[配置共享] 防火墙应用方案

skykey

游客

元老会员

1^# 大中小发表于 2007-5-21 16:01 只看该作者

防火墙应用方案

.1 网站保护应用方案
(1) 方案需求：　　黑客攻击水平的日益提高和网络病毒的产生泛滥，使得多数提供Internet服务的网站都把安全防护工作放在很重要的位置，因此大多数商业网站都使用防火墙设备来提供对网站的保护，并对其性能不断提出更高的要求：

在多台服务器之间实现负载均衡
解决内外网络边界安全，防止外部攻击，保护内部网络
解决内部网安全问题，隔离内部不同网段，建立VLAN
根据IP地址、协议类型、端口等进行数据包过滤操作
内外网络采用两套IP地址，需要网络地址转换NAT功能
支持安全服务器网络SSN
通过IP地址与MAC地址对应防止IP欺骗
基于用户或IP地址计费
基于用户或IP地址的流量统计与限制
通过对数据包的过滤检测，防范邮件病毒、JAVA类病毒和HTML病毒
基于WEB的安全管理
提供应用代理服务，隔离内外网络
用户身份鉴别
可以设置访问控制策略，进行用户权限控制
支持VPN及其管理
支持IPSec等IP层标准加密协议
支持透明接入
具有自身保护能力，可防范对防火墙的常见攻击 2 网络安全性检测（包括服务器、防火墙、主机及其它TCP/IP相关设备）
操作系统安全性检测
网络监控与入侵检测

(2) 连接图例：

(3) 方案说明：　　上述方案中，网站安装了Web服务器和邮件服务器等设施，为外部Internet用户提供了WWW浏览、邮件托管等多种网络服务。由于联想LF-2000防火墙支持负载均衡功能，因此可以将大量的用户访问数据流量在多台服务器之间进行有效分配，提高系统利用率。
联想LF-2000防火墙不仅提供了IPSec等VPN隧道安全技术，网站可以通过Internet网络建立VPN通道，并提供加密、认证等各种安全控制策略，以方便远程内部用户对网站资源的访问和对网站内容的维护管理；而且能够充当防病毒网关的角色，可以过滤各种邮件病毒、JAVA类病毒、HTML病毒，提供详尽的日志记录，从而全方位地保护网站的安全。
1.2 政府和企业上网安全方案
(1) 方案需求：
这类网络不像ISP那样单方面的侧重在对外提供服务上，它有两方面的需求：不仅要给外部用户提供访问服务，而且还要给内部用户提供Internet服务。因此根据这样的需求，它的网络拓扑结构和ISP网络的拓扑结构是不一样的，> 因而对防火墙的使用和配置也是不一样的。由于WWW访问流量通常不会太大，因此不会有多个WWW服务器，通常WWW， FTP和邮件服务集中到一个服务器主机上。但要求防火墙能提供存取控制，用户认证，日志记录和流量控制等功能。此外，还要求该类网络防火墙能够实现如下的安全策略：

对外部提供邮件，WWW，FTP等服务
解决内外网络边界安全，防止外部攻击，保护内部网络
根据IP地址、协议类型、端口等进行数据包过滤操作
内外网络采用两套IP地址，需要网络地址转换NAT功能
解决内部网安全问题，隔离内部不同网段，建立VLAN
支持安全服务器网络SSN
通过IP地址与MAC地址对应防止IP欺骗
基于用户或IP地址计费
基于用户或IP地址的流量统计与限制
通过对数据包的过滤检测，防范邮件病毒、JAVA类病毒和HTML病毒
基于WEB的安全管理
提供应用代理服务，隔离内外网络
用户身份鉴别
可以设置访问控制策略，进行用户权限控制
支持VPN及其管理
支持IPSec等IP层标准加密协议
支持透明接入
具有自身保护能力，可防范对防火墙的常见攻击
网络安全性检测（包括服务器、防火墙、主机及其它TCP/IP相关设备）
操作系统安全性检测
网络监控与入侵检测

(2) 连接图例：

(3) 方案说明：　　上述方案中，上网政府部门安装了Web服务器和邮件服务器等设施，为外部Internet用户提供了WWW浏览、 FTP文件下载、BBS、电子留言板等多种网络服务，为内部网络用户提供Internet连接、邮件收发等服务；此外，通过Internet网络建立了自己的VPN通道，对内、外部用户通过Internet的访问提供各种安全控制策略，以方便远程内部用户对网站资源的访问和对网站内容的维护管理，或通过Internet传输某些私有机密数据
　　联想LF-2000防火墙提供了eth0、eht1、eth2三个以太网口，可分别用于连接外部Internet网络、内部网络以及用于外部访问的公共服务器网络，针对不同的网段实行不同的访问控制策略，并实现了公共服务器网络与内部网络的隔离，从而最大限度地保护了内部网络免受外部攻击。
　　此外，在上述方案中，联想LF-2000防火墙还充当了防病毒网关的角色，可以过滤各种邮件病毒、JAVA类病毒、 HTML病毒，从而全方位地保护政府网站的安全。

TOP

‹‹ 上一主题 | 下一主题 ››