文档介绍：该【防火墙解决方案模版 】是由【花双韵芝】上传分享，文档一共【22】页，该文档可以免费在线阅读，需要了解更多关于【防火墙解决方案模版 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。内容简述用途密级说明上一次改正SecPath防火墙技术建议书用于撰写和SecPath防火内部公然,禁止2005-7-12模板墙有关的技术建议书外传防火墙解决方案模版通讯技术有限公司安全产品德销部防火墙解决方案模版2005年07月08日防火墙解决方案模版目录一、防火墙部署需求剖析...................................................................................错误!不决义书签。二、防火墙部署解决方案...................................................................................错误!不决义书签。................................................................................错误!不决义书签。............................................................................错误!不决义书签。....................................................................................错误!不决义书签。三、防火墙部署方案特色...................................................................................错误!不决义书签。防火墙部署需求剖析跟着网络技术不停的发展以及网络建设的复杂化,需要增强对的有效管理和控制,这些管理和控制的需求主要表此刻以下几个方面:网络隔绝的需求:主假如指能够对网络地区进行切割,对不一样地区之间的流量进行控制,控制的参数应当包含:数据包的源地点、目的地点、源端口、目的端口、网络协议等,经过这些参数,能够实现对网络流量的欣喜控制,把可能的安全风险控制在相对独立的地区内,防止安全风险的大规模扩散。攻击防备的能力:因为TCP/IP协议的开放特征,特别是考虑,带来了特别大的安全风险,常有的IPV4,缺乏足够的安全特征的IP地点盗取、IP地点冒充,网防火墙解决方案模版络端口扫描以及危害特别大的拒绝服务攻击(DOS、DDOS)等,一定能够供给对这些攻击行为有效的检测和防备能力的举措。流量管理的需求:关于用户应用网络,一定供给灵巧的流量管理能力,保证重点用户和重点应用的网络带宽,同时应当供给完美的QOS体制,保证数据传输的质量。此外,应当能够对一些常有的高层协议,供给细粒度的控制和过滤能力,比方能够支持WEB和MAIL的过滤,能够支持BT辨别并限流等能力;用户管理的需求:内部网络用户接入局域网、,都需要对这些用户的网络应用行为进行管理,包含对用户进行身份认证,对用户的接见资源进行限制,对用户的网络接见行为进行控制等;防火墙部署解决方案防火墙是网络系统的核心基础防备举措,它能够对整个网络进行网络地区切割,供给鉴于IP地点和TCP/IP服务端口等的接见控制;对常有的网络攻击方式,如拒绝服务攻击(pingofdeath,land,synflooding,pingflooding,teardrop,)、端口扫描(portscanning)、IP欺防火墙解决方案模版(ipspoofing)、IP盗用等进行有效防备;并供给NAT地点变换、流量限制、用户认证、IP与MAC绑定等安全增强举措。