防火墙设计方案.docxVIP

数据中心项目安全设计方案 -NetScreen 防火墙部分20134 年 11 月 1 名目 第 1 章设计范围及目标 (3) 设计范围 (3) 设计目标 (3) 本设计方案中“安全”的定义 (3) 第 2 章设计依据 (4) 第 3 章设计原则 (5) 全局性、综合性、整体性设计原则 (5) 需求、风险、代价平衡分析的原则 (5) 可行性、牢靠性、安全性 (5) 多重爱护原则 (5) 全都性原则 (6) 可管理、易操作原则 (6) 适应性、机敏性原则 (6) 要考虑投资爱护 (6) 设计方案要考虑今后网络和业务进展的需求 (6) 设计方案要考虑实施的风险 (6) 要考虑方案的实施周期和成本 (7) 技术设计方案要与相应的管理制度同步实施 (7) 第 4 章设计方法 (8) 安全体系结构 (8) 安全域分析方法 (9) 安全机制和技术 (9) 安全设计流程 (9) 具体网络安全方案设计的步骤: (10) 第 5 章安全方案具体设计 (12) 网银 Internet 接入安全方案 (12) 综合出口接入安全方 案...................................................................... ... 错误!未定义书签。 OA 与生产网隔离安全方 案 错 误!未定义书签。 控管中心隔离安全方 案...................................................................... ... 错误!未定义书签。 留意事项及故障回 退...................................................................... ....... 错误!未定义书签。第 6 章防火墙集中管理系统设计 . (16) 第 1 章概述 设计范围 本次 Juniper 防火墙部署主要是为了协作 XX 数据中心的建设,对不同安全等级网络间的隔离防护,依据业务流的流向从网络层进行安全防护部署。 设计目标 通过本次安全防护设计,明确安全区域,针对每个安全区域依据其安全等级进行相应的安全防护,以达到使整个系统结构合理、提高安全性、降低风险,使之易于管理维护,实现系统风险的可控性,在保证安全性的同时不以牺牲性能及易用性为代价。其具体目标如下: 对数据中心进行分层隔离防护,利用 Juniper Netscreen 防火墙高包转发率低延迟的优势和机敏的安全把握策,爱护网上银行 DB 层的数据安全,并以 高牢靠性冗余架构保证业务连续性和可用性。 对数据中心互联网网与生产网之间,明确安全等级的划分,明确应用数据的访问方向,利用 Juniper 防火墙的细粒度安全把握机制及深度检测功能在 保证正常业务通讯的同时,屏蔽互联网对生产网造成的风险。 本设计方案中“安全”的定义 本次“安全设计方案”中的“安全”,主要指以下五个方面的内容:各个Internet 边界点或内网安全等级划分边界点的安全、设备(产品)本身的安全、安全技术和策略,牢靠性,安全管理。 第 2 章设计依据 本次设计方案主要依据以下内容: ◆网络现状报告 ◆网络安全工程协调会会议纪要 ◆相关国际安全标准及规范 ◆相关国家的安全标准及规范 ◆已颁布和执行的国家、地方、行业的法规、规范及管理方法第 3 章设计原则 本次安全设计方案的核心目标是实现对比 XX 网络系统和应用操作过程的有效把握和管理。网络安全建设是一个系统工程,网络安全体系建设应依据“统一规 划、统筹支配,统一标准、相互配套”的原则进行,接受先进的“平台化”建设思想, 避开重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在设计的网络安全系统时,我们将遵循以下原则: 全局性、综合性、整体性设计原则 安全方案将运用系统工程的观点、方法,从网络整体角度动身,分析安全问题, 提出一个具有相当高度、可扩展性的安全解决方案。 从网络的实际状况看,单纯依靠一种安全措施,并不能解决全部的安全问题。而且一个较好的安全体系往往是多种安全技术综合应用的结果。本方案将从系统综合的整体角度去看待和分析各种安全措施的使用。 需求、风险、代价平衡分析的原则 对任一网络来说,确定安全难以达到,也不肯定必要。对一个网络要进行实际分析,对网络面临的威逼及可能担当的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。爱护成本、被爱护信息的价值必需平衡。 在设计安全方案时,将均衡考虑各种安全措施的效果,供应具有最优的性能价格比的安全解决方案。安全需要付出代价(资金、性能损失等),但是任何单纯为了安全而不考虑代价的安全方案都是不切实际的。方案设计同时供应了可操作的分步实施方案。 可行性、