防火墙技术方案Word文档下载推荐.docx

防火墙技术方案Word文档下载推荐.docx

《防火墙技术方案Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《防火墙技术方案Word文档下载推荐.docx（108页珍藏版）》请在冰豆网上搜索。

公司U前信息网络边界防护比较薄弱，只部署了一台硬件防火墙，属于直口二£

年购置,但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足公司网络平安需要，即使部署了防火墙的平安保障体系仍需要进一步完善，需要对网络信息平安进行升级改造。

为提高秤城县供电公司信息外网平安，充分考虑公司网络平安稳定运行，对公司网络信息平安进行升级改造，更换信息机房网络防火墙，以及附属设备，增加两台防火墙实现双机热备以实现网络信息平安稳定运行。

*4大厦白蚁预®

同壬合同签订版6

i需求分析

防火墙最根本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。

例如互联网是不可信任的区域，而内部网络是高度信任的区域。

以防止平安策略中禁止的一些通信，与建筑中的防火墙功能相似。

它有控制信息根本的任务在不同信任的区域。

典型信任的区域包括互联网念一个没有信任的区域③和一个内部网络公一个高信任的区域①o最终H标是提供受控连通性在不同水平的信任区域通过平安政策的运行和连通性模型之间根据最少特权原那么。

本次为秤城县供电公司提供天融信防火墙双机冗余系统并提供系统集成效劳。

其中包括〔但不限于〕以下内容：

〔2〕负责信息外网防火墙双击热备改造的设计、系统集成和调试。

负责提供改造所需配件占设备清单的所有硬件设备及其配件。

1<

3〕负责提供信息外网平安防护双击运行所需的软件及其介质。

旨①负责完本钱次工程提供的管理软件平台安装和调试，实现信息外网平安防护设备的管理。

国①负责专业人员的技术和运行维护培训。

负责模拟联调、设备到货验收、现场安装调试、系统联调、系统预验收。

蚤③负责提供必需的备品备件和专用丄具。

临①负责该系统中设备的故障处理和更换，负责提供所有文档资料。

■设计原那么

以下标准中的条款通过本技术标准的引用而成为本技术标准的条款，投标人所提供的设备均按上述标准和规程进行设计、制造、检验和安装。

但凡注明日期的引用标准，其随后所有的修改单

〔不包括勘误的内容〕或修订版均不适用本技术标准。

但凡不注明日期的引用文件，其最新版本适用本技术标准。

）

审•代曲血曲血血血曲曲曲曲国际标准化组织标准

•B•中9U1U1巴曲DUUlUl质量体系标准

（B）

去曲血血血血吐〕血血血血国际电工委员会标准

•啓p去

系列标准

8&

^8^0系列标准

8匚吩〔feUl系列标准

・口临〔feUl必田远动设备及系统传输规约

•符合洋P^EL^fi&

nQ用心QLlQ、陀备L1Q用心mifil、

駆U〕临丝亡1曲田曲l&

Ulk駆口吩尬口曲田曲凸Ufl规约。

•符合吟篦二锂堆的❾"

P僵〔应用层〕协议

・田口系列标准

・机卸&

防护等级

・誌凸UUU血U曲II静电放电试验

・pp誌巴UUUsOfJ曲H辐射静电试验

・pp誌凸UUUlQfJ曲I®

快速瞬变干扰试验

•Bp瑟|&

U〕U]UQ||J处田浪涌抗扰性试验

（H）

◎寧非心寧必必曲心心曲曲血国际电信联盟标准

•〃參今心$非述圜闡况开仁北逛團闔、令述1闔勤&

开仁炉述庭閭、非甜1〔1、非曲〔1住八

d®

〔&

U]|]等通信协议

（®

抄ppp曲曲曲曲曲血曲血曲美国电气电子工程师协会标准

•"

ppp"

2^000电力系统同步相量标准

•Bppp吩UB〕甜丹系列局域网通讯标准

（ffl）

p杪召〔50血血血吐1曲曲血血血电子T'

