防火墙解决方案范例6篇

前言：中文期刊网精心挑选了防火墙解决方案范文供你参考和学习，希望我们的参考范文能激发你的文章创作灵感，欢迎阅读。

防火墙解决方案范文1

在技术和用户需求驱动下，网络和高端安全产品正在走向融合。未来，新一代信息技术将呈现出更加开放、智能、融合的属性，这将给信息安全从业者带来更大挑战。

从用户方面看，用户需求开始由被动向主动转型，对产品的选择也趋于理性。在产品结构方面，除防火墙、IDS（入侵检测系统）和防病毒这“老三样”产品外，用户对UTM（统一威胁管理）、Web安全、信息加密、身份认证、IPS（入侵防御系统）、VPN（虚拟专用网络）、安全审计、安全管理平台、专业安全服务等的需求逐步上升。

从防护对象看，用户对网络边界安全和内网安全防护都有所加强，服务器、终端、操作系统、数据库等软硬件系统防护体系建设全面推进。网络安全、应用安全、数据安全和系统安全体系将逐步健全。

2011年，随着网络威胁变得更加复杂多样，单一功能的安全产品越来越难以满足客户的安全防护需求，安全产品正在向多功能化方向发展，安全集成和产品功能融合已经是大势所趋，这种融合包括：软硬件、安全产品和IT设备的融合，厂商之间的产品和解决方案的融合等。如：UTM将多种安全功能集于一体，集成了防火墙、网关防病毒、网络入侵检测与防护等功能，有取代传统防火墙之势，有望成为未来的主流信息安全产品之一。

从具体产品看，防火墙已经从最初的包过滤防火墙发展到现在的深度检测防火墙，产品性能和对应用层数据的检测能力不断提高；UTM从简单的功能叠加，逐步发展到功能融合；IDS/IPS随着网络技术和相关学科的发展日趋成熟；内网（终端）安全产品需求快速增长；Web应用安全类产品从单一保护模式发展到多方保护模式；SOC（安全管理平台）产品正不断适应本地化需求。

东软NetEye安全运维管理平台(SOC）

东软NetEye安全运维管理平台（SOC）解决了海量数据和信息孤岛的困扰，整体上简化了安全管理的数据模型。通过将网络中各类IT基础设施的多类数据存储到一个通用数据库中，并根据科学的策略进行关联分析，协助安全维护人员更有效地回应不断变化的安全风险。

东软SOC采用创新的“私有云”架构，将数据收集、数据集成、数据分析等任务逐层下发到云端，实现了海量异构数据集成、数据归并、数据分析的多层次处理。基于云的系统能同时汇聚超大规模的数据信息，并扩大其监控的范围，从而提高分析的有效性。

东软SOC能实现人性化的触摸屏操作，可以进行形象化比拟安全状态，能对业务系统进行监控，全面展开数据收集，并能进行海量异构数据收集与分析，提供细致到位的平台支撑。

华赛Secospace USG5500万兆UTM

Secospace USG5500是华为赛门铁克面向大中型企业和下一代数据中心推出的新一代万兆UTM。USG5500集大容量交换与专业安全于一体，在仅3U的平台上提供了超过30G的处理能力，融合了IPS、AV、URL过滤、应用流量控制、反垃圾邮件等行业领先的专业安全技术，可精细化管理一千多种网络应用，同时传承了USG产品族优异的防火墙、VPN及路由特性，为用户打造更高速、更高效、更安全的网络。

USG5500有以下特点：更高速，能提供万兆多核全新硬件平台，实现海量业务处理；更高效，能进行超千种应用程序精细管理；更安全，重新演绎了专业内容安全防御技术。USG5500基于赛门铁克多年积累的反病毒技术，采用文件级内容扫描的AV引擎，结合全球领先的仿真环境虚拟执行技术，提供高达99%的精准检出率，多次获国际评测组织好评；专业漏洞补丁技术，让变形无所遁形：USG5500采用赛门铁克领先的漏洞防护技术，针对漏洞（而非攻击代码）提供“虚拟补丁”。

梭子鱼下一代防火墙F800

梭子鱼下一代防火墙F800是一个集成硬件设备和虚拟化软件的安全网关，它能全面防护企业网络架构，提升点对点连接流量，简化网络操作流程。除了强大的防火墙和VPN功能以外，产品还集成了一系列下一代防火墙的复杂技术，包括身份认证的七层应用控制、入侵检测、安全网关、垃圾邮件防护以及网络准入控制等。

梭子鱼下一代防火墙F800突出了智能点对点流量管理功能，大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径，根据多链路、多通道和不同的流量情况安排链路的优先顺序。产品支持多种链接接入方式，包括专用线路、XDSL、3G/UMTS无线移动网络及其他以太网的链路接口。

除了上述领先的下一代防火墙的卓越性能外，该产品还配备了业界领先的中央管理控制平台、功能更具弹性的VPN及智能流量管理技术，能保障用户在全面提升网络性能的同时缩减成本支出。

Hillstone云数据中心安全解决方案

采用Hillstone SG-6000-X6150高性能数据中心防火墙的弹性化安全方案，能为云数据中心提供有效保障。HillstoneSG-6000-X6150是Hillstone的100G数据中心防火墙，它具有以下特点：电信级可靠性设计，高性能、高容量、低延迟，智能的业务自适应能力，深度应用检测及网络可视化，丰富的业务扩展能力，绿色、节能、环保。

该方案能为海量计算提供更高的性能保障。HillstoneSG-6000-X6150高性能数据中心防火墙可提供更为有效的保障，平台采用全并行安全架构，实现对安全业务的分布式处理；对软件处理流程进行了很大的优化，在业务安全处理流程上，实现一次解包全并行处理，达到最高的处理效率。

