防火墙升级方案

2024年4月3日发(作者：)

XXXX防火墙升级方案

一、概述

1、背景

XXXX现在所使用的网关设备为XXX，由于该设备的主要功能是安全网关等功能，在防

入侵、防病毒、行为管理、流量控制等众多控制功能的缺失或者过于简单，现已不能满足

XXXX的业务发展需求。

2、防火墙

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与

公共网之间的结构上构建的一道保护屏障，是一企业网络安全的第一道防线。

防火墙能在网络与网络之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的

所有网络通信和数据包均要经过防火墙。

3、需求分析

根据XXXX的业务发展需求升级更换的防火墙需要具备以下功能：

(1)、基于应用程序的流量控制以及行为管理

流量控制：对内网用户进行流量限制，可以设定优先级，优先级别越高，流量和速度就

越有保证，如设定QQ为最高级别，那么不管出口带宽占用再高，也会优先保证QQ的带

宽。

行为管理：对内网用户进行基于应用程序的流控以及行为管理，如可以限定用户不能访

问某个网站（包括HTTPS）或者只允许用户只能够访问指定网站指定端口等。

(2)、ARP绑定

把IP和MAC地址绑定在一起，通过策略控制，没有绑定的用户以及与绑定列表不匹配

的用户均能正常通讯，这一设定能最大限度限制ARP欺骗等病毒攻击。

(3)、多出口（WAN）

能够支持多出口，能够限定某部分用户走那一个出口。

(4)、防病毒

能够对恶意代码、病毒进行识别和过滤，

(5)、内外网隔离

把外网和内网完全隔离开，并且内网能够访问外网，外网不能访问内网，最大限度保证

内网的网络安全。

4、安全策略

(1)、安全域策略：

将外网设定为untrust区域，将内网设定为trust区域，服务器区域为DMZ。

源安全域

安全域 地址

trust any

用户

any

目的安全域

安全域 地址

untrust any

服务

any

源安全域 目的安全域

服务

安全域 地址 用户 安全域 地址

trust any any dmz any any

源安全域 目的安全域

服务

安全域 地址 用户 安全域 地址

dmz any any untrust any any

(2)、流量控制：

整体流量控制将划分为第一层流控、第二层流控，每一层流控下再划分三个根管道，根

管道下面再划分子管道，子管道下还可以再可以划分子管道，每一个管道都可以分配上传和

下载的流量，实现精确的应用程序流量控制。

流控例子：

第一级流控：

一号根管道：应用程序流量管道

├ 一级子管道一号：办公应用程序

├ 二级子管道一号：办公应用程序1

├ 二级子管道二号：办公应用程序2

├ 子管道二号：通讯应用程序

├ 二级子管道一号：通讯应用程序1

二号根管道：P2P程序

三号根管道：流媒体

第二级流控：速率控制