防火墙分系统安全方案

《防火墙分系统安全方案》由会员分享，可在线阅读，更多相关《防火墙分系统安全方案（8页珍藏版）》请在金锄头文库上搜索。

1、第一章第一章 防火墙分系统防火墙分系统安全方案安全方案 5.15.1 设计目标设计目标 将 Internet 与蚌埠广播电视台内部网隔离开来，拒绝非法访问，恶意攻 击，真正保护网络边界的安全。 将各蚌埠广播电视台的内部网进行隔离，限制用户非法访问，避免受到 恶意攻击非法访问、非法连接。 保护蚌埠广播电视台的信息发布系统，抵御来自于公网上的攻击，保护 网络资源安全。 5.25.2 功能要求功能要求 蚌埠广播电视台对防火墙的功能要求如下： 1.专有的硬件平台，专有的操作系统。 2.与原有的防火墙 、交换机、路由器等网络设备功能兼容并有效整合。 3.网络特性：应支持至少两个端口的 LAN 接口数，

2、，能有效的保护以太网、 快速以太网。 4.应支持路由接入、透明接入，如还有其他的接入方式请另外说明。 5.访问控制：千兆级别的基于状态的包过滤功能，支持动态、静态、双向 的网络地址转换（NAT） 。 6.防御功能：可防 TCP、UDP 等端口扫描、防源路由攻击、IP 碎片包攻 击、DNS/RIP/ICMP 攻击、SYN 攻击、DOS/DDOS 攻击、可阻止 ActiveX、Java、Javascript 入侵；同时提供时间监控和告警功能。 7.能力特性：具备流量控制和统计。 8.具备应用级透明代理功能，支持对 HTTP、SMTP、POP3、NNTP 等高 层应用协议的代理；支持对 URL 的过

3、滤、对 WEB 页面中的 Java、VBscript、Javascript 组件过滤。 9.具备完善的日志功能，支持向日志服务器导出日志，应具备日志冗余功 能。 10. 管理功能： 支持本地管理、远程管理和集中管理；支持 SNMP 监视和 配置，其中远程管理应该能很好的安全保护。 11. 支持容错技术，如双机热备、故障恢复、双电源备份等。 12. 提供对 WWW 站点的保护功能。 13. 能够与第三方安全产品进行很好的联动，尤其是与 IDS 产品的联动。 14. 支持带宽管理（QoS） 。 15. 能很好的防止 IP 欺骗功能。 16. 认证类型：应具有一个或多个认证方案，如 OTP 认证（一

4、次性口令认 证） 、RADIUS、KERBEROS、TACACS/TACACS+、口令方式、数字 证书等。 17. 应支持常见的路由协议，如：OSPF、RIP、RIPII。 18. 支持 IPX、NETBEUI、VOD、H.323v1/v2、SSH 协议。 19. 支持分权管理和信息审计。 20. 能够对防火墙的配置信息进行备份。 5.45.4 性能要求性能要求 蚌埠广播电视台对防火墙的性能要求如下： 1.最大并发连接数在 120，000 以上； 2.内核处理速度不低于 300M（对于三个接口的防火墙） ； 3.对于 10/100M 以太网接口，其接口吞吐量应不低于 97M； 4.吞吐量：防火

5、墙加载百条规则的平均吞吐量应不低于 17000fps； 5.延时：防火墙加载百条规则的平均延时不超过 100，000ns； 6.丢包率：防火墙加载百条规则的丢包率为 0； 7.背靠背：防火墙加载百条规则的背靠背性能测试不低于 400，000frames； 8.MTBF：不低于 30000 小时； 5.45.4 配置方案配置方案 由于蚌埠广播电视台是蚌埠广播电视台网的主要组成部分，它的安全性、 可靠性对其正常行使宏观经济调控职能起着重要的作用，所以对其防火墙分系 统采用双机备份，而其它省级蚌埠广播电视台只采用单机防火墙配置，其系统 配置方案如图 5.4 所示。 在蚌埠广播电视台与专网互联处加入一

