防火墙解决计划方案方法模版

防火墙解决方案模版

杭州华三通信技术有限公司

安全产品行销部

2005年07月08日

目录

一、防火墙部署需求分析 (3)

二、防火墙部署解决方案 (4)

2.1. 数据中心防火墙部署 (4)

2.2. I NTERNET边界安全防护 (6)

2.3. 大型网络内部隔离 (9)

三、防火墙部署方案特点 (12)

一、防火墙部署需求分析

随着网络技术不断的发展以及网络建设的复杂化，需要加强对的有效管理和控制，这些管理和控制的需求主要体现在以下几个方面：

网络隔离的需求：

主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，控制的参数应该包括：数据包的源地址、目的地址、源端口、目的端口、网络协议等，通过这些参数，可以实现对网络流量的惊喜控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。

攻击防范的能力：

由于TCP/IP协议的开放特性，尤其是IP V4，缺少足够的安全特性的考虑，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。

流量管理的需求：

对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QOS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如可以支持WEB和MAIL的过滤，可以支持BT识别并限流等能力；

用户管理的需求：

内部网络用户接入局域网、接入广域网或者接入Internet，都需要对这些用户的网络应用行为进行管理，包括对用户进行身份认证，对用户的访问资源进行限制，对用户的网络访问行为进行控制等；

二、防火墙部署解决方案

防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP 地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, …）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。

根据不同的网络结构、不同的网络规模、以及网络中的不同位置的安全防护需求，防火墙一般存在以下几种部署模式：

2.1. 数据中心防火墙部署

防火墙可以部署在网络内部数据中心的前面，实现对所有访问数据中心服务器的网络流量进行控制，提供对数据中心服务器的保护，其基本部署模式如下图所示：

除了完善的隔离控制能力和安全防范能力，数据中心防火墙的部署还需要考虑两个关键特性：

高性能：数据中心部署大量的服务器，是整个网络的数据流量的汇集点，因此要求防火墙必须具备非常高的性能，保证部署防火墙后不会影响这些大流量的数据传输，不能成为性能的瓶颈；

高可靠：大部分的应用系统服务器都部署在数据中心，这些服务器是整个企业或者单位运行的关键支撑，必须要严格的保证这些服务器可靠性与可用性，因此，部署防火墙以后，不能对网络传输的可靠性造成影响，不能形成单点故障。

基于上述两个的关键特性，我们建议进行以下设备部署模式和配置策略的建议：

●设备部署模式：

♦如上图所示，我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙，两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接；

♦为了保证系统的可靠性，我们建议配置两台防火墙为双机热备方式，在实现安全控制的同时保证线路的可靠性，同时可以与动态路由策略组合，实现流量负载分担；

●安全控制策略：

♦防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；

♦建议在两台防火墙上设定严格的访问控制规则，配置只有规则允许的IP地址或者用户能够访问数据中心中的指定的资源，严格限制网络用户对数据中心服务器的资源，

以避免网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播，保护数据

中心的核心数据信息资产；

♦配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范，可以实现对各种拒

绝服务攻击的有效防范，保证网络带宽；

♦配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描

的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录

选项IP报文控制功能等，全面防范各种网络层的攻击行为；

♦根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制，实现只有IP/MAC匹配的用户才能访问数据中心的服务器；

●其他可选策略：

♦可以启动防火墙身份认证功能，通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权，进行更细粒度的用户识别和控制；

♦根据需要，在两台防火墙上设置流量控制规则，实现对服务器访问流量的有效管理，有效的避免网络带宽的浪费和滥用，保护关键服务器的网络带宽；

♦根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力；

♦在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用；

♦启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析；

设备选型建议：

♦我们建议选择H3C SecPath 1800F防火墙，详细的产品介绍见附件；

2.2. I NTERNET边界安全防护

在Internet边界部署防火墙是防火墙最主要的应用模式，绝大部分网络都会接入Internet，因此会面临非常大的来自Internet的攻击的风险，需要一种简易有效的安全防护手段，Internet边界防火墙有多种部署模式，基本部署模式如下图所示：