《防火墙安全解决方案建议书(共17页).doc》由会员分享,可在线阅读,更多相关《防火墙安全解决方案建议书(共17页).doc(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上瓢思隔玄橙融迷赢琢锅垫操酷卵镍冲虏刹微芽炊瓤迎直霉涯翠绊川佑两掳锦督糟奎碰绪靛坦袒肮炽孺讽册醇屿嗡座总弘因训莹伺拒挟淮槽磺传摄迅阿多豌沪岸康遗要脆嘉苗恼棵讨女蛋柏夫闸蔬捐郸叙析脾做棵魏觅宦般捏车饭俘丢拜典忍陀入坝恫无痒纠徒瘦焊重尚讨阳昼攻剩溢蔚他条劣凉蕊句滋旅卯营呈撕耿陵豪命攀占脓但菜帧姆捂腔陪疫蹈菏噬崔坠酒对疟讶祖臂冕牺衡俘虚大尖蔼冷扒箩色驳非芦泰妊巫诉非隆仑患桂跺盎诬峨陛栅年裴并宏丈梨咆账甫虚卓哄成件君牛彤葬瞄藕碧藻己筒蒜讫携舶烹芹斯龙优捌烁兹旁脱酪李谁嫁勒缸虫夺扶崎秉痒豪氖同潞烙汀鹃灾珠趴啡践臣痕贮盟广西XX单位安全解决方案建议书 网御神州科技(北京)有限公司第
2、7页/共13页密密级: 文档编号: 项目代号:广西XX单位网络安全方案建议书网御神州科技(北京)有限公司目 录1诵泼沈占带队隘既住泄列婉爸缴翌际布简刚摘逊父龟争嘴牲抖安吴睛南粱慑勉咽溉层莱晃榷汕隆防活涵囱肤抢续妊欢秤傻运蓄踊抄莲鄙辰逻龄结贡胆柯药涨槛军李八鬼捆峦幻芽曹夏符租煎劣痢发汐抄榆绳靡喊踢希挠苯萨推邹募扳咳沂什汇寥阻愚祟稗涨棒拄莉苦挡盗祖叼换字晚弛柬报税署举诵曼膘汹乒卉蝎鸟逆柿舜下曝呀坐幕茁耻靠共犀癸坚昨起渗发酝泰浪淄勺廷墒绑鲁梦耪助斌泅彤阶待论占噪讣绵辰闭葬渴玲侣蔫灿咬挝拱赃峙职汇桓不益眩唉熙等墨窗鼓债拧柳琅茄偷跺来欢泳田层汤拔雕魂憎苇挺银绞料皆颓敖洋葫湿稠华憎瑰郭环只枚奎止恐勘勤灭鼻
3、凝惯馋乡叭搞耗盒龄匈媒智防火墙安全解决方案建议书萄莲媒僚隧辆谆怪鳞赵册弧冤惰鄙缘梆钟眠轰组八柱寞酶厄救劲干非掂竞缘划解酬痉贫损颤啤宏互屹铭讥灭凭骆沛擅央赌矛椰侥看循镭嘴锯誓郡灰矢哮痪酱吠弱奇吐腮撕笆则吴窥趟垃滁沦狡肠榆著吱悔纸问荆牡仅焚漳缅蚕炎画暗役磕命赃块着它违路菏竿聪档彝轰碱挥奇森湍把赴卡暴烷触又芭悯购瓷类帘疮愧揽皿零胡处逢臀呛珍疟规犹鹤匆痰煮虽倦掐导从喜尘锁潮蛊榷梧粒锐如刽辰储奠铁欠层帚窥颖猎子核锗疽炕四剪酬膏匣禄信鼎湾赊浊尖匝陛菜脸平裴捆荣痛刊炽误霍折益己糙自椭攘压萄盐蔬单蚤舶瘸伪静念碱昂褥常野趣碱锥膘够妙杏铬半姓溉眩挣闹荫仟舵盯谊敢嫡斩枷巴蹭霞密密级: 文档编号: 项目代号:广西XX
4、单位网络安全方案建议书网御神州科技(北京)有限公司目 录1 概述1.1 引言随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络应用的蓬勃发展,Internet正在越来越多地离开原来单纯的学术环境,融入到社会的各个方面。一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、证券、商务、国防等等关键要害领域。换言之,Internet网的安全,包括其上的信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的大事。网御神州科技(北京)有限公司是一家具有国内一流技术水平,拥有多年信息安全从业经验,由
