《防火墙方案与对策.doc》由会员分享,可在线阅读,更多相关《防火墙方案与对策.doc(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、.资料.数据中心工程平安设计案数据中心工程平安设计案-NetScreenNetScreen防火墙局部防火墙局部2013420134年年1111月月.资料.目目录录第1章设计围及目标 31.1 设计围31.2 设计目标 31.3 本设计案中“平安的定义 3第2章设计依据 4第3章设计原那么 53.1 全局性、综合性、整体性设计原那么 53.2 需求、风险、代价平衡分析的原那么 53.3 可行性、可靠性、平安性53.4 多重保护原那么63.5 一致性原那么 63.6 可管理、易操作原那么 63.7 适应性、灵活性原那么 63.8 要考虑投资保护63.9 设计案要考虑今后网络和业务开展的需求 73.
2、10 设计案要考虑实施的风险73.11 要考虑案的实施期和本钱73.12技术设计案要与相应的管理制度同步实施 7第4章设计法 84.1 平安体系构造 84.2 平安域分析法 94.3 平安机制和技术94.4 平安设计流程 94.5 具体网络平安案设计的步骤:10第5章平安案详细设计 125.1 网银 Internet 接入平安案 125.2 综合出口接入平安案错误!未定义书签。错误!未定义书签。5.3 OA与生产网隔离平安案错误!未定义书签。错误!未定义书签。5.4 控管中心隔离平安案错误!未定义书签。错误!未定义书签。5.5 考前须知及故障回退错误!未定义书签。错误!未定义书签。第6章防火墙
3、集中管理系统设计 16.资料.第第1 1章章 概述概述1.11.1 设计围设计围本次Juniper防火墙部署主要是为了配合 XX数据中心的建立,对不同平安等级网络间的隔离防护,根据业务流的流向从网络层进展平安防护部署。1.21.2 设计目标设计目标通过本次平安防护设计,明确平安区域,针对每个平安区域根据其平安等级进展相应的平安防护,以到达使整个系统构造合理、提高平安性、降低风险,使之易于管理维护,实现系统风险的可控性,在保证平安性的同时不以牺牲性能及易用性为代价。其具体目标如下:对数据中心进展分层隔离防护,利用 JuniperNetscreen 防火墙高包转发率低延迟的优势和灵活的平安控制策,
4、保护网上银行 DB 层的数据平安,并以高可靠性冗余架构保证业务连续性和可用性。对数据中心互联网网与生产网之间,明确平安等级的划分,明确应用数据的访问向,利用Juniper防火墙的细粒度平安控制机制及深度检测功能在保证正常业务通讯的同时,屏蔽互联网对生产网造成的风险。1 1.3.3 本设计案中本设计案中“平安的定义平安的定义本次“平安设计案中的“平安,主要指以下五个面的容:各个 Internet 边界点或网平安等级划分边界点的平安、设备产品本身的平安、平安技术和策略,可靠性,平安管理。.资料.第第2 2章章 设计依据设计依据本次设计案主要依据以下容:网络现状报告网络平安工程协调会会议纪要相关国际
5、平安标准及规相关的平安标准及规已公布和执行的、地、行业的法规、规及管理方法.资料.第第3 3章章 设计原那么设计原那么本次平安设计案的核心目标是实现比照 XX 网络系统和应用操作过程的有效控制和管理。网络平安建立是一个系统工程,网络平安体系建立应按照“统一规划、统筹安排,统一标准、相互配套的原那么进展,采用先进的“平台化建立思想,防止重复投入、重复建立,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在设计的网络平安系统时,我们将遵循以下原那么:3 3.1.1 全局性、综合性、整体性设计原那么全局性、综合性、整体性设计原那么平安案将运用系统工程的观点、法,从网络整体角度出发,分析平安问
6、题,提出一个具有相当高度、可扩展性的平安解决案。从网络的实际情况看,单纯依靠一种平安措施,并不能解决全部的平安问题。而且一个较好的平安体系往往是多种平安技术综合应用的结果。本案将从系统综合的整体角度去对待和分析各种平安措施的使用。3.23.2 需求、风险、代价平衡分析的原那么需求、风险、代价平衡分析的原那么对任一网络来说,绝对平安难以到达,也不一定必要。对一个网络要进展实际分析,对网络面临的威胁及可能承当的风险进展定性与定量相结合的分析,然后制定规和措施,确定本系统的平安策略。保护本钱、被保护信息的价值必须平衡。在设计平安案时,将均衡考虑各种平安措施的效果,提供具有最优的性能价格比的平安解决案
