《防火墙解决方案模版》由会员分享,可在线阅读,更多相关《防火墙解决方案模版(14页珍藏版)》请在金锄头文库上搜索。
1、防火墙解决方案模版华为 3Com 技术有限公司安全产品行销部2005 年 07 月 08 日防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei-第 2 页目 录一、 防火墙部署需求分析 .3二、 防火墙部署解决方案 .42.1. 数据中心防火墙部署 .42.2. INTERNET 边界安全防护 .62.3. 大型网络内部隔离 .9三、 防火墙部署方案特点 .12防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei-第 3 页一、防火墙部署需求分析随着网络技术不断的发展以及网络建设的复杂化,需要加强对的有效管理和控制,这些管理和控制的
2、需求主要体现在以下几个方面:网络隔离的需求:主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,控制的参数应该包括:数据包的源地址、目的地址、源端口、目的端口、网络协议等,通过这些参数,可以实现对网络流量的惊喜控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。攻击防范的能力:由于 TCP/IP 协议的开放特性,尤其是 IP V4,缺少足够的安全特性的考虑,带来了非常大的安全风险,常见的 IP 地址窃取、IP 地址假冒,网络端口扫描以及危害非常大的拒绝服务攻击(DOS、 DDOS)等,必须能够提供对这些攻击行为有效的检测和防范能力的措施。流量管理的需求:对于用户应
3、用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的 QOS 机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如可以支持 WEB 和 MAIL 的过滤,可以支持 BT 识别并限流等能力;用户管理的需求:内部网络用户接入局域网、接入广域网或者接入 Internet,都需要对这些用户的网络应用行为进行管理,包括对用户进行身份认证,对用户的访问资源进行限制,对用户的网络访问行为进行控制等;防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei-第 4 页二、防火墙部署解决方案防火墙是网络系统的
4、核心基础防护措施,它可以对整个网络进行网络区域分割,提供基于IP 地址和 TCP/IP 服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, )、端口扫描(port scanning)、IP 欺骗(ip spoofing)、IP 盗用等进行有效防护;并提供 NAT 地址转换、流量限制、用户认证、IP 与 MAC绑定等安全增强措施。根据不同的网络结构、不同的网络规模、以及网络中的不同位置的安全防护需求,防火墙一般存在以下几种部署模式:2.1. 数据中心防火墙部署防火墙可
5、以部署在网络内部数据中心的前面,实现对所有访问数据中心服务器的网络流量进行控制,提供对数据中心服务器的保护,其基本部署模式如下图所示:防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei-第 5 页除了完善的隔离控制能力和安全防范能力,数据中心防火墙的部署还需要考虑两个关键特性:高性能:数据中心部署大量的服务器,是整个网络的数据流量的汇集点,因此要求防火墙必须具备非常高的性能,保证部署防火墙后不会影响这些大流量的数据传输,不能成为性能的瓶颈;高可靠:大部分的应用系统服务器都部署在数据中心,这些服务器是整个企业或者单位运行的关键支撑,必须要严格的保证这些服务器可靠性
6、与可用性,因此,部署防火墙以后,不能对网络传输的可靠性造成影响,不能形成单点故障。基于上述两个的关键特性,我们建议进行以下设备部署模式和配置策略的建议: 设备部署模式: 如上图所示,我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙,两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接; 为了保证系统的可靠性,我们建议配置两台防火墙为双机热备方式,在实现安全控制的同时保证线路的可靠性,同时可以与动态路由策略组合,实现流量负载分担; 安全控制策略: 防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全; 建议在两台防火墙上设定严
7、格的访问控制规则,配置只有规则允许的 IP 地址或者用户能够访问数据中心中的指定的资源,严格限制网络用户对数据中心服务器的资源,以避免网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播,保护数据中心的核心数据信息资产; 配置防火墙防 DOS/DDOS 功能,对 Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽; 配置防火墙全面攻击防范能力,包括 ARP 欺骗攻击的防范,提供 ARP 主动反向查询、TCP 报文标志位
8、不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项 IP 报文控制功能等,全面防范各种网络层的攻击行为;防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei-第 6 页 根据需要,配置 IP/MAC 绑定功能,对能够识别 MAC 地址的主机进行链路层控制,实现只有 IP/MAC 匹配的用户才能访问数据中心的服务器; 其他可选策略: 可以启动防火墙身份认证功能,通过内置数据库或者标准 Radius 属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识
9、别和控制; 根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽; 根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力; 在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用; 启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析; 设备选型建议: 我们建议选择华为 3Com SecPath 1800F 防
10、火墙,详细的产品介绍见附件;2.2. INTERNET 边界安全防护在 Internet 边界部署防火墙是防火墙最主要的应用模式,绝大部分网络都会接入 Internet,因此会面临非常大的来自 Internet 的攻击的风险,需要一种简易有效的安全防护手段,Internet 边界防火墙有多种部署模式,基本部署模式如下图所示:防火墙解决方案模版 华为 3Com 技术有限公司 http:/www.huawei-第 7 页通过在 Internet 边界部署防火墙,主要目的是实现以下三大功能:来自 Internet 攻击的防范: 随着网络技术不断的发展, Internet 上的现成的攻击工具越来越多,
11、而且可以通过 Internet 广泛传播,由此导致 Internet 上的攻击行为也越来越多,而且越来越复杂,防火墙必须可以有效的阻挡来自 Internet 的各种攻击行为;Internet 服务器安全防护: 企业接入 Internet 后,大都会利用 Internet 这个大网络平台进行信息发布和企业宣传,需要在 Internet 边界部署服务器,因此,必须在能够提供 Internet 上的公众访问这些服务器的同时,保证这些服务器的安全;内部用户访问 Internet 管理: 必须对内部用户访问 Internet 行为进行细致的管理,比如能够支持 WEB、邮件、以及 BT 等应用模式的内容过滤,避免网络资源的滥用,也避免通过 Internet引入各种安全风险;基于上述需求,我们建议在 Internet 边界,采取以下防火墙部署策略: 设备部署模式: 如上图所示,我们建议在核心交换机与 Internet 路由器之间配置两台防火墙,两台防火墙与核心交换机以及 Internet 路由器之间采取全冗余连接,保证系统的可靠性,防火墙解决方案模版 华为 3Com 技术有限公司 http:/w
