5.4配置方案由于蚌埠广播电视台是蚌埠广播电视台网的主要组成部分,它的安全性、可靠性对其正常行使宏观经济调控职能起着重要的作用,所以对其防火墙分系统采用双机备份,而其它省级蚌埠广播电视台只采用单机防火墙配置,其系统配置方案如图5.4所示。在蚌埠广播电视台与专网互联处加入一台防火墙。由于蚌埠广播电视台网络需要连接的网络有专网以及互联网,所以采用双机备份的防火墙需要5个接口,如果双机切换采用串口连接监视heart-beat信号,那么需要4个接口的防火墙即可;第一个接口连接专网e0链路,第二个接口连接互联网e1链路,第三个接口连接SSN区(DMZ),第四个接口连接内部网;由于采用双机备份,所以在接口处需要配置集线器或交换机。当蚌埠广播电视台网络出口的流量超过一定极限时,可以将两台防火墙配置成防火墙机群工作模式,实现双机分流和负载均衡。根据安全需求,在专网与Internet互联的时候需要采用NAT技术,隐藏其内部网络结构,同时在扩展安全设备时不宜改动原有的网络结构及配置,因此最好将防火墙配置为路由模式与透明模式相结合的混合工作模式。5.5选型建议根据防火墙分系统的技术要求,本方案推荐在蚌埠广播电视台使用联想针对政府各部委办和金融骨干企业自主开发的高端防火墙--网御2000FWP,推荐在省级蚌埠广播电视台使用联想自主开发的标准防火墙――网御2000FWE。推荐选用网御2000系列防火墙,是因为网御2000系列防火墙除了完全满足“蚌埠广播电视台网安全系统包技术指标要求”规定的防火墙资质要求、功能要求和性能要求外,还具有以下显著的技术特点:三墙合一:网御2000集防火墙、防毒墙、防黑墙三位一体,具有很高的性能价格比。智能过滤:网御2000不但支持状态包过滤和动态包过滤,还创立了根据数据包的网络特征(源地址、目的地址、协议号、端口号、服务类型、传递方向等)、时间特征(可疑连接的时间间隔等)、空间特征(特定时段内可疑连接的相关程度等)和数据结构特征(数据包长度、信息相关性等),建立了独具特色的动态智能包过滤安全防护体系,可以显著提高包过滤防火墙的安全特性,并拥有5项专利技术。混合模式:网御2000不仅支持路由模式和桥模式,还支持两者融为一体的混合模式,以及具有负载均衡功能的防火墙机群工作模式,能够适应复杂的网络环境和网络应用,并且安装配置极其简便。透明代理:在应用代理设计方面,网御2000不仅提供各种标准应用和特定应用的透明式代理服务,而且还支持用户自定义的透明式代理服务,并可根据特殊需要方便地实现代理的级连。用户认证:网御2000支持基于USB安全装置和智能IC卡的用户强身份认证体系。底座安全:网御2000采用联想自主研发的服务器硬件平台和专用安全操作系统平台,较好地解决了“底座安全”问题,具有很高的自身安全性能。在线升级:网御2000的安全防护软件、入侵检测特征规则库和病毒库均支持网络在线升级,因此可以随着网络攻击手段的变化地不断地更新和提高防火墙的安全防护能力。高效可靠:网御2000防火墙在100兆以太网口、100条规则的情况下,数据吞吐率可达到线速(100Mbps),并发连接数在13万以上,平均延时不超过100微秒,应用级代理可以同时响应200个HTTP请求;整机MTBF可达35000小时。具有极高的时效和可靠性。