【正文】 區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語 音 出 口除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署還需要考慮兩個關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務(wù)器，是整個網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；35 / 44高可靠：大部分的應(yīng)用系統(tǒng)服務(wù)器都部署在數(shù)據(jù)中心，這些服務(wù)器是整個企業(yè)或者單位運行的關(guān)鍵支撐，必須要嚴格的保證這些服務(wù)器可靠性與可用性，因此，部署防火墻以后，不能對網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊?，不能形成單點故障。基于上述兩個的關(guān)鍵特性，我們建議進行以下設(shè)備部署模式和配置策略的建議：? 設(shè)備部署模式：? 如上圖所示，我們建議在兩臺核心交換機與兩臺數(shù)據(jù)中心交換機之間配置兩臺防火墻，兩臺防火墻與兩臺核心交換機以及兩臺數(shù)據(jù)中心交換機之間采取全冗余連接；? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺防火墻為雙機熱備方式，在實現(xiàn)安全控制的同時保證線路的可靠性，同時可以與動態(tài)路由策略組合，實現(xiàn)流量負載分擔；? 安全控制策略：? 防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；? 建議在兩臺防火墻上設(shè)定嚴格的訪問控制規(guī)則，配置只有規(guī)則允許的 IP 地址或者用戶能夠訪問數(shù)據(jù)中心中的指定的資源，嚴格限制網(wǎng)絡(luò)用戶對數(shù)據(jù)中心服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會對數(shù)據(jù)中心的攻擊、非授權(quán)訪問以及病毒的傳播，保護數(shù)據(jù)中心的核心數(shù)據(jù)信息資產(chǎn)；? 配置防火墻防 DOS/DDOS 功能，對 Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進行防范，可以實現(xiàn)對各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動反向查詢、TCP 報文標志位不合法攻擊防范、超大 ICMP 報文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達報文控制功能、Tracert 報文控制功能、帶路由記錄選項 IP 報文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；? 根據(jù)需要，配置 IP/MAC 綁定功能，對能夠識別 MAC 地址的主機進行鏈路層控制，實現(xiàn)只有 IP/MAC 匹配的用戶才能訪問數(shù)據(jù)中心的服務(wù)器；? 其他可選策略：? 可以啟動防火墻身份認證功能，通過內(nèi)置數(shù)據(jù)庫或者標準 Radius 屬性認證，實現(xiàn)36 / 44對用戶身份認證后進行資源訪問的授權(quán)，進行更細粒度的用戶識別和控制；? 根據(jù)需要，在兩臺防火墻上設(shè)置流量控制規(guī)則，實現(xiàn)對服務(wù)器訪問流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費和濫用，保護關(guān)鍵服務(wù)器的網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時間段規(guī)則，實現(xiàn)基于時間的訪問控制，可以組合時間特性，實現(xiàn)更加靈活的訪問控制能力；? 在防火墻上進行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；? 啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統(tǒng)計報表等資料，實現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計分析；? 