网络防火墙设计方案(WORD档，可编辑.docx

/sundae_meng银行网络方案用户需求：银行拥有多个分支银行和一个总行，为了保证网络安全和可管理性所有分支银行没有单独的INTERNET出口，统一通过总行访问INTERNET，所以总行的网络安全关系到整个银行办公网。银行需要一些专业的网络安全产品来实现这个目标。解决方案1：建议银行在办公网出口部署一台高性能的多功能安全网关。多功能安全网关具有防火墙、VPN、IPS、IDS、防毒墙, 专门为政府、金融业、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合安全网关系统。多功能安全网关可灵活部署在政府、教育、金融业、大中小型企业及其分支机构的网络边界，为用户同时提供多种、多层次安全防御，保护用户网络免受病毒、蠕虫、木马、邮件威胁以及未知的攻击等混合威胁的侵害，同时为用户节省了购买多种设备的高昂费用，可简便地统一管理各种安全模块及相关日志、报告，大大降低了设备的部署、管理和维护成本。方案1的优劣势：优点：部署方便、可选功能多、成本低、管理维护方便。劣势：性能没有专业独立的IPS、流控、行为管理的功能强大。扩展性也没有独立设备好。解决方案2：建议银行部署专业独立的网络安全设备。比如现阶段先部署防火墙和IPS（入侵防御），后续可以根据业务的发展和需要增加网络安全和管理设备。防火墙负责网络三层端口的防护、IPS则针对防火墙不能检测到的进行端口伪装的数据包进行深层的特征库匹配，可以大大提高安全性能，上网行为管理负责对网络用户行为的管理。方案2的优劣势：优势：产品专业性能较好、稳定性高、可扩展性强。劣势：成本较高。产品推荐：方案一配置(网御神州)产品类型产品型号描述备注多功能网关NSG1000-SW066个10/100/1000M自适应电口,1U机箱，单电源，网络处理能力1800Mbps，并发连接120万必选功能模块UP-IPS-NSG1200-3Y3年入侵防御模块与特征库升级服务可选功能模块UP-AV-NSG1200-3Y3年防病毒模块与特征库升级服务可选功能模块UP-AS-NSG1200-3Y3年WEB与应用程序过滤模块与特征库升级服务可选方案二配置（网御神州）防火墙A1500-T120P6个10/100/1000M自适应电口,1U机箱，单电源，网络处理能力1800Mbps，并发连接140万IPSP1500-T003P入侵检测吞吐300M，1U机箱，单电源，6个10/100/1000M电口，支持2路IPS（内置1路Bypass）或者5路IDS行为管理SecFox-NBA-S2001U机架式，存储容量：500G，6个千兆电口，1对硬件bypass，吞吐300M产品功能介绍：防火墙防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术，对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜绝越权访问，防止非法攻击，抵御可能的DOS和DDOS攻击。通过合理布局，形成多级的纵深防御体系。通过在网络边界处部署并正确配置防火墙，可以解决以下安全问题：1)、保护脆弱的服务通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包等安全威胁。2)、控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Web和FTP服务器。3)、集中的安全管理防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在防火墙可以定义不同的用户，而不需在每台机器上分别安装特定的认证软件。内部用户也只需要经过口令认证即可通过透明代理访问外部网。4)、记录和统计网络日志防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据并对非法访问作记录日志，从防火墙或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析。