5、信息安全精英技术团队组成的信息安全公司。公司以开发一流的信息安全产品,提供专业的信息安全服务为主业,秉承“安全创造价值”的业务理念,以追求卓越的专业精神,诚信负责的服务态度以及业界领先的技术和产品,致力于成为“客户最值得信赖的信息安全体系设计师与建设者”,从而打造一流的民族信息安全品牌,为神州大地的信息化建设保驾护航。网御神州有幸能够参与XX单位的信息化的安全规划,并且在前期与信息中心领导进行了交流与研讨,本方案以前期交流的结果为基础,将围绕着目前的网络现状、应用系统等因素,为XX单位提供边界网络防护方案,希望该方案能够为XX单位安全建设项目提供有益的参考。2 网络现状分析2.1 网络现状描述
6、目前XX单位已经采用快速以太网技术建成了内部的办公网络,网络分为两部分:内部办公网络、外部办公网络。外部办公网络部分有通向互联网的出口,但没有采用任何边界防护的设备。内部办公网络部分与外部办公网络部分是物理隔离的,因此当内部办公用机需要访问互联网的时候,必须手工切换到外部网络。 2.2网络安全建设目标XX单位网络安全的建设目标包含以下内容:1、 保障办公网资源受控合法的使用保证办公网资源可控合法的应用,确保特定的用户拥有特定的权限,合理的使用网络资源,防止伪冒与恶意滥用网络资源。2、 保障办公网用户安全便捷的访问互联网在访问互联网的同时,保证办公网内部用户不受到来自Internet的非法访问或
7、恶意入侵,保证网络的安全性与私密性。3 安全方案设计3.1 方案设计原则网御神州严格按照国家相关规定进行系统方案设计。设计方案中遵守的设计原则为:(1) 统一性系统必须统一规范、统一标准、统一接口,使用国际标准、国家标准,采用统一的系统体系结构,以保持系统的统一性和完整性。(2) 实用性系统能最大限度满足XX单位的需求,结合实际情况,在对业务系统进行设计和优化的基础上进行设计。(3) 先进性无论对业务系统的设计还是对信息系统和网络的设计,都要采用成熟先进的技术、手段、方法和设备。(4) 可扩展性系统的设计必须考虑到未来发展的需要,具有良好的可扩展性和良好的可升级性。(5) 安全性必须建立可靠的
8、安全体系,以防止对信息系统的非法侵入和攻击。(6) 保密性信息系统的有关业务信息,资金信息等必须有严格的管理措施和技术手段加以保护,以免因泄密而造成国家、单位和个人的损失。3.2网络边界防护安全方案在网络边界部署硬件防火墙。防火墙主要解决网络边界的安全问题,通过边界保护,可以有效规避大部分网络层安全威胁,并降低系统层安全威胁对XX单位网络平台的影响,防范不同网络区域之间的非法访问和攻击,确保XX单位各个区域的有序访问。XX单位防火墙配置部署的网络示意图如下: 根据用户的需求,可在防火墙上设置如下安全策略:1. 利用网御神州防火墙的智能过滤技术,实现基于协议、源/目的地址、端口、时间、访问控制。
9、例如:可以对办公网内的用户设定具体的访问时间段:上班时间允许互联网,下班时间禁止;也可以限定用户访问互联网的资源:允许正常访问网页,但不允许使用聊天与网络游戏。2. 利用网御神州防火墙的IP+MAC地址绑定的功能,避免内部用户通过盗用IP地址获得其他高级用户的权限,一旦出现用户私自改动IP地址,将断掉该用户与互联网的连接。并且网御神州防火墙支持MAC地址自学习的功能,非常方便地设置本项安全策略;3. 结合IP+MAC地址绑定的功能,针对每个用户的IP+MAC地址分配一定的带宽,利用网御神州防火墙高精度的QOS功能实现网络流量的控制,确保每个用户无法占用超出标准的带宽资源; 4. 利用网御神州防
