【正文】 區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語(yǔ) 音 出 口除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署還需要考慮兩個(gè)關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務(wù)器，是整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點(diǎn)，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會(huì)影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；35 / 44高可靠：大部分的應(yīng)用系統(tǒng)服務(wù)器都部署在數(shù)據(jù)中心，這些服務(wù)器是整個(gè)企業(yè)或者單位運(yùn)行的關(guān)鍵支撐，必須要嚴(yán)格的保證這些服務(wù)器可靠性與可用性，因此，部署防火墻以后，不能對(duì)網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊?，不能形成單點(diǎn)故障?；谏鲜鰞蓚€(gè)的關(guān)鍵特性，我們建議進(jìn)行以下設(shè)備部署模式和配置策略的建議：? 設(shè)備部署模式：? 如上圖所示，我們建議在兩臺(tái)核心交換機(jī)與兩臺(tái)數(shù)據(jù)中心交換機(jī)之間配置兩臺(tái)防火墻，兩臺(tái)防火墻與兩臺(tái)核心交換機(jī)以及兩臺(tái)數(shù)據(jù)中心交換機(jī)之間采取全冗余連接；? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺(tái)防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制的同時(shí)保證線路的可靠性，同時(shí)可以與動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；? 安全控制策略：? 防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；? 建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，配置只有規(guī)則允許的 IP 地址或者用戶能夠訪問(wèn)數(shù)據(jù)中心中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對(duì)數(shù)據(jù)中心服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會(huì)對(duì)數(shù)據(jù)中心的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播，保護(hù)數(shù)據(jù)中心的核心數(shù)據(jù)信息資產(chǎn)；? 配置防火墻防 DOS/DDOS 功能，對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP 報(bào)文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；? 根據(jù)需要，配置 IP/MAC 綁定功能，對(duì)能夠識(shí)別 MAC 地址的主機(jī)進(jìn)行鏈路層控制，實(shí)現(xiàn)只有 IP/MAC 匹配的用戶才能訪問(wèn)數(shù)據(jù)中心的服務(wù)器；? 其他可選策略：? 可以啟動(dòng)防火墻身份認(rèn)證功能，通過(guò)內(nèi)置數(shù)據(jù)庫(kù)或者標(biāo)準(zhǔn) Radius 屬性認(rèn)證，實(shí)現(xiàn)36 / 44對(duì)用戶身份認(rèn)證后進(jìn)行資源訪問(wèn)的授權(quán)，進(jìn)行更細(xì)粒度的用戶識(shí)別和控制；? 根據(jù)需要，在兩臺(tái)防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)服務(wù)器訪問(wèn)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)關(guān)鍵服務(wù)器的網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問(wèn)控制能力；? 在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；? 啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效的記錄和統(tǒng)計(jì)分析；? 設(shè)備選型建議：? 我們建議選擇 1800F 防火墻，詳細(xì)的產(chǎn)品介紹見(jiàn)附件；. Inter 邊界安全防護(hù)在 Inter 邊界部署防火墻是防火墻最主要的應(yīng)用模式，絕大部分網(wǎng)絡(luò)都會(huì)接入 Inter，因此會(huì)面臨非常大的來(lái)自 Inter 的攻擊的風(fēng)險(xiǎn)，需要一種簡(jiǎn)易有效的安全防護(hù)手段，Inter 邊界防火墻有多種部署模式，基本部署模式如下圖所示：37 / 44RPIntertPSTN 區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語(yǔ) 音 出 口主 推 方 案通過(guò)在 Inter 邊界部署防火墻，主要目的是實(shí)現(xiàn)以下三大功能：來(lái)自 Inter 攻擊的防范： 隨著網(wǎng)絡(luò)技術(shù)不斷的發(fā)展， Inter 上的現(xiàn)成的攻擊工具越來(lái)越多，而且可以通過(guò) Inter 廣泛傳播，由此導(dǎo)致 Inter 上的攻擊行為也越來(lái)越多，而且越來(lái)越復(fù)雜，防火墻必須可以有效的阻擋來(lái)自 Inter 的各種攻擊行為；Inter 服務(wù)器安全防護(hù)： 企業(yè)接入 Inter 后，大都會(huì)利用 Inter 這個(gè)大網(wǎng)絡(luò)平臺(tái)進(jìn)行信息發(fā)布和企業(yè)宣傳，需要在 Inter 邊界部署服務(wù)器，因此，必須在能夠提供 Inter 上的公眾訪問(wèn)這些服務(wù)器的同時(shí)，保證這些服務(wù)器的安全；內(nèi)部用戶訪問(wèn) Inter 管理： 必須對(duì)內(nèi)部用戶訪問(wèn) Inter 行為進(jìn)行細(xì)致的管理，比如能夠支持 WEB、郵件、以及 BT 等應(yīng)用模式的內(nèi)容過(guò)濾，避免網(wǎng)絡(luò)資源的濫用，也避免通過(guò) Inter引入各種安全風(fēng)險(xiǎn)；基于上述需求，我們建議在 Inter 邊界，采取以下防火墻部署策略：? 