防火墙解决方案模版.doc

防火墙解决方案模版防火墙解决方案模版 华为华为 3Com3Com 技术有限公司技术有限公司 安全产品行销部安全产品行销部 20052005 年年 0707 月月 0808 日日 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 2 页 目目 录录 一、一、防火墙部署需求分析防火墙部署需求分析3 二、二、防火墙部署解决方案防火墙部署解决方案4 2.1.数据中心防火墙部署4 2.2.INTERNET边界安全防护.6 2.3.大型网络内部隔离9 三、三、防火墙部署方案特点防火墙部署方案特点12 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 3 页 一、一、防火墙部署需求分析防火墙部署需求分析 随着网络技术不断的发展以及网络建设的复杂化，需要加强对的有效管理和控制，这些管理 和控制的需求主要体现在以下几个方面： 网络隔离的需求：网络隔离的需求： 主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，控制的参数应该包括： 数据包的源地址、目的地址、源端口、目的端口、网络协议等，通过这些参数，可以实现对网络 流量的惊喜控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。 攻击防范的能力：攻击防范的能力： 由于 TCP/IP 协议的开放特性，尤其是 IP V4，缺少足够的安全特性的考虑，带来了非常大 的安全风险，常见的 IP 地址窃取、IP 地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击 （DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。 流量管理的需求：流量管理的需求： 对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽， 同时应该提供完善的 QOS 机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议， 提供细粒度的控制和过滤能力，比如可以支持 WEB 和 MAIL 的过滤，可以支持 BT 识别并限流 等能力； 用户管理的需求：用户管理的需求： 内部网络用户接入局域网、接入广域网或者接入 Internet，都需要对这些用户的网络应用行 为进行管理，包括对用户进行身份认证，对用户的访问资源进行限制，对用户的网络访问行为进 行控制等； 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 4 页 二、二、防火墙部署解决方案防火墙部署解决方案 防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于 IP 地址和 TCP/IP 服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ）、端口扫描（port scanning）、IP 欺骗(ip spoofing)、IP 盗用等进行有效防护；并提供 NAT 地址转换、流量限制、用户认证、IP 与 MAC 绑定等安全增强措施。 根据不同的网络结构、不同的网络规模、以及网络中的不同位置的安全防护需求，防火墙一 般存在以下几种部署模式： 2.1. 数据中心防火墙部署数据中心防火墙部署 防火墙可以部署在网络内部数据中心的前面，实现对所有访问数据中心服务器的网络流量进 行控制，提供对数据中心服务器的保护，其基本部署模式如下图所示： 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 5 页 除了完善的隔离控制能力和安全防范能力，数据中心防火墙的部署还需要考虑两个关键特性： 高性能：高性能：数据中心部署大量的服务器，是整个网络的数据流量的汇集点，因此要求防火墙必 须具备非常高的性能，保证部署防火墙后不会影响这些大流量的数据传输，不能成为性能的瓶颈； 高可靠：高可靠：大部分的应用系统服务器都部署在数据中心，这些服务器是整个企业或者单位运行 的关键支撑，必须要严格的保证这些服务器可靠性与可用性，因此，部署防火墙以后，不能对网 络传输的可靠性造成影响，不能形成单点故障。 基于上述两个的关键特性，我们建议进行以下设备部署模式和配置策略的建议： 设备部署模式： 如上图所示，我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火 墙，两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接； 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备方式，在实现安全控 制的同时保证线路的可靠性，同时可以与动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通 过，全部拒绝以保证安全； 建议在两台防火墙上设定严格的访问控制规则，配置只有规则允许的 IP 地址或者 用户能够访问数据中心中的指定的资源，严格限制网络用户对数据中心服务器的资 