《网络安全整体解决方案》由会员分享,可在线阅读,更多相关《网络安全整体解决方案(17页珍藏版)》请在金锄头文库上搜索。
1、珠海市网佳科技有限公司网络安全整体解决方案目录第 1章总体分析及需求 3第 2章总体设计 4第 3章防火墙方案 43.1 本方案的网络拓扑结构 53.2 本方案的优势: 63.3 本方案的产品特色 7第 4章内网行为管理方案 84.1 内网安全管理系统介绍 84.2 内网管理系统主要功能 9第 5章报价单 错误!未定义书签。第 1 章 总体分析及需求珠海市网佳科技有限公司新办公大楼由五层办公区域组成,公司规模较大、部门较多,总PC数量估 计在 200 左右,其中公司财务部门需要相对的独立,以保证财务的绝对安全;对于普通员工,如何防止 其利用公司网络处理私人事务,如何防止因个人误操作而引起整个公
2、司网络的瘫痪,这些都是现在企业 网络急待解决的问题。随着公司规模的不断壮大,逐渐形成了企业总部各地分支机构移动办公人员 的新型互动运营模式,怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时 共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。同时,如何防止骇客攻击、病 毒传播、蠕虫攻击、敏感信息泄露等都是需要考虑的问题,如:第一、随着电脑数量的增加,如果网络不划分VLAN,所有的PC都在一个广播域内,万一网内有一 台PC中了 ARP,那么将影响到整个网络的稳定;第二、各类服务器是企业重要数据所在,而服务器如果不采取一定的保护机制,则会经常遭受来自 内外网病毒及
3、其它黑客的攻击,导致服务器不能正常工作及信息泄露,经企业带来不可估量的损失;第三、网络没有网管型的设备,无法对网络进行有效的控制,使网络管理员心有余力而力不从心, 往往是事倍功半,如无法控制P2P软件下载而占用网络带宽;无法限制QQ、MSN、SKYPE等即时聊天软件; 网管员无法对网络内的流量进行控制,造成网络资源的使用浪费;第四、企业有分支机构、移动办公人员,无法与总部互动、访问总部K3、ERP等重要数据资源,从 而不能及时获取办公所需数据。综上分析,珠海市网佳科技有限公司按照企业目前网络情况,有针对性地实施网络安全方面的措施, 为网络的正常运行及服务器数据的安全性做好前期工作。第 2 章
4、总体设计根据珠海市网佳科技有限公司的实际网络情况,结合目前的具体需求,从以下几个层面来为珠海市网 佳科技有限公司设计一个以硬件防火墙为主体的网络安全解决方案,保障珠海市网佳科技有限公司网络的 正常运行及服务器的安全。公司网络的大致结构是:光纤-路由器-交换机-PC,公司大概有200多台电脑,根据公司目前的网络规模及 上面的分析,现提出以下整体解决方案。1. 在网络出口处架构一台硬件防火墙,以防止非法攻击2. 在每台PC上安装内网行为管理软件,对每台PC实施应用程序管理、屏幕监控、上网策略管理等第 3 章 防火墙方案本方案建议采用国康防火墙.根据公司的网络结构,适合的型号是FX-500。通过前面
5、的分析与需求,国 康防火墙可以达到贵公司现在所需解决的问题,具体表现如下: 下载安装游戏软件;用QQ与MSN聊天造成工作效率低下;主动或被动的浏览色情网站;BT疯狂下 载电影、在线听歌、QQ直播,造成网络带宽堵塞;同时网络管理员需要只允许访问固定网站或屏蔽 某些网站。 员工上网管理:自定义时间开放网上聊天、游戏、查询股票项目。 有效保护对外发布的WEB、FTP、邮件服务器。防止黑客入侵篡改网站信息,发布反动黄色内容帖子。对从内到外及从外到内的网络访问做好有效的日志记录,以备网监处查询。 对网络整体进行流量限制 防止ARP欺骗现象的发生,当发生欺骗现象时,可以通过防火墙日志端快速的查找到ARP欺
