防火墙分系统安全方案防火墙分系统安全方案.doc

防火墙分系统安全方案防火墙分系统安全方案.doc

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙分系统安全方案防火墙分系统安全方案

防火墙分系统安全方案 5.1 设计目标 将Internet与蚌埠广播电视台内部网隔离开来,拒绝非法访问,恶意攻击,真正保护网络边界的安全。 将各蚌埠广播电视台的内部网进行隔离,限制用户非法访问,避免受到恶意攻击非法访问、非法连接。 保护蚌埠广播电视台的信息发布系统,抵御来自于公网上的攻击,保护网络资源安全。 5.2 功能要求 蚌埠广播电视台对防火墙的功能要求如下: 专有的硬件平台,专有的操作系统。 与原有的防火墙 、交换机、路由器等网络设备功能兼容并有效整合。 网络特性:应支持至少两个端口的LAN接口数,,能有效的保护以太网、快速以太网。 应支持路由接入、透明接入,如还有其他的接入方式请另外说明。 访问控制:千兆级别的基于状态的包过滤功能,支持动态、静态、双向的网络地址转换(NAT)。 防御功能:可防TCP、UDP等端口扫描、防源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击、DOS/DDOS攻击、可阻止ActiveX、Java、Javascript入侵;同时提供时间监控和告警功能。 能力特性:具备流量控制和统计。 具备应用级透明代理功能,支持对HTTP、SMTP、POP3、NNTP等高层应用协议的代理;支持对URL的过滤、对WEB页面中的Java、VBscript、Javascript组件过滤。 具备完善的日志功能,支持向日志服务器导出日志,应具备日志冗余功能。 管理功能: 支持本地管理、远程管理和集中管理;支持SNMP监视和配置,其中远程管理应该能很好的安全保护。 支持容错技术,如双机热备、故障恢复、双电源备份等。 提供对WWW站点的保护功能。 能够与第三方安全产品进行很好的联动,尤其是与IDS产品的联动。 支持带宽管理(QoS)。 能很好的防止IP欺骗功能。 认证类型:应具有一个或多个认证方案,如OTP认证(一次性口令认证)、RADIUS、KERBEROS、TACACS/TACACS+、口令方式、数字证书等。 应支持常见的路由协议,如:OSPF、RIP、RIPII。 支持IPX、NETBEUI、VOD、H.323v1/v2、SSH协议。 支持分权管理和信息审计。 能够对防火墙的配置信息进行备份。 5.4 性能要求 蚌埠广播电视台对防火墙的性能要求如下: 最大并发连接数在120,000以上; 内核处理速度不低于300M(对于三个接口的防火墙); 对于10/100M以太网接口,其接口吞吐量应不低于97M; 吞吐量:防火墙加载百条规则的平均吞吐量应不低于17000fps; 延时:防火墙加载百条规则的平均延时不超过100,000ns; 丢包率:防火墙加载百条规则的丢包率为0; 背靠背:防火墙加载百条规则的背靠背性能测试不低于400,000frames; MTBF:不低于30000小时; 5.4 配置方案 由于蚌埠广播电视台是蚌埠广播电视台网的主要组成部分,它的安全性、可靠性对其正常行使宏观经济调控职能起着重要的作用,所以对其防火墙分系统采用双机备份,而其它省级蚌埠广播电视台只采用单机防火墙配置,其系统配置方案如图5.4所示。 在蚌埠广播电视台与专网互联处加入一台防火墙。由于蚌埠广播电视台网络需要连接的网络有专网以及互联网,所以采用双机备份的防火墙需要5个接口,如果双机切换采用串口连接监视heart-beat信号,那么需要4个接口的防火墙即可;第一个接口连接专网e0链路,第二个接口连接互联网e1链路,第三个接口连接SSN区(DMZ),第四个接口连接内部网; 由于采用双机备份,所以在接口处需要配置集线器或交换机。 当蚌埠广播电视台网络出口的流量超过一定极限时,可以将两台防火墙配置成防火墙机群工作模式,实现双机分流和负载均衡。 根据安全需求,在专网与Internet互联的时候需要采用NAT技术,隐藏其内部网络结构,同时在扩展安全设备时不宜改动原有的网络结构及配置,因此最好将防火墙配置为路由模式与透明模式相结合的混合工作模式。 5.5 选型建议 根据防火墙分系统的技术要求,本方案推荐在蚌埠广播电视台使用联想针对政府各部委办和金融骨干企业自主开发的高端防火墙--网御2000 FWP,推荐在省级蚌埠广播电视台使用联想自主开发的标准防火墙――网御2000 FWE。 推荐选用网御2000 系列防火墙,是因为网御2000系列防火墙除了完全满足“蚌埠广播电视台网安全系统包技术指标要求”规定的防火墙资质要求、功能要求和性能要求外,还具有以下显著的技术特点: 三墙合一:网御2000集防火墙、防毒墙、防黑墙三位一体,具有很高的性能价格比。 智能过滤:网御2000不但支持状态包过滤和动态包过滤,还创立了根据数据包的网络特征(源地址、目的地址、协议号、端口号、服务类型、传递方向等)、时间特征(可疑连接的时间间隔等)、空间特

文档评论(0)

cduutang + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档