設(shè)備部署模式：? 如上圖所示，我們建議在核心交換機(jī)與 Inter 路由器之間配置兩臺(tái)防火墻，兩臺(tái)38 / 44防火墻與核心交換機(jī)以及 Inter 路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺(tái)防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制同時(shí)保證線路的可靠性，同時(shí)可以與內(nèi)網(wǎng)動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；? 安全控制策略：? 防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；? 配置防火墻防 DOS/DDOS 功能，對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范；? 配置防火墻全面安全防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP 報(bào)文攻擊防范、地址 /端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等；由外往內(nèi)的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，拒絕任何來(lái)自 Inter 對(duì)內(nèi)網(wǎng)的訪問(wèn)數(shù)據(jù)，保證任何Inter 數(shù)據(jù)都不能主動(dòng)進(jìn)入內(nèi)部網(wǎng)，屏蔽所有來(lái)自 Inter 的攻擊行為；由外往 DMZ 的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，控制來(lái)自 Inter 用戶只能訪問(wèn) DMZ 區(qū)服務(wù)器的特定端口，比如 WWW 服務(wù)器 80 端口、Mail 服務(wù)器的 25/110 端口等，其他通信端口一律拒絕訪問(wèn)，保證部屬在 DMZ 區(qū)的服務(wù)器在安全的前提下，有效提供所需的服務(wù)；由內(nèi)往外的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，對(duì)內(nèi)部用戶訪問(wèn) Inter 進(jìn)行基于 IP 地址的控制，初步實(shí)現(xiàn)控制內(nèi)部用戶能否訪問(wèn) Inter，能夠訪問(wèn)什么樣的 Inert 資源；? 通過(guò)配置防火墻提供的 IP/MAC 地址綁定功能，以及身份認(rèn)證功能，提供對(duì)內(nèi)部用戶訪問(wèn) Inter 的更嚴(yán)格有效的控制能力，加強(qiáng)內(nèi)部用戶訪問(wèn) Inter 控制能力；? 通過(guò)配置防火墻提供的 SMTP 郵件過(guò)濾功能和 HTTP 內(nèi)容過(guò)濾，實(shí)現(xiàn)對(duì)用戶訪問(wèn)Inter 的細(xì)粒度的訪問(wèn)控制能力，實(shí)現(xiàn)基本的用戶訪問(wèn) Inter 的行為管理；39 / 44由內(nèi)往 DMZ 的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，控制來(lái)自內(nèi)部用戶只能訪問(wèn) DMZ 區(qū)服務(wù)器的特定端口，比如 WWW 服務(wù)器 80 端口、Mail 服務(wù)器的 25/110 端口等，其他通信端口一律拒絕訪問(wèn)，保證部屬在 DMZ 區(qū)的服務(wù)器在安全的前提下，有效提供所需的服務(wù)；? 對(duì)于服務(wù)器管理員，通過(guò)防火墻策略設(shè)置，進(jìn)行嚴(yán)格的身份認(rèn)證等措施后，可以進(jìn)行比較寬的訪問(wèn)權(quán)限的授予，在安全的基礎(chǔ)上保證管理員的網(wǎng)絡(luò)訪問(wèn)能力；由 DMZ 往內(nèi)的訪問(wèn)控制規(guī)則：? 通過(guò)防火墻的訪問(wèn)控制策略，嚴(yán)格控制 DMZ 區(qū)服務(wù)器不能訪問(wèn)或者只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)的必需的資源，避免 DMZ 區(qū)服務(wù)器被作為跳板攻擊內(nèi)部網(wǎng)用戶和相關(guān)資源；? 其他可選策略：? 可以啟動(dòng)防火墻身份認(rèn)證功能，通過(guò)內(nèi)置數(shù)據(jù)庫(kù)或者標(biāo)準(zhǔn) Radius 屬性認(rèn)證，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證后進(jìn)行資源訪問(wèn)的授權(quán)；? 根據(jù)需要，在兩臺(tái)防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問(wèn)控制能力；? 在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；? 啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效的記錄和統(tǒng)計(jì)分析；? 設(shè)備選型建議：? 我們建議選擇 1000F/100F 防火墻，詳細(xì)的產(chǎn)品介紹見(jiàn)附件；. 大型網(wǎng)絡(luò)內(nèi)部隔離在比較大規(guī)?；蛘弑容^復(fù)雜的網(wǎng)絡(luò)中，需要對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的管理，以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)流量的控制和安全風(fēng)險(xiǎn)的隔離，其基本的防火墻部署模式如下圖所示：40 / 44RPIntertPSTN 區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語(yǔ) 音 出 口主 推 方 案企業(yè)內(nèi)部隔離防火墻主要應(yīng)用在比較大型的網(wǎng)絡(luò)中，這些網(wǎng)絡(luò)一般有多個(gè)層次的劃分，會(huì)有多個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)接入節(jié)點(diǎn)，需要對(duì)這些節(jié)點(diǎn)流量進(jìn)行隔離和控制。