银行核心防火墙建设方案

1、银行核心防火墙建设方案数据中心安全核心需求2安全隔离建立边界: 网络, 主机, 虚拟化设备对功能，设备，组织进行 策略实施 对网络，资源，应用 进行 访问控制威胁防御终止 内网和外网的攻击巡查 区域和边界控制信息 的访问，使用和泄露可视化提供 透明化 的应用使用情况使用 业务关联性 确认网络使用情况简化 运维和法规报表数据中心对防火墙的要求LinkDeviceSite网络集成性能冗余性/可扩展性访问控制/威胁防御防火墙既是网络设备，又是安全设备。网络方面的需求：稳定/高性能/易扩展 与网络平台无缝结合，保障网络设计的优越性不受影响。安全平台可以按需扩展，满足数据中心对性能，跨数据中心部署的需求

2、增加安全特性，整体性能最小限度受影响安全方面的需求：以威胁防御为核心真正能够阻挡住威胁针对最新威胁，快速响应如何选择数据中心的防火墙选择标准稳定性最重要最大的性能保证最大的冗余性全面的安全性无性能下降易于部署虚拟化应用最广，最为稳定的防火墙超出Datasheet的性能集群和完美结合N7K技术防火墙+入侵防御独立硬件模块透明vlan切换技术一虚多，多虚一思科是最可信赖的网络安全厂商安全市场份额遥遥领先数据中心安全的最优选择ASA防火墙20年发展历程19952005FW OSv8.0Initial PIXBeta Testing软件平台FW OSv3.xFW OSv5.xFW OSv6.0FW O

3、Sv7.0硬件平台PIX 501PIX 510PIX 10KPIX ClassicPIX 520PIX 506 & 515PIX 506E & 515EPIX 535PIX 525FW OSv9.120082010ASA5585-10ASA5585-20ASA5585-40ASA5585-60ASA5505ASA5510ASA5520ASA5540ASA5550ASA5580-20ASA5580-40历经20载被验证的稳定和成熟技术功能不断丰富完善，满足各种用户需求清晰的产品路线图FW OSv8.32015ASA5512-XASA5515-XASA5525-XASA5545-XASA5555-

4、XFW OSv9.42012ASA5506-XASA5508-XASA5516-X安全数据中心Cisco VXI数据中心边界安全数据中心分区隔离数据中心应用分级安全和应用可视化数据中心多应用和部门安全VDC1VDC2vPCvPCCTX1CTX2InternetCampus / Data CenterCTX2CTX1VendorPartnervPCCTX1CTX2ExtranetWeb对外服务平台数据库前置机DMZ1234Architecture业务/租户 3业务/租户 t 2业务/租户 1虚拟防火墙虚拟防火墙 vm vm vm vm vm vm vm vm vm虚拟交换机 vm vm vm防火

5、墙/入侵防御集群技术安全设备按需增加的集群技术+深入虚机内部的安全防护根据业务类型/安全等级等划分安全域根据安全域的类型（物理边界/虚拟边界）选择防护方式高冗余性高可扩展性便于部署虚拟化思科数据中心安全设计从物理安全到虚拟化的安全防火墙入侵防御ASA防火墙集群设计ASA集群的优势高性能高可靠性易于平滑扩展原有投资保护数据中心防火墙可扩展性设计Cisco集群好处：增强整体性能：最高16台cluster支持高达超过300G的性能投资保护：所有的节点都参与流量转发，实现按需扩展简化管理，cluster中的多台防火墙统一管理，统一配置，统一策略增加冗余度，各台防火墙之间存在备份机制，无中断升级单数据中

6、心部署双活数据中心部署银行数据中心核心交换区-核心防火墙MAN/WAN核心交换机Nexus7010-1核心交换机Nexus7010-2汇聚交换机Nexus5672-1汇聚交换机Nexus5672-2Nexus2248TP*4生产一区汇聚交换机Nexus5672-1汇聚交换机Nexus5672-2生产二区MAN/WANVDC01VDC02核心防火墙ASA5585-S40核心防火墙ASA5585-S40 虚拟防火墙 虚拟防火墙 虚拟防火墙 虚拟防火墙Nexus2248TP*4Nexus2248TP*4Nexus2248TP*4VDC0ASA 通过vPC 连接Nexus (最佳实践)Aggregat

7、ion LayerL2L3FW HAVPCVPCVPCDC Core / EDGEVPCVPCFHRPFHRPSVI VLAN200SVI VLAN200North ZoneVLAN 200South ZoneVLAN 201TrunksVLAN 200 OutsideVLAN 201 InsideASA 使用多物理链路+vPC技术连接NexusASA 通过配置Failover 技术，对链路出现丢失时，有效的进行设备切换N7K VPC 40N7K VPC 41ASA channel 32VPC PEER LINKVPC PEER LINKAccess LayersCore 3Core 4Con

8、goAGG 1VDC 2NigeriaAGG 2VDC 2OTVOTVASA4Core 1Core 2AGG 1AGG 2OTVOTVASA1ASA2ASA3数据中心1 数据中心2 Core 3OTV 3Core 4OTV 4Core 1OTV 1Core 2OTV 2OTV Site VLAN 700vPC 10vPC 11OTV Site VLAN 700vPC 25vPC 26MasterSlaveSlaveSlave利用ASA集群功能构建双活数据中心OTVN7k2-VDC2N7k1-VDC2N7k1-VDC3N7k2-VDC3VRF1VRF2VRF3VRF1VRF2VRF3服务器终端区