依据不一样的网络构造、不一样的网络规模、以及网络中的不一样地点的安全防备需求,防火墙一般存在以下几种部署模式:数据中心防火墙部署防火墙能够部署在网络内部数据中心的前面,实现对所有接见数据中心服务器的网络流量进行控制,供给对数据中心服务器的保护,其基本部署模式以下列图所示:防火墙解决方案模版除了完美的隔绝控制能力和安全防备能力,数据中心防火墙的部署还需要考虑两个重点特征:高性能:数据中心部署大批的服务器,是整个网络的数据流量的聚集点,所以要求防火墙一定具备特别高的性能,保证部署防火墙后不会影响这些大流量的数据传输,不可以成为性能的瓶颈;高靠谱:大多数的应用系统服务器都部署在数据中心,这些服务器是整个公司或许单位运转的重点支撑,一定要严格的保证这些服务器靠谱性与可用性,所以,部署防火墙此后,不可以对网络传输的靠谱性造成影响,不可以形成单点故障。鉴于上述两个的重点特征,我们建议进行以下设施部署模式和配置策略的建议:设施部署模式:如上图所示,我们建议在两台核心互换机与两台数据中心互换机之间配置两台防火墙,两台防火墙与两台核心互换机以及两台数据中心互换机之间采纳全冗余连结;为了保证系统的靠谱性,我们建议配置两台防火墙为双机热备方式,在实现安全控制的同时保证线路的靠谱性,同时能够与动向路由策略组合,实现流量负载分担;防火墙解决方案模版安全控制策略:防火墙设置为默认拒绝工作方式,保证所有的数据包,假如没有明确的规则同意经过,所有拒绝以保证安全;建议在两台防火墙上设定严格的接见控制规则,配置只有规则同意的IP地点或许用户能够接见数据中心中的指定的资源,严格限制网络用户对数据中心服务器的资源,以防止网络用户可能会对数据中心的攻击、非受权接见以及病毒的流传,保护数据中心的核心数据信息财产;配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒绝服务攻击进行防备,能够实现对各样拒绝服务攻击的有效防备,保证网络带宽;配置防火墙全面攻击防备能力,包含ARP欺诈攻击的防备,供给ARP主动反向查问、TCP报文标记位不合法攻击防备、超大ICMP报文攻击防备、地点/端口扫描的防备、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、领路由记录选项IP报文控制功能等,全面防备各样网络层的攻击行为;依据需要,配置IP/MAC绑定功能,对能够辨别MAC地点的主机进行链路层控制,实现只有IP/MAC般配的用户才能接见数据中心的服务器;防火墙解决方案模版其余可选策略:能够启动防火墙身份认证功能,经过内置数据库或许标准Radius属性认证,实现对用户身份认证后进行资源接见的授权,进行更细粒度的用户辨别和控制;依据需要,在两台防火墙上设置流量控制规则,实现对服务器接见流量的有效管理,有效的防止网络带宽的浪费和滥用,保护重点服务器的网络带宽;依据应用和管理的需要,设置有效工作时间段规则,实现鉴于时间的接见控制,能够组合时间特征,实现更为灵巧的接见控制能力;在防火墙长进行设置告警策略,利用灵巧多样的告警响应手段E-mail、xx、SNMP圈套等),实现攻击行为的告警,有效监控网络应用;启动防火墙xx功能,利用防火墙的xx记录能力,详尽完好的记录xx和统计报表等资料,实现对网络接见行为的有效的记录和统计剖析;设施选型建议:我们建议选择H3CSecPath防火墙,详尽的产品介绍见附件;防火墙解决方案模版界限安全防备界限部署防火墙是防火墙最主要的应用模式,,的攻击的风险,需要一种简略有效的安全防备手段,界限防火墙有多种部署模式,基本部署模式以下列图所示:界限部署防火墙,主要目的是实现以下三大功能:攻击的防备:跟着网络技术不停的发展,上的现成的攻击工具愈来愈多,宽泛流传,由此导上的攻击行为也愈来愈多,并且愈来愈复杂,的各样攻击行为;防火墙解决方案模版服务器安全防备:后,这个大网络平台进行信息公布和公司宣传,边界部署服务器,所以,上的民众接见这些服务器的同时,保证这些服务器的安全;管理:行为进行仔细的管理,比方能够支持WEB、邮件、以及BT等应用模式的内容过滤,防止网络资源的滥用,引入各样安全风险;鉴于上述需求,界限,采纳以下防火墙部署策略:设施部署模式:如上图所示,路由器之间配置两台防火墙,路由器之间采纳全冗余连结,保证系统的靠谱性,为了保证系统的靠谱性,我们建议配置两台防火墙为双机热备方式,在实现安全控制同时保证线路的靠谱性,同时能够与内网动向路由策略组合,实现流量负载分担;安全控制策略:防火墙设置为默认拒绝工作方式,保证所有的数据包,假如没有明确的规则同意经过,所有拒绝以保证安全;