大型icp网站网络安决方案.docx

大型ICP网站网络安全解决方案
对于一个ICP（Internet内容供应商）来说，拥有大量访问量和用户是ICP目标，但这样，又会带来系统安全、网络带宽与服务器处理能力大量需求。因此，我们可以说，对于一个ICP来说，一台好防火墙不际上，采用域名轮转方式来做系统负载分担，其效果并不明显，而且存在着一定弊端。
使用天网防火墙分布式方案，可以建造具有快速响应时间和高容错大容量服务器集群系统。天网防火墙负载分布模块，可以智能地将用户服务请求分布到多台服务器上面，同时，提供容错功能，可以自动隔离出问题服务器。系统具体功能如下：
1） 动态负载均衡
天网防火墙负载分布模块可以根据服务器负载情况，包括CPU 占用量，系统Load等情况，自动选择负载最小服务器，将用户服务请求发送到该机器上。
2） 容错处理
天网防火墙负载分布模块可以自动检测服务器可用性，当某一台服务器出现故障时候，分布式系统会自动绕开发生故障机器，不会将用户服务请求发送到改机器上，保证了系统正常运作。 在实际应用中，由于服务器端常常存在着CGI程序，这些程序会将用户信息保存在服务器内存中，如果负载分担系统不能识别用户来源，就会将同一个用户请求分布到不同服务器上，就会导致无法正常运行程序。而天网防火墙负载负担模块采用独有IIDR（智能身份识别）算法，能够保证同一个用户CGI请求可以保留在同一台服务器上，保证服务正常运作。
采用分布式结构建造大规模Internet应用，可以容纳大量用户，然而在用户量增大到一定情况下，负载分担服务器处于整个网络中心位置，有可能反而成为服务系统瓶颈。天网防火墙负载分担模块在设计时采用高性能专用散列算法，保证系统即使在处理巨大用户量（每秒同时连接数大于30000用户）下，网络效率仍然可以达到80%以上。
用户需求分析
网站准备使用十台服务器对外提供Web服务，使用四台服务器作为Smtp服务器，两台服务器作为POP3服务器，对外进行服务，估计将有23-25M流入数据量和12-14M外流数据量 ： 1、 公共网络。提供网站Web界面访问，收发电子邮件服务。2、 外部网络。提供到Internet连接。
主要应用类型包括：1、 Web应用 2、POP3及Smtp电子邮件应用 3、DNS服务 4、FTP服务
安全策略为先关闭全部服务和端口，在开放部分服务和端口。
网络结构
根据网站当前网络需求，我们建议使用基于天网防火墙ICP型安全解决方案。下图为本建议方案网络拓扑示意图。
为了保证站点稳定性、容错性，本方案使用天网防火墙ICP型，通过防火墙划分为物理上相互独立两个网段：1、 公共网段（Public Network） 2、私有网段（Private Network）。 其中，公共网段提供面向Internet广域网连接和接受互联网用户访问支持；私有网段安放十台Web服务器、四台Smtp服务器和两台POP3服务器，提供Web和电子邮件应用服务。
安全策略
目：1、 划分安全区域。2、 制订安全策略， 包括用户访问控制， 定义访问级别，确定服务类型。 3、审核和过滤，仅符合安全策略访问和响应过程可以通过，拒绝其他访问请求。
根据对用户需求分析， ： 1、内部网段 2、 外部网段。
分属两个安全区域网段通过天网防火墙进行互连。
No.
安全区域
安全级别
访问级别
1
外部网段
低级
无。提供网络连接。
2
内部网段
高级
可自由访问外部网络资源；对外不可见。
现有需要进行审核和过滤应用和服务类型包括：
服务类型
端口范围/协议类型
说明
WWW
80,tcp
WWW服务
FTP
21,tcp
文件传输服务
DNS
53,tcp/udp
域名解析服务
SMTP/POP3
25/110,tcp
电子邮件
根据网络安全解决方案中用户需求、网络拓扑以及制定安全策略，防火墙采取以下配置方案：

类别
项目
IP地址/掩码
说明
备注
networks
Ixternal_Network
内部网络
 
 
External_Network
外部网络
 
Interfaces
fxp2
连接到公共网络
 
 
fxp0
连接到内部网络
 
internal_hosts
console
网管工作站
 
 
服务器
Web服务器
 
 
服务器
电子邮件服务
 

路由设置
目网络地址/掩码
网关地址
 
 
DNS设置
Intern