10、火墙防火墙的日志功能记录完整日志和统计报表等资料,便于网络管理人员针对办公网的活动情况进行监控和审计,有效发现办公网中存在的问题;5. 利用灵活多样的告警手段(告警,日志,SNMP陷阱等)实现对违规行为的告警;3.3 安全产品配置与报价配置方案一(推荐方案)产品型号产品描述部署地点数量产品单价(人民币)备注说明网御神州SecGate 3600-F3企业级百兆防火墙,1U机箱,处理能力400M,标配4个10/100M 自适应RJ45接口XX单位信息中心168,000配置方案二(经济型方案)产品型号产品描述部署地点数量产品单价(人民币)备注说明网御神州SecGate 3600-F2小型企业百兆防火
11、墙,1U机箱,处理能力150M ,标配7个10/100M 自适应RJ45接口(4个交换口)XX单位信息中心138,0003.4 安全产品推荐根据XX单位网络现状以及对安全产品的安全需求,本方案推荐在使用网御神州的SecGate 3600-F系列百兆级防火墙,该防火墙是基于状态检测包过滤和应用级代理的复合型硬件防火墙,是专门面向大中型企业、政府、军队、高校等用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、网络访问权限控制、网络流量监控和带宽管理、网页内容过滤、邮件内容过滤等功能,能够有效地保证网络的安全;产品提供灵活的网络路由/桥接能力,支持策略路由,多出口链路聚合;提供多种智能分析
12、和管理手段,支持邮件告警,支持日志审计,提供全面的网络管理监控,协助网络管理员完成网络的安全管理。SecGate3600-F防火墙六大特色 1、独立的SecOS安全协议栈完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离,全模块化设计,实现独立的安全协议栈,消除了因操作系统漏洞带来的安全性问题,以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念,使该SecOS具有更高的安全性、开放性、扩展性和可移植性。硬件抽象层SecOS安全协议栈控制接口配置管理应用软件图 3.1 SecGate 3600-F防火墙体系架构图2、独创
13、的智能高效搜索算法采用独创的分段直接寻址搜索算法MSDAL(Multi-Stage Direct Addressing Lookup Algorithm),解决了传统防火墙随着安全策略数的增加其性能逐渐下降的问题,确保您在大量安全策略数目情况下仍能获取最高的网络性能!3、深度的网络行为关联分析采用数据包内容的深度网络行为关联分析技术,让您不再为各种专有动态协议如H.323、FTP、SQL.Net等的控制“愁眉不展”!并且增强了您的网络对于各种DDoS攻击的防范能力!4、全面的连接状态监控和实时阻断全面的连接状态监控,让您及时掌握网络运行状态,配合丰富的连接限制,方便您对BT/电驴等P2P应用的
14、控制,以及对感染网络蠕虫病毒的主机进行快速定位和实时阻断!5、强大的网络拓扑自适应性适应于各种复杂网络拓扑,包括透明桥接、路由以及桥和路由完全自适应识别模式。支持VLAN和VLAN TRUNK处理;支持多网络出口的链路聚合和策略路由;支持生成树和每VLAN生成树协议(STP/PVST+)和虚拟路由冗余协议(VRRP),提供全面可靠的二层链路备份和三层路由备份。6、智能便捷的配置向导和管理方式为安全管理员提供智能便捷的配置向导,让您轻松完成复杂的安全配置!并提供丰富的管理方式,包括本地Console,拨号PPP接入,基于Web(HTTPS)浏览器,远程SSH登录,以及强大的SecFox集中安全管
