防火墙实施方案(共3页).doc

《防火墙实施方案(共3页).doc》由会员分享，可在线阅读，更多相关《防火墙实施方案(共3页).doc（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上防火墙实施方案一项目背景 随着网络与信息化建设的飞速发展，人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利，而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时，我们也不得不面对来自网络内外的各种安全问题。不断发现的软件漏洞，以及在各种利益驱动下形成的地下黑色产业链，让网络随时可能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率，同时也成为蠕虫病毒、木马、后门传播的主要途径。公司目前信息网络

2、边界防护比较薄弱，只部署了一台硬件防火墙，属于很久前购买，但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足公司网络安全需要，即使部署了防火墙的安全保障体系仍需要进一步完善，需要对网络信息安全进行升级改造。为提公司信息外网安全，充分考虑公司网络安全稳定运行，对公司网络信息安全进行升级改造，更换信息机房网络防火墙，以及附属设备，增加两台防火墙实现双机热备以实现网络信息安全稳定运行。二防火墙选型及价格华为USG2210 价格8998元配置参数设备类型： 安全网关 网络端口： 2GE Combo 入侵检测： Dos,DDoS 管理：支持命令行、WEB方式、SNMP

3、、TR069等配置和管理方式，这些方式提 供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的告警、测试等功能。 VPN支持： 支持 安全标准： CE，ROHS，CB，UL，VCCI 控制端口： Console 口 其他性能： UTM三防火墙架构方案1.X86架构 最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不

4、易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。方案2.ASIC架构相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同

5、样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen在ASIC防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。方案3.NP架构 NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构

6、设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数据包，所以基于NP架构的防火墙与X86架构的防火墙相比，性能得到了很大的提高NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。但是，相比于X86架构，由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境，所以在性能方面NP不如ASIC。N

7、P开发的难度和灵活性都介于ASIC和x86构架之间，应该说，NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola，国内基于NP技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。四用户终端pc机安装哪些防火墙现在防火墙的性能不像杀软那样差距很大，如果要装防火墙，加强电脑的安全性，推荐以下几款：1、 公司的网络是局域网，需要装一个ARP防火墙，用360卫士或金山卫士都行。然后如果要担心黑客入侵，需要装一个网络防火墙，比如瑞星防火墙、金山的网盾防火墙或国外的OP等。说实话，如果是不连接外网的公司，比起杀软，公司更需要安装防火墙。2、 如果你要在公

8、司内部连接外面的网站，比如网易、百度，那么就需要安装杀毒软件了。但是360是不推荐的，因为360的绝大部分用户是家庭用户，而且它辨别病毒采纳了黑白名单制度，如果企业用户电脑里有一些冷门的专业软件或程序，360无法识别黑白，那么就有可能被误报。比较推荐的是诺顿、AVAST等防护好的杀软。实在不行，用金山毒霸也凑合。3、 风云防火墙 用户在网上随便找一个序列号就可以安装使用 ，效果也不错。4、费尔防火墙 免费（费尔好像会跟卡巴发生冲突，有卡巴的话建议不要装）。5、瑞星2008 （瑞星2008可以免费使用半年，各大网站都有，下来安装不用序列号，直接升级） 。6、卡巴套装，杀软加防火墙。专心-专注-专业