設(shè)備選型建議：? 我們建議選擇 1800F 防火墻，詳細的產(chǎn)品介紹見附件；. Inter 邊界安全防護在 Inter 邊界部署防火墻是防火墻最主要的應(yīng)用模式，絕大部分網(wǎng)絡(luò)都會接入 Inter，因此會面臨非常大的來自 Inter 的攻擊的風(fēng)險，需要一種簡易有效的安全防護手段，Inter 邊界防火墻有多種部署模式，基本部署模式如下圖所示：37 / 44RPIntertPSTN 區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語 音 出 口主 推 方 案通過在 Inter 邊界部署防火墻，主要目的是實現(xiàn)以下三大功能：來自 Inter 攻擊的防范： 隨著網(wǎng)絡(luò)技術(shù)不斷的發(fā)展， Inter 上的現(xiàn)成的攻擊工具越來越多，而且可以通過 Inter 廣泛傳播，由此導(dǎo)致 Inter 上的攻擊行為也越來越多，而且越來越復(fù)雜，防火墻必須可以有效的阻擋來自 Inter 的各種攻擊行為；Inter 服務(wù)器安全防護： 企業(yè)接入 Inter 后，大都會利用 Inter 這個大網(wǎng)絡(luò)平臺進行信息發(fā)布和企業(yè)宣傳，需要在 Inter 邊界部署服務(wù)器，因此，必須在能夠提供 Inter 上的公眾訪問這些服務(wù)器的同時，保證這些服務(wù)器的安全；內(nèi)部用戶訪問 Inter 管理： 必須對內(nèi)部用戶訪問 Inter 行為進行細致的管理，比如能夠支持 WEB、郵件、以及 BT 等應(yīng)用模式的內(nèi)容過濾，避免網(wǎng)絡(luò)資源的濫用，也避免通過 Inter引入各種安全風(fēng)險；基于上述需求，我們建議在 Inter 邊界，采取以下防火墻部署策略：? 設(shè)備部署模式：? 如上圖所示，我們建議在核心交換機與 Inter 路由器之間配置兩臺防火墻，兩臺38 / 44防火墻與核心交換機以及 Inter 路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺防火墻為雙機熱備方式，在實現(xiàn)安全控制同時保證線路的可靠性，同時可以與內(nèi)網(wǎng)動態(tài)路由策略組合，實現(xiàn)流量負載分擔；? 安全控制策略：? 防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；? 配置防火墻防 DOS/DDOS 功能，對 Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進行防范；? 配置防火墻全面安全防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動反向查詢、TCP 報文標志位不合法攻擊防范、超大 ICMP 報文攻擊防范、地址 /端口掃描的防范、ICMP 重定向或不可達報文控制功能、Tracert 報文控制功能、帶路由記錄選項 IP 報文控制功能等；由外往內(nèi)的訪問控制規(guī)則：? 通過防火墻的訪問控制策略，拒絕任何來自 Inter 對內(nèi)網(wǎng)的訪問數(shù)據(jù)，保證任何Inter 數(shù)據(jù)都不能主動進入內(nèi)部網(wǎng)，屏蔽所有來自 Inter 的攻擊行為；由外往 DMZ 的訪問控制規(guī)則：? 通過防火墻的訪問控制策略，控制來自 Inter 用戶只能訪問 DMZ 區(qū)服務(wù)器的特定端口，比如 WWW 服務(wù)器 80 端口、Mail 服務(wù)器的 25/110 端口等，其他通信端口一律拒絕訪問，保證部屬在 DMZ 區(qū)的服務(wù)器在安全的前提下，有效提供所需的服務(wù)；由內(nèi)往外的訪問控制規(guī)則：? 通過防火墻的訪問控制策略，對內(nèi)部用戶訪問 Inter 進行基于 IP 地址的控制，初步實現(xiàn)控制內(nèi)部用戶能否訪問 Inter，能夠訪問什么樣的 Inert 資源；? 通過配置防火墻提供的 IP/MAC 地址綁定功能，以及身份認證功能，提供對內(nèi)部用戶訪問 Inter 的更嚴格有效的控制能力，加強內(nèi)部用戶訪問 Inter 控制能力；? 