防火墙建设方案.docVIP

xxx防火墙建设方案 一．项目背景 Xxx公司目前互联网边界防护比较薄弱，只部署了TP-R4748带简易防火墙功能的路由器，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，简易带防火墙的路由器已经不能满足常德中车的企业网上银行、企业融投资平台等系统的信息安全保护，所以需要对网络信息安全进行升级改造进一步完善。 为提公司信息外网安全，充分考虑公司网络安全稳定运行，对公司网络信息安全进行升级改造，更换互联网防火墙，以及附属设备，更换为一台防火墙和网管型交换机来实现网络信息安全稳定运行。 二．充分性必要性 防火墙可以大大提高网络安全性，并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此，子网网络环境可经受较少的风险，因为只有经过选择的协议才能通过Firewall。For example, Firewall 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。这样得到的好处是可防护这些服务不会被外部攻击者利用。而同时允许在大大降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到公用，并用来减轻主系统管理负担。 防火墙还可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向，然后把偶发事件通知管理人员。 防火墙还有能力控制对网点系统的访问。例如，某些主系统可以由外部网络访问，而其他主系统则能有效地封闭起来，防护有害的访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对其主系统的访问。 三：可行性分析 根据xxx的需求基本部署模式如下图所示： 通过上述部署建设用户、行为、业务等维度实现更多元素的可视，并对可视数据进行综合分析，实现风险定位及图形化威胁展示。同时针对黑客攻击链所有环节均可持续检测，利用云沙盒技术和大数据威胁情报分析平台，可以及时、准确的响应安全事件，将威胁影响面降到更低。从而达到：事前：用户在事前自动发现新增资产、评估漏洞及是否有保护策略。事中：构建L2-7层纵深防御体系，屏蔽防护短板且具备联动和关联分析能力。事后：持续检测绕过防御的威胁，并通过云端安全服务提供7*24小时快速响应的技术服务。在IT业务运维全过程内向用户提供对风险的认知、对保护过程的认知和对结果的认知，打造常德中车互联网PC的信息安全运行环境。 四：经济效益 外网安装防火墙可通过监测、限制、更改跨越防火墙的数据流，尽可能地对互联网屏蔽公司外网PC的使用的信息、结构和运行状况有效地监控了公司外网PC与Internet之间的任何活动， 保证了网络信息的安全。对企业所有使用外网的网络设备实现集中的安全管理，无须在每台机器上分别设立安全策略。不需要在每台机器上分别安装特定的认证软件。可以阻止攻击者获取攻击网络系统的有用信息。记录和统计网络利用数据以及非法使用数据，可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据来判断可能的攻击和探测。通过建设外网边界防火墙，来实现外网PC使用企业网上银行、企业融投资平台等系统的信息安全保护。 五：预算费 在原路线不改变的状况下，可以将外网边界出口的路由器更换为防火墙+汇集交换机的模式，从而达到最优配置。具体费用如下表： 产品名称 应用名称 规格型号 品牌 数量 单价 金额 NGAF1000-C600-L5 硬件设备 性能参数：三层吞吐量3G，应用层吞吐量400M，并发连结数100W，新建连接数（CPS）20000个，SSL VPN接入数（最大）1000个，SSL最大加密流量150M ，IPSec VPN隧道数（最大）1000个，IPSec VPN加密速度100M； 硬件参数：1U，4G内存，SSD 64G硬盘，单电源，6个千兆电口； 深信服 1 9500 9500 软件系统 包含防火墙基本功能（NAT、路由、访问控制ACL、IPsecVPN、DDOS、会话控制、用户认证、流控、双机等）URL过滤、邮件安全（不含附件杀毒）、入侵防护、僵尸网络检测（含云端沙盒检测）、风险分析、威胁情报、包括WEB安全防护、WEB扫描、网页防篡改、实时漏洞分析及敏感信息防泄漏功能。 1 45000 45000 增强级模块 深信服增强级模块 1 7500 7500 防火墙安全特征库 防火墙安全特征库：包含IPS+服务器防御、僵尸网络防御 1 8500 8500 多线模块 提供电信、联通、移动的多线路智能选路、冗余功能 1 9500 9500 汇聚交换机 华为三层交换机交换机 单台配置：背板带宽256G，包转发率72M，48个千兆电口，4个100/1000Base-X千兆Combo口 1 13000 13000 板卡 万兆板卡一个 1 6000 6000 光模块 千兆单模SFP光模块