防火墻設計方案

1、數(shù)據(jù)中心項目安全設計方案-NetScreen防火墻部分20134 年 11 月 TOC o 1-5 h z 第1章設計范圍及目標 3設計范圍3設計目標3本設計方案中 安全”的定義 3 HYPERLINK l bookmark4 o Current Document 第2章設計依據(jù)4 HYPERLINK l bookmark6 o Current Document 第3章設計原則5全局性、綜合性、整體性設計原則 5需求、風險、代價平衡分析的原則 5可行性、可靠性、安全性 6多重保護原則 6一致性原則6可管理、易操作原則 6適應性、靈活性原則 7要考慮投資保護7設計方案要考慮今后網(wǎng)絡和業(yè)務發(fā)展的需

2、求 7設計方案要考慮實施的風險 7要考慮方案的實施周期和成本 7技術設計方案要與相應的管理制度同步實施 7 HYPERLINK l bookmark8 o Current Document 第4章設計方法8安全體系結構8安全域分析方法 9安全機制和技術 9安全設計流程10具體網(wǎng)絡安全方案設計的步驟： 10 HYPERLINK l bookmark10 o Current Document 第5章安全方案詳細設計 12網(wǎng)銀Internet接入安全方案 12綜合出口接入安全方案 錯誤！未定義書簽。OA與生產(chǎn)網(wǎng)隔離安全方案錯誤！未定義書簽?？毓苤行母綦x安全方案 錯誤！未定義書簽。注意事項及故障回退

3、錯誤！未定義書簽。第6章防火墻集中管理系統(tǒng)設計 16第1章概述設計范圍本次Juniper防火墻部署主要是為了配合 XX數(shù)據(jù)中心的建設，對不同安全等級網(wǎng)絡間的隔離防護，根據(jù)業(yè)務流的流向從網(wǎng)絡層進行安全防護部署。設計目標通過本次安全防護設計，明確安全區(qū)域，針對每個安全區(qū)域根據(jù)其安全等級進行相應的安全防護，以達到使整個系統(tǒng)結構合理、提高安全性、降低風險，使之易 于管理維護，實現(xiàn)系統(tǒng)風險的可控性，在保證安全性的同時不以犧牲性能及易用性 為代價。具具體目標如下：對數(shù)據(jù)中心進行分層隔離防護，利用 Juniper Netscreen防火墻高包轉發(fā)率低延遲的優(yōu)勢和靈活的安全控制策，保護網(wǎng)上銀行DB層的數(shù)據(jù)安全

4、，并以高可靠性冗余架構保證業(yè)務連續(xù)性和可用性。對數(shù)據(jù)中心互聯(lián)網(wǎng)網(wǎng)與生產(chǎn)網(wǎng)之間，明確安全等級的劃分，明確應用數(shù)據(jù)的 訪問方向，利用Juniper防火墻的細粒度安全控制機制及深度檢測功能在 保證正常業(yè)務通訊的同時，屏蔽互聯(lián)網(wǎng)對生產(chǎn)網(wǎng)造成的風險。本設計方案中 安全”的定義本次 安全設計方案”中的 安全”，主要指以下五個方面的內容：各個 Internet 邊界點或內網(wǎng)安全等級劃分邊界點的安全、設備（產(chǎn)品）本身的安全、安全技術和策略，可靠性，安全管理。第2章設計依據(jù)本次設計方案主要依據(jù)以下內容：網(wǎng)絡現(xiàn)狀報告網(wǎng)絡安全工程協(xié)調會會議紀要相關國際安全標準及規(guī)范相關國家的安全標準及規(guī)范已頒布和執(zhí)行的國家、地方、

5、行業(yè)的法規(guī)、規(guī)范及管理辦法第3章設計原則本次安全設計方案的核心目標是實現(xiàn)對比 XX網(wǎng)絡系統(tǒng)和應用操作過程的有效控制和管理。網(wǎng)絡安全建設是一個系統(tǒng)工程，網(wǎng)絡安全體系建設應按照統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標準、相互配套 ”的原則進行，采用先進的平臺化”建設思想，避免重復投入、重復建設，充分考慮整體和局部的利益，堅持近期目標與遠期 目標相結合。在設計的網(wǎng)絡安全系統(tǒng)時，我們將遵循以下原則：全局性、綜合性、整體性設計原則安全方案將運用系統(tǒng)工程的觀點、方法，從網(wǎng)絡整體角度出發(fā)，分析安全問題，提出一個具有相當高度、可擴展性的安全解決方案。從網(wǎng)絡的實際情況看，單純依靠一種安全措施，并不能解決全部的安全問題。而且一

