防火墙解决方案模版

1、1 / 21 文档可自由编辑 内容简述 用途密级说明上次修改 SecPath 防火墙技术 建议书模板 用于撰写和 SecPath 防火墙相 关的技术建议书 内部公开， 严禁外传 2005-7-12 防火墙解决方案模版防火墙解决方案模版 杭州华三通信技术有限公司杭州华三通信技术有限公司 安全产品行销部安全产品行销部 20052005 年年 0707 月月 0808 日日 2 / 21 文档可自由编辑 目目 录录 一、一、 防火墙部署需求分析防火墙部署需求分析 .3 3 二、二、 防火墙部署解决方案防火墙部署解决方案 .4 4 2.1.数据中心防火墙部署 4 2.2. .INTERNET边界安全防

2、护 6 2.3.大型网络内部隔离 9 三、三、 防火墙部署方案特点防火墙部署方案特点 .1212 3 / 21 文档可自由编辑 一、一、防火墙部署需求分析防火墙部署需求分析 随着网络技术不断的发展以及网络建设的复杂化，需要加强对的有效 管理和控制，这些管理和控制的需求主要体现在以下几个方面： 网络隔离的需求：网络隔离的需求： 主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制， 控制的参数应该包括：数据包的源地址、目的地址、源端口、目的端口、 网络协议等，通过这些参数，可以实现对网络流量的惊喜控制，把可能 的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。 攻击防范的能力：

3、攻击防范的能力： 由于 TCP/IP 协议的开放特性，尤其是 IP V4，缺少足够的安全特性 的考虑，带来了非常大的安全风险，常见的 IP 地址窃取、IP 地址假冒， 网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能 够提供对这些攻击行为有效的检测和防范能力的措施。 流量管理的需求：流量管理的需求： 对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和 关键应用的网络带宽，同时应该提供完善的 QOS 机制，保证数据传输的 质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过 滤能力，比如可以支持 WEB 和 MAIL 的过滤，可以支持 BT 识别并限流等

4、 能力； 用户管理的需求：用户管理的需求： 4 / 21 文档可自由编辑 内部网络用户接入局域网、接入广域网或者接入 Internet，都需要 对这些用户的网络应用行为进行管理，包括对用户进行身份认证，对用 户的访问资源进行限制，对用户的网络访问行为进行控制等； 5 / 21 文档可自由编辑 二、二、防火墙部署解决方案防火墙部署解决方案 防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络 区域分割，提供基于 IP 地址和 TCP/IP 服务端口等的访问控制；对常见 的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping floo

5、ding, tear drop, ）、端口扫描（port scanning）、IP 欺骗(ip spoofing)、IP 盗用等进行有效防护；并提供 NAT 地址转换、流量限制、用户认证、IP 与 MAC 绑定等安全增强措施。 根据不同的网络结构、不同的网络规模、以及网络中的不同位置的安 全防护需求，防火墙一般存在以下几种部署模式： 2.1. 数据中心防火墙部署数据中心防火墙部署 防火墙可以部署在网络内部数据中心的前面，实现对所有访问数据中 心服务器的网络流量进行控制，提供对数据中心服务器的保护，其基本 部署模式如下图所示： 6 / 21 文档可自由编辑 除了完善的隔离控制能力和安全防范能力，

6、数据中心防火墙的部署还 需要考虑两个关键特性： 高性能：高性能：数据中心部署大量的服务器，是整个网络的数据流量的汇集 点，因此要求防火墙必须具备非常高的性能，保证部署防火墙后不会影 响这些大流量的数据传输，不能成为性能的瓶颈； 高可靠：高可靠：大部分的应用系统服务器都部署在数据中心，这些服务器是 整个企业或者单位运行的关键支撑，必须要严格的保证这些服务器可靠 性与可用性，因此，部署防火墙以后，不能对网络传输的可靠性造成影 响，不能形成单点故障。 基于上述两个的关键特性，我们建议进行以下设备部署模式和配置策 略的建议： 7 / 21 文档可自由编辑 设备部署模式： 如上图所示，我们建议在两台核心

7、交换机与两台数据中心交换 机之间配置两台防火墙，两台防火墙与两台核心交换机以及两 台数据中心交换机之间采取全冗余连接； 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备 方式，在实现安全控制的同时保证线路的可靠性，同时可以与 动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没 有明确的规则允许通过，全部拒绝以保证安全； 建议在两台防火墙上设定严格的访问控制规则，配置只有规则 允许的 IP 地址或者用户能够访问数据中心中的指定的资源， 严格限制网络用户对数据中心服务器的资源，以避免网络用户 可能会对数据中心的攻击、非授权访问以及病毒