通過配置防火墻提供的 SMTP 郵件過濾功能和 HTTP 內(nèi)容過濾，實現(xiàn)對用戶訪問Inter 的細粒度的訪問控制能力，實現(xiàn)基本的用戶訪問 Inter 的行為管理；39 / 44由內(nèi)往 DMZ 的訪問控制規(guī)則：? 通過防火墻的訪問控制策略，控制來自內(nèi)部用戶只能訪問 DMZ 區(qū)服務(wù)器的特定端口，比如 WWW 服務(wù)器 80 端口、Mail 服務(wù)器的 25/110 端口等，其他通信端口一律拒絕訪問，保證部屬在 DMZ 區(qū)的服務(wù)器在安全的前提下，有效提供所需的服務(wù)；? 對于服務(wù)器管理員，通過防火墻策略設(shè)置，進行嚴格的身份認證等措施后，可以進行比較寬的訪問權(quán)限的授予，在安全的基礎(chǔ)上保證管理員的網(wǎng)絡(luò)訪問能力；由 DMZ 往內(nèi)的訪問控制規(guī)則：? 通過防火墻的訪問控制策略，嚴格控制 DMZ 區(qū)服務(wù)器不能訪問或者只能訪問內(nèi)部網(wǎng)絡(luò)的必需的資源，避免 DMZ 區(qū)服務(wù)器被作為跳板攻擊內(nèi)部網(wǎng)用戶和相關(guān)資源；? 其他可選策略：? 可以啟動防火墻身份認證功能，通過內(nèi)置數(shù)據(jù)庫或者標準 Radius 屬性認證，實現(xiàn)對用戶身份認證后進行資源訪問的授權(quán)；? 根據(jù)需要，在兩臺防火墻上設(shè)置流量控制規(guī)則，實現(xiàn)對網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費和濫用，保護網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時間段規(guī)則，實現(xiàn)基于時間的訪問控制，可以組合時間特性，實現(xiàn)更加靈活的訪問控制能力；? 在防火墻上進行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；? 啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統(tǒng)計報表等資料，實現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計分析；? 設(shè)備選型建議：? 我們建議選擇 1000F/100F 防火墻，詳細的產(chǎn)品介紹見附件；. 大型網(wǎng)絡(luò)內(nèi)部隔離在比較大規(guī)模或者比較復(fù)雜的網(wǎng)絡(luò)中，需要對內(nèi)部網(wǎng)絡(luò)進行有效的管理，以實現(xiàn)對整個網(wǎng)絡(luò)流量的控制和安全風(fēng)險的隔離，其基本的防火墻部署模式如下圖所示：40 / 44RPIntertPSTN 區(qū) 域 二區(qū) 域 一區(qū) 域 三 區(qū) 域 四區(qū) 域 五區(qū) 域 六 數(shù) 據(jù) 中 心網(wǎng) 絡(luò) 骨 干網(wǎng) 絡(luò) 匯 聚網(wǎng) 絡(luò) 接 入語 音 出 口主 推 方 案企業(yè)內(nèi)部隔離防火墻主要應(yīng)用在比較大型的網(wǎng)絡(luò)中，這些網(wǎng)絡(luò)一般有多個層次的劃分，會有多個相對獨立的網(wǎng)絡(luò)接入節(jié)點，需要對這些節(jié)點流量進行隔離和控制。在這種大規(guī)模的分布式的部署模式中，對防火墻的關(guān)鍵性的要求主要集中在管理特性上，要求防火墻必須支持完善的集中管理模式，通過統(tǒng)一的管理中心，可以實現(xiàn)對全網(wǎng)部署的防火墻的集中管理，并且可以支持分級管理?；谶@種需求，我們建議進行如下防火墻部署：? 設(shè)備部署模式：? 如上圖所示，我們建議在總部核心交換機與廣域路由器之間配置兩臺防火墻，兩臺防火墻與核心交換機以及廣域路由器之間采取全冗余連接，保證系統(tǒng)的可靠性；? 為了保證系統(tǒng)的可靠性，我們建議配置兩臺防火墻為雙機熱備方式，在實現(xiàn)安全控制同時保證線路的可靠性，同時可以與內(nèi)網(wǎng)動態(tài)路由策略組合，實現(xiàn)流量負載分擔；? 