该方案还能为快速增长的业务提供高可扩展性支持。HillstoneSG-6000-X6150高性能数据中心防火墙采用弹性架构，在全模块化设计的基础上，实现数据输入/输出与安全计算的分离、控制与安全处理的分离，多个计算资源可为相同的接口服务，在增加业务处理模块后，为特定的业务提供更高性能的处理资源。这种弹性可扩展的特性，既降低了数据中心安全建设的初期成本，同时伴随着业务增长，也有效地保护了用户投资。

除以上功能外，该方案还能为云数据中心业务持续性提供高可靠保证，为云数据中心虚拟化提供支撑，并能提供云数据中心全局可视化管理。

趋势科技云计算安全解决方案

趋势科技的云计算安全整体解决方案可以全面保护超过22种平台和环境的数据资产。通过趋势科技的企业威胁管理战略配合“云计算安全5.0”解决方案，用户可全面地保护从物理机、虚拟机到云基础设施、云数据、云应用到移动互联网中的移动设备和智能手机等环境。趋势科技带给企业用户的全球领先的云计算安全技术，将成为云计算产业发展最坚实的基础，这使得用户能够迈向云端，安心地全力把握云计算浪潮所带来的宝贵商机。

防火墙解决方案范文2

关键词:防火墙;双机;状态检测;VRRP

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10454-03

随着互联网以及现代通讯技术的发展,以及用户对服务品质的需求,高可用性网络已经越来越成为Internet组网设计的目标。因网络中断给用户带来的损失以及潜在损失已经十分巨大,有研究表明,网络停运带来的损失已经高达几百万美元/每小时,而由此带来的隐性损失则更是难以估量。

在防火墙的可靠性试验之前,先了解目前防火墙的技术以及该技术特点对防火墙可靠性的影响,目前各类型的防火墙从其实现原理上来说基于以下三大类:

1) 基于逐包转发过滤的包过滤;

2) 通过检测会话状态基于会话流的状态;

3) 基于应用方式的全。

这三种防火墙技术的优缺点不作详细讨论,对于第一种逐包转发过滤的包过滤防火墙因为其不能很好的区分和保护不同的区域,在运行内部网络访问外部网络的同时也提供了外部网络访问内部网络的安全漏洞,因此这种防火墙技术在近年来属于逐步被淘汰的技术,但是就可靠性而言,因为该技术采用逐包转发过滤,对会话流的来回路径不敏感,因此在不做Nat的时候,其冗余设备的备份可以做到平滑过渡,不过在启动了Nat功能的情况下,由于不同的设备很难做到对同一会话进行相同的地址转换,导致包过滤防火墙在Nat的应用中也出现问题。

对于基于应用方式的全防火墙,由于其隔离了与外部网络和内部网络的连接,它能给内部网络提供很好的保护,但是他的优点同时也是最大的缺点,由于采用的是应用的方式,对于应用程序而言就不透明了,需要应用程序为这种连接进行适配;并且由于采用了全方式,其处理的性能要明显低于其它两种类型的防火墙。就可靠性而言,要做到双机热备的话,不仅要求会话的来回路径一致,而且因为它是全,这要求每一个报文都需要适时地备份到备机上去,这种特性使得全方式的防火墙的双机热备实现起来很困难,在实际应用中也很少见这种防火墙的备份方案。

下面我们将通过两组实验讨论基于会话流的状态防火墙的可靠性问题,所谓状态防火墙是指用户通过防火墙访问外部网络时,会在防火墙上创建一个会话表项(该会话表项通常情况下会包含该会话的五元组信息――源/目的IP地址、源/目的端口、协议类型),这样从外面回应的报文如果能匹配该五元组就能顺利通过防火墙到达用户,而从外面主动发起的会话请求因为不能匹配任何会话表项,而被ACL规则过滤掉。这样就可以提供给用户不同级别的保护,从而有效地保护用户的内部网络。目前大部分防火墙产品都是属于这种技术的防火墙。由于这种基于会话流的防火墙要求每个会话的来回路径一致,因此在做双机热备的时候对组网有特殊的要求,以下将通过实验了解防火墙可靠性技术,以及实验过程中出现的问题并提出的解决方案。

1 防火墙双机试验组网及配置

单组防火墙双机可靠性实验中采用设备有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及华为Quidway 6500系列交换机, sinfor互联网安全控制产品。根据可靠性要求将网络安全设备和交换设备进行如下组网设计和部署,通过实验测试防火墙HA情况下不同安全区域的数据过滤及交换情况以及在该种模式和网络结构中存在的故障现象。

首先我们做单组防火墙双机的实验,其网络结构如图1所示。

该结构使用H3C系列高端网络及安全设备组网,适用于大中型企业核心网络安全控制区域的网络拓扑结构。通过这种网络结构的部署可以有效的防御外部网络及企业内部网络对重要服务器的安全攻击、漏洞扫描、木马入侵等等,进而有效地对企业的研发、生产、商业、财务等机密数据进行保护和可控授权访问。本实验中将主要针对这种结构下所使用设备部署完成后出现的故障进行分析和讨论。