8、的传播，保护 数据中心的核心数据信息资产； 配置防火墙防 DOS/DDOS 功能，对 Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒绝服务攻击进行防范， 可以实现对各种拒绝服务攻击的有效防范，保证网络带宽； 配置防火墙全面攻击防范能力，包括 ARP 欺骗攻击的防范，提 供 ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不 8 / 21 文档可自由编辑 可达报文控制功能、Tracert 报文控制功能、带路由记录选

9、项 IP 报文控制功能等，全面防范各种网络层的攻击行为； 根据需要，配置 IP/MAC 绑定功能，对能够识别 MAC 地址的主 机进行链路层控制，实现只有 IP/MAC 匹配的用户才能访问数 据中心的服务器； 其他可选策略： 可以启动防火墙身份认证功能，通过内置数据库或者标准 Radius 属性认证，实现对用户身份认证后进行资源访问的授 权，进行更细粒度的用户识别和控制； 根据需要，在两台防火墙上设置流量控制规则，实现对服务器 访问流量的有效管理，有效的避免网络带宽的浪费和滥用，保 护关键服务器的网络带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于 时间的访问控制，可以组合时间特

10、性，实现更加灵活的访问控 制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段 （E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有 效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整 的记录日志和统计报表等资料，实现对网络访问行为的有效的 记录和统计分析； 设备选型建议： 9 / 21 文档可自由编辑 我们建议选择 H3C SecPath 1800F 防火墙，详细的产品介绍见 附件； 2.2. I INTERNETNTERNET边界安全防护边界安全防护 在 Internet 边界部署防火墙是防火墙最主要的应用模式，绝大部分 网络都会接入 Inte

11、rnet，因此会面临非常大的来自 Internet 的攻击的 风险，需要一种简易有效的安全防护手段，Internet 边界防火墙有多种 部署模式，基本部署模式如下图所示： 通过在 Internet 边界部署防火墙，主要目的是实现以下三大功能： 来自来自 InternetInternet 攻击的防范：攻击的防范：随着网络技术不断的发展，Internet 上 的现成的攻击工具越来越多，而且可以通过 Internet 广泛传播，由此导 10 / 21 文档可自由编辑 致 Internet 上的攻击行为也越来越多，而且越来越复杂，防火墙必须可 以有效的阻挡来自 Internet 的各种攻击行为； In

12、ternetInternet 服务器安全防护：服务器安全防护：企业接入 Internet 后，大都会利用 Internet 这个大网络平台进行信息发布和企业宣传，需要在 Internet 边界部署服务器，因此，必须在能够提供 Internet 上的公众访问这些服 务器的同时，保证这些服务器的安全； 内部用户访问内部用户访问 InternetInternet 管理：管理：必须对内部用户访问 Internet 行为进 行细致的管理，比如能够支持 WEB、邮件、以及 BT 等应用模式的内容过 滤，避免网络资源的滥用，也避免通过 Internet 引入各种安全风险； 基于上述需求，我们建议在 Inte

13、rnet 边界，采取以下防火墙部署策 略： 设备部署模式： 如上图所示，我们建议在核心交换机与 Internet 路由器之间 配置两台防火墙，两台防火墙与核心交换机以及 Internet 路 由器之间采取全冗余连接，保证系统的可靠性， 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备 方式，在实现安全控制同时保证线路的可靠性，同时可以与内 网动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没 有明确的规则允许通过，全部拒绝以保证安全； 11 / 21 文档可自由编辑 配置防火墙防 DOS/DDOS 功能，对 Land、Smurf、

14、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒绝服务攻击进行防范； 配置防火墙全面安全防范能力，包括 ARP 欺骗攻击的防范，提 供 ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不 可达报文控制功能、Tracert 报文控制功能、带路由记录选项 IP 报文控制功能等； 由外往内的访问控制规则： 通过防火墙的访问控制策略，拒绝任何来自 Internet 对内网 的访问数据，保证任何 Internet 数据都不能主动进入内部网， 屏蔽