安全控制策略：41 / 44? 防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；? 配置防火墻防 DOS/DDOS 功能，對 Land、Smurf、Fraggle、Ping of Death、Tear Drop、 SYN Flood、ICMP Flood、UDP Flood 等拒絕服務(wù)攻擊進行防范，可以實現(xiàn)對各種拒絕服務(wù)攻擊的有效防范，保證網(wǎng)絡(luò)帶寬；? 配置防火墻全面攻擊防范能力，包括 ARP 欺騙攻擊的防范，提供 ARP 主動反向查詢、TCP 報文標志位不合法攻擊防范、超大 ICMP 報文攻擊防范、地址/端口掃描的防范、ICMP 重定向或不可達報文控制功能、Tracert 報文控制功能、帶路由記錄選項 IP 報文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；? 根據(jù)需要，配置 IP/MAC 綁定功能，對能夠識別 MAC 地址的主機進行鏈路層控制；由上往下的訪問控制規(guī)則：? 建議在兩臺防火墻上設(shè)定嚴格的訪問控制規(guī)則，對實現(xiàn)總部網(wǎng)絡(luò)訪問下級網(wǎng)絡(luò)的嚴格控制，只有規(guī)則允許的 IP 地址或者用戶能夠訪問下級網(wǎng)絡(luò)中的指定的資源，以避免總部網(wǎng)絡(luò)可能會對下級網(wǎng)絡(luò)的攻擊、非授權(quán)訪問以及病毒的傳播；由上往下的訪問控制規(guī)則：? 建議在兩臺防火墻上設(shè)定嚴格的訪問控制規(guī)則，對實現(xiàn)下級網(wǎng)絡(luò)訪問總部局域網(wǎng)的嚴格控制，只有規(guī)則允許的 IP 地址或者用戶能夠訪問總部局域網(wǎng)的指定的資源，以避免下級網(wǎng)絡(luò)中復(fù)雜的用戶可能會對總部網(wǎng)絡(luò)的攻擊、非授權(quán)訪問以及病毒的傳播；? 其他可選策略：? 可以啟動防火墻身份認證功能，通過內(nèi)置數(shù)據(jù)庫或者標準 Radius 屬性認證，實現(xiàn)對用戶身份認證后進行資源訪問的授權(quán)；? 根據(jù)需要，在兩臺防火墻上設(shè)置流量控制規(guī)則，實現(xiàn)對網(wǎng)絡(luò)流量的有效管理，有效的避免網(wǎng)絡(luò)帶寬的浪費和濫用，保護網(wǎng)絡(luò)帶寬；? 根據(jù)應(yīng)用和管理的需要，設(shè)置有效工作時間段規(guī)則，實現(xiàn)基于時間的訪問控制，可以組合時間特性，實現(xiàn)更加靈活的訪問控制能力；? 在防火墻上進行設(shè)置告警策略，利用靈活多樣的告警響應(yīng)手段（Email、日志、SNMP 陷阱等），實現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡(luò)應(yīng)用；42 / 44? 啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統(tǒng)計報表等資料，實現(xiàn)對網(wǎng)絡(luò)訪問行為的有效的記錄和統(tǒng)計分析；? 設(shè)備選型建議：? 我們建議選擇 1000F/100F 防火墻，詳細的產(chǎn)品介紹見附件；. 防火墻部署方案特點? 高安全：防火墻的安全特性主要體現(xiàn)在以下幾個方面：? 防火墻自身的安全性：指防火墻抵抗針對防火墻系統(tǒng)自身攻擊的風(fēng)險，很多防火墻自身都存在一些安全漏洞，可能會被攻擊者利用，尤其是一些基于 Linux 操作系統(tǒng)平臺的防火墻；? 防火墻安全控制能力：主要指防火墻通過包過濾、代理或者狀態(tài)檢測等機制對進出的數(shù)據(jù)流進行網(wǎng)絡(luò)層的控制，一般防火墻都支持狀態(tài)檢測機制，狀態(tài)檢測已經(jīng)是一種比較成熟的模式，不存在太多的差別，關(guān)鍵的差別在于對不同應(yīng)用協(xié)議的支持能力，尤其是一些語音、視頻等相關(guān)的協(xié)議；? 防火墻防御 DOS/DDOS 攻擊的能力：所有的 DOS/DDOS 攻擊的流量只要經(jīng)過防火墻，防火墻必須有足夠強的能力處理這些數(shù)據(jù)流，并且能把這些惡意數(shù)