防火墙实施方案
一.项目背景
随着网络与信息化建设的飞速发展,人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利,而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时,我们也不得不面对来自网络内外的各种安全问题。
不断发现的软件漏洞,以及在各种利益驱动下形成的地下黑色产业链,让网络随时可能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率,同时也成为蠕虫病毒、木马、后门传播的主要途径。
公司目前信息网络边界防护比较薄弱,只部署了一台硬件防火墙,属于很久前购买,但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足公司网络安全需要,即使部署了防火墙的安全保障体系仍需要进一步完善,需要对网络信息安全进行升级改造。
为提公司信息外网安全,充分考虑公司网络安全稳定运行,对公司网络信息安全进行升级改造,更换信息机房网络防火墙,以及附属设备,增加两台防火墙实现双机热备以实现网络信息安全稳定运行。
二.防火墙选型及价格
华为USG2210 价格8998元 配置参数 设备类型: 安全网关 网络端口: 2GE Combo 入侵检测: Dos,DDoS 管理:支持命令行、WEB方式、SNMP、TR069等配置和管理方式,这些方式提 供对设备的本地配置、远程维护、集中管理等多种手段,并提供完备的告警、测试等功能。
VPN支持: 支持 安全标准: CE,ROHS,CB,UL,VCCI 控制端口: Console 口 其他性能:
UTM
三.防火墙架构
方案1.X86架构
最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。但其性能发展却受到体系结构的制约,作为通用的计算平台,x86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。
虽然PCI总线接口理论上能达到接近2Gbps的吞吐量,但是通用CPU的处理能力有限,尽管防火墙软件部分可以尽可能地优化,很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统,安全性很大程度上取决于通用操作系统自身的安全性,可能会存在安全漏洞。
方案2.ASIC架构
相比之下,ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。
但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。
虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势, 非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前,NetScreen在ASIC防火墙领域占有优势地位,而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。
方案3.NP架构
NP可以说是介于两者之间的技术,NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,
可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构,这种架构的软硬件都易于升级,软件可以支持新的标准和协议,硬件设计支持更高网络速度,从而使产品的生命周期更长。由于防火墙处理的就是网络数据包,所以基于NP架构的防火墙与X86架构的防火墙相比,性能得到了很大的提高NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。
但是,相比于X86架构,由于应用开发、功能扩展受到NP的配套软件的限制,基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境,所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间,应该说,NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola,国内基于NP技术开发千兆防火墙的厂商最多,联想、紫光比威等都有相关产品推出。
四.用户终端pc机安装哪些防火墙
现在防火墙的性能不像杀软那样差距很大,如果要装防火墙,加强电脑的安全性,推荐以下几款:
1、公司的网络是局域网,需要装一个ARP防火墙,用360卫士或金山卫士都行。然后如果要担心黑客入侵,需要装一个网络防火墙,比如瑞星防火墙、金山的网盾防火墙或国外的OP等。说实话,如果是不连接外网的公司,比起杀软,公司更需要安装防火墙。
2、如果你要在公司内部连接外面的网站,比如网易、百度,那么就需要安装杀毒软件了。但是360是不推荐的,因为360的绝大部分用户是家庭用户,而且它辨别病毒采纳了黑白名单制度,如果企业用户电脑里有一些冷门的专业软件或程序,360无法识别黑白,那么就有可能被误报。比较推荐的是诺顿、AVAST等防护好的杀软。实在不行,用金山毒霸也凑合。
3、 风云防火墙 用户在网上随便找一个序列号就可以安装使用 ,效果也不错。
4、费尔防火墙 免费(费尔好像会跟卡巴发生冲突,有卡巴的话建议不要装)。
5、瑞星2008 (瑞星2008可以免费使用半年,各大网站都有,下来安装不用序列号, 直接升级) 。
6、卡巴套装,杀软加防火墙。
防火墙实施方案
一.项目背景
随着网络与信息化建设的飞速发展,人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利,而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时,我们也不得不面对来自网络内外的各种安全问题。
不断发现的软件漏洞,以及在各种利益驱动下形成的地下黑色产业链,让网络随时可能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率,同时也成为蠕虫病毒、木马、后门传播的主要途径。
公司目前信息网络边界防护比较薄弱,只部署了一台硬件防火墙,属于很久前购买,但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足公司网络安全需要,即使部署了防火墙的安全保障体系仍需要进一步完善,需要对网络信息安全进行升级改造。
为提公司信息外网安全,充分考虑公司网络安全稳定运行,对公司网络信息安全进行升级改造,更换信息机房网络防火墙,以及附属设备,增加两台防火墙实现双机热备以实现网络信息安全稳定运行。
二.防火墙选型及价格
华为USG2210 价格8998元 配置参数 设备类型: 安全网关 网络端口: 2GE Combo 入侵检测: Dos,DDoS 管理:支持命令行、WEB方式、SNMP、TR069等配置和管理方式,这些方式提 供对设备的本地配置、远程维护、集中管理等多种手段,并提供完备的告警、测试等功能。
VPN支持: 支持 安全标准: CE,ROHS,CB,UL,VCCI 控制端口: Console 口 其他性能:
UTM
三.防火墙架构
方案1.X86架构
最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。但其性能发展却受到体系结构的制约,作为通用的计算平台,x86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。
虽然PCI总线接口理论上能达到接近2Gbps的吞吐量,但是通用CPU的处理能力有限,尽管防火墙软件部分可以尽可能地优化,很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统,安全性很大程度上取决于通用操作系统自身的安全性,可能会存在安全漏洞。
方案2.ASIC架构
相比之下,ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。
但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。
虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势, 非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前,NetScreen在ASIC防火墙领域占有优势地位,而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。
方案3.NP架构
NP可以说是介于两者之间的技术,NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,
可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构,这种架构的软硬件都易于升级,软件可以支持新的标准和协议,硬件设计支持更高网络速度,从而使产品的生命周期更长。由于防火墙处理的就是网络数据包,所以基于NP架构的防火墙与X86架构的防火墙相比,性能得到了很大的提高NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。
但是,相比于X86架构,由于应用开发、功能扩展受到NP的配套软件的限制,基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境,所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间,应该说,NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola,国内基于NP技术开发千兆防火墙的厂商最多,联想、紫光比威等都有相关产品推出。
四.用户终端pc机安装哪些防火墙
现在防火墙的性能不像杀软那样差距很大,如果要装防火墙,加强电脑的安全性,推荐以下几款:
1、公司的网络是局域网,需要装一个ARP防火墙,用360卫士或金山卫士都行。然后如果要担心黑客入侵,需要装一个网络防火墙,比如瑞星防火墙、金山的网盾防火墙或国外的OP等。说实话,如果是不连接外网的公司,比起杀软,公司更需要安装防火墙。
2、如果你要在公司内部连接外面的网站,比如网易、百度,那么就需要安装杀毒软件了。但是360是不推荐的,因为360的绝大部分用户是家庭用户,而且它辨别病毒采纳了黑白名单制度,如果企业用户电脑里有一些冷门的专业软件或程序,360无法识别黑白,那么就有可能被误报。比较推荐的是诺顿、AVAST等防护好的杀软。实在不行,用金山毒霸也凑合。
3、 风云防火墙 用户在网上随便找一个序列号就可以安装使用 ,效果也不错。
4、费尔防火墙 免费(费尔好像会跟卡巴发生冲突,有卡巴的话建议不要装)。
5、瑞星2008 (瑞星2008可以免费使用半年,各大网站都有,下来安装不用序列号, 直接升级) 。
6、卡巴套装,杀软加防火墙。