防火墙设计

防火墙设计网络系统设计之防火墙设计

防火墙——需求分析

1、首先分析网络拓扑结构和需要保护的内容

⏹ 网络拓扑结构是否存在不合理

⏹ OSI/RM参考模型中各层通信的安全隐患

⏹ 本地网络接入情况

⏹ 本地关键数据的部署

⏹ 防火墙能够防护的内容

⏹ 部署防火墙的保护目标（具体化）

1. 边界防火墙

2. 内部防火墙

3. 重要数据和应用服务器防火墙

2、分析高安全性、一般安全性、低安全性范围

3、与ISP一起就管理问题进行讨论

防火墙——概要设计

1、防火墙在网络安全防护中的主要应用

⏹ 控制来自互联网对内部网络的访问

⏹ 控制来自第三方局域网对内部网络的访问

⏹ 控制局域网内部不同部门网络之间的访问

⏹ 控制对服务器数据中心的网络访问

2、防火墙选型

⏹ 防火墙类型的选型考虑

1. 包过滤型防火墙

2. 应用代理防火墙

3. 状态包过滤型防火墙

⏹ 软、硬防火墙的选型考虑

1. 软件防火墙

2. 硬件防火墙

⏹ 防火墙选购考虑

产品类型、端口数量、协议支持、访问控制配置、自身安全性、防御功能、连接性能、管理功能、记录报表功能、可扩展可升级性、和其它安全方式的协同工作能力、品牌知名度、经济预算等

3、防火墙在网络体系结构中的位置与部署方案

⏹ 屏蔽路由器

⏹ 双宿主机模式堡垒主机

⏹ 屏蔽主机模式屏蔽子网

⏹ 非军事区结构模式

4、用Visio绘制简要的网络拓扑结构示意图，体现设计思路和策略

在拓扑图上标记子网边界（子网边界的划分根据管理的需要，可以是楼名、院名、部

门名等），根据需求，论述防火墙的选择依据，确定选择方案

防火墙——详细设计/实现

1. 防火墙设计细化

a) 边界防火墙设计细化

⏹ 保护对象与目标

⏹ 内部网络与外部网络界定

⏹ 考虑DMZ区（非军事区或停火区）

⏹ 边界防火墙规则制定

⏹ 边界防火墙可用性需求

1. 无冗余

2. 有冗余

3. 容错防火墙集

b) 内部防火墙设计细化

⏹ 用户分类

⏹ 控制校园网内不同区域之间的访问

⏹ 内部防火墙规则制定

⏹ 内部防火墙可用性需求

1. 无冗余

2. 有冗余

3. 容错防火墙集

c) 控制对服务器中心的网络访问

⏹ 独立防火墙

⏹ 虚拟防火墙

具体设计中，应该体现：防火墙需求数量、部署点、配置策略、保护目标、运行后维护与管理方案等，要求提供防火墙的具体型号和产品，还应包括投资概算（视时间是否充裕而定）

防火墙设计——项目实施文档

1. 实施内容和进度安排（用甘特图表示）

2. 实施的条件和措施（人员、前期准备工作）

3. 防火墙方案确定

给出参照的标准和规范，给出防火墙网络拓扑图。分析一些通用已经执行的方案，进行对比，确定选用的方案。要求给出边界防火墙、内部防火墙、数据服务器防火墙三种目标分别具体实现其一，给出产品选择、部署方针、测试方案。

4. 防火墙的部署、配置与管理

结合网络拓扑结构和具体的建筑物关系，给出工程施工，用工计划、用工协议、工程施工进度表，供货时间表、会议纪要、工程预算表、工程施工预算表、设备材料进货检验

单、工程开工报告、设计变更单、施工日志、质量工程检查记录、系统调试合格证书、竣工报告单、验收申请单。

5. 验收测试

验收测试报告应该针对每一项测试，包括：测试项目、测试环境、测试方法、测试用例、测试结果等。可以用表格方式进行测试结果的记录。

给出是否测试通过的评价。

给出功能性评价和性能性评价。