源，以避免网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播，保护 数据中心的核心数据信息资产； 配置防火墙防 DOS/DDOS 功能，对 Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒绝服务攻击进行防范，可以实现 对各种拒绝服务攻击的有效防范，保证网络带宽； 配置防火墙全面攻击防范能力，包括 ARP 欺骗攻击的防范，提供 ARP 主动反向 查询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫 描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由 记录选项 IP 报文控制功能等，全面防范各种网络层的攻击行为； 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 6 页 根据需要，配置 IP/MAC 绑定功能，对能够识别 MAC 地址的主机进行链路层控制， 实现只有 IP/MAC 匹配的用户才能访问数据中心的服务器； 其他可选策略： 可以启动防火墙身份认证功能，通过内置数据库或者标准 Radius 属性认证，实现 对用户身份认证后进行资源访问的授权，进行更细粒度的用户识别和控制； 根据需要，在两台防火墙上设置流量控制规则，实现对服务器访问流量的有效管理， 有效的避免网络带宽的浪费和滥用，保护关键服务器的网络带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可 以组合时间特性，实现更加灵活的访问控制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、 SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报 表等资料，实现对网络访问行为的有效的记录和统计分析； 设备选型建议： 我们建议选择华为 3Com SecPath 1800F 防火墙，详细的产品介绍见附件； 2.2. INTERNET边界安全防护边界安全防护 在 Internet 边界部署防火墙是防火墙最主要的应用模式，绝大部分网络都会接入 Internet，因 此会面临非常大的来自 Internet 的攻击的风险，需要一种简易有效的安全防护手段，Internet 边界 防火墙有多种部署模式，基本部署模式如下图所示： 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 7 页 通过在 Internet 边界部署防火墙，主要目的是实现以下三大功能： 来自来自 Internet 攻击的防范：攻击的防范：随着网络技术不断的发展，Internet 上的现成的攻击工具越来越 多，而且可以通过 Internet 广泛传播，由此导致 Internet 上的攻击行为也越来越多，而且越来越 复杂，防火墙必须可以有效的阻挡来自 Internet 的各种攻击行为； Internet 服务器安全防护：服务器安全防护：企业接入 Internet 后，大都会利用 Internet 这个大网络平台进行信 息发布和企业宣传，需要在 Internet 边界部署服务器，因此，必须在能够提供 Internet 上的公众 访问这些服务器的同时，保证这些服务器的安全； 内部用户访问内部用户访问 Internet 管理：管理：必须对内部用户访问 Internet 行为进行细致的管理，比如能够 支持 WEB、邮件、以及 BT 等应用模式的内容过滤，避免网络资源的滥用，也避免通过 Internet 引入各种安全风险； 基于上述需求，我们建议在 Internet 边界，采取以下防火墙部署策略： 设备部署模式： 如上图所示，我们建议在核心交换机与 Internet 路由器之间配置两台防火墙，两台 防火墙与核心交换机以及 Internet 路由器之间采取全冗余连接，保证系统的可靠性， 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 8 页 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备方式，在实现安全控 制同时保证线路的可靠性，同时可以与内网动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通 过，全部拒绝以保证安全； 配置防火墙防 DOS/DDOS 功能，对 Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒绝服务攻击进行防范； 配置防火墙全面安全防范能力，包括 ARP 欺骗攻击的防范，提供 ARP 主动反向查 询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描 的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录 选项 IP 报文控制功能等； 由外往内的访问控制规则： 通过防火墙的访问控制策略，拒绝任何来自 Internet 对内网的访问数据，保证任何 