硬件防火墙方案.pdf

硬件防火墙方案 硬件防火墙方案 主要用途：硬件防火墙主要适用于大中型企业网络，通过专用的硬件防火墙提供快速、 高效的数据包转发速率，并为企业网络提供高安全性同时需要多种介质的端口支持。 现状分析、目标 自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全 威胁成为日益受到严重关注的问题。根据美国 FBI 的调查，美国每年因为网络安全造 成的经济损失超过 170 亿美元。 由于公司网络内运行的主要是多种网络协议， 而这些网络协议并非专为安全通讯而设 计。所以，网络可能存在的安全威胁来自以下方面： （1 ） 操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如 UNIX 服务器， NT 服务器及 Windows 桌面 PC ； （2 ） 防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验； （3 ） 缺乏有效的手段监视、评估网络系统的安全性； （4 ） 采用的 TCP/IP 协议族软件，本身缺乏安全性； （5 ） 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并 且，如果系统设置错误，很容易造成损失。 分析结论 满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全 保障，是网络系统安全的重要原则。 某公司网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主 要业务系统的安全，是某公司网络的基本安全需求。 具体需求如下： （1 ） 网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。 （2 ） 网络管理 / 网络部署的资料不被窃取。 （3 ） 提供灵活而高效的内外通讯服务。 （4 ） 访问控调，确保业务系统不被非法访问； （5 ） 数据安全，保证数据库软硬件系统的整体安全性和可靠性； 方案设计 方案设计原则 在设计新的安全方案时，我们要始终依照并贯彻下列原则： 技术上应达到相当的先进性，性能上应能适应现在日新月异发展的网络应用， 从而使网络平台在较长时间内不落后； 产品应具有优异的开放性和升级扩展能力，并提供最佳的用户投资保护； 网络传输应具备高可高可靠性、安全性； 网络易于维护、易于管理； 系统主要设备均采用广泛应用且具有良好性能价格比的产品，尽量利用已有资 源，既考虑节省投资，有保证产品的先进性和可用性。 本方案核心技术和产品介绍 华为 3COM Quidway? SecPath 1000F 防火墙 华为 3COM Quidway? SecPath 100F 防火墙 Quidway? SecPath 1000F ／Quidway? SecPath 100F 防火墙是华为 3Com 公司开 发的新一代专业防火墙设备 , 可以作为中小企业的出口防火墙设备，也可以作为大中型 企业的内部防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件 过滤等功能，能够有效地保证网络的安全；采用 ASPF 状态检测技术，可对连接过程 和有害命令进行监测，并协同 ACL 完成动态包过滤；提供多种智能分析和管理手段， 支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全 管理；支持 AAA 、NAT 等技术，可以确保在开放的 Internet 上实现安全的、满足可靠 质量要求的网络；支持多种 VPN 业务，如 L2TP VPN 、IPSec VPN 、GRE VPN 、华 为动态 VPN 、SSL VPN 等等，可以构建 Internet 、 Intranet 、Access 等多种形式的 V PN ；提供基本的路由能力，支持 RIP/OSPF/BGP/ 路由策略及策略路由；支持丰富的 QoS 特性，提供流量监管、流量整形及多种队列调度策略。 Quidway? SecPath 100