Check Point防火墙安全解决方案.docVIP

XXXX公司网络安全项目 解决方案建议书  目 录 一、 项目需求分析 3 1.1 项目背景 3 1.2 网络拓扑结构 4 1.3 网络安全需求分析 5 1.4 网络安全设计原则 5 二、网络安全设计建议 7 2.1 方案一（各区域分散部署） 7 2.2 方案二（虚拟化部署） 9 三、产品选型 11 3.1从产品特性分析 11 3.1.1 Check Point IP系列产品 11 3.1.2 Check Point VSX系列产品 14 3.2从软件技术分析 19 3.3 从安全管理分析（Smart-1） 20 3.3.1日志和状态软件刀片 23 3.3.2监控 24 3.3.3 IPS事件分析 26 3.3.4 报告 30 四、产品资料 33 项目需求分析 项目背景 XXXXXXXXXXXXXXXXXXXXXX 网络拓扑结构 XXXX公司数据中心内网计划分为四个区域： 核心业务区； 高性能计算区； 生产网终端区； 管理维护区。 外部接入分为两个区域： 办公访问区，设计公司各分公司专线连接到新数据中心，访问新数据中心资源；新数据中心专线接入到集团网，访问集团网资源。 合作伙伴访问区，新数据中心Internet接入主要用于翻译公司、各分包商等合作伙伴的VPN接入，访问新数据中心内网资源。 网络安全需求分析 目前XXXX公司对新数据中心安全系统有以下几点需求： Internet接入部分安全防护，提供合作伙伴访问区的VPN接入； 数据中心内网安全防护，要求内网各区域间通过防火墙隔离； 新数据中心与集团网以及设计公司各分支机构之间的安全防护； 安全加固方案的设计必须充分考虑到安全和可用性的结合。安全措施不应形成网络瓶颈，不过分增加其复杂性而加大管理人员的工作量。 1.4 网络安全设计原则 基于前面对需求的分析，我们针对每个区域设计不同的安全措施。在对XXXX公司网络进行安全系统设计、规划时，主要遵循以下原则： 需求、风险、代价平衡分析的原则：对任何网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。 易操作性原则：安全措施要由人来完成，如果措施过于复杂，对人的技能的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。 适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。 二、网络安全设计建议 本方案的设计本着XXXX公司一贯的务实原则，根据XXXX公司的实际情况和具体的应用需求及XXX行业的特点，结合上级监管机构对网络系统安全的各项要求，尽量做到“全面、安全、先进、实用”。 以下提出两种方案建议： 2.1 方案一（各区域分散部署） 根据前面对XXXX公司的安全需求分析，结合安全设计的原则，提出网络安全设计的方案。以下分别对各区域进行安全设计描述： 新数据中心机房作为XXXX公司核心业务区，集中了数据库、核心业务、办公、网站等服务器，有侧重的分类保证其安全是整个方案设计的重点。设计中采取了以下措施： Internet接入安全防护，配置两台CheckPoint IP 295防火墙，配置VRRP+Cluster，实现Internet接入安全防护、VPN链路安全防护。 数据中心内网四个区域分别配置两台CheckPoint IP 395防火墙，配置VRRP+Cluster，实现内网四个区域间的安全隔离。 集团网及分支机构接入安全防护，配置两台CheckPoint IP 565，配置VRRP+Cluster，实现与集团网以及各分支机构之间的安全防护。 各区域汇聚路由器与交换机接口都需要通过防火墙，实现基于应用业务的安全策略，阻挡来自内部的攻击。 部署一台SMART-1 25管理服务器设备在管理维护区，对所有防火墙统一平台管理。 方案一的部署方式，使得整个网络结构清晰，各区域独立且互不影响，但由于此方案要求各区域单独部署防火墙，防火墙数量较多，使得运营成本大幅上升。 2.2 方案二（虚拟化部署） 根据前面对XXXX公司的安全需求分析，结合安全设计的原则，提