入侵防御（IPS）因为防火墙无法阻断一些黑客的攻击和恶意代码传播，攻击一旦穿过防火墙会直接影响银行的业务系统、门户网站系统、内部OA办公系统等系统，所以有必要采取新的安全技术以至于能够和防火墙配合形成“七层”的整体安全防御体系，从而能够抵挡住新的、更深层次的安全威胁，那么这种新的安全技术就是入侵防御技术。实时主动的防御能力选择网络入侵检测防御系统时，除了需要对网络入侵检测防御系统所采用的检测技术及攻击特征辨识码（Signature）的数量及有效性加以了解及评估外，针对其它有关网络入侵检测防御系统所应具备的特性亦应该多加了解及比较，如此才能选择出一套较好的网络入侵检测防御系统，提供对网络与主机有较好的保护及事后追踪的能力，以防止黑客的不法行为。被动式IDS与主动式IPS 所谓被动式网络入侵检测系统，主要的工作原理是配合交换机的Port Mirroring功能或利用集线器被动地旁听所有经过的数据包（Packet），经由分析比对内建的入侵攻击信息后，判别出哪些是正常的使用流量、哪些是恶意的攻击数据包，如发现网络异常数据包，则通过管理接口发出警告或通知防火墙更改设定，但是这样的防御往往已经距离攻击发起有一段不短的时间了，此时黑客的攻击极可能已经造成某种程度的损害或损失，只是由于适时的发出警告或通知防火墙更改设定，以阻止黑客持续不断的攻击，可让损害或损失不再扩大。至于主动式网络入侵检测防御系统，除了具有被动式网络入侵检测系统的入侵攻击检测能力外，更能主动采取必要的行动，实时的保护服务器主机及网络不受到任何的伤害，它的工作原理类似防火墙，不同的是，防火墙是通过政策（Policy）的设定对网络的资源进行严格的控管，而主动式网络入侵检测防御系统比防火墙更专注于入侵检测的技术和网络数据包分析能力，主动式网络入侵检测防御系统是一个透明的网络系统，它从网络的一端收到数据包，经过入侵检测引擎的检查之后，恶意的数据包就在第一时间被筛选丢弃，只有正常的数据包才能转送出去，因此不会像被动式入侵检测系统那样存在时间差的问题。一般而言，主动式网络入侵检测防御系统要比被动式网络入侵检测系统更具威力，一般在配置上，被动式网络入侵检测系统通常需要搭配特定的防火墙来达到阻止黑客持续攻击的目的，而主动式网络入侵检测防御系统可以独立运作，防御方法不需要依靠任何防火墙的设定，因此就成本及效果上，以主动式网络入侵检测防御系统要比被动式网络入侵检测系统节省，另外，被动式网络入侵检测系统因为需要搭配防火墙的阻断功能，两者中间有特定的协议，因此需要绑定特定的防火墙来搭配，而主动式网络入侵检测防御系统由于可独立运作，因此可让客户自由选择所使用的防火墙，就配置而言，主动式网络入侵检测防御系统要比被动式网络入侵检测系统有弹性得多。网络入侵检测防御系统，可针对网络上进出的所有数据包内容进行比对分析，于第一时间检测出有问题的入侵攻击数据包，并依事前定义的反应政策，对这些有问题的数据包采取适当的防御行动，确保所要保护的网络内部及服务器主机的安全。上网行为管理上网行为管理的技术实现大概分为几个部分：IP分组管理、识别应用、内容审计、行为记录等。IP分组管理是实现上网行为管理的基础，企业的审计数据往往会涉及到企业机密，对数据查看分组分权查看可以适应企业的应用现实要求;识别应用是上网行为管理设备通过信息包检查，识别应用层信息，通过应用识别库，对多种应用进行访问控制;内容审计可以对员工的聊天内容、访问网来往Email等能实时查看，同时够做记录保存，对敏感内容多方式警报，同时及时的反馈给管理者信息;行为记录可以提供员工上网行为记录、数据挖掘、日志定位功能，一方面帮助组织提供满足主管部门要求的上网行为记录，避免安全事故发生后无据可查的情况，另一方面帮助组织进行业务分析，了解网络利用情况。网神是国内第一家提出上网行为管理理念并第一个推出专业上网行为管理产品的厂家之一，从普通用户面临的内网安全问题和用户实际需求出发，可以对P2P全面封堵，同时可以根据不同用户、不同部门差异化的网络使用