防火墙解决方案模版.docx

1、防火墙解决方案模版容简述用途密级说明上次修改SecPath 防火墙技术建议书模板用于撰写和SecPath防火墙相关的技术建议书部公开，禁外传2005-7-12防火墙解决案模版华三通信技术有限公司安全产品行销部2005年07月08日 一、 防火墙部署需求分析随着网络技术不断的发展以及网络建设的复杂化，需要加强对的有效管理和控制，这些管理和控制的需求主要体现在以下几个面：网络隔离的需求：主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，控制的参数应该包括：数据包的源地址、目的地址、源端口、目的端口、网络协议等，通过这些参数，可以实现对网络流量的惊喜控制，把可能的安全风险控制在相对独立的

2、区域，避免安全风险的大规模扩散。攻击防的能力：由于TCP/IP协议的开放特性，尤其是IP V4，缺少足够的安全特性的考虑，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防能力的措施。流量管理的需求：对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QOS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如可以支持WEB和MAIL的过滤，可以支持BT识别并限流等能力；用户管理的需求：部网络用户接

3、入局域网、接入广域网或者接入Internet，都需要对这些用户的网络应用行为进行管理，包括对用户进行身份认证，对用户的访问资源进行限制，对用户的网络访问行为进行控制等；二、 防火墙部署解决案防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量

4、限制、用户认证、IP与MAC绑定等安全增强措施。根据不同的网络结构、不同的网络规模、以及网络中的不同位置的安全防护需求，防火墙一般存在以下几种部署模式：二.1. 数据中心防火墙部署防火墙可以部署在网络部数据中心的前面，实现对所有访问数据中心服务器的网络流量进行控制，提供对数据中心服务器的保护，其基本部署模式如下图所示：除了完善的隔离控制能力和安全防能力，数据中心防火墙的部署还需要考虑两个关键特性：高性能：数据中心部署大量的服务器，是整个网络的数据流量的汇集点，因此要求防火墙必须具备非常高的性能，保证部署防火墙后不会影响这些大流量的数据传输，不能成为性能的瓶颈；高可靠：大部分的应用系统服务器都部

5、署在数据中心，这些服务器是整个企业或者单位运行的关键支撑，必须要格的保证这些服务器可靠性与可用性，因此，部署防火墙以后，不能对网络传输的可靠性造成影响，不能形成单点故障。 基于上述两个的关键特性，我们建议进行以下设备部署模式和配置策略的建议： 设备部署模式： 如上图所示，我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙，两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接； 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备式，在实现安全控制的同时保证线路的可靠性，同时可以与动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作式，保证所

6、有的数据包，如果没有明确的规则允通过，全部拒绝以保证安全； 建议在两台防火墙上设定格的访问控制规则，配置只有规则允的IP地址或者用户能够访问数据中心中的指定的资源，格限制网络用户对数据中心服务器的资源，以避免网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播，保护数据中心的核心数据信息资产； 配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防，可以实现对各种拒绝服务攻击的有效防，保证网络带宽； 配置防火墙全面攻击防能力，包括ARP欺骗攻击

7、的防，提供ARP主动反向查询、TCP报文标志位不合法攻击防、超大ICMP报文攻击防、地址/端口扫描的防、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防各种网络层的攻击行为； 根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制，实现只有IP/MAC匹配的用户才能访问数据中心的服务器； 其他可选策略： 可以启动防火墙身份认证功能，通过置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权，进行更细粒度的用户识别和控制； 根据需要，在两台防火墙上设置流量控制规则，实现对服务器访问流量的有效管理，

8、有效的避免网络带宽的浪费和滥用，保护关键服务器的网络带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析； 设备选型建议： 我们建议选择H3C SecPath 1800F防火墙，详细的产品介绍见附件；二.2. Internet边界安全防护在Internet边界部署防火

9、墙是防火墙最主要的应用模式，绝大部分网络都会接入Internet，因此会面临非常大的来自Internet的攻击的风险，需要一种简易有效的安全防护手段，Internet边界防火墙有多种部署模式，基本部署模式如下图所示：通过在Internet边界部署防火墙，主要目的是实现以下三大功能：来自Internet攻击的防：随着网络技术不断的发展，Internet上的现成的攻击工具越来越多，而且可以通过Internet广泛传播，由此导致Internet上的攻击行为也越来越多，而且越来越复杂，防火墙必须可以有效的阻挡来自Internet的各种攻击行为；Internet服务器安全防护：企业接入Internet后

10、，大都会利用Internet这个大网络平台进行信息发布和企业宣传，需要在Internet边界部署服务器，因此，必须在能够提供Internet上的公众访问这些服务器的同时，保证这些服务器的安全；部用户访问Internet管理：必须对部用户访问Internet行为进行细致的管理，比如能够支持WEB、以及BT等应用模式的容过滤，避免网络资源的滥用，也避免通过Internet引入各种安全风险；基于上述需求，我们建议在Internet边界，采取以下防火墙部署策略： 设备部署模式： 如上图所示，我们建议在核心交换机与Internet路由器之间配置两台防火墙，两台防火墙与核心交换机以及Internet路由器

