防火墙设计方案.docVIP

数据中心工程平安设计方案

-NetScreen防火墙局部

20134年11月

目录

TOC\o1-3\h\z\u第1章设计范围及目标 3

1.1设计范围 3

1.2设计目标 3

1.3本设计方案中“平安”的定义 4

第2章设计依据 5

第3章设计原那么 6

3.1全局性、综合性、整体性设计原那么 6

3.2需求、风险、代价平衡分析的原那么 6

3.3可行性、可靠性、平安性 7

3.4多重保护原那么 7

3.5一致性原那么 7

3.6可管理、易操作原那么 7

3.7适应性、灵活性原那么 8

3.8要考虑投资保护 8

3.9设计方案要考虑今后网络和业务开展的需求 8

3.10设计方案要考虑实施的风险 8

3.11要考虑方案的实施周期和本钱 8

3.12技术设计方案要与相应的管理制度同步实施 8

第4章设计方法 9

4.1平安体系结构 9

4.2平安域分析方法 10

4.3平安机制和技术 10

4.4平安设计流程 11

4.5具体网络平安方案设计的步骤： 11

第5章平安方案详细设计 13

5.1网银Internet接入平安方案 13

5.2综合出口接入平安方案 17

5.3OA与生产网隔离平安方案 23

5.4控管中心隔离平安方案 28

5.5考前须知及故障回退 28

第6章防火墙集中管理系统设计 30

第1章概述

1.1设计范围

本次Juniper防火墙部署主要是为了配合XX数据中心的建设，对不同平安等级网络间的隔离防护，根据业务流的流向从网络层进行平安防护部署。

1.2设计目标

通过本次平安防护设计，明确平安区域，针对每个平安区域根据其平安等级进行相应的平安防护，以到达使整个系统结构合理、提高平安性、降低风险，使之易于管理维护，实现系统风险的可控性，在保证平安性的同时不以牺牲性能及易用性为代价。其具体目标如下：

对数据中心进行分层隔离防护，利用JuniperNetscreen防火墙高包转发率低延迟的优势和灵活的平安控制策，保护网上银行DB层的数据平安，并以高可靠性冗余架构保证业务连续性和可用性。

对数据中心互联网网与生产网之间，明确平安等级的划分，明确应用数据的访问方向，利用Juniper防火墙的细粒度平安控制机制及深度检测功能在保证正常业务通讯的同时，屏蔽互联网对生产网造成的风险。

1.3本设计方案中“平安”的定义

本次“平安设计方案”中的“平安”，主要指以下五个方面的内容：各个Internet边界点或内网平安等级划分边界点的平安、设备〔产品〕本身的平安、平安技术和策略，可靠性，平安管理。

第2章设计依据

本次设计方案主要依据以下内容：

网络现状报告

网络平安工程协调会会议纪要

相关国际平安标准及标准

相关国家的平安标准及标准

已公布和执行的国家、地方、行业的法规、标准及管理方法

第3章设计原那么

本次平安设计方案的核心目标是实现比照XX网络系统和应用操作过程的有效控制和管理。网络平安建设是一个系统工程，网络平安体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原那么进行，采用先进的“平台化”建设思想，防止重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。在设计的网络平安系统时，我们将遵循以下原那么：

3.1全局性、综合性、整体性设计原那么

平安方案将运用系统工程的观点、方法，从网络整体角度出发，分析平安问题，提出一个具有相当高度、可扩展性的平安解决方案。

从网络的实际情况看，单纯依靠一种平安措施，并不能解决全部的平安问题。而且一个较好的平安体系往往是多种平安技术综合应用的结果。本方案将从系统综合的整体角度去看待和分析各种平安措施的使用。

3.2需求、风险、代价平衡分析的原那么

对任一网络来说，绝对平安难以到达，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承当的风险进行定性与定量相结合的分析，然后制定标准和措施，确定本系统的平安策略。保护本钱、被保护信息的价值必须平衡。

在设计平安方案时，将均衡考虑各种平安措施的效果，提供具有最优的性能价格比的平安解决方案。平安需要付出代价〔资金、性能损失等〕，但是任何单纯为了平安而不考虑代价的平安方案都是不切实际的。方案设计同时提供了可操作的分步实施方案。

3.3可行性、可靠性、平安性

作为一个工程工程，可行性是设计平安方案的根本，它将直接影响到网络通信平台的畅通；可靠性是平安系统和网络通信平台正常运行