单组防火墙双机实验采用H3C9512高端交换作为企业的核心交换,H3C9508作为企业应用服务器区域的核心交换。在4台9500系列的交换上分别配置万兆光纤交换单板,在9508上加H3C的SecBlade III防火墙业务单板,防火墙单板通过9508内置的万兆接口与9508互连。两台9500系列交换通过万兆光纤接口卡进行交叉互连,设备互连接口地址均使用30位掩码。9508交换作为二层交换使用,服务器区域的三层网关地址全部配置在SecBlade防火墙与9508互连的万兆接口的逻辑子接口上,并且这些VLAN都配置为VRRP模式,可根据需要将其中一台防火墙或者其中一部分VLAN配置为master vlan,另外一台或者另外一部分VLAN配置为slaver vlan。在防火墙和9512上都启用ospf协议,将互连及三层VLAN地址段到ospf中。因该防火墙可将不同的VLAN划分在不同的安全区域内,所以我们在防火墙上配置3个不同的安全域,并将配置好的逻辑子接口划分到不同的安全域中,这样就形成了不同的安全区域,安全区域的默认访问规则为单向,也就是高优先级区域默认可访问低优先级区域。然后在9508上增加与防火墙三层接口相同的VLAN,在将千兆物理接口添加到不同安全区域级别的VLAN中。最后启用防火墙的双机热备功能,并选择防火墙业务板上的一个接口作为心跳接口,服务器(unix系统,需要双网卡)通过EtherChannel IEEE802.3ad配置成网卡冷备的模式,为了能模拟出各种情况,我们特意将server1的主网卡放在9508-A上,将server2的主网卡放在9508-B上。为避免因静态路由带来的不能检测设备故障的情况,该组网采用了动态路由协议,在防火墙和交换上都启用ospf协议。

串联多组防火墙双机试验设备采用了Juniper及Topsec防火墙、H3c9512交换机、深信服行为控制设备、Radware的LinkProof链路负载均衡及2条不同ISP互联网线路。这些设备都是我们选用的支持双机的网络及安全设备进行串联,进行Intranet和internet互访、Intranet与DMZ、Internet与DMZ区域之间数据通讯测试。由于实验1已经介绍了单组防火墙双机的实验情形,故这里只介绍军事化区域至互联网区域数据通讯的实验情况,该实验的网络拓扑结构如图2所示。

该网络结构使用双重防火墙及上网行为控制设备对企业军事化区域和互联网区域进行了严格的数据过滤和行为控制,是企业军事化区域、半军事化区域及互联网区域之间数据互访受控的一种常用网络结构,适用于大中型企业对内外部数据交换须进行严格控制、审计、授权访问等操作,或网络运营服务商对外部用户提供高可靠和安全性互联网服务在互联网出口部分至企业核心交换层的网络部署。通过本网络可以有效对内外部上至应用层下至物理层数据的交换有效的控制、阻断、审计。

同样先简单介绍该组网拓扑结构及设备配置的基本信息。我们同样使用9512作为核心交换,双机之间通过TRUNK接口互联,上行与SSG520防火墙相连的接口配置VRRP与其互联。SSG通过厂商的NSRP协议配置HA,并将其配置为桥接路由模式。SINFOR设备通过串口心跳配置好HA,并将其配置为透明桥接模式。Topsec防火墙通过CISCO 的HSRP和浮动静态路由技术来配置冗余备份双机结构,并将其配置为NAT模式。负载设备LinkProof采用标准VRRP配置为冗余双机(由于本次实验设备限制,只做单机)。为防止动态路由的动荡引起链路路由切换,两组防火墙的路由都采用静态路由的方式进行配置。

2 防火墙双机试验故障现象

对于实验1我们做如下的数据访问测试:在9512A上和9512B上分别做一个用户VLAN并接入两台pc,两台服务器(可使用普通pc代替)分别接入到9508上的,使用同一个网段的地址。我们通过pc使用ICMP包对pc至server端的链路进行检测,从pc1和pc2分别发至server1和server2的检测包结果显示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包则出现丢包或者不通的现象。查看路由得知pc至server 都有三条下一跳路由,跟踪路由发现pc1跟踪server2的路由到SecBlade-A后出现中断,pc2至server1的路由到SecBladeB出现中断。之后我们将交叉链路去除后再次做上面同样的测试发现故障依旧,根据路由情况得知基于会话状态的防火墙在特殊的网络结构中存在来回路径不一致而导致的中断现象发生。

对于实验2做了如下数据访问测试:首先现在没有任何设备、接口、线路故障的情况下,三组双机设备都是主机在工作的,此时PC至互联网server的访问数据会通过所有双机的主设备;我们手动的将SSG520主机的外网接口shutdown后会自动切换到备机工作,sinfor发现与其lan口相连的接口down了也会自动的切换到备机, topsec主机发现与其互联的sinfor主机故障切换了,topsec主机也会切换到备机工作,这种情况并未发生中断现象。但当我们将刚才shutdown的接口还原时,我们发现此时出现的故障情况为PC至server的数据会出现中断现象。将SSG520手动down的接口还原后的情况发现三组冗余双机设备开始在不断的进行主备的切换,无法达到一致状态。这时情况是三组双机因为切换的时间和检测的故障的。根据各种设备切故障检测和切换机制分析得知:目前大部分的冗余双机故障检测基本上为互联接口物理up/down和IP跟踪两种检测方式,由于各不同厂商设备主备切换的时间存在差异,导致其他两组设备切换却得不到一致和同步切换的效果,而在故障检测中增加IP跟踪的检测机制只能对存在接口地址的双机设备有效,而在设备互连接口不存在IP地址作为透明模式使用时依然无法进行更有效的补充,这种情况下三组设备很难达到同步切换的状态,因此导致故障现象的发生。