7、。平安需要付出代价资金、性能损失等,但是任单纯为了平安而不考虑代价的平安案都是不切实际的。案设计同时提供了可操作的分步实施方案。3.33.3 可行性、可靠性、平安性可行性、可靠性、平安性作为一个工程工程,可行性是设计平安案的根本,它将直接影响到网络通信平台的畅通;可靠性是平安系统和网络通信平台正常运行的保证;而平安性是设计平.-.word.zl-安案的最终目的。3.43.4 多重保护原那么多重保护原那么任平安保护措施都不是绝对平安的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层的保护仍可保护信息的平安。没有任一个平安系统可以做到绝对的平安,因此在做平安案
8、设计时不能把整个系统的平安寄托在单一的平安措施或平安产品上,应该采取多重防护原那么,确保信息系统平安。3.53.5 一致性原那么一致性原那么主要是指网络平安问题应与整个网络的工作期或生命期同时存在,制定的平安体系构造必须与网络的平安需求相一致。在设计平安案时就充分考虑在实施中的风险及实施期和本钱,对潜在的风险做了充分的分析并给出相应的解决对策。3.63.6 可管理、易操作原那么可管理、易操作原那么平安措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了平安性。其次,采用的措施不能影响系统正常运行。设计案应该尽量采用最新的平安技术,实现平安管理的自动化,以减轻平安管理的负担。同时减小
9、因为管理上的疏漏而系统的平安造成的威胁。3.73.7 适应性、灵活性原那么适应性、灵活性原那么平安措施必须能随着网络性能及平安需求的变化而变化,要容易适应、容易修改。3.83.8 要考虑投资保护要考虑投资保护要充分发挥现有设备的潜能,防止投资的浪费.-.word.zl-3.93.9 设计案要考虑今后网络和业务开展的需求设计案要考虑今后网络和业务开展的需求设计案要充分考虑今后业务和网络的开展的需求,防止案单纯因为对系统平安要求的满足而成为今后业务开展的障碍3.103.10 设计案要考虑实施的风险设计案要考虑实施的风险设计案在设计时要充分考虑在实施中的风险,对潜在的风险要做充分的分析并给出解决对策
10、3.113.11 要考虑案的实施期和本钱要考虑案的实施期和本钱在案设计时,要充分考虑案的设计的实施本钱,和实施期。3.123.12技术设计案要与相应的管理制度同步实施技术设计案要与相应的管理制度同步实施网络系统的平安与管理机制密不可分,平安案的设计必须有与之相适应的管理制度同步制定,并从管理的角度评估平安设计案的可操作性。.资料.第第4 4章章 设计法设计法网络平安技术案的设计是以需求为牵引,针对网络的风险分析及对网络的平安目标进展相应的平安案设计。在进展网络平安案设计应从以下几个面考虑:4.14.1 平安体系构造平安体系构造平安体系构造是整个平安案的科学性、可行性是其可顺利实施的保障。平安案
11、必须架构在科学的平安体系和平安框架之上,因为平安框架是平安案设计和分析的根底。平安体系构造如下列图:平安体系构造模型中,完整地将网络平安系统的全部容进展了科学和系统的归纳,详尽地描述了网络平安系统所使用的技术、效劳的对象和涉及的围即网络层次:协议层次安 全 管 理安 全管 理认证访问控制数据完整性数据保密抗抵赖审计可用性安全服务通 信 平 台网 络 平 台系 统 平 台应 用 平 台物 理 环 境安理管全层用应传层层层层链络网输理物路系统单元.-.word.zl-平安效劳维是网络平安系统所提供可实现的全部技术手段;网络协议维是网络平安系统应该将所采纳之平安技术手段实施的围;系统单元维是网络平安
12、系统应该提供平安保护的对象;作为一个网络平安系统,首先要考虑的是平安案所涉及的有哪些系统单元,然后根据这些系统单元的不同,确定该单元所需要的平安效劳,再根据所需要的平安效劳,确定这些平安效劳在哪些OSI层次实现。4.24.2 平安域分析法平安域分析法平安域是指网络系统包含一样的平安要求,到达一样的平安防护等级的区域。同一平安域一般要求有统一的平安管理组织和制度以及统一的平安技术防护体系。平安域定义了网络系统的最低平安等级,在平安域可以包含更高平安级别的平安域。平安域分析法:对网络系统进展合理的平安域划分,为每个平安域定义其平安等级,据此分析相邻两个平安域的边界的风险等级。一般来说,两个平安域的