6、個較好的安全體系往往是多種安全技術綜合應用的結果。本方案將從系統(tǒng)綜合的整體角度去看待和分析各種安全措施的使用。需求、風險、代價平衡分析的原則對任一網(wǎng)絡來說，絕對安全難以達到，也不一定必要。對一個網(wǎng)絡要進行實際 分析，對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。保護成本、被保護信息的價值必須平衡。在設計安全方案時，將均衡考慮各種安全措施的效果，提供具有最優(yōu)的性能價格比的安全解決方案。安全需要付出代價（資金、性能損失等），但是任何單純?yōu)榱税踩豢紤]代價的安全方案都是不切實際的。方案設計同時提供了可操作的分 步實施計劃?？尚行浴⒖煽啃?、安全

7、性作為一個工程項目，可行性是設計安全方案的根本，它將直接影響到網(wǎng)絡通信 平臺的暢通；可靠性是安全系統(tǒng)和網(wǎng)絡通信平臺正常運行的保證；而安全性是設計 安全方案的最終目的。多重保護原則任何安全保護措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護 系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層的保護仍可保護信息的安 全。沒有任何一個安全系統(tǒng)可以做到絕對的安全，因此在做安全方案設計時不能把 整個系統(tǒng)的安全寄托在單一的安全措施或安全產(chǎn)品上，應該采取多重防護原則，確 保信息系統(tǒng)安全。一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期（或生命周期）同時存在，制 定的安全體系結構必須與網(wǎng)絡的安全需

8、求相一致。在設計安全方案時就充分考慮在 實施中的風險及實施周期和成本，對潛在的風險做了充分的分析并給出相應的解決 對策。可管理、易操作原則安全措施要由人來完成，如果措施過于復雜，對人的要求過高，本身就降低了 安全性。其次，采用的措施不能影響系統(tǒng)正常運行。設計方案應該盡量采用最新的安全技術，實現(xiàn)安全管理的自動化，以減輕安全 管理的負擔。同時減小因為管理上的疏漏而系統(tǒng)的安全造成的威脅。適應性、靈活性原則安全措施必須能隨著網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改。要考慮投資保護要充分發(fā)揮現(xiàn)有設備的潛能，避免投資的浪費設計方案要考慮今后網(wǎng)絡和業(yè)務發(fā)展的需求設計方案要充分考慮今后業(yè)務和網(wǎng)絡的

9、發(fā)展的需求，避免方案單純因為對系統(tǒng)安全要求的滿足而成為今后業(yè)務發(fā)展的障礙設計方案要考慮實施的風險設計方案在設計時要充分考慮在實施中的風險，對潛在的風險要做充分的分析并給出解決對策要考慮方案的實施周期和成本在方案設計時，要充分考慮方案的設計的實施成本，和實施周期。技術設計方案要與相應的管理制度同步實施網(wǎng)絡系統(tǒng)的安全與管理機制密不可分，安全方案的設計必須有與之相適應的管理制度同步制定，并從管理的角度評估安全設計方案的可操作性。第4章設計方法網(wǎng)絡安全技術方案的設計是以需求為牽引，針對網(wǎng)絡的風險分析及對網(wǎng)絡的安 全目標進行相應的安全方案設計。在進行網(wǎng)絡安全方案設計應從以下幾個方面考慮: 4.1安全體系

10、結構安全體系結構是整個安全方案的科學性、可行性是其可順利實施的保障。安全方案必須架構在科學的安全體系和安全框架之上，因為安全框架是安全方案設計和分析的基礎安全體系結構如下圖:協(xié)議層次女全應安全管理認證訪問控制數(shù)據(jù)完整性數(shù) 據(jù) 保 密抗抵賴審計可用性層信平臺通網(wǎng)絡平臺系統(tǒng)平臺用平臺理物理環(huán)境理安系統(tǒng)單元安全體系結構模型中，完整地將網(wǎng)絡安全系統(tǒng)的全部內容進行了科學和系統(tǒng)的歸納，詳盡地描述了網(wǎng)絡安全系統(tǒng)所使用的技術、服務的對象和涉及的范圍（即網(wǎng)絡層次）：安全服務維是網(wǎng)絡安全系統(tǒng)所提供可實現(xiàn)的全部技術手段；網(wǎng)絡協(xié)議維是網(wǎng)絡安全系統(tǒng)應該將所采納之安全技術手段實施的范圍；系統(tǒng)單元維是網(wǎng)絡安全系統(tǒng)應該提供安