15、所有来自 Internet 的攻击行为； 由外往 DMZ 的访问控制规则： 通过防火墙的访问控制策略，控制来自 Internet 用户只能访 问 DMZ 区服务器的特定端口，比如 WWW 服务器 80 端口、Mail 服务器的 25/110 端口等，其他通信端口一律拒绝访问，保证 部属在 DMZ 区的服务器在安全的前提下，有效提供所需的服务； 由内往外的访问控制规则： 通过防火墙的访问控制策略，对内部用户访问 Internet 进行 基于 IP 地址的控制，初步实现控制内部用户能否访问 Internet，能够访问什么样的 Inertnet 资源； 12 / 21 文档可自由编辑 通过配置防火墙

16、提供的 IP/MAC 地址绑定功能，以及身份认证 功能，提供对内部用户访问 Internet 的更严格有效的控制能 力，加强内部用户访问 Internet 控制能力； 通过配置防火墙提供的 SMTP 邮件过滤功能和 HTTP 内容过滤， 实现对用户访问 Internet 的细粒度的访问控制能力，实现基 本的用户访问 Internet 的行为管理； 由内往 DMZ 的访问控制规则： 通过防火墙的访问控制策略，控制来自内部用户只能访问 DMZ 区服务器的特定端口，比如 WWW 服务器 80 端口、Mail 服务器 的 25/110 端口等，其他通信端口一律拒绝访问，保证部属在 DMZ 区的服务器在

17、安全的前提下，有效提供所需的服务； 对于服务器管理员，通过防火墙策略设置，进行严格的身份认 证等措施后，可以进行比较宽的访问权限的授予，在安全的基 础上保证管理员的网络访问能力； 由 DMZ 往内的访问控制规则： 通过防火墙的访问控制策略，严格控制 DMZ 区服务器不能访问 或者只能访问内部网络的必需的资源，避免 DMZ 区服务器被作 为跳板攻击内部网用户和相关资源； 其他可选策略： 可以启动防火墙身份认证功能，通过内置数据库或者标准 Radius 属性认证，实现对用户身份认证后进行资源访问的授 权； 13 / 21 文档可自由编辑 根据需要，在两台防火墙上设置流量控制规则，实现对网络流 量的

18、有效管理，有效的避免网络带宽的浪费和滥用，保护网络 带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于 时间的访问控制，可以组合时间特性，实现更加灵活的访问控 制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段 （E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有 效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整 的记录日志和统计报表等资料，实现对网络访问行为的有效的 记录和统计分析； 设备选型建议： 我们建议选择 H3C SecPath 1000F/100F 防火墙，详细的产品 介绍见附件； 2.3. 大型网络内部隔离大型网络内部

19、隔离 在比较大规模或者比较复杂的网络中，需要对内部网络进行有效的管 理，以实现对整个网络流量的控制和安全风险的隔离，其基本的防火墙 部署模式如下图所示： 14 / 21 文档可自由编辑 企业内部隔离防火墙主要应用在比较大型的网络中，这些网络一般有 多个层次的划分，会有多个相对独立的网络接入节点，需要对这些节点 流量进行隔离和控制。 在这种大规模的分布式的部署模式中，对防火墙的关键性的要求主要 集中在管理特性上，要求防火墙必须支持完善的集中管理模式，通过统 一的管理中心，可以实现对全网部署的防火墙的集中管理，并且可以支 持分级管理。 基于这种需求，我们建议进行如下防火墙部署： 设备部署模式： 如

20、上图所示，我们建议在总部核心交换机与广域路由器之间配 置两台防火墙，两台防火墙与核心交换机以及广域路由器之间 15 / 21 文档可自由编辑 采取全冗余连接，保证系统的可靠性； 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备 方式，在实现安全控制同时保证线路的可靠性，同时可以与内 网动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没 有明确的规则允许通过，全部拒绝以保证安全； 配置防火墙防 DOS/DDOS 功能，对 Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICM

21、P Flood、UDP Flood 等拒绝服务攻击进行防范， 可以实现对各种拒绝服务攻击的有效防范，保证网络带宽； 配置防火墙全面攻击防范能力，包括 ARP 欺骗攻击的防范，提 供 ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不 可达报文控制功能、Tracert 报文控制功能、带路由记录选项 IP 报文控制功能等，全面防范各种网络层的攻击行为； 根据需要，配置 IP/MAC 绑定功能，对能够识别 MAC 地址的主 机进行链路层控制； 由上往下的访问控制规则： 建议在两台防火墙上设定严格的访问控制规则，对实现总部网