Internet 数据都不能主动进入内部网，屏蔽所有来自 Internet 的攻击行为； 由外往 DMZ 的访问控制规则： 通过防火墙的访问控制策略，控制来自 Internet 用户只能访问 DMZ 区服务器的特 定端口，比如 WWW 服务器 80 端口、Mail 服务器的 25/110 端口等，其他通信端 口一律拒绝访问，保证部属在 DMZ 区的服务器在安全的前提下，有效提供所需的 服务； 由内往外的访问控制规则： 通过防火墙的访问控制策略，对内部用户访问 Internet 进行基于 IP 地址的控制，初 步实现控制内部用户能否访问 Internet，能够访问什么样的 Inertnet 资源； 通过配置防火墙提供的 IP/MAC 地址绑定功能，以及身份认证功能，提供对内部用 户访问 Internet 的更严格有效的控制能力，加强内部用户访问 Internet 控制能力； 通过配置防火墙提供的 SMTP 邮件过滤功能和 HTTP 内容过滤，实现对用户访问 Internet 的细粒度的访问控制能力，实现基本的用户访问 Internet 的行为管理； 由内往 DMZ 的访问控制规则： 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 9 页 通过防火墙的访问控制策略，控制来自内部用户只能访问 DMZ 区服务器的特定端 口，比如 WWW 服务器 80 端口、Mail 服务器的 25/110 端口等，其他通信端口一 律拒绝访问，保证部属在 DMZ 区的服务器在安全的前提下，有效提供所需的服务； 对于服务器管理员，通过防火墙策略设置，进行严格的身份认证等措施后，可以进 行比较宽的访问权限的授予，在安全的基础上保证管理员的网络访问能力； 由 DMZ 往内的访问控制规则： 通过防火墙的访问控制策略，严格控制 DMZ 区服务器不能访问或者只能访问内部 网络的必需的资源，避免 DMZ 区服务器被作为跳板攻击内部网用户和相关资源； 其他可选策略： 可以启动防火墙身份认证功能，通过内置数据库或者标准 Radius 属性认证，实现 对用户身份认证后进行资源访问的授权； 根据需要，在两台防火墙上设置流量控制规则，实现对网络流量的有效管理，有效 的避免网络带宽的浪费和滥用，保护网络带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可 以组合时间特性，实现更加灵活的访问控制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、 SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报 表等资料，实现对网络访问行为的有效的记录和统计分析； 设备选型建议： 我们建议选择华为 3Com SecPath 1000F/100F 防火墙，详细的产品介绍见附件； 2.3. 大型网络内部隔离大型网络内部隔离 在比较大规模或者比较复杂的网络中，需要对内部网络进行有效的管理，以实现对整个网络 流量的控制和安全风险的隔离，其基本的防火墙部署模式如下图所示： 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 10 页 企业内部隔离防火墙主要应用在比较大型的网络中，这些网络一般有多个层次的划分，会有 多个相对独立的网络接入节点，需要对这些节点流量进行隔离和控制。 在这种大规模的分布式的部署模式中，对防火墙的关键性的要求主要集中在管理特性上，要 求防火墙必须支持完善的集中管理模式，通过统一的管理中心，可以实现对全网部署的防火墙的 集中管理，并且可以支持分级管理。 基于这种需求，我们建议进行如下防火墙部署： 设备部署模式： 如上图所示，我们建议在总部核心交换机与广域路由器之间配置两台防火墙，两台 防火墙与核心交换机以及广域路由器之间采取全冗余连接，保证系统的可靠性； 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备方式，在实现安全控 制同时保证线路的可靠性，同时可以与内网动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通 过，全部拒绝以保证安全； 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 11 页 配置防火墙防 DOS/DDOS 功能，对 Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒绝服务攻击进行防范，可以实现 对各种拒绝服务攻击的有效防范，保证网络带宽； 配置防火墙全面攻击防范能力，包括 ARP 欺骗攻击的防范，提供 ARP 主动反向 查询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫 描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由 记录选项 IP 报文控制功能等，全面防范各种网络层的攻击行为； 根据需要，配置 IP/MAC 绑定功能，对能够识别 MAC 地址的主机进行链路层控制； 由上往下的访问控制规则： 