3 试验故障分析及解决方案

针对以上三组实验的故障情况我们分别作了简单的分析并给出了不同的解决方案。对于实验1中防火墙可靠性实验中,出现的故障情况后对PC至server的路由分别进行了跟踪和分析。本次的整个网络结构中全部使用ospf协议,并将路由都在AREA0区中。根据我国有关部门的提出的规范在默认不改变各条路由开销(cost)值的情况下,所有设备直连的路由开销值都相同,在两台防火墙上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到这两个网段的路由是通过ospf分别从SecBladeA和SecBladeB上的路由表中学到的,这样从pc1至server2的路由就会从secblade-A走,而server2至pc1的路由则会从secblade-B走,这是就出现了来回的路径不一致,同理pc2与server1的互访路径也会出项这种情况。针对实验中因会话来回路由不一致所遇到的问题,就此故障现象,我们可将9512与防火墙之间的交叉链路去除,并更改各条链路的cost值,保证其来回的路径在一条路由上。这种情况下当其中一台交换或者防火墙出现故障后可通过VRRP保证master和slaver vlan之间切换,从而使PC至server的数据不会出现中断现象,这种改造的弊端在于不能做到双机负载也就是双A状态的运行模式。因此另一种解决方案将SecBlade 防火墙的会话通过心跳进行同步,保证主防火墙和备防火墙实时的去同步授权允许的会话列表,这样一来,既解决了会话流来回路径不一致的现象,同时也将该组网结构中的两台防火墙形成了双A状态,分担了负载。特别说明该实验中根据设备的特性使用心跳线来代替实验1中的防火墙的三层互联即可。

对于在第二个实验中出现的故障现象,由于现网中使用的各厂商设备的故障检测机制的不一致性,如要统一算法需要将研究制定统一的故障检测方法和切换机制。因此分析了实际情况后,我们可根据故障现象和原因对网络结构进行整改和优化后解决做实验2中一组冗余双机出现主备切换时导致网络中断的问题。我们可在该网络结构中增加一组交换,在该组交换上分别配置两个Vlan,我们这里配置Vlan100和Vlan200,然后将Sinfor的wan口和Topsec的Intratnat接口直接接在新增交换机的两个接口上,并把这两个接口配置到Vlan200中,同样将Sinfor的lan口和SSG520的Internet接口也接入到与这台交换机上的两个接口上,并将这两个接口配置到Vlan100中。另外一组设备以同样的连接和配置方式与另外一台交换机互联。两台交换机通过TRUNK口互联并允许Vlan 100和Vlan 200 通过。其实这里新增加的两台交换是用作半军事化区域的核心交换使用的,这样内网与外网同时可以接入到这两台交换上,可以节省硬件资源。我们在进行同样的实验,将三组冗余设备在任何一组设备中任何一个模拟故障现象都不会导致其它两组设备的主备切换,即使我们设备的故障检测是包含Track IP的方式也不会导致另外三组冗余设备的因存在故障切换时间的差异而造成网络中断的现象发生。即各种故障或者切换都不会导致PC至server链路的中断。具体的网络整改拓扑图如图3所示。

从实验3的网络拓扑中可以清楚的看到,无论三组设备的故障切换是否能够同步进行,PC至server的链路都会有一条通畅的路存在。这是本实验中解决故障问题的较实用的方案。对于该实验中存在的故障原因还存在另外一种解决方案,但有待于研究讨论及权威机构的统一和制定,研究和制定出一套通用的双机故障检测及切换算法或者制定一种新的双机故障同步切换通讯协议类型。使该算法或协议能够支持端口检测、会话同步、IP跟踪等多种故障检测机制和统一的切换算法,使双机设备都能通过该算法或协议在各种不同的故障情形下进行快速有效统一地故障同步切换也是解决该问题的重要方法,也是统一网络设备冗余双机故障检测及切换机制的研究方向。目前huawei研究的VGMP和HRP协议已经将huawei的防火墙进行了较好的状态一致检测和会话同步的管理。

4 总结

在整个网络结构设计和实施过程中详细分析和说明了三组双机实验的网络结构在企业不同安全区域部署的目的、作用和效果,同时对在部署过程中出现的问题进行了分析和研究,在网络结构的基础上给出问题解决方案,并对其进行网络改造和优化,用来满足用户信息安全的需求和目的。第一组实验部署在企业的核心数据受控区域,为严格控制各应用服务器之间以及用户与服务器之间的数据访问,采用可自定义多区域的防火墙能够很好的实现企业对不同敏感数据的安全控制需求。但在基于会话状态的理想全冗余交叉的网络连接中存在的来回路径不一致的故障情形,因此解决方案为将主备防火墙置于双A的工作状态,并将全部的会话状态进行较好的同步,这样不仅解决了路由不一致的问题,也使主备设备都得到了充分的利用,减轻和降低了单设备的负载和单点故障引起切换带来的业务中断。第二组实验部署在企业互联网出口的网络结构中,将军事化、半军事化及非军事化控制区域的数据进行了严格的区域控划分和数据控制,并通过行为控制审计设备严格地对军事化区域数据交换进行控制、审计及记录。安全与性能本来存在对立的一面,因此实验二虽然在给企业的信息安全带来高可靠的保障和受控手段,但同时这种高安全的网络结构势必会对企业网络性能造成一定的负面影响,企业可根据实际情况选择网络安全的程度。实验二中针对该实验中由于故障引起的双机设备主备切换不一致导致链路中断的现象进行了网络结构改造后形成了实验三的网络拓扑结构,实验三的网络结构不仅解决了实验二切换的故障问题,同时也将多组双机网络结构的故障率降为最低,设备切换带来的业务中断时间降为最少。实验三的网络拓扑方案适用于目前多数企业的互联网出口结构。本文为企业网络架构的设计及安全部署,网络故障处理提供了一定的实践依据和说明。

本文通过三组实验的网络拓扑结构的设计实现、故障测试分析及解决,对几款目前国内较流行的状态防火墙和安全设备的双机基本配置、工作模式、安全防范、故障检测切换机制都有了基本的了解和认识,并给企业用户在企业安全区域网络拓扑结构的设计方面提供了较好的理论应用和实践基础。在故障测试过程中通过对故障分析和处理,提出的解决方案和处理思想对企业安全网络的合理设计提供的实践证明,也为功能全面防火墙的设计和实现提供了重要的研究方向和思想依据。

参考文献:

[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[2] 胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004:22-26

[3] 柯宏力.Intranet信息网络技术与企业信息化[M].北京:北京邮电学院出版社,2000,24-32,71-82,150-176.