6、台防火墙。由于蚌埠广播电视台网 络需要连接的网络有专网以及互联网，所以采用双机备份的防火墙需要 5 个接 口，如果双机切换采用串口连接监视 heart-beat 信号，那么需要 4 个接口的防火 墙即可；第一个接口连接专网 e0 链路，第二个接口连接互联网 e1 链路，第三 个接口连接 SSN 区（DMZ）,第四个接口连接内部网； 由于采用双机备份，所 以在接口处需要配置集线器或交换机。 当蚌埠广播电视台网络出口的流量超过一定极限时，可以将两台防火墙配 置成防火墙机群工作模式，实现双机分流和负载均衡。 根据安全需求，在专网与 Internet 互联的时候需要采用 NAT 技术，隐藏其 内部网络

7、结构，同时在扩展安全设备时不宜改动原有的网络结构及配置，因此 最好将防火墙配置为路由模式与透明模式相结合的混合工作模式。 图 5.4 防火墙分系统配置方案 5.55.5 选型建议选型建议 根据防火墙分系统的技术要求，本方案推荐在蚌埠广播电视台使用联想针 对政府各部委办和金融骨干企业自主开发的高端防火墙网御 2000 FWP，推 荐在省级蚌埠广播电视台使用联想自主开发的标准防火墙网御 2000 FWE。 推荐选用网御 2000 系列防火墙，是因为网御 2000 系列防火墙除了完全满 足“蚌埠广播电视台网安全系统包技术指标要求”规定的防火墙资质要求、功 能要求和性能要求外，还具有以下显著的技术特点

8、： 三墙合一：三墙合一：网御 2000 集防火墙、防毒墙、防黑墙三位一体，具有很高 的性能价格比。 智能过滤：智能过滤：网御 2000 不但支持状态包过滤和动态包过滤，还创立了根 据数据包的网络特征（源地址、目的地址、协议号、端口号、服务类 型、传递方向等） 、时间特征（可疑连接的时间间隔等） 、空间特征 （特定时段内可疑连接的相关程度等）和数据结构特征（数据包长度、 信息相关性等） ，建立了独具特色的动态智能包过滤安全防护体系，可 以显著提高包过滤防火墙的安全特性，并拥有 5 项专利技术。 混合模式混合模式：网御 2000 不仅支持路由模式和桥模式，还支持两者融为一 体的混合模式，以及具有负

9、载均衡功能的防火墙机群工作模式，能够 适应复杂的网络环境和网络应用，并且安装配置极其简便。 透明代理：透明代理：在应用代理设计方面，网御 2000 不仅提供各种标准应用和 特定应用的透明式代理服务，而且还支持用户自定义的透明式代理服 务，并可根据特殊需要方便地实现代理的级连。 用户认证：用户认证：网御 2000 支持基于 USB 安全装置和智能 IC 卡的用户强身 份认证体系。 底座安全：底座安全：网御 2000 采用联想自主研发的服务器硬件平台和专用安全 操作系统平台，较好地解决了“底座安全”问题，具有很高的自身安 全性能。 在线升级：在线升级：网御 2000 的安全防护软件、入侵检测特征规

10、则库和病毒库 均支持网络在线升级，因此可以随着网络攻击手段的变化地不断地更 新和提高防火墙的安全防护能力。 高效可靠：高效可靠：网御 2000 防火墙在 100 兆以太网口、100 条规则的情况下， 数据吞吐率可达到线速（100Mbps） ，并发连接数在 13 万以上，平均延 时不超过 100 微秒，应用级代理可以同时响应 200 个 HTTP 请求；整 机 MTBF 可达 35000 小时。具有极高的时效和可靠性。 第二章第二章 安全脆弱性扫描分系统安全脆弱性扫描分系统安全方案安全方案 6.16.1 设计目标设计目标 扫描内部网络或者扫描不同的操作系统，了解网络或主机有可能受到 入侵部分的具

11、体细节，并提出评估报告，以便管理员针对漏洞进行修 补。 从外部对内部网络进行扫描，检查路由器和防火墙是否存在漏洞，并 提供网络安全评估报告。 6.26.2 技术要求技术要求 蚌埠广播电视台对安全脆弱性扫描的功能要求如下： 1.覆盖主流操作系统，如：SUN SOLARIS，HP-UX，IBM AIX，DIGITAL UNIX，LINUX，WINDOWS NT 等。 2.检测方法不少于 600 种。 3.严格按照国际惯例，对扫描强度和系统风险级别实行分级制。扫描强度 分为重度扫描，中度扫描，轻度扫描和自定义强度扫描。 4.可支持多种网络漏洞扫描，如：网络服务、WEB 服务、FTP 服务、守 护进程

