防火墙设计方案.docx

1、防火墙设计方案数据中心项目安全设计方案-NetScreen防火墙部分20134年11月第1章 概述1.1 设计范围本次Juniper防火墙部署主要是为了配合XX数据中心的建设，对不同安全等级网络间的隔离防护，根据业务流的流向从网络层进行安全防护部署。1.2 设计目标通过本次安全防护设计，明确安全区域，针对每个安全区域根据其安全等级进行相应的安全防护，以达到使整个系统结构合理、提高安全性、降低风险，使之易于管理维护，实现系统风险的可控性，在保证安全性的同时不以牺牲性能及易用性为代价。其具体目标如下： 对数据中心进行分层隔离防护，利用Juniper Netscreen 防火墙高包转发率低延迟的优势

2、和灵活的安全控制策，保护网上银行DB层的数据安全，并以高可靠性冗余架构保证业务连续性和可用性。 对数据中心互联网网与生产网之间，明确安全等级的划分，明确应用数据的访问方向，利用Juniper防火墙的细粒度安全控制机制及深度检测功能在保证正常业务通讯的同时，屏蔽互联网对生产网造成的风险。1.3 本设计方案中“安全”的定义本次“安全设计方案”中的“安全”，主要指以下五个方面的内容：各个Internet边界点或内网安全等级划分边界点的安全、设备（产品）本身的安全、安全技术和策略，可靠性，安全管理。第2章 设计依据本次设计方案主要依据以下内容： 网络现状报告 网络安全工程协调会会议纪要 相关国际安全标

3、准及规范 相关国家的安全标准及规范 已颁布和执行的国家、地方、行业的法规、规范及管理办法第3章 设计原则本次安全设计方案的核心目标是实现对比XX网络系统和应用操作过程的有效控制和管理。网络安全建设是一个系统工程，网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。在设计的网络安全系统时，我们将遵循以下原则： 3.1 全局性、综合性、整体性设计原则安全方案将运用系统工程的观点、方法，从网络整体角度出发，分析安全问题，提出一个具有相当高度、可扩展性的安全解决方案。从

4、网络的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。而且一个较好的安全体系往往是多种安全技术综合应用的结果。本方案将从系统综合的整体角度去看待和分析各种安全措施的使用。3.2 需求、风险、代价平衡分析的原则对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。在设计安全方案时，将均衡考虑各种安全措施的效果，提供具有最优的性能价格比的安全解决方案。安全需要付出代价（资金、性能损失等），但是任何单纯为了安全而不考虑代价的安全方案

5、都是不切实际的。方案设计同时提供了可操作的分步实施计划。3.3 可行性、可靠性、安全性 作为一个工程项目，可行性是设计安全方案的根本，它将直接影响到网络通信平台的畅通；可靠性是安全系统和网络通信平台正常运行的保证；而安全性是设计安全方案的最终目的。3.4 多重保护原则任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层的保护仍可保护信息的安全。没有任何一个安全系统可以做到绝对的安全，因此在做安全方案设计时不能把整个系统的安全寄托在单一的安全措施或安全产品上，应该采取多重防护原则，确保信息系统安全。3.5 一致性原则主要是指网络安

6、全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。在设计安全方案时就充分考虑在实施中的风险及实施周期和成本，对潜在的风险做了充分的分析并给出相应的解决对策。3.6 可管理、易操作原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。设计方案应该尽量采用最新的安全技术，实现安全管理的自动化，以减轻安全管理的负担。同时减小因为管理上的疏漏而系统的安全造成的威胁。3.7 适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。3.8 要考虑投资保护要充分发

7、挥现有设备的潜能，避免投资的浪费3.9 设计方案要考虑今后网络和业务发展的需求设计方案要充分考虑今后业务和网络的发展的需求，避免方案单纯因为对系统安全要求的满足而成为今后业务发展的障碍3.10 设计方案要考虑实施的风险设计方案在设计时要充分考虑在实施中的风险，对潜在的风险要做充分的分析并给出解决对策3.11 要考虑方案的实施周期和成本在方案设计时，要充分考虑方案的设计的实施成本，和实施周期。3.12技术设计方案要与相应的管理制度同步实施网络系统的安全与管理机制密不可分，安全方案的设计必须有与之相适应的管理制度同步制定，并从管理的角度评估安全设计方案的可操作性。第4章 设计方法网络安全技术方案的