[4] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.

[5] 雷震甲,马建峰.Internet安全和防火墙技术安全体系结构[J].通信保密,1998(2).

[6] 刘晓辉.网管从业宝典――交换机路・由器・防火墙.重庆:重庆大学出版社, 2008-5-9,81-86, 117-185,270-275,371-400.

[7] 吴昕,李之棠.并行防火墙研究[J].计算机工程与科学,2000,22(2):54-57.

[8] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.

[9] 张云鹏.网络安全与防护技术的研究及应用[D].中国优秀博硕士学位论文全文数据库,2006(6).

防火墙解决方案范文3

今年4月,酝酿了将近两年的ProActive Defense 2.0解决方案被低调推到前台,网络基础架构、访问控制和网络免疫三大板块产品均有革命性突破。ProActive Defense 2.0解决方案究竟凭什么帮助HP Procurve赢得更多客户的青睐?新方案有什么不为人知的亮点?

三大板块齐升级

“在以前几个部分我们都有相应的解决方案和产品――ProActive Defense,这已经有两年多的时间了。这次我们的主动防御2.0的解决方案是对以前1.0的全面升级。” HP ProCurve 产品市场部经理石奇海告诉记者,“从1.0到2.0,ProActive Defense涵盖的三块内容均有较大的调整。”

记者了解到,HP Procurve主动防御其实有三个重要的组成部分:网络的基础架构、访问控制和网络免疫。这个解决方案的雏形早在2006年已经出台,2007年正式被推到前台。

石奇海介绍:“主动防御2.0的解决方案是对以前1.0的全面升级。在基础架构这方面,我们主要是增加了防火墙和入侵检测模块。在访问控制方面,我们现在有一套完整的解决方案和Windows NAP的解决方案进行联动。在网络免疫这一块通过增加IPS防火墙模块的解决方案跟以前的NIM、跟基于XFLOW的流量采集融合在一起,增加了以前我们网络免疫方面可以做的一些功能,可以实现对数据报包的分析进一步细化,达到更精确的控制。”

“HP是交换机的主要生产厂商,所以可信赖的基础架构是希望从核心到接入的交换机产品,特别是在接入交换机的产品里有一系列的安全功能、防攻击功能以及数据包采样功能。比如说我们在接入层交换机里,可以支持XFLOW的流量统计和分析的厂家。”在谈及ProActive Defense升级的初衷时,石奇海如是说。

威胁管理组件是亮点

记者在采访时获悉,HP ProCurve 的ProActive Defense 2.0方案此番引入了威胁管理服务模块,该模块通过提升防火墙、IPS及VPN能力保护网络、服务器及数据。此解决方案同时集成了HP ProCurve现有的无线IPS解决方案,可以同时为有线及无线网络提供威胁管理服务。此模块享有ProCurve终身保修服务(ProCurve Lifetime Warranty)。

防火墙解决方案范文4

促使人们更多地关注信息安全的主要因素之一是全球范围内不断增加的监管法规。萨班斯・奥克斯利法案、格让姆・里奇・比利法案、欧盟数据隐私法令、巴塞尔资本协定二以及其他法规都使人们不得不更多地关注信息安全。每一种法规都围绕信息安全提出了特殊要求。企业必须有效地解决这些信息安全问题,才能做到遵从这些法规。这些法规还规定了违规惩罚措施，包括由企业管理团队承担法律责任等。这一点迫使企业迅速将注意力转移到提高它们的信息安全能力，改进安全状况上。

新的攻击趋势

攻击方法和趋势正在从一种基于网络的方法演进到注重应用的方法。攻击者通常将目光放在解决方案内他们认为最容易攻破的环节上。

现在，攻击者已经将注意力和攻击重点转移到应用本身而不再是攻击网络。这种转移的重要原因之一是应用，特别是基于web的应用通常连接到互联网。他们可以穿透网络安全层（如防火墙），使非法用户可以访问这些系统。连接到互联网时，通过日常活动和技术（如DNS查询或Ping扫描，甚至通过网页上的广告）就可以轻松找到这些应用和web环境。

考虑攻击者采用的攻击方法时，更重要的是要了解他们的目标和动机，从而有效地保护环境不受攻击。攻击者明白，企业信息包含着和企业本身几乎同样重要的价值。攻击者还逐渐认识到，如果他们破坏解决方案中保存或访问的信息的完整性，他们能够为企业带来同样甚至更大的危害。

应用攻击方面的一个当前趋势是对厂商的补丁程序进行反向工程。这一趋势背后的理念是利用厂商产品的公认设计缺点来进行破坏。采用唾手可得的散列（Hash）工具和代码分析引擎，攻击者可以快速隔离补丁中被修改的文件并确定它们进行了什么修改。一旦确定文件被修改，他们就能够研究其中的缺陷。借助这种分析和供应商提供的补丁目标问题描述，攻击者就能够迅速开发出攻击工具。使用这些新开发的漏洞攻击工具，他们可以在非常短的时间内在多种系统内发起攻击。