建议在两台防火墙上设定严格的访问控制规则，对实现总部网络访问下级网络的严 格控制，只有规则允许的 IP 地址或者用户能够访问下级网络中的指定的资源，以 避免总部网络可能会对下级网络的攻击、非授权访问以及病毒的传播； 由上往下的访问控制规则： 建议在两台防火墙上设定严格的访问控制规则，对实现下级网络访问总部局域网的 严格控制，只有规则允许的 IP 地址或者用户能够访问总部局域网的指定的资源， 以避免下级网络中复杂的用户可能会对总部网络的攻击、非授权访问以及病毒的传 播； 其他可选策略： 可以启动防火墙身份认证功能，通过内置数据库或者标准 Radius 属性认证，实现 对用户身份认证后进行资源访问的授权； 根据需要，在两台防火墙上设置流量控制规则，实现对网络流量的有效管理，有效 的避免网络带宽的浪费和滥用，保护网络带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可 以组合时间特性，实现更加灵活的访问控制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、 SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报 表等资料，实现对网络访问行为的有效的记录和统计分析； 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 12 页 设备选型建议： 我们建议选择华为 3Com SecPath 1000F/100F 防火墙，详细的产品介绍见附件； 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 13 页 三、三、防火墙部署方案特点防火墙部署方案特点 高安全高安全： 防火墙的安全特性主要体现在以下几个方面： 防火墙自身的安全性：指防火墙抵抗针对防火墙系统自身攻击的风险，很多防火墙 自身都存在一些安全漏洞，可能会被攻击者利用，尤其是一些基于 Linux 操作系统平台的防 火墙； 防火墙安全控制能力：主要指防火墙通过包过滤、代理或者状态检测等机制对进出 的数据流进行网络层的控制，一般防火墙都支持状态检测机制，状态检测已经是一种比较成 熟的模式，不存在太多的差别，关键的差别在于对不同应用协议的支持能力，尤其是一些语 音、视频等相关的协议； 防火墙防御 DOS/DDOS 攻击的能力：所有的 DOS/DDOS 攻击的流量只要经过防 火墙，防火墙必须有足够强的能力处理这些数据流，并且能把这些恶意数据有效的过滤掉， 对相关的网段提供性能保护。 高层应用协议的控制能力：防火墙应该能够对一些常见的高层协议，提供细粒度的 控制和过滤能力，比如可以支持 WEB 和 MAIL 的过滤，可以支持 BT 识别并限流等能力； 华为华为 3Com 防火墙优势：防火墙优势： 华为 3Com SecPath 防火墙提供标准和扩展的 ACL 包过滤，支持华为 3Com 特有的 ASPF(Application Specific Packet Filter)技术，可实现对每一个连接状态信息的维护监测并动态地 过滤数据包，支持对 HTTP、FTP、RTSP、H.323（包括 T.120、Q.931、RAS、H.245 等）以及 通用的 TCP、UDP 应用进行状态监控。 SecPath 防火墙提供多种攻击防范技术和智能防蠕虫病毒技术，有效的抵御各种攻击。 SecPath 防火墙支持应用层过滤，提供 Java Blocking 和 ActiveX Blocking，支持细粒度内容过滤 能力：包括 SMTP 邮件地址过滤、SMTP 邮件标题过滤、SMTP 邮件内容过滤、HTTP URL 过滤、 HTTP 内容过滤等等； 高性能：高性能： 防火墙的性能特性主要体现在以下几个方面： 防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei- 3 第 14 页 吞吐量：吞吐量指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力， 业界默认一般都采用大包衡量防火墙对报文的处理能力； 最大并发连接数：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防 火墙可以同时容纳的最大的连接数目，一个连接就是一个 TCP/UDP 的访问； 每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整 TCP/UDP 连接。该指 标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显 感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且会造成防 火墙对网络病毒防范能力很差； 华为华为 3Com 防火墙优势：防火墙优势： 华为 3Com SecPath 防火墙是基于 MIPS 架构的 NP 处理器技术的防火墙，处理性能更加优 越，并且系统更稳定。高端旗舰产品 SecPath1800F 产品，采用业界最先进的网络业务处理器进 行设计，防火墙的转发平面由 32 个硬件线程实时处理，能够达到 64 字节小包文 3GE 的线速； 并发会话数在 1 百万