方正防火墙整体解决方案

方正防火墙整体解决方案内容摘要：

、可靠性和效率，方正FS XX百兆防火墙这样卓越的性能很好地满足XX用户对网络设备的高性能要求。 防火墙的作用是对外部互联网访问内网和内网访问互联网实施访问控制策略。 用于XX网络与外部互联网的相互访问，以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全，保证：l 在数据中心、远程拨号用户、分支机构或公用网之间要有合适的界面；l 控制用户访问信息服务。 不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问已明确授权使用的服务和已明确授权使用的内容。 这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方（例如不在安全管理及控制范围的公用或外部地方）的用户尤其重要。 数据的可靠性、安全性是用户对于数据存储系统最重要的考虑。 为了实现设计目标，我们在数据中心与Internet广域网接入处部署公网百兆防火墙。 由于优良的性能、完善的功能和特有的黑区设计，我们推荐方正信息安全的方正FS XX百兆防火墙，用于限制外部网络对数据中心内网资源（含公网服务器区）的非法访问，保护数据中心内网上的各种信息资源。 由于XX网络的核心重点保护的对象之一是为外部服务的公网服务器群，而WEB、Mail等又是容易攻击的对象，以合理保护为原则，所以将公网服务器群所在的网段接入方正FS XX防火墙的DMZ区。 无论是XX网络内部的用户，还是XX以外的用户，只要想访问WEB、Mail等服务器，都必须经过防火墙的访问控制。 同时在方正FS XX防火墙上设置双向NAT转换，使得内网通过内部IP地址访问Internet。 公网用户可以通过方正FS XX映射的公网地址访问内部隐藏掉合法地址的服务器所提供的服务,在方正FS XX防火墙上启动多级内容过滤功能，以限制内部员工访问反动、黄色和其他不良网站，同时可以对URL、 携带的Java Applet、JavaScript、ActiveX等可能含有木马的程序进行过滤，防止其利用内部网系统进行破坏。 这台防火墙对远程拨号用户、分支机构及公网用户对数据中心网络的访问进行严格控制，禁止掉不必要的端口，防止其利用协议漏洞、IP欺骗等手段对计费业务网的机密数据造成破坏。 同时，我们方案产品选型时，考虑了和入侵检测联动的效果，在网络通讯的边缘把入侵行为阻断掉。 利用方正FS XX防火墙特有的黑区设计，将方正入侵检测系统的一个监听网口部署在黑区，有效的监控对数据中心网络的访问。 方正FS XX防火墙的DMZ口接公众网服务器区的交换机，形成对DMZ区的保护。 使WEB、Mail、DNS组成的对外提供服务的服务器与内部机密网络完全隔离，并且他们可以采用隐藏IP地址的方式来保护自己，以及把不提供服务的端口全部关掉，这样就既不影响对外提供服务，也很好的保护了内网机密数据的安全性，杜绝了黑客有可能通过公网服务器为跳板进入内网。 方正FS XX防火墙具有较强的日志记录、分析，可以对流经网络的数据包做详细的记录，这样可以对访问机密数据的用户进行跟踪、记录，使恶意破坏有章可寻。 ● 完善的访问控制规则控制：通过方正FS XX防火墙提供的基于TCP/IP协议中各个环节进行安全控制，生成完整安全的访问控制表，这个表包括：■ 外网（Internet）对内部数据库服务器、网络功能服务器、业务服务器以及DMZ区服务器访问控制。 将外部对内部（内部局域网）、DMZ内服务访问明确限制，防止非法对内部重要系统，特别是业务系统的访问。 利用DMZ的隔离效果，将对外服务的部分服务器（服务器、Email服务器）放置在DMZ区域，通过配置访问控制，保护DMZ区和内部网络免受攻击。 关闭操作系统提供的除需要以外的所有服务和应用，防止因为这些服务和应用自身的漏洞给系统带来的风险。 对内部数据库服务器、网络功能服务器、业务服务器的访问做严格的规划和限制，防止恶意攻击行为发生。 ■ 内部网络：内部网络（内部局域网）到外部网络（Internet）也要进行严格的限制。 防止内部员工对外网资源的非法访问。 对内部员工对外访问采用NAT方式访问。 同时内部员工对DMZ区域服务器访问也必须做限制。 内部员工对外网WWW访问采用代理方式。 ■ DMZ访问：通常情况下DMZ对外部和内部都不能主动进行访问，除非特殊的应用需要到内部网络采集数据，可以有限地开放部分服务。 