由於蚌埠廣播電視台是蚌埠廣播電視台網的主要組成部分,它的安全性、可靠性對其正常行使巨集觀經濟調控職能起著重要的作用,所以對其防火牆分系統採用雙機備份,而其它省級蚌埠廣播電視台只採用單機防火牆配置,其系統配置方案如圖5.4所示。
在蚌埠廣播電視台與專網互聯處加入一台防火牆。由於蚌埠廣播電視台網路需要連線的網路有專網以及網際網路,所以採用雙機備份的防火牆需要5個介面,如果雙機切換採用串列埠連線監視heart-beat訊號,那麼需要4個介面的防火牆即可;第乙個介面連線專網e0鏈路,第二個介面連線網際網路e1鏈路,第三個介面連線ssn區(dmz),第四個介面連線內部網; 由於採用雙機備份,所以在介面處需要配置集線器或交換機。
當蚌埠廣播電視台網路出口的流量超過一定極限時,可以將兩台防火牆配置成防火牆機群工作模式,實現雙機分流和負載均衡。
根據安全需求,在專網與internet互聯的時候需要採用nat技術,隱藏其內部網路結構,同時在擴充套件安全裝置時不宜改動原有的網路結構及配置,因此最好將防火牆配置為路由模式與透明模式相結合的混合工作模式。
根據防火牆分系統的技術要求,本方案推薦在蚌埠廣播電視台使用聯想針對**各部委辦和金融骨幹企業自主開發的高階防火牆--網御2000 fwp,推薦在省級蚌埠廣播電視台使用聯想自主開發的標準防火牆――網御2000 fwe。
推薦選用網御2000 系列防火牆,是因為網御2000系列防火牆除了完全滿足「蚌埠廣播電視台網安全系統包技術指標要求」規定的防火牆資質要求、功能要求和效能要求外,還具有以下顯著的技術特點:
三牆合一:網御2000集防火牆、防毒牆、防黑牆三位一體,具有很高的效能**比。
智慧型過濾:網御2000不但支援狀態包過濾和動態包過濾,還創立了根據資料報的網路特徵(源位址、目的位址、協議號、埠號、服務型別、傳遞方向等)、時間特徵(可疑連線的時間間隔等)、空間特徵(特定時段內可疑連線的相關程度等)和資料結構特徵(資料報長度、資訊相關性等),建立了獨具特色的動態智慧型包過濾安全防護體系,可以顯著提高包過濾防火牆的安全特性,並擁有5項專利技術。
混合模式:網御2000不僅支援路由模式和橋模式,還支援兩者融為一體的混合模式,以及具有負載均衡功能的防火牆機群工作模式,能夠適應複雜的網路環境和網路應用,並且安裝配置極其簡便。
透明**:在應用**設計方面,網御2000不僅提供各種標準應用和特定應用的透明式**服務,而且還支援使用者自定義的透明式**服務,並可根據特殊需要方便地實現**的級連。
使用者認證:網御2000支援基於usb安全裝置和智慧型ic卡的使用者強身份認證體系。
底座安全:網御2000採用聯想自主研發的伺服器硬體平台和專用安全作業系統平台,較好地解決了「底座安全」問題,具有很高的自身安全效能。
**公升級:網御2000的安全防護軟體、入侵檢測特徵規則庫和病毒庫均支援網路**公升級,因此可以隨著網路攻擊手段的變化地不斷地更新和提高防火牆的安全防護能力。
高效可靠:網御2000防火牆在100兆乙太網口、100條規則的情況下,資料吞吐率可達到線速(100mbps),併發連線數在13萬以上,平均延時不超過100微秒,應用級**可以同時響應200個http請求;整機mtbf可達35000小時。具有極高的時效和可靠性。
防火牆方案
2 遮蔽主機閘道器 screened host gateway 遮蔽主機閘道器易於實現,安全性好,應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種型別。先來看單宿堡壘主機型別。乙個包過濾路由器連線外部網路,同時乙個堡壘主機安裝在內部網路上。堡壘主機只有乙個網絡卡,與內部網路連線 如圖2 通常在路由器...
CiscoPIX防火牆配置命令大全
一 pix防火牆的認識 pix是cisco的硬體防火牆,硬體防火牆有工作速度快,使用方便等特點。pix有很多態號,併發連線數是pix防火牆的重要引數。pix25是典型的裝置。pix防火牆常見介面有 console failover ether usb。網路區域 內部網路 inside 外部網路 ou...
防火牆測試方案
測試專案 測試一 nat pat 拓撲圖測試要求 如防火牆inside介面不夠,則使用交換機連線內部三颱pc並將內部網路合併為192.168.0.0 16 1.將192.168.1.1 pc1 靜態翻譯 位址翻譯 為58.135.192.55 2.將192.168.2.0 192.168.4.254...