6、骗源头 所在,保障网络正常运行。 可以实现移动办公,通过防火墙内置的各种VPN(PPTP、L2TP VPN、IPSec VPN、SSL VPN)功能, 即使出差在外,也可方便地访问公司内部ERP服务器资源。 IP/MAC地址绑定,防止员工随意更改IP地址,造成网络内地址冲突现象而发生网络中断,使网管 员方便管理规划网内IP地址资源。3.1 本方案的网络拓扑结构建议的网络拓扑结构PTW3.2 本方案的优势:1、珠海市网佳科技有限公司整体处于安全区域内,对公司内部发布的服务器起到保护,有效防护外部攻击。2、可对网络限制整体流量.3、可以随意封堵QQ.MSN,YAH00通等即时聊天软件.4、可以整体
7、控制BT、电驴、迅雷等下载软件占据大量带宽。5、可以对公司的数据进行安全过滤。6、防火墙的设置简单化,特别是没有专职网管的公司, 为管理者带来极大的方便。7、增加了 SSL VPN功能,极其简化的设置方式,只需要用户名、密码、服务器IP三个参数即能轻松完成配 置。为远程拨入的移动客户端,提供了方便。8、强大的日志审计,完成了对实时流量监控,对ARP、蠕虫病毒的监控,对客户端上网记录的监控等。3.3 本方案的产品特色防火墙特色功能灵活的管理界面,面象对象的管理多 WAN 口链路负载均衡-网通电信线路智能判断PPP0E拨号功能,彻底解决ARP病毒 实名上网功能,无需安装插件 多动态域名互为备份 应
8、用路由功能,可设置某种协议流量走特定的外网口 可屏蔽内网客户端发贴IPSEC/SSLVPN 功能: 可基于路由、透明、单臂模式部署,不改变客户网络结构; 支持以口令或口令加证书USBKey的方式进行身份验证;内置CA中心 VPN 帐号可以和特定的机器特征自动绑定; 灵活的应用发布机制和权限分布机制;支持B/S、C/S和T/S应用程序; 灵活的安全策略,方便用户远程访问; 完善的日志和报表; 解决多种宽带网络间互访“南北不通”问题; 支持低宽带条件下的数据实时压缩,最高可提高50%的数据传输速率; TCP/IP 协议优化,集成了数据压缩技术 穿透性好,支持移动、电信3G网络终端管理功能: USB
9、 存储设备认证与加密 外联监控 外设控制 共享目录监控 硬件变更监控、软件监控 进程监控 离线策略 资产管理 软件分发 网络访问控制 远程桌面管理、定时截屏功能流量控制功能 客户端连接数控制 针对IP/地址段设置带宽 识别控制P2P软件和加密P2P数据 当有多余带宽,允许突破限制,充分利用带宽 实时显示各客户端连接数、收发包量、速率、累计流量 流控对应到人 强大的流量分析日志及图形报表行为管理功能: 网站分类封堵,支持自定义组、通配符定义域名 QQ号管理、只有指定的QQ号才能登陆 封堵 MSN、 YahooMessage、 AIM、 IRC 与终端管理结合,可监控聊天记录 讯雷、BT、电驴等P
10、2P软件按协议封堵 游戏、远程控制软件、 VOIP 等非法软件封堵 禁止从内到外或从外到内POST提交发贴、上下传文件 禁止通过 SOCKS、 HttpConnect 代理方法访问外面数据第 4 章 内网行为管理方案4.1 宝内网安全管理系统介绍完整的国康防水墙由三部分组成,服务器模块、监控端模块和客户端模块。客户端模块安装在每一台需 要被监视的计算机上。服务器模块用来存储和管理所有安装有客户端模块的计算机,用于管理监视所产生的 资料,一般安装在一台具有高性能CPU和大容量内存的用作服务器的计算机上。监控端模块主要用于监视每 台安装有客户端模块的计算机及查看历史记录,一般安装在公司的管理人员的