IV协会标准

（8）

d&

£

®

血血血血血血垃冶0血血中华人民共和国国家标准

・媳迄^已匾養屬口地区电网调度自动化系统

・尴口幣1&

圈临題9远程终端通用技术条件

・參㈢（feg贬曲£

7㈢必㈢99吩电磁兼容、试验和测试技术，电压暂降，短时中断和变化抗干扰试验。

（A）其它的通用工业标准

・中伊d的鸟国0&

必和北<

*3

・操作系统臥貯丹及&

中•彷田标准

・丹彷符合讯血•兴■仝口♦的标准

・以合巴的•»

©

、应回回、險。

也、◎占忖等

・标准的4*>

数据库査询访问

・住转非血金、p环、Dppp、中文国际码

剖设计方案

网络卫士系列防火墙系列专用平台产品，是天融信公司积累多年网络平安产品开发与实践经验的应用最为广泛的千兆防火墙。

它继承了天融信公司十多年来在平安产品研发中的积累的多项成果，以自主知识产权的网络平安操作系统象

〔鏗口口血他国口m口©

♦开♦囚为系统平台，采用开放性的系统架构及模块化的设计思想，充分表达了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。

夏占&

申系列专用平台属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

加軌血田OUOQ聊曲阳・u〕q軌曲田uih二io

啣®

〔i述㈢灵活的接口扩展能力

最大配置为曲&

个接口，包括■个可插拔的扩展槽和■个匕口&

匕口口&

匕口亡］亡］必越接口〔可作为M口和管理口〕；

可支持f〜RU个千兆接口〔光口或电口〕。

平安高效的@中・操作系统

具有完全自主知识产权的比口肚口©

♦城■%♦囚♦♦此。

6平安操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、書卜乳

巴卜合9心令&

乳防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。

眇比合良好的扩展性为未来迅速扩展更多特性提供了无限可能。

应用F

w]v?

NC]潇]as]Hps]

效劳层gta］配置

根底层

TOS

］日志］路由］认证］报警］监控j管理］QOS］Ha］

文件系篦］健壮中屯］底层交换J底层路由］

专用平安操作系统内核匚］

［確件抽彖层］

硬件

多线程处理器ASIC,NPU,MIPS,X86,ARM^j

集成多种平安引擎：

牝〕參巴北彷0令合国彷&

合

基于专有硬件平台的盘Mb.fjuuiU］曲守*系列专用平台产品采用越中•操作系统，集成了丰富的平安引

擎，包括：

防火墙引擎，。

奥引擎，“3炉&

黄引擎，防病毒引擎，♦引擎等。

这些引擎的紧密集成使得网络卫士防火墙成为了可以防范多种威胁、功能丰富的防火墙产品。

啣曲［|Qf|完全内容检测去去巴技术

网络卫士防火墙采用最新的心怎$技术，提供对中合&

网络模型所有层次上的网络威胁的实时保护。

网络卫士系列防火墙可对复原出来的应用层对象〔如文件、网页、邮件等〕进行病毒査杀，并可检査是否存在不良抵内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁，实现彻底防范。

完全内容检测CCI

0010

99

完全内容检測垃圾邮件

嚅虫

木马

病35

社会学攻击

拒绝效劳攻击

2005时间

深度包检測

状态检測

19952000

尸状态检测只检査敷据包的包头・

＞深度包检稠可对数据包内容遊行检查。

FCCI可实时将网络层数据复原为完整的应用层对*〔如文件、网页、笳件等庆并对这些完鞍内容进行全面检查.实现彻底的内客防护。

曲圖产品特点介绍

•集成多种平安功能

加"

♦他口亡］亡］必井5系列专用平台产品由于集成了多种平安引擎，使其具备了防火墙、

非&

長4400卜具、防病毒、合等平安功能，成为了国内平安功能最丰富的防火墙产品。

•虚拟防火墙

虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具

有独立的用户与访问控制系统。

不同的企业或不同的部门可以共用O台防火墙，但使用不同的虚拟系统。

对于用户来说，就像是使用独立的防火墙。

大大节省了本钱。

•强大的应用控制

网络卫士防火墙提供了强大的网络应用控制功能。

用户可以轻松的针对一些典型网络应用，如护•乳于?

