Simone通过案例说明防火墙技术的具体应用
的有关信息介绍如下:
宏基恒信防火墙成功案例分析 随着金融电子化的发展,全球金融通信网络已初具规模。某金融单位组建的计算机通信网络覆盖全国,有力的促进了该企业各种金融业务的发展。然而网络技术的普及、网络规模的延伸,开始逐步让该企业对网络安全提出了更高的要求。 为了进一步促进金融电子化的建设,保障金融网络安全运行,该企业经过前期充分的调研分析与论证,实施了防火墙/VPN系统建设项目。项目包括企业总部及30余家下属省级机构的防火墙系统实施。 系统部署结构如图: 部署说明: 根据需求,该项目中防火墙系统保护的安全区域定义为总部及各省级机构的局域网 防火墙部署在各安全区域边界,即局域网及外连路由器之间; 总部及各省级分支机构防火墙采用NetScreen公司产品NS-100A,共计36台; 防火墙部署采用‘透明模式'模式,相当于网桥,因此无须改动该企业现有IP规划结构,无须改动相关网络设备、主机的网络配置参数。 连接说明: NS-100A的外端口(untrust口)相当于一般主机的网络接口,内端口(trust口)则相当于交换机端口。因此,其外端口同路由器的以太口相连要用交叉线,内端口同局域网交换机连接也要用交叉线。 对于有多个外连路由器的分支机构,需要准备一台HUB,连接时将防火墙外端口用直连线连接到该HUB上,然后再将HUB外连到各路由器。 设备管理说明: 为实现对防火墙的管理与配置,为防火墙分配一系统IP(sys-ip),该IP可为路由器内网口所在网段的任意有效IP。 对防火墙的管理通过https。 VPN系统工作模式: 说明: VPN通道是在NetScreen防火墙之间建立,各NetScreen防火墙作为VPN网关; VPN的部署设计采用LAN-TO-LAN的工作模式,总部和各省级分支机构之间各建一条VPN通道,省级分支机构间不建通道。 VPN的密钥管理采用自动密钥交换方式。 为缓解因采用VPN技术而对防火墙处理能力及网络吞吐能力的影响,只有关键业务采用VPN传输。 对防火墙系统的管理采取以下原则: 省级机构管理员管理所属防火墙的配置和日常维护; 总部管理员管理总部所属防火墙的配置和日常维护; 总部管理员可以监控和查看各省级分支机构的防火墙运行状态,但没有配置权限。 遵循本原则,防火墙系统的管理采用集中监控,分布管理的方式,示意如图: 技术说明: 在总部使用一台 PC 机,安装 NetScreen 防火墙集中管理软件 Global Manager ; 针对 Global Manager 集中监控的需要,在总部防火墙建立相应的访问策略,允许该主机对各省级单位防火墙的相应管理服务端口的访问; 经省级机构管理员授权,总部管理员通过该管理软件可集中监控(查看)全 辖网络 系统部署的 NetScreen 防火墙; 总部及各省分支机构防火墙的配置维护权限限制为各自的本地用户。