最成熟的补丁管理程序要求对补丁进行一段时间的测试和评估，然后才能部署到信息基础设施中。对于某些企业，评估和部署补丁可能需要几天甚至几周的时间。聪明的攻击者非常清楚这一点并会加以利用。他们会尽快对补丁进行反向攻击，并在补丁部署前攻击尽可能多的有漏洞的系统。

另一个新的攻击类型是针对应用本身的有针对性攻击。攻击者会研究应用对不同输入字符串和数据流的反应方式。如果攻击者可以找出应用对不同请求和活动的反应方式，他们发起成功攻击的可能性就更大。然后，攻击者会尝试修改输入字符串，访问他们本无权访问的限制信息。

在与其他网络具有可靠链接的情况下，大多数企业不会投入相同的资源或能力来保护他们的网络周边。他们通常会认为，链接是可靠的，因此流经该链接的流量也应当是安全的。这些连接很可能会建立与企业后台基础设施的链接，而大多数重要而敏感的业务活动都发生在这里。这是当今众多信息基础设施的致命缺点。

随着企业无法控制的未知端点的引入，进入信息基础设施远程访问点对企业造成了更大威胁。这些端点可能是个人计算机、公用电脑、公共访问终端和具有访问权限的其他系统。

最近，蠕虫病毒的爆发在多家企业不止一次地证明了这一点。企业可以采取他们认为适当的防护措施来防止其基础设施成为蠕虫攻击的牺牲品，但是，如果某个流氓系统或不受其控制的系统将蠕虫带入信息基础设施，他们就会不可避免地成为攻击的受害者。顾问或家庭用户进入信息基础设施环境时，如果他们使用的系统未得到适当保护或不符合企业的安全策略，便会经常发生这种情况。

这种问题的出现也不仅限于通过内部或安全网络连接直接连接到信息基础设施的系统。普遍使用联网功能来提供对信息基础设施的远程访问的做法也会带来新的风险。意图不明的潜在未知用户的广泛访问需要我们更敏锐地关注Web接入点。

Web环境安全考虑事项

Web环境中常用的一种安全解决方案是基于状态检测的防火墙技术。这些技术需要在数据点上对TCP/IP 数据包的报头进行分析，然后与制定用于保护该环境的策略相比较。除了其他信息外，这些报头信息将向防火墙设备告知源和目的IP地址、数据包将访问的端口或服务以及数据包是否采用某种方式进行了分段。然而，它并不对数据包有效负荷进行调查，以检验流量是否适合要访问的环境。

尽管状态检测防火墙在保护企业网络基础设施方面非常有效，但它们在保护面向互联网的Web环境方面却不是这么有效。如果您认为大多数状态检测防火墙没有访问环境的已知源地址池，而且大多数流量应当寻址到端口80（HTTP）或端口443（SSL），那么状态检测防火墙的功能将非常有限。这是因为目前针对基于web的解决方案的大多数攻击都将这些端口用作进入该解决方案的入口。

应用防火墙不仅可以提供状态检测功能，还可以提供数据包有效负载检测功能。数据包有效负载检测功能可以和工作流程活动相对应，确保用户在所保护的Web环境的操作都是适当正确的。通过提供这种功能，应用防火墙还可以帮助减轻基于Web的环境中无故障代码和实时补丁功能的压力。

企业可以通过将应用防火墙技术用作解决方案的一种防护层来减轻不完美的开发带来的风险。这样，企业就可以继续集中精力于核心业务、业务驱动的特性和功能的开发，而不必将安全保护作为最高优先级工作。这使企业可以在安全性和业务需求之间达成平衡，实现持续发展和成功。

新兴安全解决方案

Unisys公司的企业解决方案设计师和安全顾问John P. Pironti是表示，保护信息基础设施安全性的解决方案与攻击方法一样在快速演进。正在引入的三大理念可以大大改善信息基础设施的安全状况。它们是:

* 保护信息安全的有计划方法

* 威胁和漏洞管理计划

* 深层防御

这些理念的引入，代表了信息安全保护方法，从以技术为中心的事件驱动型反应向以业务为中心的主动方法的根本性转变。

威胁和漏洞管理解决方案采用威胁分析和威胁管理理念来主动保护信息安全。威胁分析包括采用前后一致的方法，评估可以成功入侵各解决方案或整个企业的攻击威胁并为它们分配优先级。这种分析将采用智能、资产信息和其他数据点来确定潜在威胁的可能性、严重性和可能产生的业务影响。

负责安全的人员获取这种信息后就可以将威胁级别或威胁名称分配给特定解决方案和整个企业。这样就可以根据正确的评估结果作出正确的安全投资决策，而不是害怕、不确定和怀疑。

使用威胁分析提供的信息，漏洞管理人员就可以针对发现的漏洞提前制定攻击和事件响应计划。这些响应计划包括如何确定和正确响应攻击或事件的指南。负责漏洞确定和响应计划的人员然后将相关信息提交给运营部门，由他们使用该信息来在自动监控和事件响应系统内部实施漏洞确定和补救措施。

实施新的信息安全保护方法和结构化方法是深层防御理念的组成部分。深层防御提出了分层安全模式的理念。这种模式实施多个独立的安全功能层来保护对信息资产的访问。

通过实施多个独立的安全层，企业可以大大改进它的安全状况:攻击者必须无目的地在任意点穿透防护层才能成功地访问信息。实施深层防御的企业可以更有信心地确保其信息资产受到充分保护，可以免免遭恶意攻击和用户错误的危害。