在這種大規(guī)模的分布式的部署模式中，對(duì)防火墻的關(guān)鍵性的要求主要集中在管理特性上，要求防火墻必須支持完善的集中管理模式，通過(guò)統(tǒng)一的管理中心，可以實(shí)現(xiàn)對(duì)全網(wǎng)部署的防火墻的集中管理，并且可以支持分級(jí)管理?；谶@種需求，我們建議進(jìn)行如下防火墻部署：? 設(shè)備部署模式：? 如上圖所示，我們建議在總部核心交換機(jī)與廣域路由器之間配置兩臺(tái)防火墻，兩臺(tái)防火墻與核心交換機(jī)以及廣域路由器之間采取全冗余連接，保證系統(tǒng)的可靠性；? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺(tái)防火墻為雙機(jī)熱備方式，在實(shí)現(xiàn)安全控制同時(shí)保證線路的可靠性，同時(shí)可以與內(nèi)網(wǎng)動(dòng)態(tài)路由策略組合，實(shí)現(xiàn)流量負(fù)載分擔(dān)；? 安全控制策略：41 / 44? 防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；? 配置防火墻防 DOS/DDOS 功能，對(duì) Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進(jìn)行防范，可以實(shí)現(xiàn)對(duì)各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動(dòng)反向查詢、TCP 報(bào)文標(biāo)志位不合法攻擊防范、超大 ICMP 報(bào)文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達(dá)報(bào)文控制功能、Tracert 報(bào)文控制功能、帶路由記錄選項(xiàng) IP 報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；? 根據(jù)需要，配置 IP/MAC 綁定功能，對(duì)能夠識(shí)別 MAC 地址的主機(jī)進(jìn)行鏈路層控制；由上往下的訪問(wèn)控制規(guī)則：? 建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，對(duì)實(shí)現(xiàn)總部網(wǎng)絡(luò)訪問(wèn)下級(jí)網(wǎng)絡(luò)的嚴(yán)格控制，只有規(guī)則允許的 IP 地址或者用戶能夠訪問(wèn)下級(jí)網(wǎng)絡(luò)中的指定的資源，以避免總部網(wǎng)絡(luò)可能會(huì)對(duì)下級(jí)網(wǎng)絡(luò)的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播；由上往下的訪問(wèn)控制規(guī)則：? 建議在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，對(duì)實(shí)現(xiàn)下級(jí)網(wǎng)絡(luò)訪問(wèn)總部局域網(wǎng)的嚴(yán)格控制，只有規(guī)則允許的 IP 地址或者用戶能夠訪問(wèn)總部局域網(wǎng)的指定的資源，以避免下級(jí)網(wǎng)絡(luò)中復(fù)雜的用戶可能會(huì)對(duì)總部網(wǎng)絡(luò)的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播；? 其他可選策略：? 可以啟動(dòng)防火墻身份認(rèn)證功能，通過(guò)內(nèi)置數(shù)據(jù)庫(kù)或者標(biāo)準(zhǔn) Radius 屬性認(rèn)證，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證后進(jìn)行資源訪問(wèn)的授權(quán)；? 根據(jù)需要，在兩臺(tái)防火墻上設(shè)置流量控制規(guī)則，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費(fèi)和濫用，保護(hù)網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時(shí)間段規(guī)則，實(shí)現(xiàn)基于時(shí)間的訪問(wèn)控制，可以組合時(shí)間特性，實(shí)現(xiàn)更加靈活的訪問(wèn)控制能力；? 在防火墻上進(jìn)行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實(shí)現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；42 / 44? 啟動(dòng)防火墻日志功能，利用防火墻的日志記錄能力，詳細(xì)完整的記錄日志和統(tǒng)計(jì)報(bào)表等資料，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)訪問(wèn)行為的有效的記錄和統(tǒng)計(jì)分析；? 設(shè)備選型建議：? 我們建議選擇 1000F/100F 防火墻，詳細(xì)的產(chǎn)品介紹見(jiàn)附件；. 防火墻部署方案特點(diǎn)? 高安全：防火墻的安全特性主要體現(xiàn)在以下幾個(gè)方面：? 防火墻自身的安全性：指防火墻抵抗針對(duì)防火墻系統(tǒng)自身攻擊的風(fēng)險(xiǎn)，很多防火墻自身都存在一些安全漏洞，可能會(huì)被攻擊者利用，尤其是一些基于 Linux 操作系統(tǒng)平臺(tái)的防火墻；? 防火墻安全控制能力：主要指防火墻通過(guò)包過(guò)濾、代理或者狀態(tài)檢測(cè)等機(jī)制對(duì)進(jìn)出的數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層的控制，一般防火墻都支持狀態(tài)檢測(cè)機(jī)制，狀態(tài)檢測(cè)已經(jīng)是一種比較成熟的模式，不存在太多的差別，關(guān)鍵的差別在于對(duì)不同應(yīng)用協(xié)議的支持能力，尤其是一些語(yǔ)音、視頻等相關(guān)的協(xié)議；? 防火墻防御 DOS/DDOS 攻擊的能力：所有的 DOS/DDOS 攻擊的流量只要經(jīng)過(guò)防火墻，防火墻必須有足夠強(qiáng)的能力處理這些數(shù)據(jù)流，并且能把這些惡意數(shù)