、•②囚口亂、新浪非4阿里旺旺、d□口％㉚◎•他等即时通信应用，以及抵积pa□■的他囚、po・・fv讯雷等□閤□应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。

网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。

•鸟•此矗心更效劳

企业对北4黄应用越来越普及，但是当企业员工或合作伙伴通过各种今匸奥远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过奥隧道从远程或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。

网络卫士防火墙同时具备防火墙、非a乳防病毒和内容过滤等功能，并且各功能相互融合，能够对非&

奥数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了非&

奥通信的平安，为用户提供放心的“此©

・&

2異效劳。

•广泛的网络适应性

支持基于五元组的三级策略路由，支持单臂路由，支持邈口♦■②逛和&

40）,能够在不同的炉奥虚接口间实现路由功能，支持bd少治组播协议和Dd拼4•異中中支持对非住B协议北巴的传输与控制。

•先进的设计思想

采用面向资源的设计方法。

把平安控制所涉及的各种实体抽象为对象，包括区域、地址、地址组、服务、效劳组、时间表、效劳器、均衡组、关键字、文件、特殊端口等。

不同对象的实体组成资源，用于描述各种平安策略，实现全方位的平安控制。

极大地提高了网络平安性，并保证了配置的方便性。

•超强的防御功能

高级的◎■♦礼・・兴3＞亂・・技术提供了强大的入侵防护功能，能抵御常见的各种攻击，包括•困■。

・口口金、・0・口0、㉚◎口％©

*、•囚■J♦♦心的②、D心护&

0•口□“、

4开・*口0•♦毗几口、他②、

鞭血卩口a□□口©

♦♦心咱血、©

aaont〞♦♦肌乱口□□♦＞〔□■、

・兴・.礼口♦□♦□他肌□□♦♦n.□□♦〞□■、合囚■乂口心％。

亂・＞、

«

□0•心％♦越©

皆、拼匸碎片、大包&

拼4攻击、不明协议攻击、$4欺骗、

da♦仇他♦□＞〔♦込1口口♦〕＜□■•、&

卜•□♦□gm.□□♦♦氏、

口乱血口口品□口♦♦肌、巴匸□□♦〕〔□■•、碎片、端口扫描等几十种攻击，网

络卫士系列防火墙不但有内置的攻击检测能力，还可以和6©

•产品实现联动。

这不但提高了平安性，而且保证了高性能。

•强大的应用代理模块

具有透明应用代理功能，支持5歩4、沁＞密&

、冷p＜g^p禺、4&

划、“/、翻@#、♦"

夷•、純©

“、念刁幣匸、4中ND、o越pg黄p积4?

＜8^弋。

0、M隼4、♦奥?

*4、及〜金抵务中•、Q"

、$轴3俨A、比奥、Q沁&

、

•曲•松8＞曲〔•、俨、O〕、。

旳巴“曲匕鸟⑥田、越4、田■〔&

、・?

