防火墻解決方案模版防火墻解決方案模版防火墻解決方案模版資料僅供參考文件編號：2022年4月防火墻解決方案模版版本號：A修改號：1頁次：1.0審核：批準:發布日期：內容簡述用途密級說明上次修改SecPath防火墻技術建議書模板用于撰寫和SecPath防火墻相關的技術建議書內部公開，嚴禁外傳2005-7-12防火墻解決方案模版杭州華三通信技術有限公司安全產品行銷部200目錄TOC\o"1-4"\h\z一、 防火墻部署需求分析 3二、 防火墻部署解決方案 4. 數據中心防火墻部署 4. Internet邊界安全防護 6. 大型網絡內部隔離 9三、 防火墻部署方案特點 12防火墻部署需求分析隨著網絡技術不斷的發展以及網絡建設的復雜化，需要加強對的有效管理和控制，這些管理和控制的需求主要體現在以下幾個方面：網絡隔離的需求：主要是指能夠對網絡區域進行分割，對不同區域之間的流量進行控制，控制的參數應該包括：數據包的源地址、目的地址、源端口、目的端口、網絡協議等，通過這些參數，可以實現對網絡流量的驚喜控制，把可能的安全風險控制在相對獨立的區域內，避免安全風險的大規模擴散。攻擊防范的能力：由于TCP/IP協議的開放特性，尤其是IPV4，缺少足夠的安全特性的考慮，帶來了非常大的安全風險，常見的IP地址竊取、IP地址假冒，網絡端口掃描以及危害非常大的拒絕服務攻擊（DOS、DDOS）等，必須能夠提供對這些攻擊行為有效的檢測和防范能力的措施。流量管理的需求：對于用戶應用網絡，必須提供靈活的流量管理能力，保證關鍵用戶和關鍵應用的網絡帶寬，同時應該提供完善的QOS機制，保證數據傳輸的質量。另外，應該能夠對一些常見的高層協議，提供細粒度的控制和過濾能力，比如可以支持WEB和MAIL的過濾，可以支持BT識別并限流等能力；用戶管理的需求：內部網絡用戶接入局域網、接入廣域網或者接入Internet，都需要對這些用戶的網絡應用行為進行管理，包括對用戶進行身份認證，對用戶的訪問資源進行限制，對用戶的網絡訪問行為進行控制等；防火墻部署解決方案防火墻是網絡系統的核心基礎防護措施，它可以對整個網絡進行網絡區域分割，提供基于IP地址和TCP/IP服務端口等的訪問控制；對常見的網絡攻擊方式，如拒絕服務攻擊（pingofdeath,land,synflooding,pingflooding,teardrop,…）、端口掃描（portscanning）、IP欺騙(ipspoofing)、IP盜用等進行有效防護；并提供NAT地址轉換、流量限制、用戶認證、IP與MAC綁定等安全增強措施。根據不同的網絡結構、不同的網絡規模、以及網絡中的不同位置的安全防護需求，防火墻一般存在以下幾種部署模式：數據中心防火墻部署防火墻可以部署在網絡內部數據中心的前面，實現對所有訪問數據中心服務器的網絡流量進行控制，提供對數據中心服務器的保護，其基本部署模式如下圖所示：除了完善的隔離控制能力和安全防范能力，數據中心防火墻的部署還需要考慮兩個關鍵特性：高性能：數據中心部署大量的服務器，是整個網絡的數據流量的匯集點，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會影響這些大流量的數據傳輸，不能成為性能的瓶頸；高可靠：大部分的應用系統服務器都部署在數據中心，這些服務器是整個企業或者單位運行的關鍵支撐，必須要嚴格的保證這些服務器可靠性與可用性，因此，部署防火墻以后，不能對網絡傳輸的可靠性造成影響，不能形成單點故障。 基于上述兩個的關鍵特性，我們建議進行以下設備部署模式和配置策略的建議：設備部署模式：如上圖所示，我們建議在兩臺核心交換機與兩臺數據中心交換機之間配置兩臺防火墻，兩臺防火墻與兩臺核心交換機以及兩臺數據中心交換機之間采取全冗余連接；為了保證系統的可靠性，我們建議配置兩臺防火墻為雙機熱備方式，在實現安全控制的同時保證線路的可靠性，同時可以與動態路由策略組合，實現流量負載分擔；安全控制策略：防火墻設置為默認拒絕工作方式，保證所有的數據包，如果沒有明確的規則允許通過，全部拒絕以保證安全；建議在兩臺防火墻上設定嚴格的訪問控制規則，配置只有規則允