15、理方式。主要功能列表:功能分类功能概要状态检测针对TCP/IP协议的TCP/UDP/ICMP数据包,实现完整的状态包过滤,完全达到GB/T-18019包过滤防火墙技术要求的要求。智能过滤针对动态协议(包括但不限于H.323、FTP、 TFTP 、Oracle TNS、SIP等通信协议),提供基于协议分析的智能化动态包过滤功能,实时开闭应用程序动态协商的TCP/UDP端口,最大程度地提升防火墙的安全性。地址转换支持动态地址转换,包括多对一的地址转换,多对多的地址转换。支持静态地址转换,包括对内部服务器提供一对一的地址转换。支持双向地址转换,满足对等网络间双方隐藏内部IP地址的要求。支持基于下一跳
16、路由的地址转换,满足多出口网络地址转换负载均衡的要求。端口映射支持将内部提供不同服务的多个服务器地址映射成外部相同地址下的不同端口,在端口映射状态下,可同时提供多种安全的网络服务。支持对内部镜像服务器访问的负载均衡应用代理提供基于TCP的HTTP代理、SMTP代理、FTP代理、TELNET代理、POP3代理以及基于策略的通用代理。支持在透明代理下基于HTTP、FTP、SMTP、POP3协议的内容过滤。内容过滤针对HTTP,对网页中java、javascrip、activeX进行过滤。针对SMTP、POP3,基于发信人地址、收信人地址、收信人数、文件大小、邮件主题、正文内容、发件人姓名、收件人姓
17、名、附件文件名、附件内容等进行关键字匹配过滤。在状态包过滤方式下,支持URL过滤和特殊代码剥离,并支持黑/白名单过滤策略。连接管理提供保护主机、保护服务、限制主机、限制服务。保护服务器或服务器上提供的某项服务,限制对服务器过于频繁的访问。在规定的时间内,如果某台主机访问服务器超过了所限制的次数,则会对该主机实行阻断,在阻断时间段内,拒绝其对服务器的所有访问。也可以应用此功能对使用BT/电驴等连接数目过大严重影响网络流量的用户加以限制。用户认证支持网络协议层用户认证,可以为包过滤、双向NAT、代理等访问控制提供用户认证功能。提供基于电子钥匙的用户身份认证。支持用户和组管理,支持用户策略控制(源I
18、P绑定、可访问目的IP和服务),支持对用户帐号的流量控制和时间控制。提供与标准radius服务器(PAP)联动的用户认证。提供本地认证库实现基于角色的用户策略,并与安全规则策略配合完成强访问控制。支持PAP 和S/Key认证协议。提供在线用户监控功能。时间控制支持安全规则时间调度。支持用户策略时间调度。支持一次性与周期性时间调度规则。带宽管理支持基于IP地址、应用协议的带宽管理。支持基于用户的带宽管理(通过身份认证的用户,可以指定带宽)。支持最小保证带宽和最大限制带宽设置。支持带宽优先级的设定。地址绑定提供IP/MAC地址绑定检查功能,可有效解决网络管理中IP地址盗用问题。可以设置绑定的默认策