3奥~越一

O田B1田、POUW、挤“、心弁“PO仝p。

、拼♦曲㉚Pp#險p。

、拼合〜心井0巴0

0Q&

〕&

心bd餅A、dOP、AAAFtiP、89傀等协议，可以实现文件级过滤。

•丰富的傑矽省功能，支持会话认证

网络卫士系列防火墙支持对网络用户提供丰富的平安身份认证，如一次性口令〔中題4〕、

。

啊住北合、㉚处处筑02A、♦血血・口开鼻、域认证及数字证书等常用的平安认证方法，也可以使用专用的认证客户端软件进行认证。

基于用户的平安策略更灵活、更广泛地实现了用户鉴别和用户授权的控制，并提供了丰富的平安日志来记录用户的平安事件。

网络卫士系列防火墙支持会话认证功能，即当开始一个新会话时，需要先通过认证才能建立会话。

这个功能可大大提高应用访问的平安性，实现更细粒度的访问控制。

•强大的地址转换能力

网络卫士系列防火墙拥有强大的地址转换能力。

网络卫士系列防火墙同时支持正向、反向地址转换，能

为用户提供完整的地址转换解决方案°

S&

i

正向地址转换用于使用私有地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。

网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态異#❾方式和从地址缓冲池中随机选取转换地址的动态艾9$方式，可以满足绝大多数网络环境的需求。

对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，这样能够有效的隐藏内部网络的拓扑结构等信息。

同时内部网用户共享使用这些转换地址，自身使用私有地址就可以正常访问公众网，有效的解决了公有地址缺乏的问题。

内部网用户对公众网提供访问效劳〔如・血&

、b慕卜效劳等〕的效劳器如果是私有地址，或者想隐藏效劳器的真实地址，都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。

公众网访问防火墙的反向转换地址，由内部网使用保存巴A地址的效劳器提供效劳，同样既可以解决公有地址缺乏的问题，又能有效地隐藏内部效劳器信息，对效劳器进行保护。

网络卫士系列防火墙提供端口映射和DA映射两种反向地址转换方式，端口映射平安性更奇、更节省公有$4地址，映射那么更为灵活方便。

•卓越的网络及应用环境适应能力

支持众多网络通信协议和应用协议，如弁0尬、442、&

40、FUBlQO?

合@口血肌、陶DIM、O越台H、中♦48〕冈異p㉚、卜4匸口9、严等协议，适用网络的范围更加广泛，保证了用户的网络应用。

同时，方便用户实

施对&

比$社、视频会议、点播及数据库等应用的使用和控制。

•智能的负载均衡和高可用性

＞效劳器负载均衡

网络卫士系列防火墙可以支持一个效劳器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些效劳器之间进行均衡。

PC防火坡

服齐器

负载均衡方式如下：

匕妙轮流〔顺序选择地址〕

RQ根据权重轮流

■虻最少连接〔将连接分配到当前连接最少的效劳器〕

卽创加权最少连接〔最少连接和权重相结合〕

>

高可用性

为了保证网络的高可用性与高可靠性，网络卫士系列防火墙提供了双机备份功能，即在同一个网络节点使用两个配置相同的防火墙。

网络卫士系列防火墙支持两种模式的双机热备功能。

一种为占♦模式，即在正常情况下一个处于工作状态，为主防火墙，另一个处于备份状态，为从防火墙。

当主防火墙发生意外宕机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从防火墙自动代替主防火墙正常工作，从而保证了网络的正常使用。

另一种模式为模式，即两台防火墙的网络接口分组互为备份。

在每一个组中，都有一个主接口，一个从接口。

而不同组中的主接口可以工作在两台防火墙中的任意一台。

这样，两台防火墙都处于工作状态，不仅互为备份，而且可以分担网络流量。

网络卫士系列防火墙的双机热备功能使用自主专利的智能状态传送协议窑越46,能高效进

行系统之间的状态同步，实现了@44协议握手级别的状态同步和热备。

当主防火墙发生故障时，这台防火墙上的正在建立或已经建立的连接不需要重新建立就可以透明地迁移到另一台防火墙上，网络使用者不会觉察到网络链路切换的发生。

流量均衡

网络卫士系列防火墙支持完整生成树〔•口Q■■兴■少也蹲口血肌〕协议，可以在交换网络环境中支持NO合越和b•越等工作模式，在接入交换网络环境时可以通过生成树协议的计算，使不同的003具使用不同的物理链路，将流量由不同的物理链路进行分担，从而进行流量均衡，该功能和协议结合使用还可以在使用高可用性的同时实现流量均衡。

•系统升级与容错

网络卫士系列防火墙可以通过命令行及图形方式进行系统升级，同时网络卫士系列防火墙采用双系统设计.在主系统发生故障时，用户可以在启动时选择抵处方式，用备份系统引导系统。

产品功能

类别

功能

详细描述

工作模式

◊支持透明、路由、混合、直连〔虚拟线〕模式

网络平安性

内容过

滤

◊采用完全内容检测

〔。

□。

□•^♦他©

□■♦亂・・6■•口乱浚♦兴技术.

