防火墙设计方案（ word 版）.docx

PAGE PAGE 3 数据中心项目安全设计方案 -NetScreen 防火墙部分 20134 年 11 月 目 录 第 1 章 设计范围及目标 3. 设计范围 3. 设计目标 3. 本设计方案中“安全”的定义 3. 第 2 章 设计依据 5. 第 3 章 设计原则 6. 全局性、综合性、整体性设计原则 6. 需求、风险、代价平衡分析的原则 6. 可行性、可靠性、安全性 7. 多重保护原则 7. 一致性原则 7. 可管理、易操作原则 7. 适应性、灵活性原则 8. 要考虑投资保护 8. 设计方案要考虑今后网络和业务发展的需求 8 设计方案要考虑实施的风险 8. 要考虑方案的实施周期和成本 8. 技术设计方案要与相应的管理制度同步实施 8 第 4 章 设计方法 9. 安全体系结构 9. 安全域分析方法 1.0 安全机制和技术 1.0 安全设计流程 1. 1 具体网络安全方案设计的步骤： 1. 1 第 5 章 安全方案详细设计 1. 3 网银 Internet 接入安全方案 1. 3 综合出口接入安全方案 错误！未定义书签。 OA 与生产网隔离安全方案 错误！未定义书签。 控管中心隔离安全方案 错误！未定义书签。 注意事项及故障回退 错误！未定义书签。 第 6 章 防火墙集中管理系统设计 1. 8 第 1 章 概述 设计范围 本次 Juniper 防火墙部署主要是为了配合 XX 数据中心的建设，对不同安全等级网络间的隔离防护，根据业务流的流向从网络层进行安全防护部署。 设计目标 通过本次安全防护设计，明确安全区域，针对每个安全区域根据其安全等级进行相应的安全防护，以达到使整个系统结构合理、提高安全性、降低风险，使之易于管理维护，实现系统风险的可控性，在保证安全性的同时不以牺牲性能及易用性为代价。其具体目标如下： 对数据中心进行分层隔离防护，利用 Juniper Netscreen 防火墙高包转发率 低延迟的优势和灵活的安全控制策，保护网上银行 DB 层的数据安全，并以高可靠性冗余架构保证业务连续性和可用性。 对数据中心互联网网与生产网之间，明确安全等级的划分，明确应用数据的 访问方向，利用 Juniper 防火墙的细粒度安全控制机制及深度检测功能在保证正常业务通讯的同时，屏蔽互联网对生产网造成的风险。 本设计方案中“安全”的定义 本次“安全设计方案”中的“安全”，主要指以下五个方面的内容：各个 Internet 边界点或内网安全等级划分边界点的安全、设备（产品）本身的安全、安全技术和策略，可靠性，安全管理。 精品资料 第 2 章 设计依据 第 2 章 设计依据 PAGE PAGE 5 本次设计方案主要依据以下内容： 网络现状报告 网络安全工程协调会会议纪要 相关国际安全标准及规范 相关国家的安全标准及规范 已颁布和执行的国家、地方、行业的法规、规范及管理办法 第 3 章 设计原则 第 3 章 设计原则 本次安全设计方案的核心目标是实现对比 XX 网络系统和应用操作过程的有效控制和管理。网络安全建设是一个系统工程，网络安全体系建设应按照 “统一规划、统筹安排，统一标准、相互配套 ”的原则进行，采用先进的 “平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。在设计的网络安全系统时，我们将遵循以下原则： 全局性、综合性、整体性设计原则 安全方案将运用系统工程的观点、方法，从网络整体角度出发，分析安全问题，提出一个具有相当高度、可扩展性的安全解决方案。 从网络的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。而且一个较好的安全体系往往是多种安全技术综合应用的结果。本方案将从系统综合的整体角度去看待和分析各种安全措施的使用。 需求、风险、代价平衡分析的原则 对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。在设计安全方案时，将均衡考虑各种安全措施的效果，提供具有最优的性能价 格比的安全解决方案。安全需要付出代价（资金、性能损失等），但是任何单纯为了安全而不考虑代价的安全方案都是不切实际的。方案设计同时提供了可操作的分步实施计划。 精品资料 精品资料 可行性、可靠性、安全性 作为一个工程项目，可行性是设计安全方案的根本，它将直接影响到网络通信平台的畅通；可靠性是安全系统和网络通信平台正常运行的保证；而安全性是设计安全方案的最终目的。 多重保护原则 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充