交换防火墙网络方案.doc

1、 某企业交换机防火墙网络安全建设 技术方案 北京麦弗瑞科技有限公司 目录 1 综述 3 1.1 网络设计原则 3 2 企业网业务需求分析 4 2.1 网络结构设计 5 2.2 防火墙系统部署方案 5 2.3 交换机接入 6 3 Juniper的企业网结构设计 7 3.1 网络拓扑图 7 4 企业网选用设备 7 4.1 Juniper EX系列交换机 7 4.2 防火墙SRX系列 9 4.3 J系列路由器 10

2、 1 综述 本方案是依据贵公司提出的建网要求，而出的技术实施方案。 本方案将以贵公司要求为依据，结合市场需求和现有条件，并以高速、高带宽、高可靠性、技术先进、简单实用、节省投资为网络的建设原则，建设一个先进的、具有高可靠性的综合业务数据网络。 1.1 网络设计原则 交换网络作为方正县人民政府网络重要组成部分，建设目标应该致力于能够提供一个灵活、先进和可靠的多业务平台，为网络进一步承载更多业务，建立自动化全网络的业务，降低企业运作成本。我们在进行网络设计时，应着重考虑如下几点： 1) 网络的可靠性 网络的可靠

3、性是网络设计中需要考虑的一个主要原则。在网络设计时，应避免网络中出现单故障点，并应该考虑在出现故障时的网络性能，通过网络设计减少故障对网络性能的影响。 2) 流量的合理分配 由于企业网络的重要性，在网络的各个层面需要部署冗余的设备和链路，在网络中流量出入会存在多条可达的路径，随着企业网络流量的不断增长，不合理的流量设计会造成网络瓶颈的出现。因此，网络流量的负载分担问题成为网络设计时需要考虑的一个主要因素，必须使网络的流量能够比较合理的分布在各个设备以及各条链路上。 3) 网络的性能 企业网一般会成为承载多种业务的统一网络平台，其中必然有很多重要的业务，在强调带宽和吞吐量的同时，应该为重

4、要程度不等的业务提供不同的服务质量保证。因此，在网络设计时应该考虑网络性能的因素，使网络能够满足现有以及未来新业务对服务质量的要求。 4) 可扩展性 随着IT技术的飞速发展，提升和改善企业业务运行效率以及竞争力的IT产品会不断推陈出新，而体系会成为企业生存、发展和壮大的必然装备，作为企业业务流量转发的重要部分，设计时应该充分考虑到网络的可扩展性以及对未来开展业务的支持。 5) 高性价比 充分考虑网络的容量，合理配置设备和链路，除了一次性投资考虑，还应重点考虑设备后期运行和维护的费用。 6) 网络管理的简易性 企业交换网络的覆盖面广，设备数量众多，而且未来也有可能不断扩大规模。网络管

5、理的工作量是需要重点考虑的问题。因此，在网络设计应该考虑网络管理的因素，尽量减少网络管理的难度和复杂性。 2 企业网业务需求分析 随着网络不断的发展，企业网已从被动的、背景式的角色逐步演变为主动式的、高可视化的核心组成部分。企业的日常运行以及良好的市场竞争力都依赖于企业网的正常高效运行。现在的企业网已成为需要在任何时间从任何地点都可以访问的战略设施，同时还要在所有节点上规模的提供快速、安全和可靠的服务。企业网承载的业务从传统的客户端/服务器数据流到端到端的数据流，同时需要容纳快速增长的服务和设备。为适应企业更多重要业务的需求，企业网必须颠覆传统的设计思路，围绕企业网安全、连接性和性

6、能进行全面的考虑，在具备良好稳定性、可靠性和高性能的同时具备简单和灵活，在适应新的业务发展时不用重新设计网络。 企业网处在非常重要的地位，包含企业主要位置的一栋或者多栋相邻的建筑，一般是公司的总部或者主要站点。企业大部分重要的服务和应用都分布在各个建筑甚至是很多楼层里面，而这些应用大部分都是需要在线运行的，企业网任何downtime或者效率低下都会导致企业受到损失。 Juniper的企业网交换解决方案旨在提供全面得安全、高性能、高可用的网络，保障企业网所有组件一直正常在线服务，从而提高生产力和客户满意度。 为了优化高效的商业运作，企业网必须提供如下高级别服务： l 安全服务：安全是所有

7、企业网服务的关键，对网络和应用的访问是开放和普遍存在的，但是得保证牢固和可控制。 l LAN连接服务：提供多种接入方式，包括计算机、语音电话、PDA、监控摄像头、智能电话等等。 l 高性能服务：企业网在任何时间满足所有应用的传送需求。 l HA：拒绝企业网的Downtime，提供99.999%的可靠性。HA贯穿整个企业网，Juniper网络设备和软件提供成本高效的、特性丰富的和高可用的服务，并且提供集中化的管理服务以减少downtime和维护费用。 2.1 网络结构设计 方案概述 近年来，随着企业信息化的深入进行，企业网络整体的快速发展，企业网已经成为企业最重要的学习和生产设施，企