◊支持基于流.数据包、透明代理的过滤方式。

◊支持对p够*&

、取等协议的深

度内容过滤。

◊支持今68»

过滤。

◊支持QJU过滤。

◊支持重定向.

◊支持怖申匸令03长度限制・

◊支持伪装V□连接识别.

◊支持过滤。

◊支持命令过滤。

◊支持对移动代码如©

❖s25口口・乱・、♦城令抵•他口并口・、♦咬□兴口♦的过滤。

◊支持对邮件的收发邮件地址、文件名.文件类型过滤。

◊支持对邮件主题.正文、收发件人、附件名、附件内容等关键字匹配过滤•

◊支持反垃圾邮件功能〔用户配置黑白名单〕

◊支持♦乳•②囚口亂等?

*亂・・血・?

亂口通信.并可以对于这些应用进行登陆限制和帐号过滤。

◊可限制基㉚，nt©

□■②入囚，迅雷等aha应用.

◊可屏蔽受保护主机e效劳器系统信息.如替换效劳器〔•題•舒險匸、&

中&

〔8、㉚❷氐〕的o信息.

防病毒

◊支持檢皱5般匸，題治，。

倂当氐协议的病毒査杀

◊査杀邮件正文e附件.网页及下载文件中包含的病毒

◊支持&

万余种病毒的査杀，病毒库定期与及时更新

◊支持木马病毒.蟠虫病毒.宏病毒.脚本病祥的査杀

◊支持启发式扫描査杀未知病毒

◊支持GCAgyooe—基等压缩文件的病毒査杀

◊支持險等多种打包文件的病毒査杀

◊提供快速扫描及完全扫描两种扫描方式

访问控制

◊基于状态检测的动态包过滤。

◊基于源Q目的&

应地址.地址.端口和协议、时间.用户的访问控制。

◊支持基于用户的氐的访问控制。

◊支持报文合法性检査。

◊动态端口支持协议：

申。

笑・砂、，于©

WRp念、WONS念氐砂念N。

◊可实现绑定.

◊会话收集整理，由收集数据生成访问控制策略。

◊访问控制策路分组管理・

◊地址对象源目的发起连接数控制，支持全网段地址。

◊支持大数量级的策略匹配加速算法•

◊支持对于策略重复和策略冲突的检査。

防街攻击

◊非法报文攻击：

•$■2h匸兴・?

口乂：

0＜$♦兴.

•兴口8♦•唆$■、只口8□口♦井□■・♦乱0口2口□口、口?

25取兴□♦口口口0・

◊统计型报文攻击：

•囚■乂6^0口乂•□□2.咿2□乂•□□2.&

口兴口•♦几乱口・

ר

an＜n＞联动：

可与支持申协议的6°

•设备联动，以提高入侵检测效率。

◊端口阻断：

可以根据数据包的来源和数据包的特征进行阻断设豊。

◊•点具代理：

对来自定义区域的•囚■••□□2攻击行为进行阻断过滤。

ש

6攻击：

可通过设置端口和阀值阻断dd攻击.

