的攻击非授权访问以及病毒的传播保护数据中心的核心数据信息资产配置防火墙防 DOS DDOS 功能对 Land Smurf Fraggle Ping of Death Tear Drop SYN Flood ICMP Flood UDP Flood 等拒绝服务攻击进行防范可以实现对各种拒绝服务攻击的有效防范保证网络带宽配置防火墙全面攻击防范能力包括 ARP 欺骗攻击的防范提供 ARP 主动反向查询 TCP 报文标志位不合法攻击防范超大 ICMP 报文攻击防范地址端口扫描的防范 ICMP 重定向或不可达报文控制功能 Tracert 报文控制功能带路由记录选项 IP 报文控制功能等全面防范各种网络层的攻击行为根据需要配置 IP MAC 绑定功能对能够识别 MAC 地址的主机进行链路层控制实现只有 IP MAC 匹配的用户才能访问数据中心的服务器其他可选策略可以启动防火墙身份认证功能通过内置数据库或者标准 Radius 属性认证实现对用户身份认证后进行资源访问的授权进行更细粒度的用户识别和控制根据需要在两台防火墙上设置流量控制规则实现对服务器访问流量的有效管理有效的避免网络带宽的浪费和滥用保护关键服务器的网络带宽根据应用和管理的需要设置有效工作时间段规则实现基于时间的访问控制可以组合时间特性实现更加灵活的访问控制能力在防火墙上进行设置告警策略利用灵活多样的告警响应手段 E mail 日志 SNMP 陷阱等实现攻击行为的告警有效监控网络应用启动防火墙日志功能利用防火墙的日志记录能力详细完整的记录日志和统计报表等资料实现对网络访问行为的有效的记录和统计分析设备选型建议我们建议选择 H3C SecPath 1800F 防火墙详细的产品介绍见附件 2 2 INTERNET 边界安全防护在 Internet 边界部署防火墙是防火墙最主要的应用模式绝大部分网络都会接入 Internet 因此会面临非常大的来自 Internet 的攻击的风险需要一种简易有效的安全防护手段 Internet 边界防火墙有多种部署模式基本部署模式如下图所示通过在 Internet 边界部署防火墙主要目的是实现以下三大功能来自 Internet 攻击的防范随着网络技术不断的发展 Internet 上的现成的攻击工具越来越多而且可以通过 Internet 广泛传播由此导致 Internet 上的攻击行为也越来越多而且越来越复杂防火墙必须可以有效的阻挡来自 Internet 的各种攻击行为 Internet 服务器安全防护企业接入 Internet 后大都会利用 Internet 这个大网络平台进行信息发布和企业宣传需要在 Internet 边界部署服务器因此必须在能够提供 Internet 上的公众访问这些服务器的同时保证这些服务器的安全内部用户访问 Internet 管理必须对内部用户访问 Internet 行为进行细致的管理比如能够支持 WEB 邮件以及 BT 等应用模式的内容过滤避免网络资源的滥用也避免通过 Internet 引入各种安全风险基于上述需求我们建议在 Internet 边界采取以下防火墙部署策略设备部署模式如上图所示我们建议在核心交换机与 Internet 路由器之间配置两台防火墙两台防火墙与核心交换机以及 Internet 路由器之间采取全冗余连接保证系统的可靠性为了保证系统的可靠性我们建议配置两台防火墙为双机热备方式在实现安全控制同时保证线路的可靠性同时可以与内网动态路由策略组合实现流量负载分担安全控制策略防火墙设置为默认拒绝工作方式保证所有的数据包如果没有明确的规则允许通过全部拒绝以保证安全配置防火墙防 DOS DDOS 功能对 Land Smurf Fraggle Ping of Death Tear Drop SYN Flood ICMP Flood UDP Flood 等拒绝服务攻击进行防范配置防火墙全面安全防范能力包括 ARP 欺骗攻击的防范提供 ARP 主动反向查询 TCP 报文标志位不合法攻击防范超大 ICMP 报文攻击防范地址端口扫描的防范 ICMP 重定向或不可达报文控制功能 Tracert 报文控制功能带路由记录选项 IP 报文控制功能等由外往内的访问控制规则通过防火墙的访问控制策略拒绝任何来自 Internet 对内网的访问数据保证任何 Internet 数据都不能主动进入内部网屏蔽所有来自 Internet 的攻击行为由外往 DMZ 的访问控制规则通过防火墙的访问控制策略控制来自 Internet 用户只能访问 DMZ 区服务器的特定端口比如 WWW 服务器 80 端口 Mail 服务器的 25 110 端口等其他通信端口一律拒绝访问保证部属在 DMZ 区的服务器在安全的前提下有效提供所需的服务由内往外的访问控制规则通过防火墙的访问控制策略对内部用户访问 Internet 进行基于 IP 地址的控制初步实现控制内部用户能否访问 Internet 能够访问什么样的 