12、、电子邮件服务、CGI BIN、浏览器设置、RPC 攻击、特定的强 力攻击选项、拒绝服务攻击检测、拒绝服务攻击检测、安全区检测、 WINDOWS NT 配置、UNIX 配置、LINUX 配置。 5.可发现的系统问题包括： 系统开放了不必要的服务； 软件版本问题、缺省配置、具有弱点、未装补丁； NT 服务器的配置问题； WEB 服务器的配置问题； 防火墙的配置和路由器的访问控制表的配置问题； 信息泄露TELNET 旗标、FINGER、SNMP、SMTP； 信任关系RLOGIN、RSH、REXEC； 口令弱点； 检测类似 BO、NETBUS 等特洛伊木马； 文件共享不合适NETBIOS、NETWA

13、RE； 远程访问不安全； 6.具有远程和本地两种工作模式。 7.具有生成分析报告的能力。 8.具有自我保护能力。 9.可提供相应硬件设备。 10. 提供安全漏洞扫描特征升级。 6.36.3 配置方案配置方案 在蚌埠广播电视台内部网的管理区一台主机中安装扫描评估系统。其配置 示意图如图 4.3.1 所示。 产品运行环境为 Windows 2000 Professional 或 Windows 2000 server。 6.4 选型建议选型建议 本方案推荐使用中科网威公司的“火眼”3.x 网络安全评估分析系统。 选择“火眼”3.x 是因为该产品能够满足 “蚌埠广播电视台网安全系统包 技术指标要求”

14、规定的安全脆弱性扫描系统技术要求，同时该产品还具有以下 显著的技术特点： 结构合理、稳定性强结构合理、稳定性强：系统是以数据库为核心的评估分析系统，在 实现上采用了桌面数据库技术。这使得各部分的耦合程度大为降低， 极大地提高了系统的可靠性。只要数据库数据信息正确无误，就可 以得到准确的结果。在数据库的设计中，对数据域和数据表单的读 写都作了严格的界定，保证了数据库的正确性。 分类齐全、分析项目完备分类齐全、分析项目完备：根据目标主机可能出现的安全隐患，检 测项目分为邮件服务、网络相关、文件服务、远程调用、后门相关、 缺省账号、网络共享、域名服务、无连接协议、常见服务、注册表、 拒绝服务、微软系

15、统、浏览相关、其他项目等 15 个类别，能全面 评估目标主机及系统的安全风险。 完备的网络安全薄弱环节数据库：完备的网络安全薄弱环节数据库：鉴于目前 WINDOWS 操作系统 的广泛应用，本版本大幅增加了相关的评估分析项目数据库。数据 库中所有类别的评估分析项目共有 600 多项，完全能够满足用户的 需求。 独有的用户自定义规则独有的用户自定义规则：用户可以根据自己的需要，为每台主机制 定不同的评估策略。 良好的实用良好的实用性：性：“火眼”网络安全评估系统是中科网威公司自己设计 的系统，具有良好的使用性。在管理界面上使用了全中文化的设计， 操作使用符合标准的 WINDOWS 风格，用户大部分

16、操作只要通过 点击鼠标就可达到目的。因此使管理工作更加方便，其输出的统计 结果也更加有价值。 评估分析速度快，准确性高：评估分析速度快，准确性高：用户可以一次对任意多个目标进行测 试，对每个主机的测试都是并发地进行，评估分析的速度非常快。 在评估的过程中，可以根据用户的意愿随时停止。 完善的安全解决方案完善的安全解决方案：在评估分析完成以后，系统将给出详细的分 析结果，用户可以对要评估的系统有一个较为全面的了解，并可以 方便地根据所提建议进行系统改进。 增加了各种实用的分析工具：增加了各种实用的分析工具：增加了连通检查、路由跟踪、攻击测 试、端口分析、自动升级等使用工具，极大的方便了用户。 功能强大的报表功能强大的报表：用户可以生成多种报表格式，并可以保存为多种 格式的文档。用户可以查询、综合各种报表，以便通过不同的形式 来了解被测主机的各种安全隐患。 支持网上数据更新支持网上数据更新。