◊可记录攻击日志和报警。

◊支持手动设置和根据•规那么自动生成黑名单。

◊支持手动设置和根据可信连接到达一定规模后升级为白名单用户。

◊支持双向

◊支持动态地址转换和静态地址转换。

◊支持多对一、一对多和一对一等多种方式的地址转换。

◊支持虚拟效劳器功能。

网络适应性

路由

◊支持静态路由、动态路由。

◊支持基于源Q目的地址.源Q目的端口、协议类型、接口的策略路由o

◊支穆单臂路由，可通过单曾模式接入网络，并提供路由转发功能•

◊支持路由，能够在不同的令＜8＞当2虚接口间实现路由功能。

◊支持OCb、动态路由协议。

◊支持源路返回的智能选路方式。

组播

◊支持组播协议.

◊支持勰比抄"

＞爲。

◊可有效地实现视频会议等多媒体应用。

◊可与交换机的皱□♦■②接口对接，并且能够实现書■间通过平安设备传播路由•

◊交换口和子接口都支持4口・3心?

，能进行封装和解封.

◊支持6©

能进行&

•©

的封装和解封。

◊在同一个令・$■内能进行二层交换。

◊支持对报文进行二次基于巴于封装的❖•©

■£

）❖□■应用。

生成树

◊支持4UU8PQ生成树协议。

端口聚合

◊支持对物理端口的聚合，提高带宽利用率。

◊每个聚合组的端口数不做限制，提高了聚合组的配置灵活性•

◊支持代理.学习。

◊可设置静态

◊可设置防tOA欺骗。

◊支持©

•他...沖&

矶口沁6qZN囚。

接入

◊支持等宽带接入。

◊支持匸匸氐中〜拨号接入。

其它

◊支持网络时钟协议可以自动根据2眼匸效劳器的时钟调整本机时间。

◊支持6抄・、£

几♦社等非协议。

砂0軫

证书格式

◊支持田口9仆■数字证书，支持多种证书编码•

本地翻

◊支持内置鸟葩为其他设条或移动用户签发证书。

◊支持本地根证书.根私钥的更新。

◊支持证书废弃，支持生成标准400列表。

第三方

◊支持同时导入多个第三方的根证书和列表，对不同心当证书用户进行身份认证，支持通告恼密匸协议定时下载©

03列表。

◊支持通过占氐等协议在线认证证书。

平安算法

◊支持E.Of。

恤、g队屮6等多种算

法选择。

协议类型

数据压缩

◊支持高效流压缩算法。

用户认证

◊支持•用户名+口令❻、❷用户名+口令+图形认证码❻认证。

◊支持田口9数字证书认证。

◊支持数字证书+今口令多因子认证。

◊支持公共帐户登陆，支持临时禁止帐户登录。

◊支持本地数据库认证。

◊支持基于等协议的外部效劳器认证。

◊支持特征码绑定。

用户授权

◊支持分组授权.支持独立用户授权和授权继承

◊支持基于fro®

.访问路径.访问文件、访问动作的细粒度授权

◊支持基于时间的访问授权方式

◊支持本地授权、支持外部组映射授权.支持证书用户授权

应用支持

◊支持临2.⑫豈匸.“N、◎州#■險、Q險

等各种#礼&

应用

◊支持基于。

协议的各种心厲•应用，如

◊支持牛兴■2口"

）心05・远程文件共享

端点平安

◊支持接入客户端痕迹淸除，能够淸楚血口口②兴几、缓存.历史记录等各种访问痕迹

◊支持拔隧道自动中断

◊支持用户超时自动退出，超时时间可以设置

可信接入

◊支持基于角色的可信接入

◊支持检査接入机的操作系统

◊支持检测操作系统的补丁

◊支持可信接入分级授权

多线路支持与智能选路

◊支持多条线路同时接入

◊支持手工选择最优线路

◊支持自动选择最优线路

客户端接入

°

支持P♦♦口代理接入

◊支持•□页♦田代理接入

操作系统支持

◊支持竹（■2EJ“RU1U）U］至鲁兴的所有操作系统

实时监控

◊实时监控在线用户的登录时间.在线时间、访问流量.认证方式等多种信息

◊支持对使用公共帐户登录用户进行独立监控

◊支持主动中断在线用户的隧道连接