22、 络访问下级网络的严格控制，只有规则允许的 IP 地址或者用 户能够访问下级网络中的指定的资源，以避免总部网络可能会 16 / 21 文档可自由编辑 对下级网络的攻击、非授权访问以及病毒的传播； 由上往下的访问控制规则： 建议在两台防火墙上设定严格的访问控制规则，对实现下级网 络访问总部局域网的严格控制，只有规则允许的 IP 地址或者 用户能够访问总部局域网的指定的资源，以避免下级网络中复 杂的用户可能会对总部网络的攻击、非授权访问以及病毒的传 播； 其他可选策略： 可以启动防火墙身份认证功能，通过内置数据库或者标准 Radius 属性认证，实现对用户身份认证后进行资源访问的授 权； 根据需要

23、，在两台防火墙上设置流量控制规则，实现对网络流 量的有效管理，有效的避免网络带宽的浪费和滥用，保护网络 带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于 时间的访问控制，可以组合时间特性，实现更加灵活的访问控 制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段 （E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有 效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整 的记录日志和统计报表等资料，实现对网络访问行为的有效的 17 / 21 文档可自由编辑 记录和统计分析； 设备选型建议： 我们建议选择 H3C SecPath 1000F

24、/100F 防火墙，详细的产品 介绍见附件； 18 / 21 文档可自由编辑 三、三、防火墙部署方案特点防火墙部署方案特点 高安全：高安全： 防火墙的安全特性主要体现在以下几个方面： 防火墙自身的安全性：指防火墙抵抗针对防火墙系统自身攻击 的风险，很多防火墙自身都存在一些安全漏洞，可能会被攻击者利用， 尤其是一些基于 Linux 操作系统平台的防火墙； 防火墙安全控制能力：主要指防火墙通过包过滤、代理或者状 态检测等机制对进出的数据流进行网络层的控制，一般防火墙都支持 状态检测机制，状态检测已经是一种比较成熟的模式，不存在太多的 差别，关键的差别在于对不同应用协议的支持能力，尤其是一些语音、

25、视频等相关的协议； 防火墙防御 DOS/DDOS 攻击的能力：所有的 DOS/DDOS 攻击的流 量只要经过防火墙，防火墙必须有足够强的能力处理这些数据流，并 且能把这些恶意数据有效的过滤掉，对相关的网段提供性能保护。 高层应用协议的控制能力：防火墙应该能够对一些常见的高层 协议，提供细粒度的控制和过滤能力，比如可以支持 WEB 和 MAIL 的 过滤，可以支持 BT 识别并限流等能力； H3CH3C 防火墙优势：防火墙优势： H3C SecPath 防火墙提供标准和扩展的 ACL 包过滤，支持 H3C 特有的 ASPF(Application Specific Packet Filter)技

26、术，可实现对每一个连 19 / 21 文档可自由编辑 接状态信息的维护监测并动态地过滤数据包，支持对 HTTP、H.323（包括 T.120、Q.931、RAS、H.245 等）以及通用的 TCP、UDP 应用进行状态监控。 SecPath 防火墙提供多种攻击防范技术和智能防蠕虫病毒技术，有效 的抵御各种攻击。SecPath 防火墙支持应用层过滤，提供 Java Blocking 和 ActiveX Blocking，支持细粒度内容过滤能力：包括 SMTP 邮件地址 过滤、SMTP 邮件标题过滤、SMTP 邮件内容过滤、HTTP URL 过滤、HTTP 内容过滤等等； 高性能：高性能： 防火墙

27、的性能特性主要体现在以下几个方面： 吞吐量：吞吐量指防火墙在状态检测机制下能够处理一定包长 数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的 处理能力； 最大并发连接数：由于防火墙是针对连接进行处理报文的，并 发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接 就是一个 TCP/UDP 的访问； 每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整 TCP/UDP 连接。该指标主要用来衡量防火墙在处理过程中对报文连接 的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户 量较大的情况下容易造成防火墙处理能力急剧下降，并且会造成防火 墙对网络病毒防范能力很差； 20 / 21 文档可自由编辑 H3CH3C 防火墙优势：防火墙优势： H3C SecPath 防火墙是基于 MIPS 架构的 NP 处理器技术的防火墙，处 理性能更加优越，并且系统更稳定。高端旗舰产品 SecPath F1800-A 产 品，采用业界最先进的网络业务处理器进行设计，防火墙的转发平面由 32 个硬件线程实时处理，能够达到 64 字节小包文 3GE 的线速；并发会 话数在 1 百万。性能远远超过国内友商的千兆防火墙