欢迎来到天天文库
浏览记录
ID:1992358
大小:561.50 KB
页数:14页
时间:2017-11-14
《h3c 防火墙解决方案模版》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、内容简述用途密级说明上次修改SecPath防火墙技术建议书模板用于撰写和SecPath防火墙相关的技术建议书内部公开,严禁外传2005-7-12防火墙解决方案模版华为3Com技术有限公司安全产品行销部2005年07月08日防火墙解决方案模版目录一、防火墙部署需求分析3二、防火墙部署解决方案42.1.数据中心防火墙部署42.2.Internet边界安全防护62.3.大型网络内部隔离9三、防火墙部署方案特点12华为3Com技术有限公司http://www.huawei-3com.com第14页防火墙解决方案模版一、防火墙部署需求分析随着网络技术不断的发展
2、以及网络建设的复杂化,需要加强对的有效管理和控制,这些管理和控制的需求主要体现在以下几个方面:网络隔离的需求:主要是指能够对网络区域进行分割,对不同区域之间的流量进行控制,控制的参数应该包括:数据包的源地址、目的地址、源端口、目的端口、网络协议等,通过这些参数,可以实现对网络流量的惊喜控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。攻击防范的能力:由于TCP/IP协议的开放特性,尤其是IPV4,缺少足够的安全特性的考虑,带来了非常大的安全风险,常见的IP地址窃取、IP地址假冒,网络端口扫描以及危害非常大的拒绝服务攻击(DOS、
3、DDOS)等,必须能够提供对这些攻击行为有效的检测和防范能力的措施。流量管理的需求:对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的QOS机制,保证数据传输的质量。另外,应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力,比如可以支持WEB和MAIL的过滤,可以支持BT识别并限流等能力;用户管理的需求:内部网络用户接入局域网、接入广域网或者接入Internet,都需要对这些用户的网络应用行为进行管理,包括对用户进行身份认证,对用户的访问资源进行限制,对用户的网络访问行为进行控制等;华为3Com技
4、术有限公司http://www.huawei-3com.com第14页防火墙解决方案模版一、防火墙部署解决方案防火墙是网络系统的核心基础防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(pingofdeath,land,synflooding,pingflooding,teardrop,…)、端口扫描(portscanning)、IP欺骗(ipspoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。根据不同
5、的网络结构、不同的网络规模、以及网络中的不同位置的安全防护需求,防火墙一般存在以下几种部署模式:1.1.数据中心防火墙部署防火墙可以部署在网络内部数据中心的前面,实现对所有访问数据中心服务器的网络流量进行控制,提供对数据中心服务器的保护,其基本部署模式如下图所示:除了完善的隔离控制能力和安全防范能力,数据中心防火墙的部署还需要考虑两个关键特性:华为3Com技术有限公司http://www.huawei-3com.com第14页防火墙解决方案模版高性能:数据中心部署大量的服务器,是整个网络的数据流量的汇集点,因此要求防火墙必须具备非常高的性能,保证部署
6、防火墙后不会影响这些大流量的数据传输,不能成为性能的瓶颈;高可靠:大部分的应用系统服务器都部署在数据中心,这些服务器是整个企业或者单位运行的关键支撑,必须要严格的保证这些服务器可靠性与可用性,因此,部署防火墙以后,不能对网络传输的可靠性造成影响,不能形成单点故障。基于上述两个的关键特性,我们建议进行以下设备部署模式和配置策略的建议:l设备部署模式:¨如上图所示,我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙,两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接;¨为了保证系统的可靠性,我们建议配置两台防火墙为双机热备方式
7、,在实现安全控制的同时保证线路的可靠性,同时可以与动态路由策略组合,实现流量负载分担;l安全控制策略:¨防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;¨建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据中心中的指定的资源,严格限制网络用户对数据中心服务器的资源,以避免网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播,保护数据中心的核心数据信息资产;¨配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、PingofDeath、TearD
8、rop、SYNFlood、ICMPFlood、UDPFlood等拒绝服务攻击进行防范,可以实现对各种拒绝服务
此文档下载收益归作者所有