防火墙解决方案模版 - 图文

防火墙解决方案模版

华为3Com技术有限公司

安全产品行销部

2005年07月08日

防火墙解决方案模版

目 录

一、 二、

防火墙部署需求分析 .................................................................................................................. 3 防火墙部署解决方案 .................................................................................................................. 4

2.1. 数据中心防火墙部署 ............................................................................................................... 4 2.2. INTERNET边界安全防护 .......................................................................................................... 6 2.3. 大型网络内部隔离 ................................................................................................................... 9 三、

防火墙部署方案特点 ................................................................................................................ 12

华为3Com技术有限公司 http://www.huawei-3com.com

第 2 页

防火墙解决方案模版

一、 防火墙部署需求分析

随着网络技术不断的发展以及网络建设的复杂化，需要加强对的有效管理和控制，这些管理和控制的需求主要体现在以下几个方面：

网络隔离的需求：

主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，控制的参数应该包括：数据包的源地址、目的地址、源端口、目的端口、网络协议等，通过这些参数，可以实现对网络流量的惊喜控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。

攻击防范的能力：

由于TCP/IP协议的开放特性，尤其是IP V4，缺少足够的安全特性的考虑，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。

流量管理的需求：

对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QOS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如可以支持WEB和MAIL的过滤，可以支持BT识别并限流等能力；

用户管理的需求：

内部网络用户接入局域网、接入广域网或者接入Internet，都需要对这些用户的网络应用行为进行管理，包括对用户进行身份认证，对用户的访问资源进行限制，对用户的网络访问行为进行控制等；

华为3Com技术有限公司

http://www.huawei-3com.com

第 3 页

防火墙解决方案模版

二、 防火墙部署解决方案

防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, …）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。

根据不同的网络结构、不同的网络规模、以及网络中的不同位置的安全防护需求，防火墙一般存在以下几种部署模式：

2.1. 数据中心防火墙部署

防火墙可以部署在网络内部数据中心的前面，实现对所有访问数据中心服务器的网络流量进行控制，提供对数据中心服务器的保护，其基本部署模式如下图所示：

除了完善的隔离控制能力和安全防范能力，数据中心防火墙的部署还需要考虑两个关键特性：

华为3Com技术有限公司

http://www.huawei-3com.com

第 4 页