11、计算机上,也可以和服务器模 块安装在同一台计算机上。系统的基本框架如下图所示:交咗机档端宝界防水墙体系示意图其它网络客户端监控端4.2内网管理系统主要功能1、内网管理系统安全、卓越的系统性能:控制台与服务器端及客户端代理之间的控制信息都通过加密通信 服务器端与客户端代理之间进行认证,防止未获授权使用 对非法接入的主机可切断其与内部安装过客户端代理主机之间的联系 本地用户不能自行卸载、关闭客户端代理程序管理权限分级,利于分级控制 登录应用了严格的身份认证,保障系统的管理安全 客户端、服务器及控制台间的数据传输全部采用加密传输方式,防止传输的数据被窃听 在终端 PC 上运行的客户端软件采用了透明模
12、式客户端软件采集数据信息不影响终端PC的使用性能传输中的数据经过特殊压缩,对网络带宽的占用非常少 备份和恢复服务器数据库中的信息,保证历史记录的方便查阅2、内网管理系统对企业的帮助: 保护机密商业资料详细记录文件操作(访问、修改、删除等)记录文件操作时的屏幕对移动存储设备的灵活管理对设备端口的管理 规范员工的上班行为限制与工作无关应用程序的使用禁止浏览工作无关网站对违规行为的报警 客观评估员工工作状态详细记录员工使用的应用程序详细记录员工浏览的网页员工使用电脑情况图表分析 方便的电脑资产管理自动获取电脑硬件设备清单自动获取电脑安装的应用程序协助企业管理者的工作 灵活完善的规则设定完善丰富的报表
13、功能严格的权限管理追踪重要事件记录电脑屏幕,直观察看员工的电脑操作记录设置报警,查询员工的违规行为3、内网管理系统的主要功能: 内网管理系统包括了下列的六大功能模块:网络监视模块、网络管理模块、网络报警模块、软硬件资产管理模块、补丁管理和软件分发、远程桌面管理。1、网络监视模块:根据设定的安全控制策略,对受控对象的活动进行全面的审计,为事后了解和判断网络安全事故提供了宝贵的资料,具体功能如下:文件操作的审计;屏幕记录;应用程序的审计;Internet 访问的审计;网络通讯协议;报警信息的审计;打印机使用的审计;网络文件访问的审计;硬件变动的审计;软件变动的审计;IP/Mac 地址的变动审计;用
14、户的变动审计;非法笔记本电脑接入的审计;非法拨号的设计;客户端超时不连接的审计;2、网络管理模块:网络管理模块通过具有针对性的监控规则的设置,自动阻止非法操作和实现应用统计,具体功能如下:禁止或只允许浏览的指定网站;禁止使用指定的应用程序;禁止使用外设如(USB存储设备、USB端口、软驱、刻录机、磁带驱动器、串口、并口、调制解调器、 SCSI、1394总线、红外通讯设备,以及笔记本电脑使用的PCMCIA卡接口);内网管理模块对电脑的使用进行具体统计,提高工作效率。浏览网站状况统计(列表、柱状图、饼状图);应用软件使用统计(列表、柱状图、饼状图);3、网络报警模块:网络监控模块通过具有针对性的监
15、控规则的设置,并且可以向控制台发出报警信息,报警内容有:非法对指定文件/文件夹操作报警;非法使用指定的应用程序报警;硬件变动的报警;软件变动的报警;IP/Mac 地址的变动报警;用户的变动报警;非法计算机接入的报警;非法拨号的报警;客户端超时不连接的报警。4、软硬件资产管理模块:软硬件管理模块可以对整个局域网内的电脑的软硬件资产进行统计。5、补丁管理和软件分发: 可以随时统计出操作系统补丁的安装情况,并对未安装重要补丁程序的计算机统一批量安装; 提供统一的应用软件派发功能,使得批量软件安装这一费时费力的工作,由软件自动完成;6、远程桌面管理:远程桌面模块通过具有针对性的客户端进行控制,提高网管人员工作效率,具体包括对客户机进行如下操作:远程接管客户端(对客户端的发生的问题可以实时解决);