11、全保護的對象；作為一個網(wǎng)絡安全系統(tǒng)，首先要考慮的是安全方案所涉及的有哪些系統(tǒng)單元， 然后根據(jù)這些系統(tǒng)單元的不同，確定該單元所需要的安全服務，再根據(jù)所需要的安 全服務，確定這些安全服務在哪些 OSI層次實現(xiàn)。安全域分析方法安全域是指網(wǎng)絡系統(tǒng)內包含相同的安全要求，達到相同的安全防護等級的區(qū) 域。同一安全域一般要求有統(tǒng)一的安全管理組織和制度以及統(tǒng)一的安全技術防護體 系。安全域定義了網(wǎng)絡系統(tǒng)的最低安全等級，在安全域內可以包含更高安全級別的 安全域。安全域分析方法：對網(wǎng)絡系統(tǒng)進行合理的安全域劃分，為每個安全域定義其安 全等級，據(jù)此分析相鄰兩個安全域的邊界的風險等級。一般來說，兩個安全域的安 全等級差別越

12、大，其邊界的可信度越低，風險等級就越高。安全機制和技術構筑網(wǎng)絡安全系統(tǒng)的最終目的是對的網(wǎng)絡資源或者說是對網(wǎng)絡實施最有效的安 全保護。從網(wǎng)絡的系統(tǒng)和應用平臺對網(wǎng)絡協(xié)議層次的依賴關系不難看出，只有對網(wǎng) 絡協(xié)議結構層次的所有層實施相應有效的技術措施，才能實現(xiàn)對網(wǎng)絡資源的安全保 護。安全設計流程般網(wǎng)絡安全方案設計流程如下圖:根據(jù)實際的安全需求，確定要 建立一個什么樣的安全體系依照確定的安全體系，決定付 出多大的安全代價來實現(xiàn)安全體系安全需求10首先從網(wǎng)絡現(xiàn)狀中分析出潛在的安全威脅，再根據(jù)具體的安全風險提出相應的 安全需求。然后根據(jù)實際的安全需求，確定要建立的安全體系結構，要采取的安全 防范技術。最后，

13、根據(jù)設計出的安全體系，分析實現(xiàn)要付出的代價。具體網(wǎng)絡安全方案設計的步驟：從現(xiàn)狀和風險分析中得出需要進行安全防護的網(wǎng)絡系統(tǒng)的安全防護邊界針對每個邊界的風險點和風險級別，提出相應的具體的安全需求根據(jù)安全需求，對網(wǎng)絡系統(tǒng)的改造進行設計根據(jù)改造后的網(wǎng)絡結構，針對每個邊界進行安全需求分析，提出具體要采用的安全防護技術及其基本要實現(xiàn)的安全防護功能從每個邊界的安全需求分析的結果出發(fā)，進行安全設計。在設計中提出每個部署的安全產(chǎn)品的配置、性能及功能的要求。最后對采取的安全技術進行管理設計11第5章安全方案詳細設計網(wǎng)銀Internet接入安全方案網(wǎng)銀Internet接入?yún)^(qū)域采用防火墻分層防護的嚴密安全措施，將該區(qū)

14、域整個網(wǎng)絡劃分為DMZ、Untrust和Trust三個不同等級的安全區(qū)域，針對每一層分別有相應的防火墻實施不同級別的安全防護策略，整個防御采用全冗余架構，如圖所示：InternetJuniper防火墻部署在Internet接入安全區(qū)，該區(qū)域也包含其他廠家提供的安全解決方案。在Juniper防火墻提供的安全方案中，應當只專注負責應用層與數(shù)據(jù)庫層間的安全隔離防護。在Internet接入?yún)^(qū)的交換機之間部署兩臺Juniper NetScreen-ISG1000防火墻。兩臺防火墻之間作 Active/Backup高可用性關系。用核心的這兩臺ISG1000防火墻的高速包轉發(fā)優(yōu)勢進行核心層的隔離保護，在安全

