《单台防火墙Internet部署.docx》由会员分享,可在线阅读,更多相关《单台防火墙Internet部署.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 Internet边界安全防护在Internet边界部署防火墙是防火墙最主要的应用模式,绝大部分网络都会接入 Internet,因此会面临非常大的来自Internet的攻击的风险,需要一种简易有效的安全防护手 段,Internet边界防火墙有多种部署模式,基本部署模式如下图所示:接入交换机通过在Internet边界部署防火墙,主要目的是实现以下三大功能:来自Internet攻击的防范:随着网络技术不断的发展,Internet上的现成的攻击工具越 来越多,而且可以通过Internet广泛传播,由此导致Internet上的攻击行为也越来越多,而 且越来越复杂,防火墙必须可以有效的阻挡来自Inte
2、rnet的各种攻击行为;Internet服务器安全防护:企业接入Internet后,大都会利用Internet这个大网络平台进 行信息发布和企业宣传,需要在Internet边界部署服务器,因此,必须在能够提供Internet 上的公众访问这些服务器的同时,保证这些服务器的安全;内部用户访问Internet管理:必须对内部用户访问Internet行为进行细致的管理,比如 能够支持WEB、邮件、以及BT等应用模式的内容过滤,避免网络资源的滥用,也避免通 过Internet引入各种安全风险;基于上述需求,我们建议在Internet边界,采取以下防火墙部署策略:1 .设备部署模式: 如上图所示,我们建
3、议在Internet接入端部署一台防火墙;防火墙的DMZ 口连接对外服务器,防火墙的内网口连接内部核心交换机; 开启DHCP Server功能,为每一个内网电脑自动分配上网地址;2 .安全控制策略: 防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全; 配置防火墙防 DOS/DDOS 功能,对 Land Smurf Fraggle Ping of Death、Tear Drop、SYN Flood ICMP Flood、UDP Flood等拒绝服务攻击进行防范; 配置防火墙全面安全防范能力,包括ARP欺骗攻击的防范,提供ARP主动反 向查询、TCP报
4、文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/ 端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、 带路由记录选项IP报文控制功能等; 由外往内的访问控制规则: 通过防火墙的访问控制策略,拒绝任何来自Internet对内网的访问数据,保证 任何Internet数据都不能主动进入内部网,屏蔽所有来自Internet的攻击行为; 由外往DMZ的访问控制规则: 通过防火墙的访问控制策略,控制来自Internet用户只能访问DMZ区服务器 的特定端口,比如WWW服务器80端口、Mail服务器的25/11。端口等,其 他通信端口一律拒绝访问,保证部属在DMZ区的服
5、务器在安全的前提下,有 效提供所需的服务;由内往外的访问控制规则: 通过防火墙的访问控制策略,对内部用户访问Internet进行基于IP地址的控制, 初步实现控制内部用户能否访问Internet,能够访问什么样的Inertnet资源; 开启BTeDonkeyeMule流量限制策略,可以根据时间段和对象进行限制,从 而保证出口带宽问题; 通过配置防火墙提供的IP/MAC地址绑定功能,以及身份认证功能,提供对内 部用户访问Internet的更严格有效的控制能力,加强内部用户访问Internet控 制能力; 通过配置防火墙提供的SMTP邮件过滤功能和HTTP内容过滤,实现对用户 访问Internet
6、的细粒度的访问控制能力,实现基本的用户访问Internet的行为 管理;由内往DMZ的访问控制规则: 通过防火墙的访问控制策略,控制来自内部用户只能访问DMZ区服务器的特 定端口,比如WWW服务器80端口、Mail服务器的25/110端口等,其他通 信端口一律拒绝访问,保证部属在DMZ区的服务器在安全的前提下,有效提 供所需的服务; 对于服务器管理员,通过防火墙策略设置,进行严格的身份认证等措施后,可 以进行比较宽的访问权限的授予,在安全的基础上保证管理员的网络访问能 力;由DMZ往内的访问控制规则: 通过防火墙的访问控制策略,严格控制DMZ区服务器不能访问或者只能访问 内部网络的必需的资源,
7、避免DMZ区服务器被作为跳板攻击内部网用户和相 关资源;3 .其他可选策略: 可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证, 实现对用户身份认证后进行资源访问的授权; 根据需要,在两台防火墙上设置流量控制规则,实现对网络流量的有效管理, 有效的避免网络带宽的浪费和滥用,保护网络带宽; 根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制, 可以组合时间特性,实现更加灵活的访问控制能力; 在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、 SNMP陷阱等),实现攻击行为的告警,有效监控网络应用; 启动防火墙日志功能,利用防火墙的
8、日志记录能力,详细完整的记录日志和统 计报表等资料,实现对网络访问行为的有效的记录和统计分析;4 .设备选型建议:1)根据10M出口,10人以下的网络规模,我们建议选择H3csecPath F100-C桌 面防火墙:硬件及性能要求体系架构:专用硬件平台;非X86架构端口数:%个10/100M以太网端口VPN要求VPN技术:支持L2TPVPN, GRE VPN, IPSec VPN, DVPN等多种VPN协议网络层防范功能状态报文过滤:支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤, 支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、
9、提供ARP 主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报 文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报 文控制功能、Tracert报文控制功能、带路由记录选项IP报文控 制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智 能防范蠕虫病毒技术。应用层 防范功 能应用层过滤:支持HTTP URL和内容过滤,必须支持SMTP邮件内容过滤、主 题过滤、关键字过滤、附件名过滤,必须支持Java Blocking ActiveX Blocking SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模式的应用, 并且对这些应用
10、采取限流的控制措施,同时支持以下三个功能: 禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。2)根据100M出口,50人以下的网络规模,我们建议选择H3c SecPath F100-S低端百兆防火墙:硬件及 性能要 求体系架构:专用硬件平台;非X86架构端口数:%个10/100M以太网端口VPN要求VPN技术:支持L2TPVPN, GRE VPN, IPSec VPN, DVPN等多种VPN协 议网络层 防范功 能状态报文过滤:支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤, 支持时间段女全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻
11、击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报 文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报 文控制功能、Tracert报文控制功能、带路由记录选项IP报文控 制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智 能防范蠕虫病毒技术。应用层 防范功 能应用层过滤:支持HTTP URL和内容过滤,必须支持SMTP邮件内容过滤、主 题过滤、关键字过滤、附件名过滤,必须支持Java Blocking ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模式的应用, 并且对
12、这些应用采取限流的控制措施,同时支持以下三个功能: 禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。3)根据100M出口,200人以下的网络规模,我们建议选择H3csecPath F100-A中端百兆防火墙:硬件及性能要求体系架构:专用硬件平台;非X86架构端口数:27个10/100M以太网端口扩展槽:=1个VPN要求VPN技术:支持L2TPVPN, GRE VPN, IPSec VPN, DVPN等多种VPN协议网络层 防范功 能状态报文过滤:支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤, 支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击
13、防范、ARP欺骗攻击的防范、提供ARP 主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报 文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报 文控制功能、Tracert报文控制功能、带路由记录选项IP报义控 制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智 能防范蠕虫病毒技术。应用层 防范功 能应用层过滤:支持HTTP URL和内容过滤,必须支持SMTP邮件内容过滤、主 题过滤、关键字过滤、附件名过滤,必须支持Java Blocking、 ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2
14、P模式的应用, 并且对这些应用采取限流的控制措施,同时支持以下三个功能: 禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。病毒防护功能:支持防病毒插卡,可以对HTTP、FTP、POP3、SMTP进行病毒 查杀。4)根据100M出口,500人以下的网络规模,我们建议选择H3csecPath F100-E高端百兆防火墙:硬件及性能要求体系架构:专用硬件平台;非X86架构端口数:%个10/100M以太网端口扩展槽:二1个VPN要求VPN技术:支持L2TPVPN, GRE VPN, IPSec VPN, DVPN等多种VPN协议网络层 防范功 能状态报文过滤:支持FTP、HTTP、SM
15、TP、RTSP、H323协议簇的状态报文过滤, 支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP 主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报 文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报 文控制功能、Tracert报文控制功能、带路由记录选项IP报文控 制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智 能防范蠕虫病毒技术。应用层 防范功 能应用层过滤:支持HTTP URL和内容过滤,必须支持SMTP邮件内容过滤、主 题过滤、关键字过滤、附件名过滤,必须支持Java Blocking ActiveX Bl
16、ocking SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey、Emule等各种P2P模式的应用, 并且对这些应用采取限流的控制措施,同时支持以下三个功能: 禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。5)根据100M出口,1000人以下的网络规模,我们建议选择H3csecPath F1000-S低端千兆防火墙:硬件及体系架构:专用硬件平台;非X86架构性能要求端口数:%个10/100/1000M以太网端口,两个支持光口/电口,另两个支持电口扩展槽:=2个VPN要求VPN技术:支持L2TPVPN, GRE VPN, IPSec VPN, DVPN等多种
17、VPN协议网络层 防范功 能状态报文过滤:支持FTP、HTTP、SMTP、RTSP、H323协议簇的状态报文过滤, 支持时间段安全策略设置。攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP 主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报 文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报 文控制功能、Tracert报文控制功能、带路由记录选项IP报文控 制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智 能防范蠕虫病毒技术。应用层 防范功 能应用层过滤:支持HTTP URL和内容过滤,必须支持SMTP邮件内容过滤、主 题过滤、关键字过滤、
18、附件名过滤,必须支持Java Blocking ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey Emule等各种P2P模式的应用, 并且对这些应用采取限流的控制措施,同时支持以下三个功能: 禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。病毒防护功能:支持防病毒插卡,可以对HTTP、FTP、POP3、SMTP进行病毒 查杀。6)根据100M出口,1OOO人以下的网络规模,我们建议选择H3C SecPath Fl000-A局端千兆防火墙:硬件及性能要求体系架构:专用硬件平台;非X86架构端口数:%个10/100/1000M
19、以太网端口,两个支持光口/电口,另两个支持电口扩展槽:=1个VPN要求VPN技术:支持L2TPVPN, GRE VPN, IPSec VPN, DVPN等多种VPN协议网络层状态报文过滤:支持FTP、HTTP、SMTP、RTSP H323协议簇的状态报文过滤,防范功支持时间段安全策略设置。能攻击防范包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP 主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报 义攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报 文控制功能、Trace”报文控制功能、带路由记录选项IP报文控 制功能;静态和动态黑名单功能;MAC和IP绑定功能;支持智 能防范蠕虫病毒技术。应用层应用层过滤:支持HTTP URL和内容过滤,必须支持SMTP邮件内容过滤、主防范功题过滤、关键字过滤、附件名过滤,必须支持Java Blocking能ActiveX Blocking、SQL注入攻击防范。P2P流量限流可以识别网络中的BT、Edonkey Emule等各种P2P模式的应用, 并且对这些应用采取限流的控制措施,同时支持以下三个功能: 禁止P2P应用、限制任意指定用户的P2P流量、限制P2P总带宽。病毒防护功能:支持防病毒插卡,可以对HTTP、FTP、POP3、SMTP进行病毒 查杀。