13、平安等级差异越大,其边界的可信度越低,风险等级就越高。4.34.3 平安机制和技术平安机制和技术构筑网络平安系统的最终目的是对的网络资源或者说是对网络实施最有效的平安保护。从网络的系统和应用平台对网络协议层次的依赖关系不难看出,只有对网络协议构造层次的所有层实施相应有效的技术措施,才能实现对网络资源的平安保护。4.44.4 平安设计流程平安设计流程一般网络平安案设计流程如下列图:.-.word.zl-首先从网络现状中分析出潜在的平安威胁,再根据具体的平安风险提出相应的平安需求。然后根据实际的平安需求,确定要建立的平安体系构造,要采取的平安防技术。最后,根据设计出的平安体系,分析实现要付出的代价
14、。4.54.5 具体网络平安案设计的步骤:具体网络平安案设计的步骤:从现状和风险分析中得出需要进展平安防护的网络系统的平安防护边界针对每个边界的风险点和风险级别,提出相应的具体的平安需求根据平安需求,对网络系统的改造进展设计根据改造后的网络构造,针对每个边界进展平安需求分析,提出具体要采用的平安防护技术及其根本要实现的平安防护功能网络现状网络现状网络现状网络现状安全需求安全需求安全需求安全需求安全代价安全代价安全代价安全代价安全体系安全体系安全体系安全体系安全威胁安全威胁安全威胁安全威胁分析具体的网络,了解网络系统中潜在的安全风险根据具体的安全风险,提出相应的安全需求根据实际的安全需求,确定要
15、建立一个什么样的安全体系依照确定的安全体系,决定付出多大的安全代价来实现网络现状网络现状网络现状网络现状安全需求安全需求安全需求安全需求安全代价安全代价安全代价安全代价安全体系安全体系安全体系安全体系安全威胁安全威胁安全威胁安全威胁分析具体的网络,了解网络系统中潜在的安全风险根据具体的安全风险,提出相应的安全需求根据实际的安全需求,确定要建立一个什么样的安全体系依照确定的安全体系,决定付出多大的安全代价来实现.-.word.zl-从每个边界的平安需求分析的结果出发,进展平安设计。在设计中提出每个部署的平安产品的配置、性能及功能的要求。最后对采取的平安技术进展管理设计.资料.第第5 5章章 平安
16、案详细设计平安案详细设计5 5.1.1 网银网银InternetInternet接入平安案接入平安案网银 Internet 接入区域采用防火墙分层防护的密平安措施,将该区域整个网络划分为 DMZ、Untrust 和 Trust 三个不同等级的平安区域,针对每一层分别有相应的防火墙实施不同级别的平安防护策略,整个防御采用全冗余架构,如下图:Juniper 防火墙部署在 Internet 接入平安区,该区域也包含其他厂家提供的平安解决案。在 Juniper 防火墙提供的平安案中,应当只专注负责应用层与数据库层间的平安隔离防护。在 Internet 接入区的交换机之间部署两台 Juniper Net
17、Screen-ISG1000 防火墙。两台防火墙之间作 Active/Backup 高可用性关系。用核心的这两台 ISG1000 防火墙的高速包转发优势进展核心层的隔离保护,在平安性的根底上,兼顾考虑高性能、简洁性、冗余性、扩展性。.-.word.zl-5.25.2详细设计详细设计5.5.2 2.1.1 高可靠性高可靠性为了最大限度地减少出现单点故障的可能性,Juniper可以支持设备冗余来实现高可用性。这种高可用性,即使是在设备出现故障的情况下,对于保护网络免受攻击也是非常关键的。高度可靠的硬件和冗余系统设计意味着 Juniper 网络公司可以提供目前功能最全面的高可用性平安解决案。组件、链
18、路和系统级冗余特性的结合使该解决案可以经受屡次故障并确保连接不会中断。ISG1000 的高可用性以 Juniper冗余协议(NSRP)为中心,通过在系统和相邻网络交换机之间建立物理连接,从而使一对冗余平安系统可以轻松集成到一个高可用性网络体系构造中。借助链路冗余,Juniper 网络公司可以消除导致系统故障的多常见原因,如物理端口故障或电缆断开,以确保连接不会中断而不必切换整个系统。Juniper 网络公司的平安性设备带有多个风扇和多套电源,可支持设备高可用性。5 5.2 2.2.2 会话备份会话备份(Session(Session同步同步)以冗余HA 式部署时,Juniper 网络公司的解决
19、案还采用了一种先进的故障切换算法来为网络流量重新路由,以免在出现设备故障的情况下发生连接中断。在进展故障切换时,备份设备已经包含有必要的网络配置信息、会话状态信息和平安关联,因此可以在一秒种之完成切换,继续处理现有流量,操作系统可以在冗余系统之间自动映射配置,以提供工作防火墙的会话维护功能(Session 备份功能)。HA 架构可以使静态信息如配置和动态实时信息同步。因此在故障切换同步期间可以共享以下信息:连接/会话状态信息、IPSec 平安性关联、NAT 流量、地址簿信息以及配置变化等,保证在故障切换时已有业务连接不会断开,保证业务不受故障影响,用户根本发觉不到故障的发生。.-.word.z
