防火墙实施方案.pdfVIP

防火墙实施方案

一．项目背景

随着网络与息化建设的飞速发展，人们的工作、生活方式发生了巨大变化。网上行政

审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用

者带来了便利，而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时，我

们也不得不面对来自网络内外的各种安全问题。

不断发现的软件漏洞，以及在各种利益驱动下形成的地下黑色产业链，让网络随时可能

遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等

互联网应用不仅严重占用网络资源、降企业工作效率，同时也成为蠕虫病毒、木马、后门

传播的主要途径。

公司目前息网络边界防护比较薄弱，只部署了一台硬件防火墙，属于很久前购买，但

是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法

满足公司网络安全需要，即使部署了防火墙的安全保障体系仍需要进一步完善，需要对网络

息安全进行升级改造。

为提公司息外网安全，充分考虑公司网络安全稳定运行，对公司网络息安全进行升

级改造，更换息机房网络防火墙，以及附属设备，增加两台防火墙实现双机热备以实现网

络息安全稳定运行。

二．防火墙选型及价格

华为USG2210价格8998元

配置参数

设备类型：安全网关网络端口：2GECobo入侵检测：Dos,DDoS

管理：支持命令行、WEB方式、SNMP、TR069等配置和管理方式，这些方式提

供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的告警、测试等功

能。

VPN支持：支持安全标准：CE，ROHS，CB，UL，VCCI控制端口：Console口

其他性能：UTM

三．防火墙架构

方案1.X86架构

最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高

的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可

以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。

但其性能发展却受到体系结构的制约，作为通用的计算平台，86的结构层次较多，不易优

化，且往往会受到PCI总线的带宽限制。

虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，

尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是

基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存

在安全漏洞。

方案2.ASIC架构

相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把

指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新

一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适

应能力。

但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太

长，一般耗时接近2年。

虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，

非常适合应用于模式简单、对吞吐量和时延指标要求较高的电级大流量的处理。目前，

NetScreen在ASIC防火墙领域占有优势地位，而我国的首也推出了我国基于自主技术的

ASIC千兆防火墙产品。

方案3.NP架构

NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理

器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，

可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计

也大多采用高速的接口技术和总线规范，具有较高的I/O能力。它可以构建一种硬件加速的

完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设

计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数据包，所

以基于NP架构的防火墙与X86架构的防火墙相比，性能得到了很大的提高NP通过专门的

指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服

务