Inertnet 资源通过配置防火墙提供的 IP MAC 地址绑定功能以及身份认证功能提供对内部用户访问 Internet 的更严格有效的控制能力加强内部用户访问 Internet 控制能力通过配置防火墙提供的 SMTP 邮件过滤功能和 HTTP 内容过滤实现对用户访问 Internet 的细粒度的访问控制能力实现基本的用户访问 Internet 的行为管理由内往 DMZ 的访问控制规则通过防火墙的访问控制策略控制来自内部用户只能访问 DMZ 区服务器的特定端口比如 WWW 服务器 80 端口 Mail 服务器的 25 110 端口等其他通信端口一律拒绝访问保证部属在 DMZ 区的服务器在安全的前提下有效提供所需的服务对于服务器管理员通过防火墙策略设置进行严格的身份认证等措施后可以进行比较宽的访问权限的授予在安全的基础上保证管理员的网络访问能力由 DMZ 往内的访问控制规则通过防火墙的访问控制策略严格控制 DMZ 区服务器不能访问或者只能访问内部网络的必需的资源避免 DMZ 区服务器被作为跳板攻击内部网用户和相关资源其他可选策略可以启动防火墙身份认证功能通过内置数据库或者标准 Radius 属性认证实现对用户身份认证后进行资源访问的授权根据需要在两台防火墙上设置流量控制规则实现对网络流量的有效管理有效的避免网络带宽的浪费和滥用保护网络带宽根据应用和管理的需要设置有效工作时间段规则实现基于时间的访问控制可以组合时间特性实现更加灵活的访问控制能力在防火墙上进行设置告警策略利用灵活多样的告警响应手段 E mail 日志 SNMP 陷阱等实现攻击行为的告警有效监控网络应用启动防火墙日志功能利用防火墙的日志记录能力详细完整的记录日志和统计报表等资料实现对网络访问行为的有效的记录和统计分析设备选型建议我们建议选择 H3C SecPath 1000F 100F 防火墙详细的产品介绍见附件 2 3 大型网络内部隔离在比较大规模或者比较复杂的网络中需要对内部网络进行有效的管理以实现对整个网络流量的控制和安全风险的隔离其基本的防火墙部署模式如下图所示企业内部隔离防火墙主要应用在比较大型的网络中这些网络一般有多个层次的划分会有多个相对独立的网络接入节点需要对这些节点流量进行隔离和控制在这种大规模的分布式的部署模式中对防火墙的关键性的要求主要集中在管理特性上要求防火墙必须支持完善的集中管理模式通过统一的管理中心可以实现对全网部署的防火墙的集中管理并且可以支持分级管理基于这种需求我们建议进行如下防火墙部署设备部署模式如上图所示我们建议在总部核心交换机与广域路由器之间配置两台防火墙两台防火墙与核心交换机以及广域路由器之间采取全冗余连接保证系统的可靠性为了保证系统的可靠性我们建议配置两台防火墙为双机热备方式在实现安全控制同时保证线路的可靠性同时可以与内网动态路由策略组合实现流量负载分担安全控制策略防火墙设置为默认拒绝工作方式保证所有的数据包如果没有明确的规则允许通过全部拒绝以保证安全配置防火墙防 DOS DDOS 功能对 Land Smurf Fraggle Ping of Death Tear Drop SYN Flood ICMP Flood UDP Flood 等拒绝服务攻击进行防范可以实现对各种拒绝服务攻击的有效防范保证网络带宽配置防火墙全面攻击防范能力包括 ARP 欺骗攻击的防范提供 ARP 主动反向查询 TCP 报文标志位不合法攻击防范超大 ICMP 报文攻击防范地址端口扫描的防范 ICMP 重定向或不可达报文控制功能 Tracert 报文控制功能带路由记录选项 IP 报文控制功能等全面防范各种网络层的攻击行为根据需要配置 IP MAC 绑定功能对能够识别 MAC 地址的主机进行链路层控制由上往下的访问控制规则建议在两台防火墙上设定严格的访问控制规则对实现总部网络访问下级网络的严格控制只有规则允许的 IP 地址或者用户能够访问下级网络中的指定的资源以避免总部网络可能会对下级网络的攻击非授权访问以及病毒的传播由上往下的访问控制规则建议在两台防火墙上设定严格的访问控制规则对实现下级网络访问总部局域网的严格控制只有规则允许的 IP 地址或者用户能够访问总部局域网的指定的资源以避免下级网络中复杂的用户可能会对总部网络的攻击非授权访问以及病毒的传播其他可选策略可以启动防火墙身份认证功能通过内置数据库或者标准 Radius 属性认证实现对用户身份认证后进行资源访问的授权根据需要在两台防火墙上设置流量控制规则实现对网络流量的有效管理有效的避免网络带宽的浪费和滥用保护网络带宽根据应用和管理的需要设置有效工作时间段规则实现基于时间的访问控制可以组合时间特性实现更加灵活的访问控制能力在防火墙上进行设置告警策略利用灵活多样的告警响应手段 E mail 日志 SNMP 陷阱等实现攻击行为的告警有效监控网络应用启动防火墙日志功能利用防火墙的日志记录能力详细完整的记录日志和统计报表等资料实现对网络访问行为的有效的记录和统计分析设备选型建议我们建议选择 