最新防火墙设计方案.docxVIP

z. z. z. z. 数据中心项目安全设计案 -NetScreen 防火墙部分 20134 年 11月 目录 TOC \o 1-5 \h \z 第 1 章 设计围及目标 3 1.1设计围 3 设计目标 3 本设计案中 “安全 ”的定义 3 \o Current Document 第2章 设计依据 4 \o Current Document 第3章 设计原则 5 全局性、综合性、整体性设计原则 5 需求、风险、代价平衡分析的原则 5 可行性、可靠性、安全性 5 多重保护原则 6 一致性原则 6 可管理、易操作原则 6 适应性、灵活性原则 6 要考虑投资保护 6 设计案要考虑今后网络和业务发展的需求 6 设计案要考虑实施的风险 7 要考虑案的实施期和成本 7 技术设计案要与相应的管理制度同步实施 7 \o Current Document 第4章 设计法 8 安全体系结构 8 安全域分析法 9 安全机制和技术 9 安全设计流程 9 具体网络安全案设计的步骤： 10 \o Current Document 第5章 安全案详细设计 12 网银 Internet 接入安全案 12 综合出口接入安全案 错误 !未定义书签。 OA 与生产网隔离安全案 错误 !未定义书签。 控管中心隔离安全案 错误 !未定义书签。 注意事项及故障回退 错误 !未定义书签。 第6章 防火墙集中管理系统设计 16 第 1章 概述 1.1设计围 本次 Juniper 防火墙部署主要是为了配合 XX 数据中心的建设，对不同安全等 级网络间的隔离防护，根据业务流的流向从网络层进行安全防护部署。 设计目标 通过本次安全防护设计，明确安全区域，针对每个安全区域根据其安全等级进 行相应的安全防护，以达到使整个系统结构合理、提高安全性、降低风险，使之易 于管理维护，实现系统风险的可控性，在保证安全性的同时不以牺牲性能及易用性 为代价。其具体目标如下： ? 对数据中心进行分层隔离防护，利用 Juniper Netscreen 防火墙高包转发率 低延迟的优势和灵活的安全控制策，保护网上银行 DB 层的数据安全，并 以高可靠性冗余架构保证业务连续性和可用性。 ? 对数据中心互联网网与生产网之间，明确安全等级的划分，明确应用数据的 访问向，利用 Juniper 防火墙的细粒度安全控制机制及深度检测功能在保 证正常业务通讯的同时，屏蔽互联网对生产网造成的风险。 本设计案中 “安全”的定义 本次 “安全设计案 ”中的“安全”，主要指以下五个面的容：各个 Internet 边 界点或网安全等级划分边界点的安全、设备（产品）本身的安全、安全技术和策 略，可靠性，安全管理。 第 2 章 设计依据 本次设计案主要依据以下容： 网络现状报告 网络安全工程协调会会议纪要 相关国际安全标准及规 相关的安全标准及规 已颁布和执行的、地、行业的法规、规及管理办法 第 3 章 设计原则 本次安全设计案的核心目标是实现对比 XX 网络系统和应用操作过程的有效控 制和管理。网络安全建设是一个系统工程，网络安全体系建设应按照 “统一规划、 统筹安排，统一标准、相互配套 ”的原则进行，采用先进的 “平台化 ”建设思想， 避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标 相结合。在设计的网络安全系统时，我们将遵循以下原则： 全局性、综合性、整体性设计原则 安全案将运用系统工程的观点、法，从网络整体角度出发，分析安全问题，提 出一个具有相当高度、可扩展性的安全解决案。 从网络的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。 而且一个较好的安全体系往往是多种安全技术综合应用的结果。本案将从系统综合 的整体角度去看待和分析各种安全措施的使用。 需求、风险、代价平衡分析的原则 对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际 分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制 定规和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。 在设计安全案时，将均衡考虑各种安全措施的效果，提供具有最优的性能价格 比的安全解决案。安全需要付出代价（资金、性能损失等） ，但是任单纯为了安全 而不考虑代价的安全案都是不切实际的。案设计同时提供了可操作的分步实施计 划。 可行性、可靠性、安全性 作为一个工程项目，可行性是设计安全案的根本，它将直接影响到网络通信平 台的畅通；可靠性是安全系统和网络通信平台正常运行的保证；而安全性是设计安 全案的最终目的。 多重保护原则 任安全保护措施都不是绝对安全的，都可能被攻