許的IP地址或者用戶能夠訪問數據中心中的指定的資源，嚴格限制網絡用戶對數據中心服務器的資源，以避免網絡用戶可能會對數據中心的攻擊、非授權訪問以及病毒的傳播，保護數據中心的核心數據信息資產；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務攻擊進行防范，可以實現對各種拒絕服務攻擊的有效防范，保證網絡帶寬；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防范各種網絡層的攻擊行為；根據需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機進行鏈路層控制，實現只有IP/MAC匹配的用戶才能訪問數據中心的服務器；其他可選策略：可以啟動防火墻身份認證功能，通過內置數據庫或者標準Radius屬性認證，實現對用戶身份認證后進行資源訪問的授權，進行更細粒度的用戶識別和控制；根據需要，在兩臺防火墻上設置流量控制規則，實現對服務器訪問流量的有效管理，有效的避免網絡帶寬的浪費和濫用，保護關鍵服務器的網絡帶寬；根據應用和管理的需要，設置有效工作時間段規則，實現基于時間的訪問控制，可以組合時間特性，實現更加靈活的訪問控制能力；在防火墻上進行設置告警策略，利用靈活多樣的告警響應手段（E-mail、日志、SNMP陷阱等），實現攻擊行為的告警，有效監控網絡應用；啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統計報表等資料，實現對網絡訪問行為的有效的記錄和統計分析；設備選型建議：我們建議選擇H3CSecPath18Internet邊界安全防護在Internet邊界部署防火墻是防火墻最主要的應用模式，絕大部分網絡都會接入Internet，因此會面臨非常大的來自Internet的攻擊的風險，需要一種簡易有效的安全防護手段，Internet邊界防火墻有多種部署模式，基本部署模式如下圖所示：通過在Internet邊界部署防火墻，主要目的是實現以下三大功能：來自Internet攻擊的防范：隨著網絡技術不斷的發展，Internet上的現成的攻擊工具越來越多，而且可以通過Internet廣泛傳播，由此導致Internet上的攻擊行為也越來越多，而且越來越復雜，防火墻必須可以有效的阻擋來自Internet的各種攻擊行為；Internet服務器安全防護：企業接入Internet后，大都會利用Internet這個大網絡平臺進行信息發布和企業宣傳，需要在Internet邊界部署服務器，因此，必須在能夠提供Internet上的公眾訪問這些服務器的同時，保證這些服務器的安全；內部用戶訪問Internet管理：必須對內部用戶訪問Internet行為進行細致的管理，比如能夠支持WEB、郵件、以及BT等應用模式的內容過濾，避免網絡資源的濫用，也避免通過Internet引入各種安全風險；基于上述需求，我們建議在Internet邊界，采取以下防火墻部署策略：設備部署模式：如上圖所示，我們建議在核心交換機與Internet路由器之間配置兩臺防火墻，兩臺防火墻與核心交換機以及Internet路由器之間采取全冗余連接，保證系統的可靠性，為了保證系統的可靠性，我們建議配置兩臺防火墻為雙機熱備方式，在實現安全控制同時保證線路的可靠性，同時可以與內網動態路由策略組合，實現流量負載分擔；安全控制策略：防火墻設置為默認拒絕工作方式，保證所有的數據包，如果沒有明確的規則允許通過，全部拒絕以保證安全；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務攻擊進行防范；配置防火墻全面安全防范能力，包括ARP欺騙攻擊的防范，提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等；由外往內的訪問控制規則：通過防火墻的訪問控制策略，拒絕任何來自Internet對內網的訪問數據，保證任何Internet數據都不能主動進入內部網，屏蔽所有來自Internet的攻擊行為；由外往DMZ的訪問控制規則：通過防火墻的訪問控制策略，控制來自Internet用戶只能訪問DMZ區服務器的特定端口，比如WWW服務器80端口、Mail服務器的25/110端口等，其他通信端口一律拒絕訪問，保證部屬在DMZ區的服務器在安全的前提下，有效提供所需的服務；由內往外的訪問控制規則：通過防火墻的訪問控制策略，對內部用戶訪問Internet進行基于IP地址的控制，初步實現控制內部用戶能否訪問Internet，能夠訪問什么樣的Inertnet資源；通過配置防火墻提供的IP/MAC地址綁定功能，以及身份認證功能，提供對內部用戶訪問Internet的更嚴格有效的控制能力，加強內部用戶訪問Internet控制能力；通過配置防火墻提供的SMTP郵件過濾功能和HTTP內容過濾，實現對用戶訪問Internet的細粒度的訪問控制能力，實現基本的用戶訪問Internet的行為管理；由內往DMZ的訪問控制規則：通過防火墻的訪問控制策略，控制來自內部用戶只能訪問DMZ區服務器的特定端口，比如WWW服務器80端口、Mail服務器的25/110端口等，其他通信端口一律拒絕訪問，保證部屬在DMZ區的服務器在安全的前提下，有效提供所需的服務；對于服務器管理員，通過防火墻策略設置，進行嚴格的身份認證等措施后，可以進行比較寬的訪問權限的授予，在安全的基礎上保證管理員的網絡訪問能力；由DMZ往內的訪問控制規則：通過防火墻的訪問控制策略，嚴格控制DMZ區服務器不能訪問或者只能訪問內部網絡的必需的資源，避免DMZ區服務器被作為跳板攻擊內部網用戶和相關資源；其他可選策略：可以啟動防火墻身份認證功能，通過內置數據庫或者標準Radius屬性認證，實現對用戶身份認證后進行資源訪問的授權；根據需要，在兩臺防火墻上設置流量控制規則，實現對網絡流量的有效管理，有效的避免網絡帶寬的浪費和濫用，保護網絡帶寬；根據應用和管理的需要，設置有效工作時間段規則，實現基于時間的訪問控制，可以組合時間特性，實現更加靈活的訪問控制能力；在防火墻上進行設置告警策略，利用靈活多樣的告警響應手段（E-mail、日志、SNMP陷阱等），實現攻擊行為的告警，有效監控網絡應用；啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統計報表等資料，實現對網絡訪問行為的有效的記錄和統計分析；設備選型建議：我們建議選擇H3CSecPath1000F/100F防火墻，詳細的產品介紹見附件；大型網絡內部隔離在比較大規模或者比較復雜的網絡中，需要對內部網絡進行有效的管理，以實現對整個網絡流量的控制和安全風險的隔離，其基本的防火墻部署模式如下圖所示：企業內部隔離防火墻主要應用在比較大型的網絡中，這些網絡一般有多個層次的劃分，會有多個相對獨立的網絡接入節點，需要對這些節點流量進行隔離和控制。在這種大規模的分布式的部署模式中，對防火墻的關鍵性的要求主要集中在管理特性上，要求防火墻必須支持完善的集中管理模式，通過統一的管理中心，可以實現對全網部署的防火墻的集中管理，并且可以支持分級管理。基于這種需求，我們建議進行如下防火墻部署：設備部署模式：如上圖所示，我們建議在總部核心交換機與廣域路由器之間配置兩臺防火墻，兩臺防火墻與核心交換機以及廣域路由器之間采取全冗余連接，保證系統的可靠性；為了保證系統的可靠性，我們建議配置兩臺防火墻為雙機熱備方式，在實現安全控制同時保證線路的可靠性，同時可以與內網動態路由策略組合，實現流量負載分擔；安全控制策略：防火墻設置為默認拒絕工作方式，保證所有的數據包，如果沒有明確的規則允許通過，全部拒絕以保證安全；配置防火墻防DOS/DDOS功能，對Land、Smurf、Fraggle、PingofDeath、TearDrop、SYNFlood、ICMPFlood、UDPFlood等拒絕服務攻擊進行防范，可以實現對各種拒絕服務攻擊的有效防范，保證網絡帶寬；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防范各種網絡層的攻擊行為；根據需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