8、设计是以需求为牵引，针对网络的风险分析及对网络的安全目标进行相应的安全方案设计。在进行网络安全方案设计应从以下几个方面考虑：4.1 安全体系结构安全体系结构是整个安全方案的科学性、可行性是其可顺利实施的保障。安全方案必须架构在科学的安全体系和安全框架之上，因为安全框架是安全方案设计和分析的基础。安全体系结构如下图：安全体系结构模型中，完整地将网络安全系统的全部内容进行了科学和系统的归纳，详尽地描述了网络安全系统所使用的技术、服务的对象和涉及的范围（即网络层次）：安全服务维是网络安全系统所提供可实现的全部技术手段；网络协议维是网络安全系统应该将所采纳之安全技术手段实施的范围；系统单元维是网络安全

9、系统应该提供安全保护的对象；作为一个网络安全系统，首先要考虑的是安全方案所涉及的有哪些系统单元，然后根据这些系统单元的不同，确定该单元所需要的安全服务，再根据所需要的安全服务，确定这些安全服务在哪些OSI层次实现。4.2 安全域分析方法安全域是指网络系统内包含相同的安全要求，达到相同的安全防护等级的区域。同一安全域一般要求有统一的安全管理组织和制度以及统一的安全技术防护体系。安全域定义了网络系统的最低安全等级，在安全域内可以包含更高安全级别的安全域。安全域分析方法：对网络系统进行合理的安全域划分，为每个安全域定义其安全等级，据此分析相邻两个安全域的边界的风险等级。一般来说，两个安全域的安全等级

10、差别越大，其边界的可信度越低，风险等级就越高。4.3 安全机制和技术构筑网络安全系统的最终目的是对的网络资源或者说是对网络实施最有效的安全保护。从网络的系统和应用平台对网络协议层次的依赖关系不难看出，只有对网络协议结构层次的所有层实施相应有效的技术措施，才能实现对网络资源的安全保护。4.4 安全设计流程一般网络安全方案设计流程如下图：首先从网络现状中分析出潜在的安全威胁，再根据具体的安全风险提出相应的安全需求。然后根据实际的安全需求，确定要建立的安全体系结构，要采取的安全防范技术。最后，根据设计出的安全体系，分析实现要付出的代价。4.5 具体网络安全方案设计的步骤： 从现状和风险分析中得出需要

11、进行安全防护的网络系统的安全防护边界 针对每个边界的风险点和风险级别，提出相应的具体的安全需求 根据安全需求，对网络系统的改造进行设计 根据改造后的网络结构，针对每个边界进行安全需求分析，提出具体要采用的安全防护技术及其基本要实现的安全防护功能 从每个边界的安全需求分析的结果出发，进行安全设计。在设计中提出每个部署的安全产品的配置、性能及功能的要求。 最后对采取的安全技术进行管理设计第5章 安全方案详细设计5.1 网银Internet接入安全方案网银Internet接入区域采用防火墙分层防护的严密安全措施，将该区域整个网络划分为DMZ、Untrust和Trust三个不同等级的安全区域，针对每一

12、层分别有相应的防火墙实施不同级别的安全防护策略，整个防御采用全冗余架构，如图所示：Juniper防火墙部署在Internet接入安全区， 该区域也包含其他厂家提供的安全解决方案。在Juniper防火墙提供的安全方案中，应当只专注负责应用层与数据库层间的安全隔离防护。在Internet接入区的交换机之间部署两台Juniper NetScreen-ISG1000防火墙。两台防火墙之间作Active/Backup 高可用性关系。用核心的这两台ISG1000防火墙的高速包转发优势进行核心层的隔离保护，在安全性的基础上，兼顾考虑高性能、简洁性、冗余性、扩展性。5.2详细设计5.2.1 高可靠性为了最大限

13、度地减少出现单点故障的可能性，Juniper可以支持设备冗余来实现高可用性。这种高可用性，即使是在设备出现故障的情况下，对于保护网络免受攻击也是非常关键的。高度可靠的硬件和冗余系统设计意味着Juniper网络公司可以提供目前功能最全面的高可用性安全解决方案。组件、链路和系统级冗余特性的结合使该解决方案可以经受多次故障并确保连接不会中断。 ISG1000的高可用性以Juniper冗余协议(NSRP)为中心，通过在系统和相邻网络交换机之间建立物理连接，从而使一对冗余安全系统可以轻松集成到一个高可用性网络体系结构中。借助链路冗余，Juniper网络公司可以消除导致系统故障的许多常见原因，如物理端口故

14、障或电缆断开，以确保连接不会中断而不必切换整个系统。Juniper网络公司的安全性设备带有多个风扇和多套电源，可支持设备高可用性。5.2.2 会话备份(Session同步) 以冗余HA方式部署时，Juniper网络公司的解决方案还采用了一种先进的故障切换算法来为网络流量重新路由，以免在出现设备故障的情况下发生连接中断。在进行故障切换时，备份设备已经包含有必要的网络配置信息、会话状态信息和安全关联，因此可以在一秒种之内完成切换，继续处理现有流量，操作系统可以在冗余系统之间自动映射配置，以提供工作防火墙的会话维护功能(Session备份功能)。HA 架构可以使静态信息（如配置）和动态实时信息同步。