11、之间采取全冗余连接，保证系统的可靠性， 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备式，在实现安全控制同时保证线路的可靠性，同时可以与网动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作式，保证所有的数据包，如果没有明确的规则允通过，全部拒绝以保证安全； 配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防； 配置防火墙全面安全防能力，包括ARP欺骗攻击的防，提供ARP主动反向查询、TCP报文标志位不合法攻击

12、防、超大ICMP报文攻击防、地址/端口扫描的防、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等；由外往的访问控制规则： 通过防火墙的访问控制策略，拒绝任来自Internet对网的访问数据，保证任Internet数据都不能主动进入部网，屏蔽所有来自Internet的攻击行为；由外往DMZ的访问控制规则： 通过防火墙的访问控制策略，控制来自Internet用户只能访问DMZ区服务器的特定端口，比如WWW服务器80端口、Mail服务器的25/110端口等，其他通信端口一律拒绝访问，保证部属在DMZ区的服务器在安全的前提下，有效提供所需的服务；由往外的

13、访问控制规则： 通过防火墙的访问控制策略，对部用户访问Internet进行基于IP地址的控制，初步实现控制部用户能否访问Internet，能够访问什么样的Inertnet资源； 通过配置防火墙提供的IP/MAC地址绑定功能，以及身份认证功能，提供对部用户访问Internet的更格有效的控制能力，加强部用户访问Internet控制能力； 通过配置防火墙提供的SMTP过滤功能和HTTP容过滤，实现对用户访问Internet的细粒度的访问控制能力，实现基本的用户访问Internet的行为管理；由往DMZ的访问控制规则： 通过防火墙的访问控制策略，控制来自部用户只能访问DMZ区服务器的特定端口，比如W

14、WW服务器80端口、Mail服务器的25/110端口等，其他通信端口一律拒绝访问，保证部属在DMZ区的服务器在安全的前提下，有效提供所需的服务； 对于服务器管理员，通过防火墙策略设置，进行格的身份认证等措施后，可以进行比较宽的访问权限的授予，在安全的基础上保证管理员的网络访问能力；由DMZ往的访问控制规则： 通过防火墙的访问控制策略，格控制DMZ区服务器不能访问或者只能访问部网络的必需的资源，避免DMZ区服务器被作为跳板攻击部网用户和相关资源； 其他可选策略： 可以启动防火墙身份认证功能，通过置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权； 根据需要，在两台防火墙

15、上设置流量控制规则，实现对网络流量的有效管理，有效的避免网络带宽的浪费和滥用，保护网络带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析； 设备选型建议： 我们建议选择H3C SecPath 1000F/100F防火墙，详细的产品介绍见附件；二.3. 大型网络部隔离

16、在比较大规模或者比较复杂的网络中，需要对部网络进行有效的管理，以实现对整个网络流量的控制和安全风险的隔离，其基本的防火墙部署模式如下图所示：企业部隔离防火墙主要应用在比较大型的网络中，这些网络一般有多个层次的划分，会有多个相对独立的网络接入节点，需要对这些节点流量进行隔离和控制。在这种大规模的分布式的部署模式中，对防火墙的关键性的要求主要集中在管理特性上，要求防火墙必须支持完善的集中管理模式，通过统一的管理中心，可以实现对全网部署的防火墙的集中管理，并且可以支持分级管理。基于这种需求，我们建议进行如下防火墙部署： 设备部署模式： 如上图所示，我们建议在总部核心交换机与广域路由器之间配置两台防火

17、墙，两台防火墙与核心交换机以及广域路由器之间采取全冗余连接，保证系统的可靠性； 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备式，在实现安全控制同时保证线路的可靠性，同时可以与网动态路由策略组合，实现流量负载分担； 安全控制策略： 防火墙设置为默认拒绝工作式，保证所有的数据包，如果没有明确的规则允通过，全部拒绝以保证安全； 配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防，可以实现对各种拒绝服务攻击的有效防，保证网络带宽； 配置防火墙

18、全面攻击防能力，包括ARP欺骗攻击的防，提供ARP主动反向查询、TCP报文标志位不合法攻击防、超大ICMP报文攻击防、地址/端口扫描的防、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防各种网络层的攻击行为； 根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制；由上往下的访问控制规则： 建议在两台防火墙上设定格的访问控制规则，对实现总部网络访问下级网络的格控制，只有规则允的IP地址或者用户能够访问下级网络中的指定的资源，以避免总部网络可能会对下级网络的攻击、非授权访问以及病毒的传播；由上往下的访问控制规则： 建议