20、l-5 5.2 2.3 3 平安性平安性由于在网银实施多级防火墙分层防护,经过其他平安防护设备层的隔离,在核心层位置,平安风险减少,平安区划分上以相对简单,信任度很高。因此,在核心层 Juniper 防火墙的平安策略设置上,平安策略设置相对简单,以高性能发挥和易用性为主考虑,需要单向在防火墙上放行应用程序到数据库访问的协议和端口,或者根据某些特殊应用程序的需要,如果有核心层部主动向外发起连接的,需要在防火墙上相应的放行由到外向的连接请求,在 IP层控制上,只允来自应用层的 IP对核心数据库的访问。5.5.2 2.4 4 扩展性扩展性目前 ISG1000 防火墙与交换机之间属于 GE 接口连接,
21、就流量来说,NetScreen防火墙 2G 的包转发速率应该可以满足需求;就扩展性来说,以后如果流量持续增长,NetScreen ISG1000 防火墙支持扩展 10GE 接口。因此从可预见的 3-5 年时间,Juniper防火墙在此位置上不会形成整体系统的瓶颈问题。5 5.2 2.5 5 攻击及深层防护攻击及深层防护在综合出口网络虽然采取了分层防护机制,但网银 Internet 接入网络是直接被外部访问,因此需要考虑相应的攻击防护手段。ISG1000 防火墙的高性能确保它足以抵御目前 Internet上流行的 DDoS 的攻击,能够抵御多达 28 种以上的网络攻击的同时不以牺牲性能为代价,一
22、些流行的攻击手法如如 Synflood,Udpflood,Smurf,Ping of Death,Land Attack等等。.-.word.zl-攻击防护在综合出口网络的应用:攻击防护在综合出口网络的应用:在开启了抵御攻击选项之前,需要考虑一下几个因素:抵御攻击的功能会占用防火墙的局部CPU资源如果实际的应用程序是自行开发的,可能存在局部不规的数据包格式网络设计中采用了局部非常规的设计如果由于因为选择过多的防御攻击的选项而大大降低了防火墙处理能力需要通过防火墙的正常数据量很大,那么会影响正常网络的工作;如果自行开发的程序不规,可能会被 IP 数据包协议异常的攻击选项屏蔽;非常规的网络设计也会
23、被屏蔽,如IP spoof选项。我们建议用户采用一下顺序逐步实施防攻击的选项1)设置防DDoS 选项2)在设置之前,需要了解实际网络环境中,网络流量、会话数量以及数据包传输量的值,在了解这些数值后,然后在防DDoS的选项上添加1020的.-.word.zl-余量设置阀值。3)设置防IP协议层的选项4)在了解了网络设计的规之后,将IP协议或网络层的攻击选项选中。5)设置防应用层的选项6)在了解了应用层的需求以及客户化程序的编程标准后,如不采用 ActiveX 控件,可以选择这些基于应用层的防攻击选项。在整个设置的过程,密切注意防火墙 CPU 的利用率,以及同相关设置有关的实际应用的使用情况;如果
24、有异常,如 CPU 利用率偏高了或应用不能通过,那么立刻需要取消相关的选项。5.2.6 地址规划如下表所示,根据不同需求对P地址进展了详细划分接口平安ZONEIP地址/掩码Eth0/0UntrustEth0/1TrustEth0/2DMZEth0/3HA无第第6 6章章 防火墙集中管理系统设计防火墙集中管理系统设计在防火墙系统的管理上,有分散和集中两种式。Juniper 防火墙设备在管理面的实现很受用户欢送。分散式让用户分别管理每台防火墙。优点是符合大多数人的思维习惯,管理灵活。命令行式,可以通过 Console 接口、Telnet23或平安的 SCS22式对设备进展管理、排查故障等。命令行式可以完成所有的配置、检查、排错等工作。浏览器式,可以使用户使用通用的 Web 界面对设备进展配置、查询。浏览器式支持 HTTP80和HTTPS443。单机管理的分散式在大型网络应用中存在较大的缺点,多资源的定义重复如地址本、协议等,相应提高了整体的管理本钱;其次,当下属企业较多时,由于各自制定平安策略,存在平安隐患较大,同时,当出现平安问题时,由于没有实现统一监控,很难判断问题出现在处,从而不能及时解决问题。集中式从全局的角度对所有防火墙实现集中的管理,集中制定平安策略,集中实时监控系统状态及事件,这将很好的克制以上缺点。.-.word.zl-