H3C SecPath 1000F 100F 防火墙详细的产品介绍见附件三防火墙部署方案特点高安全防火墙的安全特性主要体现在以下几个方面防火墙自身的安全性指防火墙抵抗针对防火墙系统自身攻击的风险很多防火墙自身都存在一些安全漏洞可能会被攻击者利用尤其是一些基于 Linux 操作系统平台的防火墙防火墙安全控制能力主要指防火墙通过包过滤代理或者状态检测等机制对进出的数据流进行网络层的控制一般防火墙都支持状态检测机制状态检测已经是一种比较成熟的模式不存在太多的差别关键的差别在于对不同应用协议的支持能力尤其是一些语音视频等相关的协议防火墙防御 DOS DDOS 攻击的能力所有的 DOS DDOS 攻击的流量只要经过防火墙防火墙必须有足够强的能力处理这些数据流并且能把这些恶意数据有效的过滤掉对相关的网段提供性能保护高层应用协议的控制能力防火墙应该能够对一些常见的高层协议提供细粒度的控制和过滤能力比如可以支持 WEB 和 MAIL 的过滤可以支持 BT 识别并限流等能力 H3C 防火墙优势 H3C SecPath 防火墙提供标准和扩展的 ACL 包过滤支持 H3C 特有的 ASPF Application Specific Packet Filter 技术可实现对每一个连接状态信息的维护监测并动态地过滤数据包支持对 HTTP FTP RTSP H 323 包括 T 120 Q 931 RAS H 245 等以及通用的 TCP UDP 应用进行状态监控 SecPath 防火墙提供多种攻击防范技术和智能防蠕虫病毒技术有效的抵御各种攻击 SecPath 防火墙支持应用层过滤提供 Java Blocking 和 ActiveX Blocking 支持细粒度内容过滤能力包括 SMTP 邮件地址过滤 SMTP 邮件标题过滤 SMTP 邮件内容过滤 HTTP URL 过滤 HTTP 内容过滤等等高性能防火墙的性能特性主要体现在以下几个方面吞吐量吞吐量指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力业界默认一般都采用大包衡量防火墙对报文的处理能力最大并发连接数由于防火墙是针对连接进行处理报文的并发连接数目是指的防火墙可以同时容纳的最大的连接数目一个连接就是一个 TCP UDP 的访问每秒新建连接数指每秒钟可以通过防火墙建立起来的完整 TCP UDP 连接该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度如果该指标低会造成用户明显感觉上网速度慢在用户量较大的情况下容易造成防火墙处理能力急剧下降并且会造成防火墙对网络病毒防范能力很差 H3C 防火墙优势 H3C SecPath 防火墙是基于 MIPS 架构的 NP 处理器技术的防火墙处理性能更加优越并且系统更稳定高端旗舰产品 SecPath F1800 A 产品采用业界最先进的网络业务处理器进行设计防火墙的转发平面由 32 个硬件线程实时处理能够达到 64 字节小包文 3GE 的线速并发会话数在 1 百万性能远远超过国内友商的千兆防火墙部署管理能力防火墙的管理特性主要体现能够通过集中管理系统进行分布式部署和监控在一些大规模部署防火墙的环境下对这种管理又非常迫切的需求 H3C 防火墙优势 H3C 全线 SecPath 防火墙产品支持通过统一的 H3C QuidView 网络管理平台进行管理实现与网络设备完全一致管理大大简化防火墙设备的部署管理和监控同时也提供 Http Https 等管理模式全面的可靠性保证防火墙的可靠性特性主要体现硬件平台的可靠性软件平台的可靠性以及设备级的双机备份和负载均衡能力 H3C 防火墙优势 H3C 全线 SecPath 防火墙产品采用网络设备专用硬件平台非通用工控机架构提供模块热插拔电源冗余机箱温度监控等特性采用 H3C 自主开发成熟的 COMWARE 系统平台提供全面丰富网络安全特性充分保证系统的稳定性和私密性支持通过专有协议进行双机热备支持防护墙之间的状态同步保证提供出现故障时自动无缝切换支持通过 VRRP 实现负载均衡和基于 OSPF 路由协议的负载均衡支持多个防火墙的负载均衡可以实现基于服务器的负载均衡及其冗余备份全面的网络基础特性防火墙的网络基础特性主要体现对 QOS 的全面支持防火墙作为网络关键位置部署的网络流量转发设备必须具备完善的 QOS 特性才能保证整网 QOS 策略的有效的实施 H3C 防火墙优势全线 SecPath 防火墙产品都具备丰富的基本网络特性包括 RIP OSPF BGP 策略路由路由策略等全面的路由协议的支持同是提供全面丰富的 QOS 支持能力支持流量监管 Traffic Policing 支持 FIFO PQ CQ WFQ CBWFQ RTPQ 等队列技术支持 WRED 拥塞避免技术支持 GTS 流量整形支持 CAR LR 接口限速等

展开阅读全文