防火墻實施方案

1、精選優(yōu)質文檔-傾情為你奉上精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質文檔-傾情為你奉上專心-專注-專業(yè)防火墻實施方案一項目背景 隨著網(wǎng)絡與信息化建設的飛速發(fā)展，人們的工作、生活方式發(fā)生了巨大變化。網(wǎng)上行政審批、網(wǎng)上報稅、網(wǎng)上銀行、網(wǎng)上炒股、網(wǎng)上填報志愿、網(wǎng)上購物等等網(wǎng)絡應用不僅為使用者帶來了便利，而且大大提高了服務提供者的工作效率。但在享受網(wǎng)絡帶來便利的同時，我們也不得不面對來自網(wǎng)絡內外的各種安全問題。不斷發(fā)現(xiàn)的軟件漏洞，以及在各種利益驅動下形成的地下黑色產業(yè)鏈，讓網(wǎng)絡隨時可能遭受到來自外部的各種攻擊。而網(wǎng)絡內部的P2P下載、流媒體、IM即時消息、網(wǎng)絡游戲等互聯(lián)網(wǎng)應用不

2、僅嚴重占用網(wǎng)絡資源、降低企業(yè)工作效率，同時也成為蠕蟲病毒、木馬、后門傳播的主要途徑。公司目前信息網(wǎng)絡邊界防護比較薄弱，只部署了一臺硬件防火墻，屬于很久前購買，但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻已經無法滿足公司網(wǎng)絡安全需要，即使部署了防火墻的安全保障體系仍需要進一步完善，需要對網(wǎng)絡信息安全進行升級改造。為提公司信息外網(wǎng)安全，充分考慮公司網(wǎng)絡安全穩(wěn)定運行，對公司網(wǎng)絡信息安全進行升級改造，更換信息機房網(wǎng)絡防火墻，以及附屬設備，增加兩臺防火墻實現(xiàn)雙機熱備以實現(xiàn)網(wǎng)絡信息安全穩(wěn)定運行。二防火墻選型及價格華為USG2210 價格8998元配置參數(shù)設備類型： 安全網(wǎng)關

3、網(wǎng)絡端口： 2GE Combo 入侵檢測： Dos,DDoS 管理：支持命令行、WEB方式、SNMP、TR069等配置和管理方式，這些方式提 供對設備的本地配置、遠程維護、集中管理等多種手段，并提供完備的告警、測試等功能。 VPN支持： 支持 安全標準： CE，ROHS，CB，UL，VCCI 控制端口： Console 口 其他性能： UTM三防火墻架構方案1.X86架構 最初的千兆防火墻是基于X86架構。X86架構采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，過去一直是防火墻開發(fā)的主要平臺。其產品功能主要由軟件實現(xiàn)，可以根據(jù)用戶的實際需要而做相應調整，增加或減少功能模塊，產品比

4、較靈活，功能十分豐富。但其性能發(fā)展卻受到體系結構的制約，作為通用的計算平臺，x86的結構層次較多，不易優(yōu)化，且往往會受到PCI總線的帶寬限制。雖然PCI總線接口理論上能達到接近2Gbps的吞吐量，但是通用CPU的處理能力有限，盡管防火墻軟件部分可以盡可能地優(yōu)化，很難達到千兆速率。同時很多X86架構的防火墻是基于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會存在安全漏洞。方案2.ASIC架構相比之下，ASIC防火墻通過專門設計的ASIC芯片邏輯進行硬件加速處理。ASIC通過把指令或計算邏輯固化到芯片中，獲得了很高的處理能力，因而明顯提升了防火墻的性能。新一代的高可編程

5、ASIC采用了更靈活的設計，能夠通過軟件改變應用邏輯，具有更廣泛的適應能力。但是，ASIC的缺點也同樣明顯，它的靈活性和擴展性不夠，開發(fā)費用高，開發(fā)周期太長，一般耗時接近2年。雖然研發(fā)成本較高，靈活性受限制、無法支持太多的功能，但其性能具有先天的優(yōu)勢，非常適合應用于模式簡單、對吞吐量和時延指標要求較高的電信級大流量的處理。目前，NetScreen在ASIC防火墻領域占有優(yōu)勢地位，而我國的首信也推出了我國基于自主技術的ASIC千兆防火墻產品。方案3.NP架構 NP可以說是介于兩者之間的技術，NP是專門為網(wǎng)絡設備處理網(wǎng)絡流量而設計的處理器，其體系結構和指令集對于防火墻常用的包過濾、轉發(fā)等算法和操作

6、都進行了專門的優(yōu)化，可以高效地完成TCP/IP棧的常用操作，并對網(wǎng)絡流量進行快速的并發(fā)處理。硬件結構設計也大多采用高速的接口技術和總線規(guī)范，具有較高的I/O能力。它可以構建一種硬件加速的完全可編程的架構，這種架構的軟硬件都易于升級，軟件可以支持新的標準和協(xié)議，硬件設計支持更高網(wǎng)絡速度，從而使產品的生命周期更長。由于防火墻處理的就是網(wǎng)絡數(shù)據(jù)包，所以基于NP架構的防火墻與X86架構的防火墻相比，性能得到了很大的提高NP通過專門的指令集和配套的軟件開發(fā)系統(tǒng)，提供強大的編程能力，因而便于開發(fā)應用，支持可擴展的服務，而且研制周期短，成本較低。但是，相比于X86架構，由于應用開發(fā)、功能擴展受到NP的配套軟

7、件的限制，基于NP技術的防火墻的靈活性要差一些。由于依賴軟件環(huán)境，所以在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和x86構架之間，應該說，NP是X86架構和ASIC之間的一個折衷。目前NP的主要提供商是Intel和Motorola，國內基于NP技術開發(fā)千兆防火墻的廠商最多，聯(lián)想、紫光比威等都有相關產品推出。四用戶終端pc機安裝哪些防火墻現(xiàn)在防火墻的性能不像殺軟那樣差距很大，如果要裝防火墻，加強電腦的安全性，推薦以下幾款：公司的網(wǎng)絡是局域網(wǎng)，需要裝一個ARP防火墻，用360衛(wèi)士或金山衛(wèi)士都行。然后如果要擔心黑客入侵，需要裝一個網(wǎng)絡防火墻，比如瑞星防火墻、金山的網(wǎng)盾防火墻或國外的OP等。說實話，如果是不連接外網(wǎng)的公司，比起殺軟，公司更需要安裝防火墻。如果你要在公司內部連接外面的網(wǎng)站，比如網(wǎng)易、百度，那么就需要安裝殺毒軟件了。但是360是不推薦的，因為360的絕大部分用戶是家庭用戶，而且它辨別病毒采納了黑白名單制度，如果企業(yè)用戶電腦里有一些冷門的專業(yè)軟件或程序，360無法識別黑白，那么就有可能被誤報。比較推薦的是諾頓、AVAST等防護好的殺軟。實在不行，用金山毒霸也湊合。3、 風云防火墻 用戶在網(wǎng)上隨