支持业务的安全解决方案

信息安全的新格局正在由业务影响而不是技术驱动的安全模式决定。基于单个安全设备的传统防御方法正在被基于威胁评估的新模式所代替。这些模式将技术用作一种工具来实施企业制定的策略、程序和指南，抵御处在危险之中的信息基础设施元件受到的威胁。

防火墙解决方案范文5

安全漏洞是不断发展的，有新的应用出来，就会出现新的漏洞。防火墙的职责是保护“大门”，如果攻击者从别的途径进入，防火墙也很难处理。因为很多公司部署了防火墙，所以黑客开始寻找新的攻击方法，Web应用攻击就是其中的一种。

Web应用攻击之所以与其他攻击不同，是因为它们很难被发现，而且可能来自任何在线用户，甚至是经过验证的用户。

迄今为止，针对Web的攻击可谓愈演愈烈，因为企业用户主要使用防火墙和IPS解决方案来保护其网络的安全，而防火墙和IPS解决方案发现不了Web攻击行动。

Gartner的调查显示，目前大约70%的安全漏洞源自网络应用层。当防火墙、UTM或IPS等传统安全设备已经不能完全满足用户的安全需求时，为了保护企业应用安全、处理日益增长的来自Web的威胁，客户需要一种多功能的Web安全设备――这种设备需要集成高性能内容(七层)检测引擎、各个领域最优秀的第三方识别特征库以及应用程序控制安全策略，以此全方位保护桌面、服务器与移动应用程序的安全。

在不久前的2008中国国际通信设备技术展上，来自加拿大的网络安全厂商稳捷网络宣布将其最新的Web安全技术及解决方案――BeSecure系列Web安全设备引入中国，帮助国内用户应对目前不断增长的网络信息安全威胁。

BeSecure能够以快速检测、扫描各种类型的互联网数据，在有害内容进入受保护网络之前对其进行处理。

据了解，对于该类面向应用的Web安全设备，其处理性能和可靠性是保障成功应用至关重要的核心。

稳捷网络通过自行研发的网络数据处理器架构技术，能够在不影响网络性能的前提下，防止数据泄漏，实现降低企业成本、提高生产率、帮助企业达到监管需求。

稳捷网络全球CTO张鸿文博士告诉记者：“Web安全网关基于对Web应用业务和逻辑的深刻理解，对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。”

而BeSecure系列Web安全网关可以放置于防火墙后端，有效拦截HTTP与FTP数据，检测、拦截、抵御病毒、间谍软件、特洛伊木马与蠕虫攻击。

据张鸿文介绍，除了满足高传输性能与低扫描延迟的应用条件，BeSecure系列Web安全设备还具备了以下特性：

1.恶意软件过滤：针对进出桌面、网站服务器与移动设备的双向互联网流量过滤恶意软件（特洛伊木马、病毒、间谍软件等）。

防火墙解决方案范文6

电子商务的组成

在电子商务的运作过程中涉及到企业或个人的消费者、网上的商业机构、CA认证中心、物流配送体系和银行。它们通过Internet网络连接在一起。

电子商务中的安全

Internet是一个开放的公网，基于Internet的电子商务给商家、企业和个人带来了新的机会，同时也给别有用心者留下了广阔的“施展”空间。在新型的交易环境下，安全是一切交易行为的基础，所谓安全，是指安全策略、安全标准、安全制度及安全流程的结合。

我们认为“安全=管理+技术”，安全是一整套体系，单点的安全防范技术都不能很好的解决问题。有效管理和采用完善的技术手段相结合组成了安全的体系，该体系安全程度的高低取决于体系中最薄弱的环节。我们常用的安全防范技术有防火墙技术、CA认证技术、数据加密技术和帐号口令技术。

1．防火墙技术

对于外部恶意攻击，针对“黑客”入侵，采用防火墙（FireWall）技术来防护。要使防火墙技术有效，所有接收和发送到Internet的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许被授权的通讯业务通过，并且防火墙本身也必须能够免渗透，即系统自身对入侵是免疫的。

（1）数据包过滤技术

路由器是网络内外通讯的必须端口，因此，我们连接时采用包过滤路由器。它是一个检查通过它的数据包的路由器，限定外部用户的数据包。其原理是监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。其实现方式是运用IP地址和端口号来进行限定处理。

（2）应用网关技术

建立在网络应用层上的协议过滤、转发功能，它特定的网关应用服务协议指定数据过滤逻辑，并可根据按应用服务协议指定数据过滤逻辑进行过滤的同时，对数据包分析的结果及采用的措施做登录和统计形成报告。

（3）服务技术

服务器是设置在Internet防火墙网关的专用应用级编码。这种服务器由网络管理员决定允许或拒绝某一特定的应用程序或特定功能。服务器像一个内部网络与外界之间的边界检查点。两边应用可以通过服务器相互通信，服务器检查并确认这一通信是否授权通过。

2．CA（CertificateAuthority）认证技术

为了保证秘密的信息不能被人非法获得，同时保证信息传输过程不能被篡改，交易的不可否认性、身份识别、网站不受非法攻击，通常还要采用CA认证和信息加密技术。常用的包括SET协议和PKI认证体系。

（1）SET：安全电子交易（SecureElectronicTransaction）

SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。

（2）PKI：公共密钥基础结构(PubicKeyInfrastructure)

PKI(PubicKeyInfrastructure)是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证：数据加密，数字签名、不可否认、身份鉴别、密钥管理以及交叉认证等。PKI可通过一个基于认证的框架处理所有的数据加密和数据签名工作。PKI必须具有认证机构（CA）、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成份。

