《天融信等级保护解决方案天融信战略方案推广中心》由会员分享,可在线阅读,更多相关《天融信等级保护解决方案天融信战略方案推广中心(24页珍藏版)》请在金锄头文库上搜索。
1、天融信等级保护解决方案天融信战略方天融信等级保护解决方案天融信战略方 案推广中心案推广中心 篇一:天融信 VPN 组网解决方案 XXXX VPN 系统解决方案 北京天融信科技有限公司 XX 年 6 月 目 录 第一章 XXXX 网络现状及需求分析 . 3 网络现状 . . 3 现有组网方式的缺陷 . . 3 访问没有保护 . 3 无法运行内部管理软件 . 3 增值服务无法实施 . 3 网络管理混乱 . 3 需求分析 . . 4 第二章 VPN 技术及天融信 VPN 产品 5 VPN 基本概念 . . 5 2.2 VPN 的基本技术 . . 5 一般 VPN 解决方案所面临的几个问题 . . 7
2、 天融信 VPN 产品及其典型解决方案 . . 9 天融信 VPN 硬件安全网关 . 9 天融信 VPN 客户端 . 15 天融信 VPN 安全策略管理平台 . 17 天融信 VPN 产品的主要特点 . . 22 支持国密局IPSec VPN 技术规范 . . 22 全面支持 IPSec 协议标准. . 23 CleanVPN . . 23 完善的 PKI 体系提高用户网络安全等级 . 23 支持全动态 IP 地址间建 VPN 隧道 . 24 NAT 自动穿越 . 24 隧道路由技术实现 VPN 灵活自动部署 . 24 完善的 VPN 网络集中管理功能 . 25 支持组播穿越隧道 . 25 多
3、机多线路负载均衡与备份 . 26 支持灵活的移动用户接入策略 . 26 丰富多样的认证与授权 . 26 分级可信接入体系 . 27 简单易用的无驱客户端 . 27 iOS 零安装. . . 27 集成功能强大的防火墙功能 . 28 集成强大的网络附加功能 . 28 第三章 XXXX 网络系统互联 VPN 解决方案 29 VPN 解决方案 . . 29 配置及功能说明 . . 31 天融信安全策略管理平台 . 31 天融信 VPN 硬件安全网关 . 31 天融信 VPN 客户端 . 31 通信过程分析 . . 31 安全性分析 . . 31 密钥管理 . . 32 本解决方案的主要特点 . .
4、32 第一章 XXXX 网络现状及需求分析 网络现状 XXXX 业务网络系统由总部和 100 个左右分支机构组成。 各分支机构均为规模不等的局域网络所组成,其中总部局 域网络是整个网络系统的核心,为企业各类业务服务器所 在地,同时也是网络管理中心。各分支机构和移动办公用 户通过 Internet 与总部通信。 现有组网方式的缺陷 访问没有保护 在现有的方式下,各分支机构通过因特网与总部联系 (一般是 E-mail 或者各种即时通讯工具),由于这种联系方 式都是通过公网进行明文互动,毫无保密性可言,商业机 密数据有可能被竞争对手得到,从而引起业务损失。而且 使用 E-mail 方式实效性不高,双
5、方的通讯存在时间差,不 利于企业内部沟通。 无法运行内部管理软件 因为总部内网和分支机构局域网之间不能互通,一些 基于 IP 的业务软件不能运行,如无法实施 OA、ERP 等管理 软件,影响企业管理效率,不利于整体策略性管理。 增值服务无法实施 诸如视频电视、电话会议、IP 电话之类的增值服务在 这个网络上很难展开甚至无法展开,为了能使用这些方便 的功能,还要另外在线路上进行改造,增加了企业负担。 网络管理混乱 随着企业规模的扩大和分支机构的增多,各分支机构 局域网的管理人员素质参差不齐,分别按照各自的习惯进 行局域网建设,没有统一的标准进行有效管理,开展增值 服务时反而变成企业业务发展的障碍
