防火墻建設(shè)方案

1、xxx防火墻建設(shè)方案一項(xiàng)目背景Xxx公司目前互聯(lián)網(wǎng)邊界防護(hù)比較薄弱，只部署了TP-R4748帶簡(jiǎn)易防火墻功能的路由器，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，簡(jiǎn)易帶防火墻的路由器已經(jīng)不能滿足常德中車(chē)的企業(yè)網(wǎng)上銀行、企業(yè)融投資平臺(tái)等系統(tǒng)的信息安全保護(hù)，所以需要對(duì)網(wǎng)絡(luò)信息安全進(jìn)行升級(jí)改造進(jìn)一步完善。為提公司信息外網(wǎng)安全，充分考慮公司網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，對(duì)公司網(wǎng)絡(luò)信息安全進(jìn)行升級(jí)改造，更換互聯(lián)網(wǎng)防火墻，以及附屬設(shè)備，更換為一臺(tái)防火墻和網(wǎng)管型交換機(jī)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)信息安全穩(wěn)定運(yùn)行。二充分性必要性防火墻可以大大提高網(wǎng)絡(luò)安全性，并通過(guò)過(guò)濾天生不安全的服務(wù)來(lái)降低子網(wǎng)上主系統(tǒng)所冒的風(fēng)險(xiǎn)。因此，子網(wǎng)網(wǎng)絡(luò)

2、環(huán)境可經(jīng)受較少的風(fēng)險(xiǎn)，因?yàn)橹挥薪?jīng)過(guò)選擇的協(xié)議才能通過(guò)Firewall。Forexample,Firewall可以禁止某些易受攻擊的服務(wù)（如NFS）進(jìn)入或離開(kāi)受保護(hù)的子網(wǎng)。這樣得到的好處是可防護(hù)這些服務(wù)不會(huì)被外部攻擊者利用。而同時(shí)允許在大大降低被外部攻擊者利用的風(fēng)險(xiǎn)情況下使用這些服務(wù)。對(duì)局域網(wǎng)特別有用的服務(wù)如NIS或NFS因而可得到公用，并用來(lái)減輕主系統(tǒng)管理負(fù)擔(dān)。防火墻還可以防護(hù)基于路由選擇的攻擊，如源路由選擇和企圖通過(guò)ICMP改向把發(fā)送路徑轉(zhuǎn)向遭致?lián)p害的網(wǎng)點(diǎn)。防火墻可以排斥所有源點(diǎn)發(fā)送的包和ICMP改向，然后把偶發(fā)事件通知管理人員。防火墻還有能力控制對(duì)網(wǎng)點(diǎn)系統(tǒng)的訪問(wèn)。例如，某些主系統(tǒng)可以由外部

3、網(wǎng)絡(luò)訪問(wèn)，而其他主系統(tǒng)則能有效地封閉起來(lái)，防護(hù)有害的訪問(wèn)。除了郵件服務(wù)器或信息服務(wù)器等特殊情況外，網(wǎng)點(diǎn)可以防止外部對(duì)其主系統(tǒng)的訪問(wèn)。三：可行性分析根據(jù)XXX的需求基本部署模式如下圖所示：深信服AF-1000600防火埴PCPCPC筆記本電腦移動(dòng)設(shè)備通過(guò)上述部署建設(shè)用戶、行為、業(yè)務(wù)等維度實(shí)現(xiàn)更多元素的可視,并對(duì)可視數(shù)據(jù)進(jìn)行綜合分析，實(shí)現(xiàn)風(fēng)險(xiǎn)定位及圖形化威脅展示。同時(shí)針對(duì)黑客攻擊鏈所有環(huán)節(jié)均可持續(xù)檢測(cè)，利用云沙盒技術(shù)和大數(shù)據(jù)威脅情報(bào)分析平臺(tái)，可以及時(shí)、準(zhǔn)確的響應(yīng)安全事件，將威脅影響面降到更低。從而達(dá)到：事前：用戶在事前自動(dòng)發(fā)現(xiàn)新增資產(chǎn)、評(píng)估漏洞及是否有保護(hù)策略。事中：構(gòu)建L2-7層縱深防御體系，屏