8、业网络面临的挑战变得日益突出。瞻博网络企业网出口解决方案可以有效解决目前企业的问题以及CERNET和其它电信运营商间互联带宽不足或者使用不充分，造成访问速度缓慢不能满足员工需求的供需矛盾；二是网络应用日益丰富，造成病毒泛滥，网络安全提出的更高需求的矛盾。 方案介绍 针对企业网的上述特点建议部署一台瞻博网络高性能J2320路由器，J2320路由器对外接入CERNET，并提供高性能的路由功能，同时 J2320路由器对内通过GE链路接入到防火墙安全设备上。 该方案的技术特点： 高性能的路由转发与良好的扩展性 通过在J2320路由器上进行路由设置，将流量合理快速至出口链路，有效利用带宽，提

9、高访问其他电信运营商网内资源的速度。今后要是多出口的情况下还可以，根据流量实际情况，可以详细划分各种应用将其分布到不同的链路上。 便捷的配置，设置企业网出口设备—J2320承担了高效的路由转发，出入企业网流量控制，这样重任由出口路由器来承担，从而使得路由器的选择就非常的重要。 2.2 防火墙系统部署方案 防火墙系统在网络边界设置进出口控制，可以防御外来攻击、监控往来通讯流量，是企业网络安全的第一道关卡，其重要性不言而喻。网络防火墙系统从其设置的物理位置来说，最恰当的位置就是不同安全级别的网络物理边界的出入口。所以可以说，网络安全系统最为关键的组成部分实际上是利用上述的各种技术手段，通

10、过对网络出入口的控制实现安全服务的目的。 目前所有厂商的高端防火墙系统本身都支持多物理端口，同时其物理端口还可进一步支持802.1Q协议。因此，安全域的划分既可通过网段的物理端口连接实现，也可以通过VLAN虚拟端口方式连接。我们可将安全等级不同的网络划分在不同物理网段或逻辑VLAN中，然后将物理网段直接与防火墙不同的物理端口相连或将VLAN指定为防火墙系统的某个接口的网逻辑子接口。这样，防火墙系统就成为不同网段或VLAN之间相互访问的唯一通道，所有跨网段或VLAN间的流量都要经过防火墙模块的检测，实现安全域的划分。 2.3 交换机接入 交换机直接与防火墙相连接组成局域网，瞻博网络 EX2

11、200 系列固定配置以太网交换 机，具备完整的第 2 层交换功能和基本的第 3 层交换功能，可满足当今高绩效企业的分支 办事处和低密度配线室的连接需求。该产品提供四种平台配置：24 个和48个 10/100/1000BASE-T 端口，可按不同需求完全满足企业的内网需求。 3 Juniper的企业网结构设计 3.1 网络拓扑图 4 企业网选用设备 4.1 Juniper EX系列交换机 Juniper网络EX系列以太网交换机 ² 运营商级可靠性 ² 安全风险管理 ² 网络虚拟化 ² 应用控制 ² 降低TCO ² 运营商公认的

12、硬件和软件 ² 威胁牵制和统一接入控制 ² 虚拟路由和GRE隧道穿越 ² JUNOS和统一管理 ² 应用可视性和服务质量 根据公司实际情况推荐交换机型号为EX2200交换机 Juniper网络EX 2200系列以太网交换机展示了五种关键特性，结合在一起构成了真正的企业级交换解决方案：运营商级可靠性、安全风险管理、网络虚拟化、应用控制、降低总体拥有成本(TCO)。 ² 运营商级可靠性：一顺百顺，一通百通。因此，Juniper网络EX系列以太网交换机使用被全球最大规模电信运营商网络所部署的、经过实践验证的相同技术——包括应用特定的高性能集群电路(ASIC)、系统架构和JU

13、NOS™软件，从而构成了强韧的、经久耐用的、高度可靠的网络基础设施解决方案来为高绩效企业服务。 ² 安全风险管理：Juniper网络EX系列以太网交换机完全兼容Juniper网络统一接入控制(UAC)解决方案，能够提供另一层安全保护。产品首先实施用户和病毒检查，然后才执行端到端的、精准的安全策略，用于决定谁有权访问哪些网络资源，并通过实施服务质量(QoS)策略来确保业务流程的交付。基于异常的集群威胁检测功能能够识别出并阻断分布式拒绝服务(DDoS)攻击，从而提供更深入的保护。 ² 网络虚拟化：EX系列交换机采用Juniper网络集群交换技术，最多允许10个EX 4200交换机互连在一起，并