6、。 需求分析 根据 XXXX 现有的网络状况和业务情况,希望改建之 后的网络达成如下目标: ? 能够保证各分支机构和移动办公用户安全快捷地访 问总部局域网内业务服务器; ? 数据在 Internet 上传输 时应保证足够的安全; ? 能在全网实施 OA、ERP 等各种业务软件,提高企业 管理效率; ? 能随时在网络上开展各种网络服务,如 IP 电话、 视频会议等; ? 能对全网进行统一规划,统一管理。 基于以上的需求,当今较为完善的解决方案是实施基 于 IPSEC 的 VPN 组网方式,以下将详细论述 VPN 的基本原 理及天融信 VPN 的解决方案。 篇二:天融信 TOPSEC 网络安全管理
7、整体解决方案 天融信 TOPSEC 网络安全管理整体解决方案 天融信公司在国内独创的 TOPSEC 技术体系上,在 “全面、联动、管理”的技术理念的基础上,构架了以各 类安全产品及集中管理、集中审计为一体的全面的、联动 的、高效的、易于管理的 TOPSEC 安全解决方案,保障客户 网络从边界到桌面、从局域网到广域网高安全性。 TOPSEC 解决方案包括综合管理系统,各类安全产品 如防火墙、IDS、VPN、安全网关、个人安全套件以及综合 安全审计系统等。 全面、联动、高效、易于管理 网络安全是整体的。我们可以通过选择优秀的产品、 优秀的服务构建一个解决方案,但如果各个优秀的产品、 优秀的服务等各
8、个环节之间相互孤立,则各个产品、服务 环节的安全策略相对孤立,无法形成整体的安全策略;这 样势必形成安全漏洞,给入侵者可乘之机。 网络安全是动态的。如果各个优秀的产品、服务等各 环节之间是孤立的,则无法全面了解网络的整体安全状况, 当然也无法根据网络和应用情况动态调整安全策略。 因此,网络安全需要统一、动态的安全策略,更需要 一个联动的高效的整体的安全解决方案。 天融信公司在国内独创的 TOPSEC 技术体系上,在“全 面、联动、管理”的技术理念的基础上,构架了以各类安 全产品及集中管理、集中审计为一体的全面的、联动的、 高效的、易于管理的 TOPSEC 安全解决方案,保障客户网络 从边界到桌
9、面、从局域网到广域网高安全性。 TOPSEC 解决方案架构在天融信独创的、先进 T- SCM((Topsec Security Center Management)-天融信 安全集中管理平台,T-SCP(Topsec Security cooperation platform)-天融信安全产品标协作平台, T-SAS(Topsec Security Audition System)天融信安全 审计平台 3 个核心技术平台之上。TopsecManager 通过 T- SCM 实现对各种安全产品和非安全产品的综合管理;各种安 全产品通过 T-SCP 实现不同产品之间的联动、协同工作; SAS 通过
10、 T-SAS 实现对网络中的安全设备和非安全设备的集 中审计、分析。 TOPSEC 解决方案包括 Topsec Manager 综合管理系统, 各类安全产品,和 SAS 综合安全审计系统。其中: Topsec Manager 综合管理系统可以实现对垮地域网络 中各类安全产品和各类非安全产品(如交换机、路由器等) 集中控制和管理,可以对网络中所管设备策略制自动设定、 自动实施,对运行故障和安全漏洞进行自动感知和报警。 并且,支 持各类安全产品之间的有效联动。通过管理平台不但 可以集网络管理与安全管理于一体,轻松管理整个网络中 所有设备,而且有效提高了安全的成效。 安全产品包括天融信 NG FW4
11、000/3000/ARES 防火墙系 列产品, IDS、VPN、防病毒、审计、内容过滤等 100的 安全技术和产品;同时,通过天融信 TOPSEC 技术体系可在 解决方案中支持第三方的安全产品。这样,不但可以根据 需要选择不同优秀厂商的产品,而且安全品之间的互联、 技术上的互操作,又有效的提高了系统的安全性。 SAS 综合安全审计系统可以实现对解决方案中产品、 系统日志的综合的、集中的审计和分析,避免以前人为的、 单点的日志分析。不但提高了对安全隐患的反映效率,而 且提高了分析的准确度,很好的保证了安全系统的成效。 Topsec Manager 综合管理系统与 SAS 综合审计系统之 间也可实
