某石油公司防火墙配置方案.docVIP

某石油公司防火墙配置方案 某石油项目是国家大型的企业，随着企业的不断发展和壮大，企业需要对现有的网络和网络安全进行改造，以适应企业现代化建设的需要。 该石油企业网络根据地域和功能的不同划分了多个网络区域，这些网络区域均被网络边界所隔离。由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险。 边界安全、内部安全均需要重视 该企业网络主要存在的边界安全风险包括:该企业网络与各级单位的连接，可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵;内部用户利用盗版软件或从Internet 下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪;内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等，但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。 这家石油企业不仅需要防范外部攻击，同时，网络内部安全同样不容忽视:内部用户的非授权的访问，更容易造成资源和重要信息的泄漏;由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害;70%左右安全威胁来自内部，对内部用户攻击 的防范同样重要;设备的自身安全性也会直接关系到某石油企业网络系统和各种网络应用的正常运转，需避免路由设备存在路由信息泄漏、交换机和路由器设备配置等风险问题;系统自身存在安全的漏洞，没得到及时发现和修补，会为网络安全带来诸多不安定因素;重要服务器宕机事故或者重要数据意外丢失都严重影响企业正常业务地运行;在安全管理方面，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。 多个防火墙方案搭建整体防御体系 据Juniper 观察，该石油企业需要的网络应该具有极高的安全性才可使其业务正常运行。为此，Juniper 网络公司针对用户需求制定的安全方案的目的是保证内网中的重要数据的必威体育官网网址性，完整性、可用性、防抵赖性和可管理性。 方案执行之后，可有效控制、发现、处理非法的网络访问;保护在不安全网络上的数据传输的安全性;能有效地预防、发现、处理网络上传输的蠕虫病毒和其他的计算机病毒;完全预防、发现、处理网络上存在的恶意攻击和非授权访问;合理的安全体系架构和管理措施;实现网络系统安全系统的集中管理;同时具有较强的扩展性。 Juniper 网络安全建设方案是参照国际通行的PDRR(Protection ,防护、Detection,检测、Respone,响应和Recovery,恢复)安全模型进行设计，以满足用户的安全需求。Juniper 一体化防火墙系统作为整合式网络安全设备，是专为互联网网络安全而设，将防火墙、虚拟专用网(VPN)和流量管理等功能集于一体，Juniper整合式安全设备具有硬件加速的IPSec加密演算性能(包括在3DES 加密的应用下)、低延时，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过内置的WebUI、命令行界面或Juniper NetScreen 中央管理方案进行处理。 由于该石油公司业务量巨大，网络规模大，导致信息安全问题日益复杂多样。虽然Juniper防火墙系统是整合式安全通信设备，但若不根据用户实际网络区域对安全需求的差异性，盲目部署防火墙设备时，防火墙的防护能力将大大降低。因此Juniper 根据用户网络不同区域对信息安全需求的不同，提供了多个防火墙解决方案，从而搭建起一个整体的防御体系，以抵御那些来自内部和外部的威胁攻击。 Juniper的UTM设备——集高级安全与全路由于一体的新一代安全多业务网关500(SSG 500)系列可以很好地满足用户实际需求。SSG 500 系列产品集成Juniper 广受赞誉与认可的高性能VPN/ 安全与电信级路由技术于一体。SSG 产品应用范围广泛——可以防范网络及应用层的攻击，支持当前及未来的网络联接技术方案;在局域网安全基础上，还支持分支机构到总部的网络连接功能和性能。用户可将其作为网络安全设备使用:作为防火墙可为中型/中大型企业提供高级别的安全网网络能力;其VPN 功能，为客户提供高速WAN 提供高性能安全联网。 Juniper利用SSG 550为用户制定的以防火墙功能为主的安全系统，其具体方案包括: 防火墙的安全控制实现方案 整个防火墙系统的核心是安全策略——对于一个安全系统来说，安全策略的制订至关重要。策略本身出现问题，会导致整个安全系统产生致命的安全问题。几乎所有防火墙系统的安全策略由源地址、目的地址、服务、动作元素组成;所有防火墙策略的执行是按照前后顺序方式执行，当策略被执行后，其后的策略不被执行。因此，在制订安全策略时要遵循越严格的策略越要放