15、性的基礎上，兼顧考慮高性能、12簡潔性、冗余性、擴展性。詳細設計高可靠性為了最大限度地減少出現(xiàn)單點故障的可能性，Juniper可以支持設備冗余來實現(xiàn)高可用性。這種高可用性，即使是在設備出現(xiàn)故障的情況下，對于保護網(wǎng)絡免受攻 擊也是非常關鍵的。高度可靠的硬件和冗余系統(tǒng)設計意味著Juniper網(wǎng)絡公司可以提供目前功能最全面的高可用性安全解決方案。組件、鏈路和系統(tǒng)級冗余特性的結 合使該解決方案可以經(jīng)受多次故障并確保連接不會中斷。ISG1000的高可用性以Juniper冗余協(xié)議（NSRP）為中心，通過在系統(tǒng)和相鄰網(wǎng)絡交換機之間建立物理連 接，從而使一對冗余安全系統(tǒng)可以輕松集成到一個高可用性網(wǎng)絡體系結構中

16、。借助 鏈路冗余，Juniper網(wǎng)絡公司可以消除導致系統(tǒng)故障的許多常見原因，如物理端口 故障或電纜斷開，以確保連接不會中斷而不必切換整個系統(tǒng)。Juniper網(wǎng)絡公司的安全性設備帶有多個風扇和多套電源，可支持設備高可用性。會話備份（Session同步）以冗余HA方式部署時，Juniper網(wǎng)絡公司的解決方案還采用了一種先進的故障 切換算法來為網(wǎng)絡流量重新路由，以免在出現(xiàn)設備故障的情況下發(fā)生連接中斷。在 進行故障切換時，備份設備已經(jīng)包含有必要的網(wǎng)絡配置信息、會話狀態(tài)信息和安全 關聯(lián)，因此可以在一秒種之內完成切換，繼續(xù)處理現(xiàn)有流量，操作系統(tǒng)可以在冗余 系統(tǒng)之間自動映射配置，以提供工作防火墻的會話維護功

17、能（Session備份功能）。HA架構可以使靜態(tài)信息（如配置）和動態(tài)實時信息同步。因此在故障切換同步期13 間可以共享以下信息：連接/會話狀態(tài)信息、IPSec安全性關聯(lián)、NAT流量、地址簿 信息以及配置變化等，保證在故障切換時已有業(yè)務連接不會斷開，保證業(yè)務不受故 障影響，用戶根本察覺不到故障的發(fā)生。安全性由于在網(wǎng)銀實施多級防火墻分層防護，經(jīng)過其他安全防護設備層的隔離，在核 心層位置，安全風險減少，安全區(qū)劃分上以相對簡單，信任度很高。因此，在核心 層Juniper防火墻的安全策略設置上，安全策略設置相對簡單，以高性能發(fā)揮和易 用性為主考慮，需要單向在防火墻上放行應用程序到數(shù)據(jù)庫訪問的協(xié)議和端口，

18、或 者根據(jù)某些特殊應用程序的需要，如果有核心層內部主動向外發(fā)起連接的，需要在 防火墻上相應的放行由內到外方向的連接請求，在IP層控制上，只允許來自應用層 的IP對核心數(shù)據(jù)庫的訪問。擴展性目前ISG1000防火墻與交換機之間屬于 GE接口連接，就流量來說，NetScreen 防火墻2G的包轉發(fā)速率應該可以滿足需求；就擴展性來說，以后如果流量持續(xù)增 長，NetScreen ISG1000防火墻支持擴展10GE接口。因此從可預見的 3-5年時間 內，Juniper防火墻在此位置上不會形成整體系統(tǒng)的瓶頸問題。攻擊及深層防護在綜合出口網(wǎng)絡雖然采取了分層防護機制，但網(wǎng)銀 Internet接入網(wǎng)絡是直接被 外部訪問，因此需要考慮相應的攻擊防護手段。ISG1000防火墻的高性能確保它足 以抵御目前Internet上流行的DDoS的攻擊，能夠抵御多達28種以上的網(wǎng)絡攻擊的14同時不以犧牲性能為代價，一些流行的攻擊手法如如Synflood, Udpflood, Smurf,Ping of Death, Land Attack 等等。攻擊防護在綜合出口網(wǎng)絡的應用：在開啟了抵御攻擊選項之前，需要考慮一下幾個因素：抵御攻擊的功能會占用防火墻的部分 CPU資源如果實際的應用程序是自行開發(fā)的，可能存在部分不規(guī)范的數(shù)據(jù)包格式網(wǎng)絡設計中采用了部分非常規(guī)的設計如果由于因為選擇過多的防御攻擊的選項而大大降低了防火墻處