2024年防火墙实施方案.docx

第PAGE\*Arabic1页共NUMPAGES\*Arabic1页第PAGE1页共NUMPAGES1页第PAGE1页共NUMPAGES1页第PAGE

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

第PAGE1页共NUMPAGES1页

2024年防火墙实施方案

篇：防火墙实施方案防火墙实施方案

一．项目背景

随着网络与信息化建设的飞速发展，人们的工作、生活方式发生了巨大改变。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为运用者带来了便利，而且大大提高了服务供应者的工作效率。但在享受网络带来便利的同时，我们也不得不面对来自网络内外的各种平安问题。

不断发觉的软件漏洞，以及在各种利益驱动下形成的地下黑色产业链，让网络随时可能遭遇到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络嬉戏等互联网应用不仅严峻占用网络资源、降低企业工作效率，同时也成为蠕虫病毒、木马、后门传播的主要途径。

公司目前信息网络边界防护比较薄弱，只部署了一台硬件防火墙，属于很久前购买，但是，随着攻击者学问的日趋成熟，攻击工具与手法的日趋困难多样，单纯的防火墙已经无法满意公司网络平安须要，即使部署了防火墙的平安保障体系仍须要进一步完善，须要对网络信息平安进行升级改造。

为提公司信息外网平安，充分考虑公司网络平安稳定运行，对公司网络信息平安进行升级改造，更换信息机房网络防火墙，以及附属设备，增加两台防火墙实现双机热备以实现网络信息平安稳定运行。

二．防火墙选型及价格

华为USG2210价格8998元配置参数

设备类型：平安网关

网络端口：2GECombo

入侵检测：Dos,DDoS

管理：支持吩咐行、WEB方式、SNMP、TR069等配置和管理方式，这些方式提

供对设备的本地配置、远程维护、集中管理等多种手段，并供应完备的告警、测试等功能。

VPN支持：支持

平安标准：CE，ROHS，CB，UL，VCCI限制端口：Console口

其他性能：UTM

三．防火墙架构方案1.X86架构

最初的千兆防火墙是基于X86架构。X86架构采纳通用CPU和PCI总线接口，具有很高的敏捷性和可扩展性，过去始终是防火墙开发的主要平台。其产品功能主要由软件实现，可以依据用户的实际须要而做相应调整，增加或削减功能模块，产品比较敏捷，功能非常丰富。但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。

虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理实力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时许多X86架构的防火墙是基于定制的通用操作系统，平安性很大程度上取决于通用操作系统自身的平安性，可能会存在平安漏洞。

方案2.ASIC架构

相比之下，ASIC防火墙通过特地设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理实力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采纳了更敏捷的设计，能够通过软件变更应用逻辑，具有更广泛的适应实力。

但是，ASIC的缺点也同样明显，它的敏捷性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。

虽然研发成本较高，敏捷性受限制、无法支持太多的功能，但其性能具有先天的优势，特别适合应用于模式简洁、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen在ASIC防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。

方案3.NP架构

NP可以说是介于两者之间的技术，NP是特地为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了特地的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采纳高速的接口技术和总线规范，具有较高的I/