防火墙设计方案.docx
- 文档编号:23644860
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:30
- 大小:635.54KB
防火墙设计方案.docx
《防火墙设计方案.docx》由会员分享,可在线阅读,更多相关《防火墙设计方案.docx(30页珍藏版)》请在冰豆网上搜索。
防火墙设计方案
.
数据中心项目安全设计案
-NetScreen 防火墙部分
20134 年 11 月
专业资料
.
第 1 章 设计围及目标 ...........................................................................................................................3
1.1 设计围...........................................................................................................................................3
1.2 设计目标.......................................................................................................................................3
1.3 本设计案中“安全”的定义 .....................................................................................................3
第 2 章 设计依据 ...................................................................................................................................4
第 3 章 设计原则 ...................................................................................................................................5
3.1 全局性、综合性、整体性设计原则.........................................................................................5
3.2 需求、风险、代价平衡分析的原则.........................................................................................5
3.3 可行性、可靠性、安全性..........................................................................................................6
3.4 多重保护原则 ..............................................................................................................................6
3.5 一致性原则...................................................................................................................................6
3.6 可管理、易操作原则..................................................................................................................6
3.7 适应性、灵活性原则..................................................................................................................7
3.8 要考虑投资保护 ..........................................................................................................................7
3.9 设计案要考虑今后网络和业务发展的需求 ............................................................................7
3.10 设计案要考虑实施的风险 .......................................................................................................7
3.11 要考虑案的实施期和成本 .......................................................................................................7
3.12 技术设计案要与相应的管理制度同步实施..........................................................................7
第 4 章 设计法 .......................................................................................................................................8
4.1 安全体系结构 ..............................................................................................................................8
4.2 安全域分析法 ..............................................................................................................................9
4.3 安全机制和技术 ..........................................................................................................................9
4.4 安全设计流程 ............................................................................................................................10
4.5 具体网络安全案设计的步骤:
...............................................................................................10
第 5 章 安全案详细设计.....................................................................................................................12
5.1 网银 Internet 接入安全案 ......................................................................................................12
5.2 综合出口接入安全案..................................................................................错误!
未定义书签。
5.3 OA 与生产网隔离安全案...........................................................................错误!
未定义书签。
5.4 控管中心隔离安全案..................................................................................错误!
未定义书签。
5.5 注意事项及故障回退..................................................................................错误!
未定义书签。
第 6 章 防火墙集中管理系统设计 ....................................................................................................17
专业资料
.
第 1 章 概述
1.1 设计围
本次 Juniper 防火墙部署主要是为了配合 XX 数据中心的建设,对不同安全等
级网络间的隔离防护,根据业务流的流向从网络层进行安全防护部署。
1.2 设计目标
通过本次安全防护设计,明确安全区域,针对每个安全区域根据其安全等级进
行相应的安全防护,以达到使整个系统结构合理、提高安全性、降低风险,使之易
于管理维护,实现系统风险的可控性,在保证安全性的同时不以牺牲性能及易用性
为代价。
其具体目标如下:
➢ 对数据中心进行分层隔离防护,利用 Juniper Netscreen 防火墙高包转发
率低延迟的优势和灵活的安全控制策,保护网上银行 DB 层的数据安全,
并以高可靠性冗余架构保证业务连续性和可用性。
➢ 对数据中心互联网网与生产网之间,明确安全等级的划分,明确应用数据的
访问向,利用 Juniper 防火墙的细粒度安全控制机制及深度检测功能在保
证正常业务通讯的同时,屏蔽互联网对生产网造成的风险。
1.3 本设计案中“安全”的定义
本次“安全设计案”中的“安全”,主要指以下五个面的容:
各个Internet
边界点或网安全等级划分边界点的安全、设备(产品)本身的安全、安全技术和策
略,可靠性,安全管理。
专业资料
.
第 2 章 设计依据
本次设计案主要依据以下容:
◆网络现状报告
◆网络安全工程协调会会议纪要
◆相关国际安全标准及规
◆相关的安全标准及规
◆已颁布和执行的、地、行业的法规、规及管理办法
专业资料
.
第 3 章 设计原则
本次安全设计案的核心目标是实现对比 XX 网络系统和应用操作过程的有效控
制和管理。
网络安全建设是一个系统工程,网络安全体系建设应按照“统一规划、
统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,
避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标
相结合。
在设计的网络安全系统时,我们将遵循以下原则:
3.1 全局性、综合性、整体性设计原则
安全案将运用系统工程的观点、法,从网络整体角度出发,分析安全问题,提
出一个具有相当高度、可扩展性的安全解决案。
从网络的实际情况看,单纯依靠一种安全措施,并不能解决全部的安全问题。
而且一个较好的安全体系往往是多种安全技术综合应用的结果。
本案将从系统综合
的整体角度去看待和分析各种安全措施的使用。
3.2 需求、风险、代价平衡分析的原则
对任一网络来说,绝对安全难以达到,也不一定必要。
对一个网络要进行实际
分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制
定规和措施,确定本系统的安全策略。
保护成本、被保护信息的价值必须平衡。
在设计安全案时,将均衡考虑各种安全措施的效果,提供具有最优的性能价格
比的安全解决案。
安全需要付出代价(资金、性能损失等),但是任单纯为了安全
而不考虑代价的安全案都是不切实际的。
案设计同时提供了可操作的分步实施计
划。
专业资料
.