19、在两台防火墙上设定格的访问控制规则，对实现下级网络访问总部局域网的格控制，只有规则允的IP地址或者用户能够访问总部局域网的指定的资源，以避免下级网络中复杂的用户可能会对总部网络的攻击、非授权访问以及病毒的传播； 其他可选策略： 可以启动防火墙身份认证功能，通过置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权； 根据需要，在两台防火墙上设置流量控制规则，实现对网络流量的有效管理，有效的避免网络带宽的浪费和滥用，保护网络带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力； 在防火墙上进行设置告警策略

20、，利用灵活多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用； 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析； 设备选型建议： 我们建议选择H3C SecPath 1000F/100F防火墙，详细的产品介绍见附件；三、 防火墙部署案特点 高安全：防火墙的安全特性主要体现在以下几个面： 防火墙自身的安全性：指防火墙抵抗针对防火墙系统自身攻击的风险，很多防火墙自身都存在一些安全漏洞，可能会被攻击者利用，尤其是一些基于Linux操作系统平台的防火墙； 防火墙安全控制能力：主要指

21、防火墙通过包过滤、代理或者状态检测等机制对进出的数据流进行网络层的控制，一般防火墙都支持状态检测机制，状态检测已经是一种比较成熟的模式，不存在太多的差别，关键的差别在于对不同应用协议的支持能力，尤其是一些语音、视频等相关的协议； 防火墙防御DOS/DDOS攻击的能力：所有的DOS/DDOS攻击的流量只要经过防火墙，防火墙必须有足够强的能力处理这些数据流，并且能把这些恶意数据有效的过滤掉，对相关的网段提供性能保护。 高层应用协议的控制能力：防火墙应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如可以支持WEB和MAIL的过滤，可以支持BT识别并限流等能力；H3C防火墙优势：H3C S

22、ecPath防火墙提供标准和扩展的ACL包过滤，支持H3C特有的ASPF(Application Specific Packet Filter)技术，可实现对每一个连接状态信息的维护监测并动态地过滤数据包，支持对HTTP、FTP、RTSP、H.323（包括T.120、Q.931、RAS、H.245等）以及通用的TCP、UDP应用进行状态监控。SecPath防火墙提供多种攻击防技术和智能防蠕虫病毒技术，有效的抵御各种攻击。SecPath防火墙支持应用层过滤，提供Java Blocking和ActiveX Blocking，支持细粒度容过滤能力：包括SMTP地址过滤、SMTP标题过滤、SMTP容过

23、滤、HTTP URL过滤、HTTP容过滤等等； 高性能：防火墙的性能特性主要体现在以下几个面： 吞吐量：吞吐量指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的处理能力； 最大并发连接数：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问； 每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且会造

24、成防火墙对网络病毒防能力很差；H3C防火墙优势：H3C SecPath防火墙是基于MIPS架构的NP处理器技术的防火墙，处理性能更加优越，并且系统更稳定。高端旗舰产品SecPath F1800-A产品，采用业界最先进的网络业务处理器进行设计，防火墙的转发平面由32个硬件线程实时处理，能够达到64字节小包文3GE的线速；并发会话数在1百万。性能远远超过国友商的千兆防火墙。 部署管理能力：防火墙的管理特性主要体现能够通过集中管理系统进行分布式部署和监控，在一些大规模部署防火墙的环境下对这种管理又非常迫切的需求。H3C防火墙优势：H3C 全线SecPath防火墙产品支持通过统一的H3C QuidVi

25、ew网络管理平台进行管理，实现与网络设备完全一致管理，大大简化防火墙设备的部署、管理和监控，同时也提供Http/Https等管理模式； 全面的可靠性保证：防火墙的可靠性特性主要体现：硬件平台的可靠性，软件平台的可靠性以及设备级的双机备份和负载均衡能力。H3C防火墙优势：H3C全线SecPath防火墙产品采用网络设备专用硬件平台，非通用工控机架构，提供模块热插拔、电源冗余、机箱温度监控等特性；采用H3C自主开发成熟的COMWARE系统平台，提供全面丰富网络安全特性，充分保证系统的稳定性和私密性；支持通过专有协议进行双机热备，支持防护墙之间的状态同步，保证提供出现故障时自动无缝切换。支持通过VRR

26、P实现负载均衡和基于OSPF路由协议的负载均衡，支持多个防火墙的负载均衡，可以实现基于服务器的负载均衡及其冗余备份； 全面的网络基础特性：防火墙的网络基础特性主要体现对QOS的全面支持，防火墙作为网络关键位置部署的网络流量转发设备，必须具备完善的QOS特性，才能保证整网QOS策略的有效的实施；H3C防火墙优势：全线SecPath防火墙产品都具备丰富的基本网络特性，包括RIP、OSPF、BGP、策略路由、路由策略等全面的路由协议的支持，同是，提供全面丰富的QOS支持能力，支持流量监管（Traffic Policing），支持FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ等队列技术，支持WRED拥塞避免技术、支持GTS流量整形、支持CAR、LR接口限速等；