15、因此在故障切换同步期间可以共享以下信息：连接/会话状态信息、IPSec安全性关联、NAT流量、地址簿信息以及配置变化等，保证在故障切换时已有业务连接不会断开，保证业务不受故障影响，用户根本察觉不到故障的发生。5.2.3 安全性由于在网银实施多级防火墙分层防护，经过其他安全防护设备层的隔离，在核心层位置，安全风险减少，安全区划分上以相对简单，信任度很高。因此，在核心层Juniper防火墙的安全策略设置上，安全策略设置相对简单，以高性能发挥和易用性为主考虑，需要单向在防火墙上放行应用程序到数据库访问的协议和端口，或者根据某些特殊应用程序的需要，如果有核心层内部主动向外发起连接的，需要在防火墙上相应

16、的放行由内到外方向的连接请求, 在 IP层控制上，只允许来自应用层的IP对核心数据库的访问。 5.2.4 扩展性目前ISG1000防火墙与交换机之间属于GE接口连接，就流量来说，NetScreen防火墙2G的包转发速率应该可以满足需求；就扩展性来说，以后如果流量持续增长， NetScreen ISG1000防火墙支持扩展10GE接口。因此从可预见的3-5年时间内，Juniper防火墙在此位置上不会形成整体系统的瓶颈问题。5.2.5 攻击及深层防护在综合出口网络虽然采取了分层防护机制，但网银Internet 接入网络是直接被外部访问，因此需要考虑相应的攻击防护手段。ISG1000 防火墙的高性能

17、确保它足以抵御目前Internet上流行的DDoS的攻击，能够抵御多达28种以上的网络攻击的同时不以牺牲性能为代价，一些流行的攻击手法如如Synflood, Udpflood, Smurf, Ping of Death, Land Attack等等。攻击防护在综合出口网络的应用：在开启了抵御攻击选项之前，需要考虑一下几个因素： 抵御攻击的功能会占用防火墙的部分CPU资源 如果实际的应用程序是自行开发的，可能存在部分不规范的数据包格式 网络设计中采用了部分非常规的设计如果由于因为选择过多的防御攻击的选项而大大降低了防火墙处理能力（需要通过防火墙的正常数据量很大），则会影响正常网络的工作；如果自行

18、开发的程序不规范，可能会被IP数据包协议异常的攻击选项屏蔽；非常规的网络设计也会被屏蔽，如IP spoof选项。我们建议用户采用一下顺序逐步实施防范攻击的选项1) 设置防范DDoS选项2) 在设置之前，需要了解实际网络环境中，网络流量、会话数量以及数据包传输量的值，在了解这些数值后，然后在防范DDoS的选项上添加1020的余量设置阀值。3) 设置防范IP协议层的选项4) 在了解了网络设计的规范之后，将IP协议或网络层的攻击选项选中。5) 设置防范应用层的选项6) 在了解了应用层的需求以及客户化程序的编程标准后，如不采用ActiveX控件，可以选择这些基于应用层的防攻击选项。在整个设置的过程，密

19、切注意防火墙CPU的利用率，以及同相关设置有关的实际应用的使用情况；如果有异常，如CPU利用率偏高了或应用不能通过，则立刻需要取消相关的选项。5.2.6 地址规划如下表所示，根据不同需求对P地址进行了详细划分接口安全ZONEIP地址/掩码Eth0/0UntrustEth0/1TrustEth0/2DMZEth0/3HA无第6章 防火墙集中管理系统设计 在防火墙系统的管理上，有分散和集中两种方式。Juniper防火墙设备在管理方面的实现很受用户欢迎。分散方式让用户分别管理每台防火墙。优点是符合大多数人的思维习惯，管理灵活。命令行方式，可以通过Console接口、Telnet（23）或安全的SCS（22）方式对设备进行管理、排查故障等。命令行方式可以完成所有的配置、检查、排错等工作。浏览器方式，可以使用户使用通用的Web界面对设备进行配置、查询。浏览器方式支持HTTP（80）和HTTPS（443）。单机管理的分散方式在大型网络应用中存在较大的缺点，许多资源的定义重复（如地址本、协议等），相应提高了整体的管理成本；其次，当下属企业较多时，由于各自制定安全策略，存在安全隐患较大，同时，当出现安全问题时，由于没有实现统一监控，很难判断问题出现在何处，从而不能及时解决问题。集中方式从全局的角度对所有防火墙实现集中的管理，集中制定安全策略，集中实时监控系统状态及事件，这将很好的克服以上缺点。