3.3 可行性、可靠性、安全性
作为一个工程项目,可行性是设计安全案的根本,它将直接影响到网络通信
平台的畅通;可靠性是安全系统和网络通信平台正常运行的保证;而安全性是设计
安全案的最终目的。
3.4 多重保护原则
任安全保护措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系
统,各层保护相互补充,当一层保护被攻破时,其它层的保护仍可保护信息的安
全。
没有任一个安全系统可以做到绝对的安全,因此在做安全案设计时不能把整个
系统的安全寄托在单一的安全措施或安全产品上,应该采取多重防护原则,确保信
息系统安全。
3.5 一致性原则
主要是指网络安全问题应与整个网络的工作期(或生命期)同时存在,制定的
安全体系结构必须与网络的安全需求相一致。
在设计安全案时就充分考虑在实施中
的风险及实施期和成本,对潜在的风险做了充分的分析并给出相应的解决对策。
3.6 可管理、易操作原则
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了
安全性。
其次,采用的措施不能影响系统正常运行。
设计案应该尽量采用最新的安全技术,实现安全管理的自动化,以减轻安全管
理的负担。
同时减小因为管理上的疏漏而系统的安全造成的威胁。
专业资料
.
3.7 适应性、灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修
改。
3.8 要考虑投资保护
要充分发挥现有设备的潜能,避免投资的浪费
3.9 设计案要考虑今后网络和业务发展的需求
设计案要充分考虑今后业务和网络的发展的需求,避免案单纯因为对系统安全
要求的满足而成为今后业务发展的障碍
3.10 设计案要考虑实施的风险
设计案在设计时要充分考虑在实施中的风险,对潜在的风险要做充分的分析并
给出解决对策
3.11 要考虑案的实施期和成本
在案设计时,要充分考虑案的设计的实施成本,和实施期。
3.12 技术设计案要与相应的管理制度同步实施
网络系统的安全与管理机制密不可分,安全案的设计必须有与之相适应的管理
制度同步制定,并从管理的角度评估安全设计案的可操作性。
专业资料
.
第 4 章 设计法
网络安全技术案的设计是以需求为牵引,针对网络的风险分析及对网络的安全
目标进行相应的安全案设计。
在进行网络安全案设计应从以下几个面考虑:
4.1 安全体系结构
安全体系结构是整个安全案的科学性、可行性是其可顺利实施的保障。
安全案
必须架构在科学的安全体系和安全框架之上,因为安全框架是安全案设计和分析的
基础。
安全体系结构如下图:
协 议层 次
安 全 管 理
安
全
管
理
层 认 数
据
层 完
应
输
层 证 性
传
络
层
网
路
层 通 信 平 台
链
理 网 络 平 台
物 系 统 平 台
应 用 平 台
物 理 环 境
抗 审 可
抵 用
赖 计 性
管
理
全
安
安 全服 务
系 统单 元
安全体系结构模型中,完整地将网络安全系统的全部容进行了科学和系统的
专业资料
.
归纳,详尽地描述了网络安全系统所使用的技术、服务的对象和涉及的围(即网络
层次):
安全服务维是网络安全系统所提供可实现的全部技术手段;
网络协议维是网络安全系统应该将所采纳之安全技术手段实施的围;
系统单元维是网络安全系统应该提供安全保护的对象;
作为一个网络安全系统,首先要考虑的是安全案所涉及的有哪些系统单元,然
后根据这些系统单元的不同,确定该单元所需要的安全服务,再根据所需要的安全
服务,确定这些安全服务在哪些 OSI 层次实现。
4.2 安全域分析法
安全域是指网络系统包含相同的安全要求,达到相同的安全防护等级的区域。
同一安全域一般要求有统一的安全管理组织和制度以及统一的安全技术防护体系。
安全域定义了网络系统的最低安全等级,在安全域可以包含更高安全级别的安全
域。
安全域分析法:
对网络系统进行合理的安全域划分,为每个安全域定义其安全
等级,据此分析相邻两个安全域的边界的风险等级。
一般来说,两个安全域的安全
等级差别越大,其边界的可信度越低,风险等级就越高。
4.3 安全机制和技术
构筑网络安全系统的最终目的是对的网络资源或者说是对网络实施最有效的安
全保护。
从网络的系统和应用平台对网络协议层次的依赖关系不难看出,只有对网
络协议结构层次的所有层实施相应有效的技术措施,才能实现对网络资源的安全保
专业资料
.