14、作为单一系统发挥作用。通过集群交换技术，用户能够在一个经济高效的小巧平台中获得机箱式系统的可靠性、可用性和高端口密度，从而实现机箱式和可堆叠交换机的双重优势。EX系列交换机还支持通用路由封装(GRE)隧道穿越技术，用于从远程位置向网络运行中心的监控产品发送镜像流量，以便集中分析、排除故障或构建相互隔离的重叠网络，因此不会遇到与生成树相关的问题。 ² 应用控制：成功管理网络需要您了解网络的使用情况，以便优化应用交付，并最大限度地提高运行效率。Juniper网络机箱式EX 8200系列以太网交换机使用集群的高性能ASIC，允许您以线速查看150多个应用，从而针对用户如何使用系统获得前所未有的洞察

15、力。 为了便于区分，Juniper网络EX系列以太网交换机将应用分为业务、P2P、消息传递或游戏等多个类别，并提供主要会话双方、各应用的带宽消耗、各位置的流量分配等具体信息，以便您深入了解网络中的应用行为。 为确保为应用流量合理地分配优先级，EX系列以太网交换机在每个端口支持强韧的8个QoS队列——足以为控制层、语音、视频和多个级别的数据流量提供独立队列，并为融合楼宇自动化和安全监控摄像机等其他网络留有空间。 ² 降低TCO：高可扩展的“按需购买，渐进扩展”架构，低功耗、低占地空间和低冷却要求的网络设计，通用操作系统，适用于所有Juniper网络产品的统一管理工具，所有这些优势结合在一起

16、能够帮助EX系列以太网交换机客户同时降低前期购置和后期运行成本。 高性能的高密度平台允许用户从小规模起步，然后循序渐进地实施增长，从而为拥挤的配线间和数据中心节省了宝贵空间，同时降低了能耗和冷却等循环成本。利用整个交换机系列中统一部署的通用JUNOSTM软件版本，EX系列以太网交换机可确保在整个基础设施中的一致实施并缩短学习过程。统一管理工具则能够合并系统监控和维护工作，既省时又省钱。 4.2 防火墙SRX系列 Juniper SRX 210H防火墙网络安全 根据公司实际情况推荐防火墙型号为SRX210H防火墙 瞻博网络SRX210系列分支办事处业务网关与瞻博网络

17、的SRX系列高端产品、EX系列以太网交换机、M系列多业务边缘路由器、MX系列3D通用边缘路由器以及T系列核心路由器一起，共同形成了规模空前、基于瞻博网络Junos单一操作系统的产品线。采用Junos操作系统，企业和电信运营商能够在其整个分布式员工队伍中降低部署和运营成本。 • SRX系列分支办事处网关采用成熟的Junos操作系统，该操作系统在全球100强电信 运营商的核心互联网路由器中被普遍采用。在过去15年的全球推广应用中，其经过严 格测试的电信运营商级IPv4/IPv6、OSPF、BGP和多播路由特性已得到验证。 • SRX系列分支办事处业务网关提供边界安全、内容安全、接入控制以及

18、在整个网络范 围对威胁的可视性和控制能力。通过运用分区和策略，即使是没有经验的网络管理员 也能够快速安全地为分支办事处部署和配置SRX系列网关。此外，SRX系列现在还为 防火墙、IPsec VPN、NAT和初始设置提供向导，以帮助您配置SRX系列网关，使之 即开即用。 基于策略的VPN支持需要动态地址分配和分离隧道的更复杂安全架构。对于内容安 全，SRX系列分支办事处产品提供一整套统一威胁管理(UTM)服务，包括：入侵防护 系统(IPS)、防病毒、防垃圾邮件、通过内容过滤实现的网页过滤以及数据丢失防护， 从而保护您的网络，使之远离最新的内容威胁。精选型号的产品具有内容安全加速器

19、 以提供高性能IPS和防病毒性能。分支办事处SRX系列产品与其它的瞻博网络安全产 品集成，从而提供企业级的统一接入控制(UAC)和自适应威胁管理。这些能力为安全 专家提供了与网络犯罪斗争和防止数据丢失的强大工具。 4.3 J系列路由器 根据公司实际情况推荐路由器型号为J2320路由器 Juniper J系列路由器可以保护关键信息和网络的安全性，使其免受安全漏洞和攻击的威胁。企业需要在与客户和供应商通信时，避免保密信息受到来自内部和外部的威胁。提供增强服务的JUNOS软件将路由和防火墙功能无缝集成在一起，能够为网络中的所有位置提供安全保护，并支持将部门级分段机制扩展到网络的远程位置。通过在远程站点联合实施IPSec VPN和防火墙，您将能够建立灵活的网络连接，并为分割隧道配置提供安全保护。 最大限度地降低网络安装和运行成本。JUNOS软件采用了模块化的、受保护的设计模式，并遵循严格的JUNOS软件开发和测试流程，因此几乎不会出现系统程序问题。