防火墙设计方案

1、数据中心项目安全设计方案-NetScreen 防火墙部分20134 年 11 月1名目第 1 章设计范围及目标 (3)设计范围 (3)设计目标 (3)本设计方案中“安全”的定义 (3) 第 2 章设计依据 (4)第 3 章设计原则 (5)全局性、综合性、整体性设计原则 (5)需求、风险、代价平衡分析的原则 (5)可行性、牢靠性、安全性 (5)多重爱护原则 (5)全都性原则 (6)可管理、易操作原则 (6)适应性、机敏性原则 (6)要考虑投资爱护 (6)设计方案要考虑今后网络和业务进展的需求 (6)设计方案要考虑实施的风险 (6)要考虑方案的实施周期和成本 (7)技术设计方案要与相应的管理制度同

2、步实施 (7) 第 4 章设计方法 (8)安全体系结构 (8)安全域分析方法 (9)安全机制和技术 (9)安全设计流程 (9)具体网络安全方案设计的步骤: (10) 第 5 章安全方案具体设计 (12)网银 Internet 接入安全方案 (12)综合出口接入安全方案. 错误!未定义书签。OA 与生产网隔离安全方案错误!未定义书签。控管中心隔离安全方案. 错误!未定义书签。留意事项及故障回退. 错误!未定义书签。第 6 章防火墙集中管理系统设计 . (16) 第 1 章概述设计范围本次 Juniper 防火墙部署主要是为了协作 XX 数据中心的建设,对不同安全等级网络间的隔离防护,依据业务流的

3、流向从网络层进行安全防护部署。设计目标通过本次安全防护设计,明确安全区域,针对每个安全区域依据其安全等级进行相应的安全防护,以达到使整个系统结构合理、提高安全性、降低风险,使之易于管理维护,实现系统风险的可控性,在保证安全性的同时不以牺牲性能及易用性为代价。其具体目标如下:对数据中心进行分层隔离防护,利用 Juniper Netscreen 防火墙高包转发率低延迟的优势和机敏的安全把握策,爱护网上银行 DB 层的数据安全,并以高牢靠性冗余架构保证业务连续性和可用性。对数据中心互联网网与生产网之间,明确安全等级的划分,明确应用数据的访问方向,利用 Juniper 防火墙的细粒度安全把握机制及深度

4、检测功能在保证正常业务通讯的同时,屏蔽互联网对生产网造成的风险。本设计方案中“安全”的定义本次“安全设计方案”中的“安全”,主要指以下五个方面的内容:各个Internet 边界点或内网安全等级划分边界点的安全、设备(产品)本身的安全、安全技术和策略,牢靠性,安全管理。第 2 章设计依据本次设计方案主要依据以下内容:网络现状报告网络安全工程协调会会议纪要相关国际安全标准及规范相关国家的安全标准及规范已颁布和执行的国家、地方、行业的法规、规范及管理方法第 3 章设计原则本次安全设计方案的核心目标是实现对比 XX 网络系统和应用操作过程的有效把握和管理。网络安全建设是一个系统工程,网络安全体系建设应

5、依据“统一规划、统筹支配,统一标准、相互配套”的原则进行,接受先进的“平台化”建设思想, 避开重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在设计的网络安全系统时,我们将遵循以下原则:全局性、综合性、整体性设计原则安全方案将运用系统工程的观点、方法,从网络整体角度动身,分析安全问题, 提出一个具有相当高度、可扩展性的安全解决方案。从网络的实际状况看,单纯依靠一种安全措施,并不能解决全部的安全问题。而且一个较好的安全体系往往是多种安全技术综合应用的结果。本方案将从系统综合的整体角度去看待和分析各种安全措施的使用。需求、风险、代价平衡分析的原则对任一网络来说,确定安全难以达到,也不肯定必要。对一个网络要进行实际分析,对网络面临的威逼及可能担当的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。爱护成本、被爱护信息的价值必需平衡。在设计安全方案时,将均衡考虑各种安全措施的效果,供应具有最优的性能价格比的安全解决方案。安全需要付出代价(资金、性能损失等),但是任何单纯为了安全而不考虑代价的安全方案都是不切实际的。方案设计同时供应了可操作的分步实施方案。可行性、牢靠性、安全性作为一个工程项目,可行性是设计安全方案的根本,它将直接影响