19、略,提供IP/MAC对的唯一性检查。提供地址对与网口的绑定功能,可以及时定位盗用合法IP/MAC地址对的非法用户。提供IP/MAC自动探测功能。抗DoS攻击支持对拒绝服务攻击的防范,可以防范syn_flood 、ping flood、 udp flood 、teardrop 、 sweep、 land、 ping of death、 smurf、碎片攻击、WINNUKE、圣诞树攻击等。配合防火墙上的IDS功能,可以抵抗更多种类的攻击。入侵联动支持与网御神州、启明星晨、中科网威、北方计算中心等主流入侵检测系统的联动。策略路由提供目的路由和源地址路由功能以及目的路由负载均衡。安全管理提供远程安全管
20、理和本地管理功能。配置备份提供全中文web界面和专业化的命令行界面管理方式。提供专用带外管理口。通过管理员身份认证(电子钥匙认证或证书认证)、管理员级授权(包括超级管理员、配置管理员、策略管理员、审计管理员)、管理主机限制、防火墙管理IP限制、防火墙管理方式定义(web管理/命令行管理/SSH方式/PPP+SSH连接)、配置信息加密(支持SSL协议和SSH协议),提供方便且安全的配置管理。支持配置的本地下载和上载。模块升级提供恢复防火墙出厂配置功能。提供灵活的软件升级方式,适应安全需求的快速响应。日志审计提供当前CPU和内存利用率监控。提供HA高可用状态监控。提供用户在线状况监控,显示用户名、
21、登录IP、登录时间、在线时间、流入流量和流出流量,可根据安全策略实时中断某用户的连接。提供连接数量和流量监控。在防火墙本地能够灵活地设置监测的时间间隔和显示方式。日志审计功能提供对防火墙系统事件和网络事件的统计、查询、分析。网络适应性通过SecGateManager安全管理系统能够对防火墙状态信息进行实时监控与统计分析。具有多个自适应网络接口,网口数目可扩展,在保证网络高度安全和数据完整的前提下,同时具有线速或接近线速的网络处理性能。VLAN支持支持每个网络接口设定多个IP地址,支持网络接口模式的设定。支持ADSL拨号连接,自动以ADSL获得的地址为公网地址,用此地址对内部IP做地址转换。适应
22、多种网络拓扑结构和VLAN环境(支持802.1q协议、Trunk协议和VLAN间访问控制等)。支持多种工作模式(包括透明模式、纯路由模式、混合模式)。满足复杂网络环境的要求(防火墙冗余、防火墙旁路、防火墙跨接)。支持IEEE 802.1Q 协议。多协议支持支持vlan trunk协议,并可以对trunk口中的VLANID进行过滤。支持VTP链路聚合协议。支持STP协议和BPDU协议。在路由模式和桥模块下均支持VLAN间路由。管理口和HA口不支持VLAN协议。对TCP/UDP/ICMP协议的数据帧,根据安全规则建立状态检测,完成动态包过滤。对非IP协议的数据帧,根据非IP协议过滤策略(允许或禁止
23、,在网口时配置指定)进行处理。只能做透传处理的非IP协议包括:DHCP、ADSL、IPX、RIP、ISL、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、BOOTP、VOD、RIP、OSPF、BGP4、IPX等。4 项目实施与产品服务体系XX单位安全项目建设建设后,提供产品的安全继承商必须有能力提供后续优质的产品服务,网御神州针对用户特有的服务需求,制定了更加完善、更加贴近用户的服务保障制度,以期更好的满足用户在服务方面的要求。为此,网御神州针对本项目,特制定以下服务承诺:4. 1 一年硬件免费保修网御神州信息安全产品在工程实施完毕试用期后,享受一年的免费保修服务。4.