（3）SSL：安全套接层（SecureSocketLayer）

SSL协议是由网景（Netscape）公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。SET协议比SSL协议复杂，因为前者不仅加密两个端点间的单个会话，它还可以加密和认定三方间的多个信息。

三、电子商务业务模型及解决方案

1．商业机构对消费者的电子商务（B2C）

商业机构对消费者（Business-to-Customer）的电子商务，指的是企业与消费者之间进行的电子商务活动。这类电子商务主要是借助于国际互联网所开展的在线式销售活动。最近几年随着国际互联网络的发展，这类电子商务的发展异军突起。例如，在国际互联网上目前已出现许多大型超级市场，所出售的产品一应俱全，从食品、饮料到电脑、汽车等，几乎包括了所有的消费品。

开展商业机构对消费者的电子商务，障碍最少，应用潜力巨大。就目前发展看，这类电子商务仍将持续发展，是推动其他类型电子商务活动的主要动力之一。

商业机构对消费者（B2C）电子商务解决方案的基本组成部分为：（1）动态的HTML页面；（2）储存会员（客户）的信息，用其来进行会员认证及提供其他管理工具；

（3）实现“购物篮”功能；（4）服务器和管理的安全性；（5）客户信息安全管理；（6）管理和处理定单，应用商务规则来与客户完成交易；（7）进行其它产品和服务的宣传，并对该过程加以控制；（8）支持直销功能；（9）提供Cross-Selling销售和Up-Selling的机制和规则；

（10）方便储存数据（分类、定单、库存、日志等等）并且能够实现动态的访问；

（11）商品、交易以及商务系统的管理；

（12）价格促销的工具；

（13）分析流量和购买数据，获得商务智能和建立客户行为模型。

2．商业机构之间的电子商务（B2B）

商业机构对商业机构（Business-to-Business）的电子商务指的是企业与企业之间进行的电子商务活动。例如，工商企业利用计算机网络向它的供应商进行采购，或利用计算机网络进行付款等。这一类电子商务已经存在多年。特别是企业通过私营或增值计算机网络（Value-AddedNetwork，VAN）采用EDI（电子数据交换）方式所进行的商务活动。

商业机构对商业机构的电子商务从未来的发展看仍将是电子商务的主流。商业机构之间的交易和商业机构之间的商业合作是商业活动的主要方面，企业目前面临的激烈竞争，也需要电子商务来改善竞争条件，建立竞争优势。企业在寻求自身发展的同时，不得不逐渐改善电子商务的运用环境。

供应链集成，也叫作价值链集成，利用了Internet的低成本来实现供应商，生产商和发行商之间的更紧密的结合。许多关于建立网站，处理定单和接入原系统的基本要求和操作都可以包括在直销和销售方案中，而在供应链方案中产生了一些新的要求，如确认过的登入，为关键用户生成用户类，根据用户协议采取定价和支付的形式。

商业机构之间的电子商务解决方案的核心平台非常相似于商业机构对消费者解决方案。在商业机构之间的电子商务解决方案中，商家在向商家销售，而不是向个人销售。

商业机构之间的电子商务解决方案的基本组成部分为：

（1）动态的HTML页面；

（2）储存一个会员（客户）的信息，用来进行会员认证以及提供管理工具；

（3）实现”购物篮”功能；

（4）服务器和管理的安全性；

（5）客户信息安全；

（6）管理和处理定单；

（7）进行其它产品和服务的宣传，并对该过程加以控制；

（8）支持直销功能；

（9）提供Cross-Selling销售和Up-Selling的机制和规则；

（10）方便储存数据（分类、定单、库存、日志等等）并且能够实现动态的访问；

（11）商品、交易以及商务系统的管理；

（12）价格促销的工具。

3．企业采购商家希望利用Intranet和Internet的杠杆作用使现有的业务进行的更加有效。这种商业模型的核心就是商务解决方案，它使得购买低成本的大量商品的过程更加容易，并且保证了一项业务的维持，修复和操作（MRO）。

企业采购解决方案的基本组成部分

（1）企业采购解决方案设计成一个商业组织的成本结构，而供应链集成解决方案是在向着商品的直接贸易和生产方向努力；

（2）企业采购解决方案一般来说设计成一个基于Intranet的解决方案，而供应链集成解决方案可以包含基于Intranet的组件，但是大部分应用程序或者是基于Internet的或者是基于Extranet的；

（3）申请人能够在浏览器上被标准化；

（4）诸如象ActiveX控件和DHTML的技术能够被用来实现图形化和功能化的传输丰富的Web应用程序；

（5）集成采购到公司现有的安全和邮件的基本结构中，这样有助于消除额外的管理费用和加速Routing/Basic工作流；

（6）各种规模的公司无论大小和地点如何，都能交流购买定单信息，进行交易支付和传送产品；

（7）购买定单的输出形式可以多样化，这样参与的商家就可以选择一种与他们现有系统可以协同工作的共同形式；

（8）企业采购应用程序可以在一个站点内支持多个供货商；

（9）对企业的供货商的结构进行合理化，来获得更大的折扣率。

4．技术方案

根据用户的不同需要可以选择不同的主机平台和开发技术。

（1）技术方案1操作系统：WindowsNT4.0（ServicePack4）数据库平台：MSSQLServer7.OWEB服务器：MSInternetInformationServer4.0WebSiteServer3.0开发技术：ASP、DHTML、COM组件技术等（2）技术方案二操作系统：SUNSOLARIS数据库平台：ORACLE8.0