CheckPoint防火墙安全解决方案

精品文档---下载后可任意编辑 解决方案建议书 目录 一、项目需求分析3 1.4 网络安全设计原则5 二、网络安全设计建议7 2.1 方案一（各区域分散部署）7 2.2 方案二（虚拟化部署）9 三、产品选型11 3.1.1 Check Point IP系列产品11 3.1.2 Check Point VSX系列产品14 3.3 从安全管理分析（Smart-1）20 3.3.3 IPS事件分析26 3.3.4 报告30 四、产品资料33 一、 项目需求分析 1.1 项目背景 XXXXXXXXXXXXXXXXXXXXXX 1.2 网络拓扑结构 XXXX公司数据中心内网计划分为四个区域： 1) 核心业务区； 2) 高性能计算区； 3) 生产网终端区； 4) 管理维护区。 外部接入分为两个区域： 1) 办公访问区，设计公司各分公司专线连接到新数据中心，访问新数据中心资源；新数据中心专线接入到集团网，访问集团网资源。 2) 合作伙伴访问区，新数据中心Internet接入主要用于翻译公司、各分包商等合作伙伴的VPN接入，访问新数据中心内网资源。 1.3 网络安全需求分析 目前XXXX公司对新数据中心安全系统有以下几点需求： a) Internet接入部分安全防护，提供合作伙伴访问区的VPN接入； b) 数据中心内网安全防护，要求内网各区域间通过防火墙隔离； c) 新数据中心与集团网以及设计公司各分支机构之间的安全防护； d) 安全加固方案的设计必须充分考虑到安全和可用性的结合。安全措施不应形成网络瓶颈，不过分增加其复杂性而加大管理人员的工作量。 1.4 网络安全设计原则 基于前面对需求的分析，我们针对每个区域设计不同的安全措施。在对XXXX公司网络进行安全系统设计、规划时，主要遵循以下原则： 1) 需求、风险、代价平衡分析的原则：对任何网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定法律规范和措施，确定本系统的安全策略。 2) 综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 3) 一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。 4) 易操作性原则：安全措施要由人来完成，假如措施过于复杂，对人的技能的要求过高，本身就降低了安全性。其次，采纳的措施不能影响系统正常运行。 5) 适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。 二、网络安全设计建议 本方案的设计本着XXXX公司一贯的务实原则，根据XXXX公司的实际情况和具体的应用需求及XXX行业的特点，结合上级监管机构对网络系统安全的各项要求，尽量做到“全面、安全、先进、有用”。 以下提出两种方案建议： 2.1 方案一（各区域分散部署） 根据前面对XXXX公司的安全需求分析，结合安全设计的原则，提出网络安全设计的方案。以下分别对各区域进行安全设计描述： 新数据中心机房作为XXXX公司核心业务区，集中了数据库、核心业务、办公、网站等服务器，有侧重的分类保证其安全是整个方案设计的重点。设计中实行了以下措施： 1) Internet接入安全防护，配置两台CheckPoint IP 295防火墙，配置VRRP+Cluster，实现Internet接入安全防护、VPN链路安全防护。 2) 数据中心内网四个区域分别配置两台CheckPoint IP 395防火墙，配置VRRP+Cluster，实现内网四个区域间的安全隔离。 集团网及分支机构接入安全防护，配置两台CheckPoint IP 565，配置VRRP+Cluster，实现与集团网以及各分支机构之间的安全防护。 3) 各区域汇聚路由器与交换机接口都需要通过防火墙，实现基于应用业务的安全策略，阻挡来自内部的攻击。 4) 部署一台SMART-1 25管理服务器设备在管理维护区，对所有防火墙统一平台管理。 方案一的部署方式，使得整个网络结构清楚，各区域独立且互不影响，但由于此方案要求各区域单独部署防火墙，防火墙数量较多，使得运营成本大幅上升。 2.2 方案二（虚拟化部署） 根据前面对XXXX公司的安全需求分析，结合安全设计的原则，提出网络安全设计的方案。以下分别对各区域进行安全设计描述： 1) Internet接入安全防护，配置两台CheckPoint IP 295防火墙，配置VRRP+Cluster，实现Internet接入安全防护、VPN链路安全防护。 2) 数据中心内网四个区域配置两台CheckPoint VSX-1 9070防火墙，将两台VSX-1设备各虚拟成四台防火墙，配置Cluster，实现内网四个区域的安全防护。 3) 集团网及分支机构接入安全防护，配置两台CheckPoint VSX-1 9070，并分别将两台VSX-1设备虚拟成多台防火墙，实现与集团网以及各分支机构之间的安全防护。 4) 各区域汇聚路由器与交换机接口都需要通过防火墙，实现基于应用业务的安全策略，阻挡来自内部的攻击。 5) 部署一台SMART-1 25管理服务器设备在管理维护区，对所有防火墙统一平台管理。 方案二的部署方式，易于管理和维护，将一台防火墙虚拟成多台，用一台物理硬件设备来虚拟多个防火墙实现各个区域的安全防护，大大降低了运营成本。 三、产品选型 根据XXXX公司的具体需求和技术分析，对于防火墙设备方面的选型，方案一中我们推举使用CheckPoint IP565和CheckPoint IP 395设备配合CheckPoint R70防火墙软件，SMART-1 25管理服务器统一平台管理。方案二中我们推举使用CheckPoint VSX-1 9070和CheckPoint IP 395设备配合CheckPoint R70防火墙软件，SMART-1 25管理服务器统一平台管理。具体选型理由如下： 从产品特性分析 .1Check Point IP系列产品 多年来，Check Point IP已经经受住了在复杂网络与性能要求苛刻环境下使用的检验网络，它可为客户提供齐备的安全功能，如各种型号设备上的防火墙, VPN（虚拟专用设备） 和入侵防备（IPS）等。IP设备现在作为一个解决方案，集成了Check Point最新的软件刀片，并在其标准配置中IPS软件刀片 进行了优化。IP设备提供无可比拟的可扩展性、高性能、可靠性和高端口密度，以降低运营成本，并在严格的任务关键安全环境下运行。 主要优势 · 集成了Check Po