防火墙1

硬件防火墙方案

主要用途：硬件防火墙主要适用于大中型企业网络，通过专用的硬件防火墙提供快速、高效的数据包转发速率，并为企业网络提供高安全性同时需要多种介质的端口支持。

现状分析、目标

自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。

由于公司网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，网络可能存在的安全威胁来自以下方面：

（1）操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；

（2）防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验；

（3）缺乏有效的手段监视、评估网络系统的安全性；

（4）采用的TCP/IP协议族软件，本身缺乏安全性；

（5）应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。

分析结论

满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是网络系统安全的重要原则。

某公司网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是某公司网络的基本安全需求。

具体需求如下：

（1）网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。（2）网络管理/网络部署的资料不被窃取。

（3）提供灵活而高效的内外通讯服务。

（4）访问控调，确保业务系统不被非法访问；

（5）数据安全，保证数据库软硬件系统的整体安全性和可靠性；

方案设计

方案设计原则

在设计新的安全方案时，我们要始终依照并贯彻下列原则：

●技术上应达到相当的先进性，性能上应能适应现在日新月异发展的网络应用，从而使

网络平台在较长时间内不落后；

●产品应具有优异的开放性和升级扩展能力，并提供最佳的用户投资保护；

●网络传输应具备高可高可靠性、安全性；

●网络易于维护、易于管理；

●系统主要设备均采用广泛应用且具有良好性能价格比的产品，尽量利用已有资源，既

考虑节省投资，有保证产品的先进性和可用性。

本方案核心技术和产品介绍

华为3COM Quidway® SecPath 1000F 防火墙

华为3COM Quidway® SecPath 100F 防火墙

Quidway® SecPath 1000F／Quidway® SecPath 100F防火墙是华为3Com公司开发的新一代专业防火墙设备,可以作为中小企业的出口防火墙设备，也可以作为大中型企业的内部防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能，能够有效地保证网络的安全；采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成动态包过滤；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、SSL VPN等等，可以构建Internet、Intranet、Access等多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。

Quidway® SecPath 1000F防火墙提供两个固定的10/100/1000M自适应GE口，支持光口和电口两种形式。提供一个MIM 扩展槽位，支持多功能接口模块热插拔，目前可选的接口模块有1FE/2FE/1GE/2GE/HDC五种。提供双电源冗余备份解决方案（AC+AC，DC+DC两种机型），提供机箱内部环境温度检测功能，并支持网管，可满足电信级产品的高可靠性要求。吞吐量达1.5Gbps，支持并发连接数200万，每秒新建连接数3万。

Quidway®SecPath 100F防火墙提供4个固定的10/100M自适应FE口LAN 口和3个固定的10/100M自适应FE口WAN口。提供一个MIM 扩展槽位，目前可选的接口模块有1FE/2FE/NDECII/HDC四种。提供机箱内部环境温度检测功能，并支持网管，满足高可靠性要求。吞吐量300M，并发连接数100万，每秒新建连接数1万。

即使部署在数据中心，SecPath系列硬件防火墙也能够应付自如，不会成为网络的瓶颈，对用户来说丝毫不会有性能的影响，从而为客户打造一个用户放心、管理舒心的安全网络。

Quidway® SecPath 1000F 防火墙外观

Quidway®SecPath 100F 防火墙外观

产品特点

提供企业网络的安全保障和防护功能

防火墙过滤

防火墙提供如下过滤功能：

支持包过滤技术。借助报文中优先级、TOS、UDP或TCP端口等信息作为过滤参考，通过在接口输入或输出方向上使用标准或扩展访问控制规则，可以实现对数据包的过滤。还可以按照时间段进行过滤。

支持应用层报文过滤ASPF（Application Specific Packet Filter），也称为状态防火墙。它检查应用层协议信息（如FTP、HTTP、SMTP、RTSP等协议及其它基于TCP/UDP协议的应用层协议）并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或者被丢弃。

提供多种攻击防范技术，包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能、静态和动态黑名单功能、MAC和IP绑定功能。支持智能防范蠕虫病毒技术。

支持透明防火墙。

支持邮件过滤，提供SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤。

支持网页过滤，提供HTTP URL过滤、HTTP内容过滤。

支持虚拟系统防火墙。虚拟系统防火墙之间可以使用VLAN划分，也可以使用端口划分。虚拟系统防火墙内部可以配置独立的防火墙规则，虚拟系统防火墙之间默认隔离，通过配置可以互通。

安全管理

防火墙提供了强大的管理功能：

提供各种日志功能，包括攻击实时日志、黑名单日志、地址绑定日志、流量告警日志、会话日志、进制格式日志、NAT日志功能，能够有效的纪录网络情况，从而为分析网络状况，防范网络攻击提供依据。

提供流量统计和分析功能，及时发现攻击和网络蠕虫病毒产生的异常流量。用户可以使用防火墙预先定义的流量分析模型，也可以自己定义各种协议流量的比例，连接速率阈值等参数，形成适合当前网络的分析模型。

提供各种事件监控和统计功能，包括全局/基于安全域连接数率监控、全局/基于安全域协议报文比例监控、安全事件统计功能，可以针对各种攻击情况、异常情况提供有效的分析数据。