防火墙解决规划方案模版.docx

防火墙解决规划方案模版.docx内容简述
用途
密级说明
上次修改
SecPath 防火墙技术建议书
用于撰写和
SecPath 防火
内部公开，严禁
2005-7-12
模板
墙相关的技术建议书
外传
防火墙解决方案模版
杭州华三通信技术有限公司
安全产品行销部
2005 年 07 月 08 日
目 录
一、 防火墙部署需求分析 3
二、 防火墙部署解决方案 4
. 数据中心防火墙部署 4
. I NTERNET 边界安全防护 6
. 大型网络内部隔离 9
三、 防火墙部署方案特点 12
可编辑范本
一、 防火墙部署需求分析
随着网络技术不断的发展以及网络建设的复杂化，需要加强对的有效管理和控制，这些管理和控制的需求主要体现在以下几个方面：
网络隔离的需求：
主要是指能够对网络区域进行分割， 对不同区域之间的流量进行控制， 控制的参数应该包括：
数据包的源地址、目的地址、源端口、目的端口、网络协议等，通过这些参数，可以实现对网络
流量的惊喜控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。
攻击防范的能力：
由于 TCP/IP 协议的开放特性，尤其是 IP V4 ，缺少足够的安全特性的考虑，带来了非常大的
安全风险，常见的 IP 地址窃取、IP 地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击 （ DOS、
DDOS ）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。
流量管理的需求：
对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，
同时应该提供完善的 QOS 机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，
提供细粒度的控制和过滤能力，比如可以支持 WEB 和 MAIL 的过滤，可以支持 BT 识别并限流等能力；
用户管理的需求：
内部网络用户接入局域网、 接入广域网或者接入 Internet，都需要对这些用户的网络应用行为进行管理，包括对用户进行身份认证，对用户的访问资源进行限制，对用户的网络访问行为进行
控制等；
可编辑范本
二、 防火墙部署解决方案
防火 是网 系 的核心基 防 措施，它可以 整个网 行网 区域分割，提供基于 IP
地址和 TCP/IP 服 端口等的 控制； 常 的网 攻 方式，如拒 服 攻 （ ping of death,
land, syn flooding, ping flooding, tear drop, ⋯ ）、端口 描（ port scanning）、 IP 欺 (ip spoofing) 、
IP 盗用等 行有效防 ；并提供 NAT 地址 、流量限制、用 、 IP 与 MAC 定等安全
增 措施。
根据不同的网 构、不同的网 模、以及网 中的不同位置的安全防 需求，防火 一
般存在以下几种部署模式：
. 数据中心防火墙部署
防火 可以部署在网 内部数据中心的前面， 所有 数据中心服 器的网 流量
行控制，提供 数据中心服 器的保 ，其基本部署模式如下 所示：