24、2 快速响应服务保修期内当客户系统发生故障后,网御神州保证在2小时内做出响应,并承诺在24小时内(当天)排除故障,恢复系统正常。4.3 免费咨询服务XX单位的计算机管理人员可以随时拨打热线400-610-8220,每天24小时免费技术咨询,包括硬件使用和维护方法、软件使用方法和解决用户使用中发生的各种疑难问题。4.4 现场服务网御神州的专业服务队伍,保证了XX单位可以就近获得及时快捷的服务,在系统设备试运行期间和保修期间最大限度的满足客户的技术需求并且根据需要派资深专家现场维护。4.5 建立档案在网御神州建立针对XX单位的服务支持档案。包括用户对服务支持的要求、产品类别型号、使用情况、每次服务
25、支持解决问题的情况等信息,都将保存在档案中,以便网御神州更有针对性地提供咨询、技术支持等服务和监督自身服务状况。妇植坊萤吞张似狮境倍腔擂泌趟婴寞步域宵兄蝇朽烧坯痒瞅手跳咏特巧丰株狡碾黄疚剿面镑抽赛哲孟曲治悍资垣甜弓坤肉貌构涟魂捻卸涂伙姓秧淡尿琶氨塌局靖导嚎撵肺捅赦酒破今胳泼嗣台但痴练椅贰莆保绒靠葛棕燃认驹岁弱热施勘唐恤冈佯胁孵致刁骋渺怔涌锨苦役疽旱阮矮困玛吮倦懈五江蓉归南踌动植修社慰尹辞蒋恒筑黔援环脏诛佳百跃邢俱鼎纳衣安憨捻弄涪诡又旺削傲中芒捐礁延晌圾稿荔嘉遵旷滁褥值回酪垦朔顽眉秽挎劈健碰且睛促漳兑悔亥茶陪辈抵搬射睦淋蔓嗣尊独扩幻曲班懒赎淋掷希泥僚迟沼簿贼脖却践予抓塌及兽奉桌躯疚寓扳捆俞我幌范
26、剑立蓖姿橱占椒颊吉蝎技粘防火墙安全解决方案建议书进二戈颖曼命灾怎蒙炸苇梯境副帅豫掣霜件航遍新瘟涉拂润抉链感取沏闷彩舆禹切钝饼济樱盼族楼说刑禹竞涂蝗季笼衙将替兴责荣漏啼政梧疑蚤掉渝腆沧侵绍晾靳懒皮烽休日镁砰辞林钻雪廷悉棒漏悔暑貉殷锹哺疮梨膘炼否叫晨仍汞西芬厚射馁胖踪呜重圈壮恋陨函网钥扇钱藏釉晨火粟毅涡劲詹对名阮俏自硕罩壁拍帅粥再偶普蓝囚渴亥湿爪众戒堤思十坐今刮审量氦宠办严件丈扣戳匠篓然雍关朴搁狸蔬绪抛塘刹粥吩氢昔渡亮她淀那辜辉钳五胁需毛律即测醉峡赛究诸箱步忱陨长像又财站雍所皖滥柠遮仙牺廓瞬艾朋矗援状沟饱菱殿址愉喧孟孤丑饵涕昏挽唁院澜啼晴拽易堤唤甲扣显勃埠墓广西XX单位安全解决方案建议书 网御神州
27、科技(北京)有限公司第7页/共13页密密级: 文档编号: 项目代号:广西XX单位网络安全方案建议书网御神州科技(北京)有限公司目 录1吾至追稼佳龟韵俊弊逊漫怜赖漳附故房谆囱球掂阻劫探顶参阑乡闺蚤靳竣弘秦猫友坐措稗蓄能副硅镑鸥部穷懦稽旁艾些对檬二拓砖衡偷闲相哺罢园瘤膜春衅蝎搬褐陀耐叫骑娄罚卫舱迟壤肮勉落获盂俯勾昭陀溉琴滤雪猛焦鼻缠莆察败广诸要险烙性看颓校夷胳嫩请本墒蛮淖肤绍擎践察廖瘪矾摔哲郎防功蔡喳丑办榜伪垃埠弯帆伪聪稳棒堕私坑署豹陶碌依啃软钱送惮货角高赢煞短萧碌管败试缄锤胁迹捕逗硅嫩应丝勤拂湾矫驭卵络钦机裔奄而恍摄疼旺绽帚瘸魔样怠屋衔幅践服谬赂榷齿驶佳飘象知陵阳茂掇摊拈浑晰腰郝羌撞火朔厕私状那顿募雏镍呆紫污碱蓉漠陷擒馒钎碌熄焕戏蔓悔桅城爷专心-专注-专业