护。
4.4 安全设计流程
一般网络安全案设计流程如下图:
安全代价
依照确定的安全体系,决定付
出多大的安全代价来实现
安全体系
根据实际的安全需求,确定要
建立一个什么样的安全体系
安全需求
根据具体的安全风险,提出相
应的安全需求
安全威胁
分析具体的网络,了解网络系
统中潜在的安全风险
网络现状
首先从网络现状中分析出潜在的安全威胁,再根据具体的安全风险提出相应的
安全需求。
然后根据实际的安全需求,确定要建立的安全体系结构,要采取的安全
防技术。
最后,根据设计出的安全体系,分析实现要付出的代价。
4.5 具体网络安全案设计的步骤:
从现状和风险分析中得出需要进行安全防护的网络系统的安全防护边界
专业资料
.
针对每个边界的风险点和风险级别,提出相应的具体的安全需求
根据安全需求,对网络系统的改造进行设计
根据改造后的网络结构,针对每个边界进行安全需求分析,提出具体要
采用的安全防护技术及其基本要实现的安全防护功能
从每个边界的安全需求分析的结果出发,进行安全设计。
在设计中提出
每个部署的安全产品的配置、性能及功能的要求。
最后对采取的安全技术进行管理设计
专业资料
.
第 5 章 安全案详细设计
5.1 网银 Internet 接入安全案
网银 Internet 接入区域采用防火墙分层防护的密安全措施,将该区域整个网
络划分为 DMZ、Untrust 和 Trust 三个不同等级的安全区域,针对每一层分别有
相应的防火墙实施不同级别的安全防护策略,整个防御采用全冗余架构,如图所
示:
Juniper 防火墙部署在 Internet 接入安全区, 该区域也包含其他厂家提供的
安全解决案。
在 Juniper 防火墙提供的安全案中,应当只专注负责应用层与数据库
层间的安全隔离防护。
在 Internet 接入区的交换机之间部署两台 Juniper NetScreen-ISG1000 防火
专业资料
.
墙。
两台防火墙之间作 Active/Backup 高可用性关系。
用核心的这两台 ISG1000
防火墙的高速包转发优势进行核心层的隔离保护,在安全性的基础上,兼顾考虑高
性能、简洁性、冗余性、扩展性。
5.2 详细设计
5.2.1 高可靠性
为了最大限度地减少出现单点故障的可能性, Juniper 可以支持设备冗余来实
现高可用性。
这种高可用性,即使是在设备出现故障的情况下,对于保护网络免受
攻击也是非常关键的。
高度可靠的硬件和冗余系统设计意味着 Juniper 网络公司可
以提供目前功能最全面的高可用性安全解决案。
组件、链路和系统级冗余特性的结
合使该解决案可以经受多次故障并确保连接不会中断。
ISG1000 的高可用性以
Juniper 冗余协议(NSRP)为中心,通过在系统和相邻网络交换机之间建立物理连
接,从而使一对冗余安全系统可以轻松集成到一个高可用性网络体系结构中。
借助
链路冗余,Juniper 网络公司可以消除导致系统故障的多常见原因,如物理端口故
障或电缆断开,以确保连接不会中断而不必切换整个系统。
Juniper 网络公司的安
全性设备带有多个风扇和多套电源,可支持设备高可用性。
5.2.2 会话备份(Session 同步)
以冗余 HA 式部署时,Juniper 网络公司的解决案还采用了一种先进的故障切
换算法来为网络流量重新路由,以免在出现设备故障的情况下发生连接中断。
在进
行故障切换时,备份设备已经包含有必要的网络配置信息、会话状态信息和安全关
专业资料
.
联,因此可以在一秒种之完成切换,继续处理现有流量,操作系统可以在冗余系统
之间自动映射配置,以提供工作防火墙的会话维护功能 (Session 备份功能 )。
HA
架构可以使静态信息(如配置)和动态实时信息同步。
因此在故障切换同步期间可
以共享以下信息:
连接/会话状态信息、IPSec 安全性关联、NAT 流量、地址簿信
息以及配置变化等,保证在故障切换时已有业务连接不会断开,保证业务不受故障
影响,用户根本察觉不到故障的发生。
5.2.3 安全性
由于在网银实施多级防火墙分层防护,经过其他安全防护设备层的隔离,在核
心层位置,安全风险减少,安全区划分上以相对简单,信任度很高。
因此,在核心
层 Juniper 防火墙的安全策略设置上,安全策略设置相对简单,以高性能发挥和易
用性为主考虑,需要单向在防火墙上放行应用程序到数据库访问的协议和端口,或
者根据某些特殊应用程序的需要,如果有核心层部主动向外发起连接的,需要在防
火墙上相应的放行由到外向的连接请求, 在 IP 层控制上,只允来自应用层的 IP 对
核心数据库的访问。
5.2.4 扩展性
目前 ISG1000 防火墙与 交 换 机之间 属 于 GE 接口 连接, 就流量来说 ,
NetScreen 防火墙 2G 的包转发速率应该可以满足需求;就扩展性来说,以后如
果流量持续增长, NetScreen ISG1000 防火
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙 设计方案