機進行鏈路層控制；由上往下的訪問控制規則：建議在兩臺防火墻上設定嚴格的訪問控制規則，對實現總部網絡訪問下級網絡的嚴格控制，只有規則允許的IP地址或者用戶能夠訪問下級網絡中的指定的資源，以避免總部網絡可能會對下級網絡的攻擊、非授權訪問以及病毒的傳播；由上往下的訪問控制規則：建議在兩臺防火墻上設定嚴格的訪問控制規則，對實現下級網絡訪問總部局域網的嚴格控制，只有規則允許的IP地址或者用戶能夠訪問總部局域網的指定的資源，以避免下級網絡中復雜的用戶可能會對總部網絡的攻擊、非授權訪問以及病毒的傳播；其他可選策略：可以啟動防火墻身份認證功能，通過內置數據庫或者標準Radius屬性認證，實現對用戶身份認證后進行資源訪問的授權；根據需要，在兩臺防火墻上設置流量控制規則，實現對網絡流量的有效管理，有效的避免網絡帶寬的浪費和濫用，保護網絡帶寬；根據應用和管理的需要，設置有效工作時間段規則，實現基于時間的訪問控制，可以組合時間特性，實現更加靈活的訪問控制能力；在防火墻上進行設置告警策略，利用靈活多樣的告警響應手段（E-mail、日志、SNMP陷阱等），實現攻擊行為的告警，有效監控網絡應用；啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整的記錄日志和統計報表等資料，實現對網絡訪問行為的有效的記錄和統計分析；設備選型建議：我們建議選擇H3CSecPath1000F/100F防火墻部署方案特點高安全：防火墻的安全特性主要體現在以下幾個方面：防火墻自身的安全性：指防火墻抵抗針對防火墻系統自身攻擊的風險，很多防火墻自身都存在一些安全漏洞，可能會被攻擊者利用，尤其是一些基于Linux操作系統平臺的防火墻；防火墻安全控制能力：主要指防火墻通過包過濾、代理或者狀態檢測等機制對進出的數據流進行網絡層的控制，一般防火墻都支持狀態檢測機制，狀態檢測已經是一種比較成熟的模式，不存在太多的差別，關鍵的差別在于對不同應用協議的支持能力，尤其是一些語音、視頻等相關的協議；防火墻防御DOS/DDOS攻擊的能力：所有的DOS/DDOS攻擊的流量只要經過防火墻，防火墻必須有足夠強的能力處理這些數據流，并且能把這些惡意數據有效的過濾掉，對相關的網段提供性能保護。高層應用協議的控制能力：防火墻應該能夠對一些常見的高層協議，提供細粒度的控制和過濾能力，比如可以支持WEB和MAIL的過濾，可以支持BT識別并限流等能力；H3C防火墻優勢：H3CSecPath防火墻提供標準和擴展的ACL包過濾，支持H3C特有的ASPF(ApplicationSpecificPacketFilter)技術，可實現對每一個連接狀態信息的維護監測并動態地過濾數據包，支持對HTTP、FTP、RTSP、（包括、、RAS、等）以及通用的TCP、UDP應用進行狀態監控。SecPath防火墻提供多種攻擊防范技術和智能防蠕蟲病毒技術，有效的抵御各種攻擊。SecPath防火墻支持應用層過濾，提供JavaBlocking和ActiveXBlocking，支持細粒度內容過濾能力：包括SMTP郵件地址過濾、SMTP郵件標題過濾、SMTP郵件內容過濾、HTTPURL過濾、HTTP內容過濾等等；高性能：防火墻的性能特性主要體現在以下幾個方面：吞吐量：吞吐量指防火墻在狀態檢測機制下能夠處理一定包長數據的最大轉發能力，業界默認一般都采用大包衡量防火墻對報文的處理能力；最大并發連接數：由于防火墻是針對連接進行處理報文的，并發連接數目是指的防火墻可以同時容納的最大的連接數目，一個連接就是一個TCP/UDP的訪問；每秒新建連接數：指每秒鐘可以通過防火墻建立起來的完整TCP/UDP連接。該指標主要用來衡量防火墻在處理過程中對報文連接的處理速度，如果該指標低會造成用戶明顯感覺上網速度慢，在用戶量較大的情況下容易造成防火墻處理能力急劇下降，并且會造成防火墻對網絡病毒防范能力很差；H3C防火墻優勢：H3CSecPath防火墻是基于MIPS架構的NP處理器技術的防火墻，處理性能更加優越，并且系統更穩定。高端旗艦產品SecPathF1800-A