12、现相互管理和支持,Topsec 安全服务(TMSS)可 以提供对安全系统效能的保障,通过管理、防护、监测、 审计、服务等五个环节的联动,构建一个产品之间、产品 与系统之间联动的,可管理的,高扩展性的、高效的、全 面的网络安全解决方案。 全面联动 高效安全 目前,IT 基础设施受到威胁的复杂性正在不断增加。 诸如 Nimda 和红色代码等混合型威胁,以及数据通过公网 传输时的可靠性、可用性等威胁。为了防御这些威胁,客 户正在网络的网关、内部、服务器、客户端上部署防火墙、 IDS、VPN、防病毒等产品。 在解决方案中,跨厂商产品的简单集合往往会存在漏 洞,从而使威胁乘虚而入危及安全性。此外,当某种
13、安全 漏洞出现时,必须针对不同厂商的技术和产品进行人工分 析,然后综合分析,提出解决方案。这样就降低了对攻击 的反应速度,并潜在地增加了成本。事实证明,如果不将 在同一网络中多个不同或者相同厂商的产品实现技术上互 操作,实现产品之间的有效联动,实现产品与综合管理系 统之间连动,就无法发挥有效的安全性,就无法有效管理。 天融信 TOPSEC 解决方案就是以“联动“为核心理念,实现了 不同安全技术之间互操作的,实现了不同产品间联动的, 高安全性的、全面的解决方案。 全面防护,高效管理 天融信 TOPSEC 解决方案通过 TOPSEC 技术体系,集综 合管理平台、综合安全审计系统,同时涉及防火墙、
14、IDS、VPN、防病毒等 100安全技术和安全产品,为客户提 供更强的、全面的安全防护能力。同时,TOPSEC 解决方案 通过 TOPSEC MANAGER 综合安全管理系统可以对所有网络中 的设备和系统进行集中运行监控、集中配置、集中日志等 管理。通过 SAS 综合审计系统对所有的产品和系统进行集 中日志审计和分析。这样,使来自不同厂商的多种技术可 以高效、协作管理,从而增加防护能力,降低管理和支持 成本。 有效的响应服务 天融信公司不但可以为 TOPSEC 解决方案中的产品和系 统提供通用的部署和更新功能,天融信公司还提供有效的 响应服务功能使客户对于违背安全策略、攻击出现和病毒 发作更快
15、做出响应,从而提高网络的整体安全状态。 天融信遍布全国 30 个省市区域的技术服务中心为客 户提供产品以及业界领先的 724 小时的无间 断的响应服 务,为天融信 TOPSEC 解决方案提供很好的补充和更好的保 障。 网络安全产品部署图 篇三:天融信网络信息安全解决方案 计算机网络是一个分层次的拓扑结构,因此网络的安 全防护也需采用分层次的拓扑防护措施。即一个完整的网 络信息安全解决方案应该覆盖网络的各个层次,并且与安 全管理相结合。以该思想为出发点,北京天融信公司提出 了“网络信息安全解决方案“。 一、 网络信息安全系统设计原则 ? 满足 Internet 分级管理需求 ? 需求、风险、代价
16、平衡的原则 ? 综合性、整体性原则 ? 可用性原则 ? 分步实施原则 目前,对于新建网络及已投入运行的网络,必须尽快 解决网络的安全保密问题,考虑技术难度及经费等因素, 设计时应遵循如下思想: (1)大幅度地提高系统的安全性和保密性; (2)保持网络原有的性能特点,即对网络的协议和 传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增 加或少增加附加操作; (4)尽量不影响原网络拓扑结构,便于系统及系统 功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性 投资,可以长期使用; (6)安全与密码产品具有合法性,并便于安全管理 单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计 原则: 11 满足因特网的分级管理需求 根据 Internet 网络规模大、用户众多的特点,对 Internet/Intranet 信息安全实施分级管理的解决方案,将 对它的控制点分为三级实施安全管理。 第一级:中心级网络,主要实现内外网隔离;内外 网用户的访问控制;内部网的监控;内部网传输数据的备 份与稽查。 第二级:部门级,主要