借助方正防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全的技术策略，制定严格完善的访问控制策略保证从IP到传输层的数据安全。 针对XX信息网系统中的网络风险可以通过严格的访问控制表来进行限制。 ● 被动防御和主动防御被动防御是指通过防火墙预置策略和防御阀值实施静态防护，FSXX防火墙通过其深层的状态检测技术和内建防御策略可以有效防止多种攻击，如ICMP 重定向、IP 来源路由、DOSamp。 DDOS、CGI漏洞和 ICMP 等攻击。 另外FSXX防火墙还内置入侵检测功能，可以实时和主动发现各种攻击行为或可疑连接，与FSXX防火墙实现联动，即防火墙可以动态建立策略进行实时拦截网络入侵，从而实现主动防御。 ● IPMAC地址捆绑： IPMAC地址绑定，即在防火墙地址策略中将网络中的某台主机的IP地址以及赋予该地址的硬件地址捆绑，在防火墙的过滤策略机制中，该IP地址和其硬件地址被作为统一标识，根据策略设置防火墙对此地址的会话请求或通过或拒绝或记录。 IPMAC地址绑定作用在于：l 避免用户随意更改IP地址。 l 利用IPMAC地址绑可以为网络管理者提供更高级别的管理，如用户认证等。 ● NAT地址转换将XX信息网内部网络和DMZ区域网络地址通过NAT方式转换，隐藏真实IP地址，防止内部网络受到攻击。 具体转换方式就是将内部网络和DMZ区域机器的地址全部转换成防火墙外网卡地址。 而借助防火墙的多映射功能，可以将对外的同一地址映射为内部网络和DMZ区域不同服务的不同端口。 ●全面的日志记录和审计功能FSXX防火墙具有全面的日志记录和审计功能，为网络管理人员提供非常详细的日志记录，FSXX防火墙的日志审计工具Log Viewer可以做到实时化产生报表、图文、文本等形式，系统支持电子邮件、基于策略的应用层审计、短信发送、Syslog请求和定向导出。 ●应用级的带宽管理(Qos机制)FSXX防火墙系统为网络管理者提供了监测和管理网络信息流量的手段，可以按照客户的需求对流量进行控制，通过设定带宽分配权值和流量阈值，以防止带宽资源的不正常消耗，从而使网络在不同的应用中合理分配带宽，保证重要服务的正常运行。 FSXX防火墙流量控制功能是对通过网络的数据流量进行带宽的分配，最大限度的满足各个用户和不同应用对流量的要求。 ●高层应用监控和过滤FSXX防火墙在完成高性能的包过滤策略和深层状态检测的同时，也提供对常用高层应用服务如：HTTP 、FTP 、SMTP等应用层的监控和过滤支持。 同时还对上述服务做到有选择的细节行为控制，如HTTP 对命令（GET 、OPTION 、PUT 等）和URL 以及脚本类型进行过滤， SMTP 、POP3 对收发信人和邮件主题关键字进行控制。 ●双机备份FSXX防火墙具有高可用性和冗余性。 它利用FSXX防火墙的双机热备协议实现防火墙策略和故障冗余，该协议提供了如下功能：l 故障切换算法根据系统运行状态确定哪个防火墙是主防火墙，另一防火墙处在备用状态，随时准备切换运行；l 进行实时故障检测，在不到2秒内完成从主防火墙到备用防火墙的状态切换，并能够保留活动会话和VPN隧道。 ● 防火墙选型防火墙是网络安全领域首要的、基础的设施，它对维护内部网络的安全起着重要的作用。 利用防火墙可以有效地划分网络不同安全级别区域间的边界，并在边界上对不同区域间的访问实施访问控制、身份鉴别、和安全审计等功能。 防火墙按实现的方式不同，其基本类型有：包过滤型、代理(应用网关)型和复合型。 复合型防火墙是在综合动态包过滤技术和代理技术的优点的情况下采取的一种更加完善和安全的防火墙技术。 其功能强大，是未来防火墙技术发展的一个主要趋势。 综合考虑xx网络安全实际情况，在本方案中我们推荐使用方正FSXX防火墙，放置xx局域网的交换机与路由器之间，可以更加有效保护了xx数据安全。 ●方正防火墙FSXX产品介绍（以下防火墙介绍可以根据用户的不同需求作不同的删减）产品功能基于硬件的安全系统方正FS XX防火墙是一种基于硬件的专业安全系统。 它不仅可以保护物理设备和内部安全信息、而且还提供了虚拟专用网络 (VPN)。 它尽可能地减少由于添加了安全设备而给网络速度造成影响。 硬件式的防火墙可利用更新固件，很容易地提高性能。 它可以通过网络更新，所以比常用操作系统更新容易。 有关防火墙及安全产品的趋势是安全性及速度。 以世界的趋势来讲，能具备安全性及速度的网络产品是通常使用客户化的操作系统及硬件，该类产品与使用一般操作系统的网络安全产品比较有一下优势： ——减少安装、操作的负担，易于安装使用。 ——相对于高性能硬件PC/WORKSTATION更具价格优势。 ——对网络结构影响小，设备性能高。 访问控制由于 Internet 是在全面开放的基础上发展起来的，因此访问控制在访问和保护限制信息方面发挥了非常重要的作用。 访问控制是防火墙系统的基本功能，防火墙会检查向 Intranet 发送的信息包，只有经过验证的信息包才能进入许可的服务或用户网络，而所有未经验证的信息包都会受到阻挡。 状态检测方正 FSXX防火墙将访问控制规则应用于通过防火墙的信息包来过滤信息，同时它还会根据网络情况，使用管理变化会话的状态表，从而更有效地过滤信息包。 状态检测技术基于防火墙所维护的状态表的内容，确定转发或拒绝数据包的传送，比普通的包过滤有着更好的网络性能和安全性。 普通包过滤防火墙使用的过滤规则集是静态的，除非用户对其进行重新配置，否则它的内容是固定不变的。 而采用状态检测技术的防火墙在运行过程中一直维护着一张动态状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。 对用户来说，状态检测不但能提高网络的性能，还能增强网络的安全性。 (a)H/W方式的Mac Layer状态检测(b)工作原理——应用代理，包过滤方式ApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalTelnet, FTP, HTTP Proxy 等包过滤——H/W方式的Mac Layer状态检测ApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportNetworkLinkPhysicalApplicationSessionTransportLinkPhysical包过滤Telnet, FTP, HTTP 状态检测 等Network硬件方式的Mac Layer状态检测功能可适用于包过滤的技术，同时也比应用代理处理数据速度快，并且Mac Layer状态检测方法比应用代理更有安全性。 IP与MAC地址绑定IP与MAC地址绑定：防止防火墙广播域内，重要主机的IP 地址不被另一台机器盗用。 也就是说，如果要保护的主机与防火墙直接相连，可以将此机器的 IP 与其物理网卡地址捆绑，这样其他内部机器就不可能盗用这个IP地址通过防火墙。 URL、SMTP、内容和电子邮件过滤方正FS XX防火墙可以根据安全策略，控制对特定站点或应用程序进行访问。 此功能既可防止外部网络的非法入侵、又可防止内部网络中出现未经授权的信息。 (a)内容过滤内容过滤能够实现对应用层内容的检测，提高网络的安全性。 内容过滤是在、ftp和smtp等协议层根据过滤条件对信息流进行控制，可以过滤URL、携带的Java Applet、JavaScript、ActiveX、Servlet、CGI、PHP、img；电子邮件的subject、to、from和text域，电子邮件附加的DOC和ZIP文件；FTP下载和上载文件的内容等可能包含危险信息，如病毒、非法的关键字、非法操作命令等。 因此对内容进行过滤，能有效地提高网络的安全性。 (b)电子邮件过滤252。 过滤发送者/收信者和邮件标题。 252。 过滤MIME形态。 252。 删除附件文件或SPAM文件和过大的文件252。 转换发送者或收信者的数据格式为特别文句。 抗攻击能力 　抗攻击能力是网络安全的保证，目前，在“黑客”的攻击行为中，使用最多、最有效的是DDoS攻击，它造成的结果是服务器拒绝服务。 以下为方正FS XX防火墙的抗攻击能力：方正FS XX防火墙会检测并阻止 DoS 攻击、例如、可导致防火墙产生严重问题的小范围攻击或同步大规模攻击。 方正FS XX防火墙可以防止内部网络受到假冒 IP 地址、ICMP 重定向、IP 来源路由、假冒 DNS 和 ICMP 等攻击。 (a)WEB安全功能：252。 防止外来非法入侵。 252。 防止scriptJava，Perl，Visual Basic入侵。 252。 防止AppletJava，Active X入侵。 252。 其他Cookies，Internet Shortcut。 (b)Dos形态的攻击、入侵检测或Blocking功能、Fragmentation，SYN flooding等抗攻击能力。 NAT功能NAT功能使网络便于扩展，并提高网络安全。 NAT技术是将一个地址转换为另外一个IP地址的技术，具备完整的NAT技术还可以实现负载均衡等功能。 它有两个特点：一是隐藏内部网络真实IP，使“黑客”无法直接攻击内部网络；二是让内部网络使用保留地址，通过NAT代理访问外网，这对。