9、域中心大楼内多企业租户环境运行模式：虚拟防火墙虚拟系统模式基于物理或者逻辑接口划分虚拟系统可以工作在路由或者透明模式多个系统可以混合模式侧挂或者在线部署支持动态路由MAN/WAN核心交换机Nexus7010-1核心交换机Nexus7010-2汇聚交换机Nexus5672-1汇聚交换机Nexus5672-2Nexus2248TP*4生产一区汇聚交换机Nexus5672-1汇聚交换机Nexus5672-2生产二区MAN/WANVDC01VDC02核心防火墙ASA5585-S40核心防火墙ASA5585-S40 虚拟防火墙 虚拟防火墙 虚拟防火墙 虚拟防火墙Nexus2248TP*4Nexus224

10、8TP*4Nexus2248TP*4VDC0优势：ASA提供最完备的安全部署方式独立的硬件平台高性能高可靠性集成多种服务独立防火墙分布式的安全策略执行基于网络设备或者设备上的安全模块集成防火墙模块虚拟化的云防火墙在虚拟或者云环境中，部署细粒度的安全防护产品特色:集成Sourcefire NGIPS技术涵盖整个攻击过程业界领先的云安全智能用户受益:主机和应用的识别应用的可视化与行为控制自动调优的IPS规则 恶意文件的拦截和轨迹跟踪网络设备联动策略ASA5585-X集成FirePOWER服务板块ASA5500-X 集成FirePOWER服务优势：ASA集成下一代防火墙功能优势：集成IPSec&SS

11、L VPN功能CiscoASA同时支持IPSEC/SSL VPN接入ASA支持多种智能手机接入ASA VPN集群技术，扩展性业界领先；支持多种智能终端VPN接入Apple iPhone/iPadAndroidInfected ClientsASA 防火墙Malware Command & Control“云”智能 Cisco智能防护CSIO智能运营中心；提供基于云智慧的动态策略调整；下一代防火墙的信誉度过滤优势：云安全技术提供智能防护优势：支持Netflow日志导出NetflowLogs/TrapsSyslog,SNAPIDSIps,Wips,Cisco提供全面的流量监控、事件监控和访问日志，

12、Cisco的安全设备可以提供syslog，snmp，netflow等接口，将实时日志发送到日志审计系统优势：支持与vPC/VSS最佳部署ASA部署方式与vPC/VSS实现etherchannel部署提高线路带宽和冗余度线路的切换代替设备的切换路由透明模式皆可提供与Nexus系列设备的最佳实践部署vlan 150vlan 151vlan 101Vlan 100vlan 250vlan 201vlan 200vlan 251Bridge Group1Bridge Group 2vlan 400vlan 301vlan 300Bridge Group 8BVI1BVI2BVI8每个bridge-gr

13、oup支持4个接口,可以用于对同一网段不同安全级别主机之间的防护支持二层数据包的过滤支持动态路由，组播，非IP包等的透传Vlan 401优势：支持路由或透明模式部署N7k2-VDC2N7k1-VDC2N7k1-VDC3N7k2-VDC3VRF1VRF2VRF3VRF1VRF2VRF3服务器终端区域中心大楼内多企业租户环境优势：支持灵活的虚拟防火墙系统虚拟系统模式基于物理或者逻辑接口划分虚拟系统可以工作在路由或者透明模式多个系统可以混合模式侧挂或者在线部署支持动态路由ASA防火墙SYSTEM CONTEXT不同的虚拟防火墙 用户接入区一占用系统资源20 用户接入区二占用系统资源5用户接入区n占用

14、系统资源20可以配置成二层、三层虚拟防火墙虚拟防火墙可以定义其各自的安全策略，并可以定义占用的系统资源优势：支持灵活的虚拟防火墙系统优势：防火墙集群技术部署真正的防火墙集群方案集群优势：增强整体性能：16台防火墙集群支持高达超过600G的性能投资保护：所有的节点都参与流量转发，实现按需扩展简化管理，cluster中的多台防火墙统一管理，统一配置，统一策略增加冗余度，各台防火墙之间存在备份机制，无中断升级单数据中心部署双活数据中心部署业务挑战思科解决方案业务成果数据中心，需要对重要信息做出安全防护高性能数据中心，要求提供最高性能要求网络设备提高最大的稳定性采用思科ASA 防火墙解決方案ASA55

15、85高性能防火墙平台7台ASA5585SSP60作为数据中心的各个分区的防护平台93台ASA5585SSP10作为分行互联网边界控制点以及第三方接入控制点30多台5525作为第三方接入控制点高可靠的数据中心整体网络，完备的冗余配置大大提高了数据中心的可靠运行时间大大减少了数据中心的网络故障切换时间。双向地址转换，实现边界互通安全安全案例中国建设银行数据中心与边界安全项目中国银行网银安全网银出口部署异构的防火墙设备划分不同的安全区域，对应于大众网银和企业网银区的WEB区和应用数据区，分别进行隔离防护。大连农商行双活数据中心-防火墙集群MAN/WAN汇聚交换机Nexus5672-1汇聚交换机Nexus5672-2Nexus2248TP*4OTV互联VDCNexus2248TP*4MAN/WA