防火墙分系统安全方案

将internet与蚌埠广播电视台内部网隔离开来，拒绝非法访问，恶意攻击，真正保护网络边界的安全。

将各蚌埠广播电视台的内部网进行隔离，限制用户非法访问，避免受到恶意攻击非法访问、非法连接。

保护蚌埠广播电视台的信息发布系统，抵御来自于公网上的攻击，保护网络资源安全。

蚌埠广播电视台对防火墙的功能要求如下：

1. 专有的硬件平台，专有的操作系统。

2. 与原有的防火墙、交换机、路由器等网络设备功能兼容并有效整合。

3. 网络特性：应支持至少两个端口的lan接口数，，能有效的保护以太网、快速以太网。

4. 应支持路由接入、透明接入，如还有其他的接入方式请另外说明。

5. 访问控制：千兆级别的基于状态的包过滤功能，支持动态、静态、双向的网络地址转换（nat）。

6. 防御功能：可防tcp、udp等端口扫描、防源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn攻击、dos/ddos攻击、可阻止activex、j**a、j**ascript入侵；同时提供时间监控和告警功能。

7. 能力特性：具备流量控制和统计。

8. 具备应用级透明**功能，支持对http、smtp、pop3、nntp等高层应用协议的**；支持对url的过滤、对web页面中的j**a、vbscript、j**ascript组件过滤。

9. 具备完善的日志功能，支持向日志服务器导出日志，应具备日志冗余功能。

10. 管理功能：支持本地管理、远程管理和集中管理；支持snmp监视和配置，其中远程管理应该能很好的安全保护。

11. 支持容错技术，如双机热备、故障恢复、双电源备份等。

12. 提供对www站点的保护功能。

13. 能够与第三方安全产品进行很好的联动，尤其是与ids产品的联动。

14. 支持带宽管理（qos）。

15. 能很好的防止ip欺骗功能。

16. 认证类型：应具有一个或多个认证方案，如otp认证（一次性口令认证）、radius、kerberos、tacacs/tacacs+、口令方式、数字证书等。

17. 应支持常见的路由协议，如：ospf、rip、ripii。

18. 支持ipx、netbeui、vod、h.323v1/v2、ssh协议。

19. 支持分权管理和信息审计。

20. 能够对防火墙的配置信息进行备份。

蚌埠广播电视台对防火墙的性能要求如下：

1. 最大并发连接数在120，000以上；

2. 内核处理速度不低于300m（对于三个接口的防火墙）；

3. 对于10/100m以太网接口，其接口吞吐量应不低于97m；

4. 吞吐量：防火墙加载百条规则的平均吞吐量应不低于17000fps；

5. 延时：防火墙加载百条规则的平均延时不超过100，000ns；

6. 丢包率：防火墙加载百条规则的丢包率为0；

7. 背靠背：防火墙加载百条规则的背靠背性能测试不低于400，000frames；

8. mtbf：不低于30000小时；

由于蚌埠广播电视台是蚌埠广播电视台网的主要组成部分，它的安全性、可靠性对其正常行使宏观经济调控职能起着重要的作用，所以对其防火墙分系统采用双机备份，而其它省级蚌埠广播电视台只采用单机防火墙配置，其系统配置方案如图5.4所示。

在蚌埠广播电视台与专网互联处加入一台防火墙。由于蚌埠广播电视台网络需要连接的网络有专网以及互联网，所以采用双机备份的防火墙需要5个接口，如果双机切换采用串口连接监视heart-beat信号，那么需要4个接口的防火墙即可；第一个接口连接专网e0链路，第二个接口连接互联网e1链路，第三个接口连接ssn区（dmz）,第四个接口连接内部网；由于采用双机备份，所以在接口处需要配置集线器或交换机。

当蚌埠广播电视台网络出口的流量超过一定极限时，可以将两台防火墙配置成防火墙机群工作模式，实现双机分流和负载均衡。

根据安全需求，在专网与internet互联的时候需要采用nat技术，隐藏其内部网络结构，同时在扩展安全设备时不宜改动原有的网络结构及配置，因此最好将防火墙配置为路由模式与透明模式相结合的混合工作模式。

防火墙分系统安全方案

防火墙产品小常识

win7防火墙例外设置方法

电力监控系统安全管理规定

电力监控系统安全管理规定

电力监控系统安全管理规定

铁路车站售票系统安全与管理

铁路制梁场系统安全管理

推行现代系统安全管理创建煤矿生产本质安全

其他用户还读了