4、蔽防護(hù)短板且具備聯(lián)動(dòng)和關(guān)聯(lián)分析能力。事后：持續(xù)檢測(cè)繞過(guò)防御的威脅，并通過(guò)云端安全服務(wù)提供7*24小時(shí)快速響應(yīng)的技術(shù)服務(wù)。在IT業(yè)務(wù)運(yùn)維全過(guò)程內(nèi)向用戶提供對(duì)風(fēng)險(xiǎn)的認(rèn)知、對(duì)保護(hù)過(guò)程的認(rèn)知和對(duì)結(jié)果的認(rèn)知，打造常德中車(chē)互聯(lián)網(wǎng)PC的信息安全運(yùn)行環(huán)境。四：經(jīng)濟(jì)效益外網(wǎng)安裝防火墻可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)互聯(lián)網(wǎng)屏蔽公司外網(wǎng)PC的使用的信息、結(jié)構(gòu)和運(yùn)行狀況有效地監(jiān)控了公司外網(wǎng)PC與Internet之間的任何活動(dòng)，保證了網(wǎng)絡(luò)信息的安全。對(duì)企業(yè)所有使用外網(wǎng)的網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)集中的安全管理，無(wú)須在每臺(tái)機(jī)器上分別設(shè)立安全策略。不需要在每臺(tái)機(jī)器上分別安裝特定的認(rèn)證軟件。可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系

5、統(tǒng)的有用信息。記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)，可以記錄和統(tǒng)計(jì)通過(guò)防火墻的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷可能的攻擊和探測(cè)。通過(guò)建設(shè)外網(wǎng)邊界防火墻，來(lái)實(shí)現(xiàn)外網(wǎng)PC使用企業(yè)網(wǎng)上銀行、企業(yè)融投資平臺(tái)等系統(tǒng)的信息安全保護(hù)。五：預(yù)算費(fèi)在原路線不改變的狀況下，可以將外網(wǎng)邊界出口的路由器更換為防火墻+匯集交換機(jī)的模式，從而達(dá)到最優(yōu)配置。具體費(fèi)用如下表：總計(jì)產(chǎn)品名稱應(yīng)用名稱規(guī)格型號(hào)NGAF1000-C600-L5硬件設(shè)備性能參數(shù)：三層吞吐量3G，應(yīng)用層吞吐量400M，并發(fā)連結(jié)數(shù)100W，親接數(shù)（CPS）20000個(gè)，SSLVPN接入數(shù)（最大）1000個(gè)，SSL最大加密流量15IPSecVPN隧道數(shù)（最大）1000個(gè)，IPSecVPN加密速度100M；硬件參數(shù)4G內(nèi)存，SSD64G硬盤(pán)，單電源，6個(gè)千兆電口；軟件系統(tǒng)包含防火墻基本功能（NAT、路由、訪問(wèn)控制ACL、IPsecVPN、DDOS、會(huì)制、用戶認(rèn)證、流控、雙機(jī)等）URL過(guò)濾、郵件安全（不含附件殺毒）、防護(hù)、僵尸網(wǎng)絡(luò)檢測(cè)（含云端沙盒檢測(cè)）、風(fēng)險(xiǎn)分析、威脅情報(bào)、包括安全防護(hù)、WEB掃描、網(wǎng)頁(yè)防篡改、實(shí)時(shí)漏洞分析及敏感信息防泄漏功增強(qiáng)級(jí)模塊深信服增強(qiáng)級(jí)模塊防火墻安全特征庫(kù)防火墻安全特征庫(kù)：包含IPS+服務(wù)器防御、僵尸網(wǎng)絡(luò)防御多線模塊提供電信、聯(lián)通、移動(dòng)的多線路智